- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-端口操作
本章节下载 (479.05 KB)
目 录
S9500系列交换机支持如下的接口板:
l XP2
l XP4
l XK1
l GT8P
l F32G
l GP12
l GP24
l GT12
l GT24
l GV48
l FP20
l FT48
l P4G8
l SP4
l UP1
l VP2
S9500系列交换机支持的端口特性如下:
l XP2接口板提供2个10GE光端口,工作在万兆全双工模式下,速率及双工模式不需用户进行配置。
l XP4接口板提供4个10GE光接口,工作在万兆全双工模式下,速率及双工模式不需用户进行配置。
l XK1接口板提供1个10GE光/电端口,工作在万兆全双工模式下,速率及双工模式不需用户进行配置。
l GT8P接口板提供4个千兆SFP光端口和8个10/100/1000Mbit/s自适应的电端口。光端口工作在千兆全双工模式下,速率及双工模式不需用户进行配置。电端口支持MDI/MDI-X自适应,工作方式为:1000M全双工,100M半双工/全双工,10M半双工/全双工。
l F32G接口板提供32个10/100Mbit/s电端口和4个千兆光端口。10/100Mbit/s电端口支持MDI/MDI-X自适应,可以工作在半双工、全双工、自协商模式下,可以与其他网络设备协商确定工作方式和速率,自动选择最合适的工作方式和速率,从而大大简化系统的配置和管理。千兆光端口工作在千兆全双工模式下,速率及双工模式不需用户进行配置。
l GP12接口板提供12个千兆光端口,工作在千兆全双工模式下,速率及双工模式不需用户进行配置。
l GP24接口板提供24个千兆光端口,工作在千兆全双工模式下,速率及双工模式不需用户进行配置。
l GT12接口板提供12个10/100/1000Mbit/s电端口,支持MDI/MDI-X自适应,工作方式为:1000M全双工,100M半双工/全双工,10M半双工/全双工。
l GT24接口板提供24个10/100/1000Mbit/s电端口,支持MDI/MDI-X自适应,工作方式为:1000M全双工,100M半双工/全双工,10M半双工/全双工。
l GV48接口板提供48个10M/100M/1000M电接口,工作在千兆全双工模式下,速率及双工模式用户可以进行配置,可支持POE供电。
l FP20接口板提供20个百兆光端口,工作在百兆全双工模式下,速率及双工模式不需用户进行配置。
l FT48接口板提供48个10/100Mbit/s电端口,支持MDI/MDI-X自适应,可以工作在半双工、全双工、自协商模式下,可以与其他网络设备协商确定工作方式和速率,自动选择最合适的工作方式和速率,从而大大简化系统的配置和管理。
l P4G8接口板提供4个POS端口和8个千兆光端口。POS端口工作在155Mbit/s模式下,千兆光端口工作在千兆全双工模式下,速率及双工模式不需用户进行配置。
l SP4接口板提供4个2.5Gbit/s的POS光接口,POS端口工作在2.5Gbit/s模式下,速率及双工模式不需用户进行配置。
l UP1接口板提供1个10Gbit/s的POS光接口,POS端口工作在10Gbit/s模式下,速率及双工模式不需用户进行配置。
l VP2接口板提供2个10Gbit/s的RPR接口,RPR端口工作在10Gbit/s模式下,速率及双工模式不需用户进行配置。
目前S9500系列交换机支持的以太网端口,包括传统以太网端口、快速以太网端口、千兆以太网端口、万兆以太网端口。
几种以太网端口的配置基本相同,下面一起介绍。
以太网端口配置包括:
l 进入以太网端口视图
l 打开/关闭以太网端口
l 对以太网端口进行描述
l 设置以太网端口双工状态
l 设置以太网端口速率
l 设置以太网端口网线类型
l 设置以太网端口流量控制
l 允许/禁止长帧通过单板
l 设置以太网端口支持的网络模式
l 设置以太网端口的链路类型
l 把当前以太网端口加入到指定VLAN
l 设置以太网端口缺省VLAN ID
l 设置端口的VLAN VPN特性
l 将某些端口的配置拷贝到其它端口
l 设置以太网端口抑止的时间间隔
l 设置以太网端口的环回模式
要对以太网端口进行配置,首先要进入以太网端口视图。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
进入以太网端口视图 |
interface interface-type interface-number |
当端口的相关参数及协议配置好之后,可以使用undo shutdown命令打开端口;如果想使某端口不再转发数据,可以使用shutdown命令关闭端口。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
关闭以太网端口 |
shutdown |
|
打开以太网端口 |
undo shutdown |
缺省情况下,端口为打开状态。
可以使用以下命令设置端口的描述字符串,以区分各个端口。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
设置以太网端口描述字符串 |
description text |
|
删除以太网端口描述字符串 |
undo description |
缺省情况下,端口的描述字符串为空。
当希望端口在发送数据包的同时可以接收数据包,可以将端口设置为全双工属性;当希望端口同一时刻只能发送数据包或接收数据包时,可以将端口设置为半双工属性;当设置端口为自协商状态时,端口的双工状态由本端口和对端端口自动协商而定。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
设置以太网端口的双工状态 |
duplex { auto | full | half } |
|
恢复以太网端口的双工状态为缺省值 |
undo duplex |
需要注意的是,10/100Mbit/s以太网电端口可以工作在全双工、半双工或自协商模式下。10/100/1000Mbit/s电端口可以工作在全双工、半双工或自协商模式下,但当速率设置为1000Mbit/s或auto后,双工状态只可以设置为full(全双工)或auto(自协商)。百兆、千兆和万兆以太网光端口均工作在全双工模式下,不需用户对其进行配置。
缺省情况下,端口的双工状态为auto(自协商)状态。
可以使用以下命令对以太网端口的速率进行设置,当设置端口速率为自协商状态时,端口的速率由本端口和对端端口双方自动协商而定。
请在以太网端口视图下进行下列设置。
|
操作 |
命令 |
|
设置以太网端口的速率 |
speed { 10 | 100 | 1000 | 10000 | auto } |
|
恢复以太网端口的速率为缺省值 |
undo speed |
需要注意的是:10/100Mbit/s以太网电端口支持10Mbit/s或100Mbit/s工作速率,并支持自协商,可以根据需要对其设置。10/100/1000Mbit/s电端口支持10Mbit/s、100Mbit/s、1000Mbit/s三种速率,可以根据需要选择合适的端口速率。但当双工状态设置为半双工模式后,速率就不能设置为1000Mbit/s或auto。百兆以太网光端口支持100Mbit/s速率,千兆以太网光端口支持1000Mbit/s速率,万兆以太网光端口支持10000Mbit/s速率,均不需用户进行设置。
缺省情况下,以太网端口的速率处于auto(自协商)状态。
以太网端口的网线有平行网线及交叉网线,可以使用该命令对网线类型进行设置。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
设置以太网端口连接的网线的类型 |
mdi { across | auto | normal } |
|
恢复以太网端口的网线类型为缺省值 |
undo mdi |
需要注意的是,该设置只对10/100Mbit/s和10/100/1000Mbit/s电端口有效。
缺省情况下,端口的网线类型为auto(自识别)型,即系统可以自动识别端口所连接的网线类型。
当本端和对端交换机都开启了流量控制功能后,如果本端交换机发生拥塞,它将向对端交换机发送消息,通知对端交换机暂时停止发送报文;而对端交换机在接收到该消息后将暂时停止向本端发送报文;反之亦然。从而避免了报文丢失现象的发生。可以使用以下命令对以太网端口是否开启流量控制功能进行设置。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
开启以太网端口的流量控制 |
flow-control |
|
关闭以太网端口的流量控制 |
undo flow-control |
缺省情况下,端口的流量控制为关闭状态。
在进行文件传输等大吞吐量数据交换的时候,可能会遇到大于标准以太网帧长的长帧。可以通过以下的命令设置单板禁止或允许长帧通过。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置指定槽位号通过Jumbo帧,并且设置通过的Jumbo帧的最大长度值 |
jumboframe enable [ jumboframe-value ] slot slot-num |
|
设置在指定的槽位号上 禁止Jumbo帧通过 |
jumboframe disable slot slot-num |
缺省情况下,单板允许Jumbo帧通过。
& 说明:
Jumbo帧支持离散值,支持配置1536~10240的范围,但是实际生效Jumbo帧值为几个区段范围:在1536~1552内实际生效Jumbo帧值为1552、在1552~9022内实际生效Jumbo帧值为9022、在9022~9122内实际生效Jumbo帧值为9122、在9122~10240内实际生效Jumbo帧值为10240。
为了防止由于广播组播报文泛滥造成端口阻塞,交换机提供对广播/组播报文的抑制功能。用户通过设置速度百分比或者带宽值来抑制广播报文/组播报文。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
设置以太网端口的广播报文抑制功能 |
broadcast-suppression { ratio | bandwidth bandwidth } |
|
恢复以太网端口的广播报文抑制功能为缺省值 |
undo broadcast-suppression |
|
设置以太网端口的组播报文抑制功能 |
multicast-suppression { ratio | bandwidth bandwidth } |
|
恢复以太网端口的组播报文抑制功能为缺省值 |
undo multicast-suppression |
注意:
l 用户不能在同一单板上同时设置组播抑制功能和广播抑制功能,即一旦某单板有端口设置了广播抑制,该单板其他端口也不能设置组播抑制,反之亦然。
l 在组播抑制的时候也会同时抑制广播报文,而广播抑制的时候不会同时抑制组播报文。
l 组播报文抑制不区分是未知组播还是已知组播。
缺省情况下,广播抑制率是50%,组播抑制率是100%。
大多数以太网端口之间进行普通的数据交互,采用LAN模式。而有些端口(比如用于光纤传输的端口)需要进行数据传输,要求有特殊的帧格式,这些端口必须采用WAN模式。用户可以使用port-mode命令来设置以太网端口支持的网络模式。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
设置以太网端口支持的网络模式 |
port-mode { wan | lan } |
|
恢复以太网端口支持的网络模式为缺省模式 |
undo port-mode |
缺省情况下,端口采用LAN模式。10GE以太端口支持WAN模式。
以太网端口有三种链路类型:Access、Hybrid和Trunk。Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。Hybrid端口和Trunk端口的不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
请在以太网端口视图下进行下列设置。
|
操作 |
命令 |
|
设置端口为Access端口 |
port link-type access |
|
设置端口为Hybrid端口 |
port link-type hybrid |
|
设置端口为Trunk端口 |
port link-type trunk |
|
恢复端口的链路类型为缺省的Access端口 |
undo port link-type |
三种类型的端口可以共存在一台交换机上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
缺省情况下,端口为Access端口。
本配置任务把当前以太网端口加入到指定的VLAN中。Access端口只能加入到1个VLAN中,Hybrid端口和Trunk端口可以加入到多个VLAN中。
请在以太网端口视图下进行下列设置。
|
操作 |
命令 |
|
把当前Access端口加入到指定VLAN |
port access vlan vlan-id |
|
将当前Hybrid端口加入到指定VLAN |
port hybrid vlan vlan-id-list { tagged | untagged } |
|
port trunk permit vlan { vlan-id-list | all } |
|
|
把当前Access端口从指定VLAN删除 |
undo port access vlan |
|
把当前Hybrid端口从指定VLAN中删除 |
undo port hybrid vlan vlan-id-list |
|
把当前Trunk端口从指定VLAN中删除 |
undo port trunk permit vlan { vlan-id-list | all } |
需要注意的是:Access端口加入的VLAN必须已经存在并且不能是VLAN 1;Hybrid端口加入的VLAN必须已经存在。
执行了本配置,当前以太网端口就可以转发指定VLAN的报文。Hybrid端口和Trunk端口可以加入到多个VLAN中,从而实现本交换机上的VLAN与对端交换机上相同VLAN的互通。Hybrid端口还可以设置哪些VLAN的报文打上标签,哪些不打标签,为实现对不同VLAN报文执行不同处理流程打下基础。
Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置;Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。如果设置了端口的缺省VLAN ID,当端口接收到不带VLAN Tag的报文后,则将报文转发到属于缺省VLAN的端口;当端口发送带有VLAN Tag的报文时,如果该报文的VLAN ID与端口缺省的VLAN ID相同,则系统将去掉报文的VLAN Tag,然后再发送该报文。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
设置Hybrid端口的缺省VLAN ID |
port hybrid pvid vlan vlan-id |
|
设置Trunk端口的缺省VLAN ID |
port trunk pvid vlan vlan-id |
|
恢复Hybrid端口的缺省VLAN ID为缺省值 |
undo port hybrid pvid |
|
恢复Trunk端口的缺省VLAN ID为缺省值 |
undo port trunk pvid |
需要注意的是:本Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid端口或Trunk端口的缺省VLAN ID必须一致,否则报文将不能正确传输。
缺省情况下,Hybrid端口和Trunk端口的缺省VLAN为VLAN 1,Access端口的缺省VLAN是本身所属于的VLAN。
由于IEEE802.1Q中定义的VLAN Tag域只有12个比特,所以交换机最多可以支持4K个VLAN。在实际应用中,尤其是在城域网中,需要大量的VLAN来隔离用户,4K个VLAN远远不能满足需求。交换机提供的端口VLAN VPN特性,可以给报文打双重VLAN Tag,即在报文原来VLAN Tag的基础上,给报文打上新的VLAN Tag,从而可以最多提供4K×4K个VLAN,满足城域网对VLAN数量的需求。同时,端口的VLAN VPN特性还提供如下功能:利用报文的原VLAN Tag可以实现对用户和业务的标识;利用报文的新打上的VLAN Tag可以实现对业务和VPN用户的承载,从而实现VPN配置的简单、实用性,使交换机满足城域网应用中的需求。
开启端口的VLAN VPN功能后,当该端口接收到报文,无论报文是否带有VLAN Tag,交换机都会为该报文打上本端口缺省VLAN的VLAN Tag。这样,如果接收到的是已经带有VLAN Tag的报文,该报文就成为双Tag的报文;如果接收到的是Untagged的报文,该报文就成为带有端口缺省VLAN Tag的报文。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
开启端口VLAN VPN特性 |
vlan-vpn enable |
|
关闭端口VLAN VPN特性 |
undo vlan-vpn |
需要注意的是,如果某端口的GVRP、STP或802.1x协议中的任一个已经启动,则不允许用户开启端口的VLAN VPN特性。
缺省情况下,端口VLAN VPN特性是关闭的。
为了方便将某些端口的配置与指定端口保持一致,可以使用copy configuration命令将指定端口的配置拷贝到其他端口。可以拷贝的配置包括STP、QoS、端口、LACP配置,具体列表如下:
|
特性 |
具体配置 |
|
STP配置 |
开启/关闭端口的STP功能 |
|
STP的端口优先级配置 |
|
|
路径开销配置 |
|
|
与端口相连的链路属性(如点对点或非点对点)配置 |
|
|
端口的mCheck变量配置 |
|
|
端口的最大发送速率配置 |
|
|
开启/关闭端口的Root保护功能 |
|
|
开启/关闭端口的环路保护功能 |
|
|
端口为边缘端口或者非边缘端口配置 |
|
|
是否重置ARP |
|
|
QoS配置 |
定义/应用流模板 |
|
流量整形配置 |
|
|
报文重定向配置 |
|
|
包过滤配置 |
|
|
优先级标记配置 |
|
|
流量统计配置 |
|
|
流镜像配置 |
|
|
流量限速 |
|
|
端口配置 |
端口上允许通过的VLAN ID |
|
端口缺省的VLAN ID |
|
|
将端口加入VLAN |
|
|
缺省的802.1P优先级 |
|
|
端口速率、双工模式 |
|
|
端口的链路类型 |
|
|
LACP |
开启/关闭端口的LACP特性 |
& 说明:
l 执行copy configuration命令会清除端口的协议VLAN属性,但不会将源端口的协议VLAN属性复制到目的端口。
l copy configuration命令只支持Ethernet,GigabitEthernet类型的端口以及聚合组之间的配置拷贝。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
将某些端口的配置拷贝到其它端口 |
copy configuration source { interface-type interface-number | aggregation-group agg-id } destination { interface-list [ aggregation-group agg-id ] | aggregation-group agg-id } |
需要注意的是,拷贝的源如果是聚合组号时,则以聚合组中的最小Active端口为源。拷贝的目的如果是聚合组号时,则该聚合组内的所有端口的配置都改为与源一致,同时不能指定动态聚合组作为copy命令的目的端口。
当频繁进行Down/Up时,可能会导致交换机故障。为了屏蔽该操作对交换机的影响,提供端口状态频繁变化抑制功能,抑制时间可配置。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置端口抑制的时间间隔 |
link-status hold hold-time |
|
取消设置端口抑制的时间间隔 |
undo link-status hold |
缺省情况下,端口抑制的时间间隔为3秒。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
设置以太网端口的环回模式 |
loopback { external | internal } |
|
取消设置以太网的环回模式 |
undo loopback |
缺省情况下,以太网端口不处于环回模式。目前S9500系列交换机以太网端口不支持external的环回模式。
在完成上述配置后,在任意视图下执行display命令可以显示配置后以太网端口的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除以太网端口的统计信息。
|
操作 |
命令 |
|
显示端口的所有信息 |
display interface interface-type | interface-type interface-number [ packets ] |
|
显示Hybrid端口或Trunk端口 |
display port { hybrid | trunk } |
|
显示端口流量信息 |
display counters [ rate ] { inbound | outbound } interface [ interface-type ] |
|
清除以太网端口的统计信息 |
reset counters interface [ interface-type | interface-type interface-number ] |
|
查看所有单板上的Jumbo帧配置 |
display jumboframe configuration |
需要注意的是:
l 目前S9500系列交换机不支持Loopback External模式。
l 当使能端口802.1X后,该端口的统计信息不能被清除。
l 不指定端口类型时,display counters命令显示所有在位端口的流量统计信息。
l 不同单板支持的Jumbo帧长度范围可能不同,默认值也可能不一样。
交换机Switch A与对端交换机Switch B使用Trunk端口GigabitEthernet2/1/1相连,配置Trunk端口的缺省VLAN ID,使该Trunk端口在接收到不带VLAN Tag的报文时,将此报文发往属于缺省VLAN ID标识的VLAN的端口;同时,当该Trunk端口发送带有VLAN Tag的报文时,如果该报文的VLAN ID与端口缺省的VLAN ID相同,则去掉报文的VLAN Tag,然后再发送该报文。
以下只列出了Switch A的配置,Switch B应作类似的配置:
# 进入GigabitEthernet2/1/1以太网端口视图。
[H3C] interface gigabitethernet2/1/1
# 配置端口GigabitEthernet2/1/1为Trunk端口,并允许2、6到50、100等VLAN通过。
[H3C-GigabitEthernet2/1/1] port link-type trunk
[H3C-GigabitEthernet2/1/1] port trunk permit vlan 2 6 to 50 100
# 创建VLAN 100。
[H3C] vlan 100
# 配置端口GigabitEthernet2/1/1的缺省VLAN ID为100。
[H3C-GigabitEthernet2/1/1] port trunk pvid vlan 100
故障现象一:配置缺省VLAN ID不成功。
故障排除:可以按照如下步骤进行。
l 使用display interface或display port命令检查该端口是否为Trunk端口或Hybrid端口。如不是,则应先将其配置成Trunk端口或Hybrid端口。
故障现象二:端口的状态为Down。
故障排除:可以按照如下步骤进行。
l 检查连线是否正确,光纤是否插反。
l 是否人为在端口上设置了Shutdown。
l 检查光模块是否正确。
端口汇聚是将多个端口聚合在一起形成1个汇聚组,以实现出/入负荷在各成员端口中的分担,同时也提供了更高的连接可靠性。端口汇聚可以分为手工汇聚、动态LACP汇聚和静态LACP汇聚。同一个汇聚组中端口的基本配置应该保持一致,即如果某端口为Trunk端口,则其他端口也配置为Trunk端口;如该端口的链路类型改为Access端口,则其他端口的链路类型也改为Access端口。
端口的基本配置主要包括STP、QoS、VLAN、端口等相关配置。其中STP配置包括:端口的STP使能/关闭、与端口相连的链路属性(如点对点或非点对点)、STP优先级、路径开销、报文发送速率限制、是否环路保护、是否根保护、是否为边缘端口。QoS配置包括:流量限速、优先级标记、缺省的802.1p优先级、带宽保证、拥塞避免、流重定向、流量统计等。VLAN配置包括:端口上允许通过的VLAN、端口缺省VLAN ID。端口配置包括:端口的链路类型,如Trunk、Hybrid、Access属性。
一台S9500系列路由交换机最多可以配置920个汇聚组,其中1~31为手工或者静态聚合组;32~64为预留组号;65~192为Routed Trunk;193~920为动态聚合组。
系统中存在MPLS VPN单板时,只支持7个负载分担聚合组,没有MPLS VPN单板时,可以支持31组负载分担组,对于FE单板(采用EX芯片),只支持7个负载分担聚合组。
& 说明:
目前S9500还支持跨接口板聚合,跨接口板跟本板的聚合是一样的。
基于IEEE802.3ad标准的LACP(Link Aggregation Control Protocol,链路聚合控制协议)是一种实现链路动态聚合与解聚合的协议。LACP协议通过LACPDU(Link Aggregation Control Protocol Data Unit,链路聚合控制协议数据单元)与对端交互信息。使能某端口的LACP协议后,该端口将通过发送LACPDU向对端通告自己的系统优先级、系统MAC、端口优先级、端口号和操作Key。对端接收到这些信息后,将这些信息与其它端口所保存的信息比较以选择能够聚合的端口,从而双方可以对端口加入或退出某个动态聚合组达成一致。
操作Key是在端口聚合时,LACP协议根据端口的配置(即速率、双工、基本配置、管理Key)生成的一个配置组合。其中,动态聚合端口在使能LACP协议后,其管理Key缺省为零。静态聚合端口在使能LACP后,端口的管理Key与聚合组ID相同。对于动态聚合组而言,同组成员一定有相同的操作Key,而手工和静态聚合组中,Active的端口有相同的操作Key。
端口汇聚可以分为手工汇聚、动态LACP汇聚和静态LACP汇聚。
手工聚合和静态LACP聚合都是人为配置的聚合组,不允许系统自动添加或删除手工或静态聚合端口。手工或静态聚合组必须包含一个端口,当聚合组只有一个端口时,只能通过删除聚合组的方式将该端口从聚合组中删除。手工聚合端口的LACP协议为关闭状态,禁止用户使能手工聚合端口的LACP协议。静态聚合端口的LACP协议为使能状态,当一个静态聚合组被删除时,其成员端口将形成一个或多个动态LACP聚合,并保持LACP使能。禁止用户关闭静态聚合端口的LACP协议。
在手工和静态聚合组中,端口可能处于两种状态:Active和Inactive。其中,只有Active状态的端口能够收发用户业务报文,而Inactive状态的端口不能收发用户业务报文。在一个聚合组中,处于Active状态的端口中的最小端口是聚合组的主端口,其他的作为成员端口。
在手工聚合组中,系统按照以下原则设置端口处于Active或者Inactive状态:
l 系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高的端口处于Active状态,其他端口则处于Inactive状态。
l 端口因存在硬件限制(如不能跨板聚合)无法聚合在一起,而无法与处于Active状态的最小端口聚合的端口将处于Inactive状态。
l 与处于Active状态的最小端口的基本配置不同的端口将处于Inactive状态。
在静态聚合组中,系统按照以下原则设置端口处于Active或者Inactive状态:
l 系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高的端口处于Active状态,其他端口则处于Inactive状态。
l 与处于Active状态的最小端口所连接的对端设备不同,或者连接的是同一个对端设备但端口在不同的聚合组内的端口将处于Inactive状态。
l 端口因存在硬件限制(如不能跨板聚合)无法聚合在一起,而无法与处于Active状态的最小端口聚合的端口将处于Inactive状态。
l 与处于Active状态的最小端口的基本配置不同的端口将处于Inactive状态。
由于设备所能支持的聚合组中的最大端口数有限制,如果处于Active状态的端口数超过设备所能支持的聚合组中的最大端口数,系统将按照端口号从小到大的顺序选择一些端口为Active端口,其他则为Inactive端口。Active端口和Inactive端口都能收发LACP协议,但是Inactive端口不能转发用户的业务报文。
动态LACP聚合是一种系统自动创建/删除的聚合,不允许用户增加或删除动态LACP聚合中的成员端口,即使只有一个端口也可以创建动态聚合,此时为单端口聚合。动态聚合端口的LACP协议为使能状态。只有速率和双工属性相同、连接到同一个设备、有相同的基本配置的端口才能被动态聚合在一起。
由于设备所能支持的聚合组中的最大端口数有限制,如果当前的成员端口数量超过最大端口数的限制,则选择设备ID(系统优先级+系统MAC地址)小,且端口ID(端口优先级+端口号)小的端口为Active端口,剩余端口为Inactive端口;若成员端口数量未超过最大Active端口数限制,所有成员端口都是Active端口。Active端口和Inactive端口都能收发LACP协议,但是Inactive端口不能转发用户的业务报文。在一个聚合组中,Active端口中的最小端口是聚合组的主端口,其他的作为成员端口。在设备ID比较时,先比较系统优先级,如果相同则再比较系统MAC,值小的一方将被认为优;比较端口ID时,先比较端口优先级,如果相同则再比较端口号,值小的一方将被认为优。如果设备ID由原来的不优变为优,则聚合组成员的Active和Inactive状态由本设备的端口优先级确定。用户可以通过设置系统优先级和端口优先级来调整端口为Active端口还是Inactive端口。
聚合组的状态有两种:负载分担聚合和非负载分担聚合。我司95产品对于IP报文负载分担是按照目的IP和源IP的,对于非IP报文,负载分担是根据源MAC和目的MAC的。对于是否使用IP还是MAC,检查协议类型来区别,以太网字段ETYPE为0800的报文是IP报文。一般情况下,系统中的负载分担式聚合资源数量有限,因此需要在手工聚合组、静态聚合组、LACP动态聚合组、及包含需要硬件聚合资源的特殊端口的聚合组之间进行合理分配负载分担聚合资源。系统将始终为优先级高的聚合组分配硬件聚合资源,当聚合资源分配完后,所创建的聚合将为非负载分担聚合。负载分担聚合资源的优先级顺序如下:
l 包含需要硬件聚合资源的特殊端口的聚合组,如非限速10GE端口
l 聚合组获得聚合资源后可能达潜在速率最高的聚合组
l 当聚合组获得聚合资源后可能达到的速率相等时,主端口号最小的聚合组
l 手工聚合优先权比静态聚合高,静态聚合又比动态聚合高
l 所有条件相同情况下,已经占有资源的聚合组优先权比等待资源的聚合组优先权高
当有优先级更高的聚合组出现时,优先级低的聚合组应释放其硬件资源。单端口的聚合组不占用聚合资源,可以正常收发报文。
在汇聚组中,端口可能处于两种状态:Active和Inactive。其中,只有Active状态的端口能够收发用户业务报文,而Inactive状态的端口不能收发用户业务报文。在一个汇聚组中,处于Active状态的端口中的最小端口是汇聚组的主端口,其他的作为成员端口(也称为从端口)。
系统按照以下原则设置端口处于Active或者Inactive状态:
l 系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高的端口处于Active状态,其他端口则处于Inactive状态。
l 端口因存在硬件限制无法聚合在一起,而无法与汇聚组的主端口聚合的端口将处于Inactive状态。
l 与汇聚组主端口的基本配置不同的端口将处于Inactive状态。
由于设备所能支持的聚合组中的最大端口数有限制,如果处于Active状态的端口数超过设备所能支持的聚合组中的最大端口数,系统将按照端口号从小到大的顺序选择一些端口为Active端口,其他则为Inactive端口。Active端口可以转发用户的业务报文,而Inactive端口不能转发用户的业务报文。
负载分担聚合组中可有多个Active端口,而非负载分担聚合组中最多只有一个Active端口,其余均为Inactive端口。
以太网端口汇聚配置包括:
l 使能/关闭端口LACP协议
l 创建/删除汇聚组
l 将以太网端口加入/退出汇聚组
l 配置/删除汇聚组描述符
l 配置系统优先级
l 配置端口优先级
& 说明:
l 配置端口汇聚组时,主端口的GVRP特性配置保持不变,从端口的GVRP特性将被关闭。
l 向已经存在的端口汇聚组添加端口时,所添加端口上的GVRP特性将被关闭。
l 端口汇聚组的主端口离开汇聚组时,GVRP特性状态在主端口和汇聚组上保持不变;从端口离开汇聚组时,从端口的GVRP特性处于关闭状态。
l 配置端口汇聚组中任意端口的GVRP特性时,这些配置将映射到汇聚组的主端口上。
l 查询端口汇聚组中任意端口的GVRP特性配置时,返回的查询结果是对汇聚组主端口的查询结果。
详见《H3C S9500系列路由交换机 操作手册 第一分册》“VLAN&QinQ”部分。
在进行动态聚合前,需要使能端口的LACP协议,从而使双方可以对端口加入或退出某个动态聚合组达成一致。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
使能端口LACP协议 |
lacp enable |
|
关闭端口LACP协议 |
undo lacp enable |
缺省情况下,端口的LACP协议处于关闭状态。
需要注意的是:
l 镜像目的端口、配置了静态MAC地址的端口、配置了静态ARP的端口、以及使能802.1x的端口不能使能LACP协议。
l 已在手工聚合组中的端口会拒绝打开LACP。
l 用户可将LACP协议处于关闭状态的端口加入静态聚合组,此时系统会自动使能该端口的LACP协议。
可以使用下面的命令创建或删除汇聚组(手工聚合,静态链路聚合)。如果删除一个汇聚组,则该汇聚组中的端口将全部离开该汇聚组。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
创建汇聚组 |
link-aggregation group agg-id mode { manual | static } |
|
删除汇聚组 |
undo link-aggregation group agg-id |
需要注意的是,在创建聚合组时,如果该聚合组已经存在但不包含端口,则该聚合组类型将改为新设置的类型。当将静态聚合组改为手工聚合组时,系统会自动将其包含端口的LACP协议关闭。
& 说明:
端口汇聚共有三种模式:手工聚合,静态链路聚合和动态链路聚合。
l 手工聚合时,不同速率的端口可以聚合。如果有聚合资源,也会成为负载分担的聚合,此时速率较低的端口在分担的流量超过端口最大速率时,会丢报文。
l 静态聚合时,不同速率端口也可以聚合,但静态聚合的端口Selected/Standby状态是根据速率确定的。只有速率和双工最大的端口才会是Selected的,承担流量,其它Standby的端口不转发流量。
可以使用下面的命令将以太网端口加入/退出汇聚组。
请在相应视图下进行下列配置。
|
操作 |
命令 |
|
将以太网端口加入汇聚组(以太网端口视图) |
port link-aggregation group agg-id |
|
将以太网端口退出汇聚组(以太网端口视图) |
undo port link-aggregation group |
|
将一组端口设置为汇聚端口(系统视图) |
link-aggregation interface-name1 to interface-name2 [ both ] |
需要注意的是:
l 镜像目的端口、配置了静态MAC地址的端口、使能802.1x的端口、POS端口、VPN端口等不能加入汇聚组。
l 当聚合组中只包含一个端口时,不能将该端口从聚合组中删除,而只能通过删除聚合组的方式将该端口从聚合组中删除。
l 当对主端口使能VLAN VPN时,系统允许聚合,因为从端口的链路类型始终会同步与主端口一致;当主端口和从端口都没有使能VLAN VPN时,系统允许聚合,此时为普通聚合;当使能了VLAN VPN的端口要加入聚合组时,系统不允许聚合,同时系统会提示用户,聚合组从端口成员有VLAN VPN特性,和主端口冲突。
l 需要注意的是:端口加入到聚合组,原有端口下的静态ARP配置信息会丢失。
可以使用下面的命令配置/删除汇聚组(手工聚合,静态链路聚合)的描述符。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置汇聚组描述符 |
link-aggregation group agg-id description alname |
|
删除汇聚组描述符 |
undo link-aggregation group agg-id description |
缺省情况下,汇聚组没有描述符。
需要注意的是,不能配置动态聚合组的描述符。
LACP在确定动态聚合组成员的Active和Inactive状态时,根据设备ID优的一端的端口ID的优先级的来确定。设备ID由两字节的系统优先级和6字节的系统MAC构成,即设备ID=系统优先级+系统MAC,比较设备ID时,先比较系统优先级,如果相同则再比较系统MAC,值小的一方将被认为优。
改变系统优先级可能改变聚合双方之间的优先级关系,从而有可能会影响到动态聚合组成员的Active和Inactive状态。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
配置系统优先级 |
lacp system-priority system-priority-value |
|
恢复系统优先级为缺省值 |
undo lacp system-priority |
缺省情况下,系统优先级为32768。
LACP在确定动态聚合组成员的Active和Inactive状态时,先比较设备ID,再根据设备ID优的一端的端口ID的优劣来确定。当聚合组内成员数超过了设备支持的每组Active的端口数时,需要根据端口ID来确定聚合组成员的Active和Inactive状态。端口ID优的端口将被选择为Active状态,端口ID劣的端口被选择为Inactive状态。端口ID由2字节的端口优先级和2字节的端口号构成,即端口ID=端口优先级+端口号,比较端口ID时,先比较端口优先级,如果端口优先级相同则再比较端口号,值小的一方将被认为优。
请在以太网端口视图下进行下列配置。
|
操作 |
命令 |
|
配置端口优先级 |
lacp port-priority port-priority-value |
|
恢复端口优先级为缺省值 |
undo lacp port-priority |
缺省情况下,端口优先级为32768。
在完成上述配置后,在任意视图下执行display命令可以显示配置后以太网端口汇聚情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令清除LACP端口的统计信息;执行debugging命令对LACP进行调试。
|
操作 |
命令 |
|
显示所有汇聚组的摘要信息 |
display link-aggregation summary |
|
显示指定汇聚组的详细信息 |
display link-aggregation verbose [ agg-id ] |
|
显示本端设备ID |
display lacp system-id |
|
显示端口的端口汇聚详细信息 |
display link-aggregation interface interface-type interface-number [ to interface-type interface-number ] |
|
清除端口的LACP统计信息 |
reset lacp statistics [ interface interface-type interface-number [ to interface-type interface-number ] ] |
|
关闭/打开LACP状态机的调试开关 |
[ undo ] debugging lacp state [ interface interface-type interface-number [ to interface-type interface-number ] ] { { actor-churn | mux | partner-churn | ptx | rx }* | all } |
|
关闭/打开LACP报文的调试开关 |
[ undo ] debugging lacp packet [ interface interface-type interface-number [ to interface-type interface-number ] ] |
|
关闭/打开端口汇聚运行错误的调试开关 |
[ undo ] debugging link-aggregation error |
|
关闭/打开端口汇聚事件的调试开关 |
[ undo ] debugging link-aggregation event |
交换机Switch A用3个端口聚合接入交换机Switch B,Switch A的接入端口为Ethernet2/1/1~Ethernet2/1/3。从而实现出/入负荷在各成员端口中的进行分担。
以下只列出了Switch A的配置,Switch B上应作相应的配置,汇聚才能实际有效:
(1) 采用手工聚合方式
# 创建汇聚组1。
[H3C] link-aggregation group 1 mode manual
# 将以太网端口Ethernet2/1/1至Ethernet2/1/3加入聚合组1。
[H3C] interface ethernet2/1/1
[H3C-Ethernet2/1/1] port link-aggregation group 1
[H3C-Ethernet2/1/1] interface ethernet2/1/2
[H3C-Ethernet2/1/2] port link-aggregation group 1
[H3C-Ethernet2/1/2] interface ethernet2/1/3
[H3C-Ethernet2/1/3] port link-aggregation group 1
# 当聚合组端口序号连续时,可以直接把多个端口聚成一组,组号由系统自行分配。
[H3C] link-aggregation ethernet2/1/1 to ethernet2/1/3 both
(2) 采用静态LACP聚合方式
# 创建静态汇聚组1。
[H3C] link-aggregation group 1 mode static
# 将以太网端口Ethernet2/1/1至Ethernet2/1/3加入聚合组1。
[H3C] interface ethernet2/1/1
[H3C-Ethernet2/1/1] port link-aggregation group 1
[H3C-Ethernet2/1/1] interface ethernet2/1/2
[H3C-Ethernet2/1/2] port link-aggregation group 1
[H3C-Ethernet2/1/2] interface ethernet2/1/3
[H3C-Ethernet2/1/3] port link-aggregation group 1
(3) 采用动态LACP聚合方式
# 开启以太网端口Ethernet2/1/1至Ethernet2/1/3的LACP协议。
[H3C] interface ethernet2/1/1
[H3C-Ethernet2/1/1] lacp enable
[H3C-Ethernet2/1/1] interface ethernet2/1/2
[H3C-Ethernet2/1/2] lacp enable
[H3C-Ethernet2/1/2] interface ethernet2/1/3
[H3C-Ethernet2/1/3] lacp enable
只有端口的基本配置、速率、双工等参数一致时,上述端口在开启LACP协议之后才能聚合到同一个动态聚合组内,实现端口的负载分担。
POS(Packet Over SONET/SDH)是一种应用在城域网及广域网中的技术,能够用于传输分组数据。S9500系列交换机支持使用SDH(Synchronous Digital Hierarchy)和SONET(Synchronous Optical Network)作为物理层协议,将长度可变的数据包直接映射进SDH/SONET同步载荷中,提供了一种高速、可靠、点到点的数据连接。
S9500系列路由交换机提供的POS端口传输速率支持STM-1/OC-3(155.52Mbit/s)、STM-16(2.5Gbit/s)和STM-64(10Gbit/s)。在数据链路层使用PPP协议,在网络层使用IP协议。
l 进入POS端口视图
l 将POS端口加入/退出VLAN
l 打开/关闭POS端口
l 对POS端口进行描述
l 设置POS端口的帧格式
l 设置POS端口的加扰功能
l 设置POS端口的告警门限值
l 设置POS端口的时钟模式
l 设置POS端口的状态轮询定时器的轮询时间间隔
l 设置POS端口的CRC校验字长度
l 设置POS端口的环回方式
l 设置PPP协商超时时间
l 设置POS端口的最大传输单元
要对POS端口进行配置,首先要进入POS端口视图。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
进入POS端口视图 |
interface pos interface-number |
本配置任务把当前POS端口加入到指定的VLAN中,从而使当前的POS端口可以转发指定VLAN的报文。如果该VLAN中已包含其他端口,则不能再将POS端口加入该VLAN,反之亦然。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
将POS端口加入VLAN |
pos access vlan vlan-id |
|
将POS端口退出VLAN |
undo pos access vlan |
需要注意的是:
l POS端口加入的VLAN必须已经存在,且已配置了对应的VLAN接口及IP地址,另外不能是VLAN 1。
l 如果该VLAN中已包含有端口,则不能再将POS端口加入该VLAN,反之亦然。
当端口的相关参数及协议配置好之后,可以使用undo shutdown命令打开端口;如果想使某端口不再转发数据,可以使用shutdown命令关闭端口。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
关闭POS端口 |
shutdown |
|
打开POS端口 |
undo shutdown |
缺省情况下,端口为打开状态。
可以使用以下命令设置POS端口的描述字符串。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
设置POS端口描述字符串 |
description text |
|
删除POS端口描述字符串 |
undo description |
缺省情况下,端口的描述字符串为空。
POS端口支持两种帧格式:SDH格式和SONET格式。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
设置POS端口的帧格式为SDH/SONET |
frame-format { sdh | sonet } |
|
恢复POS端口帧格式的缺省格式 |
undo frame-format |
缺省情况下,POS端口的帧格式为SDH。
POS端口支持对载荷数据的加扰,以避免出现过多连续的1或0,便于接收端提取线路时钟信号。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
使能POS端口的加扰功能 |
scramble |
|
禁止POS端口的加扰功能 |
undo scramble |
缺省情况下,POS端口的加扰功能处于使能状态。
可以使用下面的命令设置告警SD(信号劣化)和SF(信号失败)的门限值。SD和SF告警都是用于指示当前线路性能的,相比较而言,SF比SD告警更为严重,它们产生的原因相同,都是接收端检测到了B2错误,区别在于产生告警的误码率门限不同,SF的误码率门限一般会比SD的误码率门限高,也就是说,当出现少量误码时,线路产生SD告警,当误码率增大到一定程度时,说明线路质量严重下降,此时即产生SF告警。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
设置POS端口的SD和SF的门限值 |
threshold { sd | sf } value |
|
恢复SD和SF的门限值为缺省值 |
undo threshold { sd | sf } |
门限值以10e-X的形式表示,X为3~9的整数。缺省情况下,SD门限值为6,SF门限值为3。
需要注意的是,SD的门限值应比SF的门限值小。
POS端口支持两种时钟模式:
l 主时钟模式:使用内部时钟信号
l 从时钟模式:使用线路提供的时钟信号
当两台交换机的POS端口直接相连时,应配置一端使用主时钟模式,另一端使用从时钟模式,否则将可能会在很长的一段时间后,两台设备的时钟不同步,导致报文丢失。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
设置POS端口的时钟模式为主时钟 |
clock master |
|
设置POS端口的时钟模式为从时钟 |
clock slave |
|
恢复POS端口的时钟模式为缺省从时钟模式 |
undo clock |
缺省情况下,POS端口的时钟模式为从时钟模式。
可以使用下面的命令配置POS端口的状态轮询定时器的轮询时间间隔,在POS端口运行的协议(如PPP)按照这个时间间隔给对端发送Echo报文,如果在规定的时间内没有收到对端返回的响应报文,则认为对端工作异常。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
设置POS端口的状态轮询定时器的轮询时间间隔 |
timer hold seconds |
|
恢复POS端口的状态轮询定时器为缺省值 |
undo timer hold |
缺省情况下,轮询时间间隔为10秒。如果将轮询间隔设置为0,则不进行链路有效性检测。
POS端口支持两种CRC校验字长度:16比特和32比特。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
设置POS端口CRC校验字长度为16比特 |
crc 16 |
|
设置POS端口CRC校验字长度为32比特 |
crc 32 |
|
恢复POS端口的CRC校验字长度为缺省值 |
undo crc |
& 说明:
10GE的POS端口不支持CRC校验字长度为16比特。
环回主要用于一些特殊功能的测试,正常工作时不进行环回的设置。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
允许POS端口对内自环 |
loopback internal |
|
允许POS端口对外回波 |
loopback external |
|
禁止POS端口对内自环和对外回波 |
undo loopback |
缺省情况下,禁止对内或对外环回。
注意:
l POS端口不能同时进行对内自环和对外回波。
l 切换内环、外环的时候必须先删除以前的环回设置,才能设置新的环回。
SDH提供丰富的开销字节,用以提供不同层次的监控功能。
信号标记字节C2属于高阶通道开销(Higher-Order Path Overhead)字节,用于指示虚拟容器VC(Virtual Container)帧的复接结构和信息净负荷的性质。
再生段踪迹字节J0属于段开销字节(Section Overhead),用于检测两个端口之间的连接在段层次上的连续性。
通道踪迹字节J1也属于高阶通道开销字节,用于检测两个端口之间的连接在通道层次上的连续性。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
设置POS端口的开销字节 |
flag c2 flag-value flag { j0 | j1 } { sdh | sonet } flag-value |
|
undo flag c2 undo flag { j0 | j1 } { sdh | sonet } |
缺省情况下,C2为0x16(十六进制)、J0、J1为default。
需要注意的是,收发端的C2、J0、J1配置要一致,否则会产生告警;同时POS端口两端的J0,J1开销字段的帧格式也必须一致,否则不能正确读取对端的字段值。
在PPP协商过程中,如果在设定的时间内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。可以使用下面的命令设置协商超时时间。
|
操作 |
命令 |
|
设置协商超时时间 |
ppp timer negotiate seconds |
|
恢复PPP协商超时时间为缺省值 |
undo ppp timer negotiate |
缺省情况下,协商超时时间为3秒。
请在POS端口视图下进行下列配置。
|
操作 |
命令 |
|
设置POS的最大传输单元 |
mtu mtu-value |
缺省情况下,最大传输单元为1500字节。
需要注意的是:当两端的POS端口的最大传输单元值设置不同时,用户必须先用shutdown命令使端口处于Down状态,然后再用undo shutdown命令使端口重新处于Up状态,此时两端端口协商的结果以小的值作为最大传输单元。
在完成上述配置后,在任意视图下执行display命令可以显示配置后POS的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除POS端口的统计信息。
|
操作 |
命令 |
|
显示POS端口的所有信息 |
display interface pos [ interface-number ] |
|
清除POS端口的统计信息 |
reset counters interface pos [ interface-number ] |
|
打开/关闭POS调试开关 |
[ undo ] debugging ppp { { ipcp | lcp } { all | error | event | packet | state } | all | core event | ip packet | mpls-multicast packet | mpls-unicast packet | osi-npdu } [ interface { aux | pos } interface-number ] |
使用一对(接收、发送)单模光纤直接连接Switch A和Switch B的POS端口,通过PPP协议进行互连。Switch A的时钟由Switch B提供,允许线路扰码。
(1) 配置Switch A:
# 配置POS端口2/1/1。
[SwitchA] vlan 2
[SwitchA-vlan2] interface vlan 2
[SwitchA-Vlan-interface2] ip address 202.38.163.10 255.255.255.0
[SwitchA-Vlan-interface2] quit
[SwitchA] interface pos 2/1/1
[SwitchA-Pos2/1/1] pos access vlan 2
(2) 配置Switch B:
# 配置POS端口3/1/1。
[SwitchB] vlan 2
[SwitchB-vlan2] interface vlan 2
[SwitchB-Vlan-interface2] ip address 202.38.163.11 255.255.255.0
[SwitchB-Vlan-interface2] quit
[SwitchB] interface pos 3/1/1
[SwitchB-Pos3/1/1] pos access vlan 2
[SwitchB-Pos3/1/1] clock master
故障之一:POS端口物理状态为Down。
故障排除:
l 请检查插接在POS端口的光纤是否接错。应该有两根光纤,分别负责接收和发送,并且不能接反。另外,如果将一根光纤的接收端和发送端接在了同一个POS端口上,即使没有启用环回,使用display interface pos命令也会看到“loopback detected”的信息。
l 请检查光模块的类型,是否适用对应的POS端口。
故障之二:物理层Up,链路不上报Up。
故障排除:
l POS端口时钟、扰码等物理参数配置与对端不匹配。
l 链路层协议配置与对端不匹配。
l 本端或对端的IP地址没有配置。
l 检查端口的CRC设置匹配。
l 检查端口是否设置了环回。
l 检查端口所在的VLAN是否是人为的Shutdown。
故障之三:IP丢包严重。
故障排除:
l POS端口时钟配置不正确(产生大量的CRC错误)。
RPR(Resilient Packet Ring)是为了在城域网中传输大容量数据业务而设计的一种新的MAC层的协议,它的多种技术优势确保它全面满足下一代MAN的要求,如环路带宽利用率高、具有故障自愈功能,节点即插即用。RPR采用双向双纤的环形拓扑结构。
RPR有三个端口视图,一个逻辑端口和两个实际的物理端口。以太网相关端口配置大部分命令可以继承到RPR逻辑端口下。物理端口视图下可以进行物理层相关的一些配置,比如SDH的开销等。RPR的物理端口有两种类型:POS和10GE,下面描述RPR端口视图,包括RPR POS 和RPR 10GE两类视图,举例均以RPR POS描述。物理端口是以逻辑端口的子接口形式存在,比如逻辑端口RPR POS3/1/1,物理端口就是RPR POS3/1/1.1,RPR POS3/1/1.2。
& 说明:
l RPR逻辑端口的很多配置命令都是与以太网端口相同。广播抑制命令、RPR端口描述命令、设置RPR端口链路类型、Access类型端口加入到指定VLAN、Hybrid类型端口加入到指定VLAN、Trunk类型端口加入到指定VLAN、设置Hybrid类型RPR端口缺省VLAN ID、设置Trunk类型RPR端口缺省VLAN ID、流量控制命令、优先级配置命令、loopback这些以太网端口的命令都可以继承到RPR端口下,请参见第2章 以太网端口配置部分。
l RPR逻辑端口支持STP、QoS/ACL功能。
RPR几乎无需配置就可以承载业务,真正做到即插即用。一般来说,无需配置,但为某些特殊目的,比如调试,也可以参考有关命令进行适当调整配置。
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RPR逻辑端口视图 |
Interface rpr interface-number |
必选,进入物理端口视图方式为在逻辑端口名后加上“.1”和 “.2” |
|
配置站点名称 |
rpr station-name string |
可选 |
|
配置接口的手动保护倒换 |
rpr admin-request { fs | ms | idle } { ringlet0 | ringlet1 } |
可选,需要注意的是:面板上的1端口的接收子环是Ringlet0,发送子环是Ringlet1,面板上的2端口的接收子环是Ringlet1,发送子环是Ringlet0。这里的Ringlet0,Ringlet1都是指接收子环 |
|
测试结点的连接性 |
rpr echo { mac mac-address | station-name namestring } [-c value] [-s value] [-r value ] [-t value ] |
可选 |
|
配置RPR缺省环ID |
rpr default-rs { ringlet0 | ringlet1 } |
可选,缺省选环都是指发送子环 |
|
配置优先级映射关系 |
rpr cos-precedence-map { tag | mpls | ip } value value0 value1 value2 value3 value4 value5 value6 value7 |
可选,缺省情况下报文带Tag,就按照Tag来映射;报文不带Tag,是MPLS报文,就按照MPLS优先级映射;不是MPLS报文,而是IP报文,就按照IP优先级映射;如果都不是,缺省映射成C类 |
|
配置节点的保护模式 |
rpr protect-mode { steer | wrap } |
可选,缺省情况下为Steer方式 |
|
配置业务预留带宽 |
rpr rate-limit { high | low | medium | reserved } { ringlet0 | ringlet1 } vlaue |
可选 |
|
设置保护恢复模式 |
rpr reversion-mode { revertive | non-revertive} |
可选,RPR缺省的保护恢复模式为可恢复 |
|
设置静态选环信息 |
rpr static-rs { mac-address } { ringlet0 | ringlet1 } |
可选,缺省情况下,不配置静态选环信息;环上配置两个节点的桥MAC地址不能相同;Ringlet0、Ringlet1这里都是指发送子环 |
|
配置节点权重 |
rpr weight { ringlet0 | ringlet1 } value |
可选,缺省Weight为0 |
|
设置ATD帧周期性发送的定时器值 |
rpr timer { atd value | fdd value | holdoff value | stability value | tp-fast value | tp-slow value | tc-fast value | tc-slow value | wtr value } |
可选,缺省值为1s |
|
设置物理端口类型 |
port-type { 10gpos | 10ge } |
可选,设置改变以后,单板会自动重起,然后切换到新的RPR端口类型。注意,以下命令在RPR POS物理端口视图下操作 |
|
配置时钟源 |
clock-source [ line | internal ] |
可选,缺省情况下为internal |
|
配置SONET/SDH的开销字节 |
flag { c2 c2-value | j0 j0-value | j1 j1-value |
可选,其中c2在扰码模式下,缺省值为0x16,在不扰码模式下,缺省值为0xCF。j0和j1的缺省值为“NetEngine”。收发端的c2、j0、j1值应分别一致,否则会产生告警 |
|
底层为FRAMER的情况下,配置成帧方式 |
frame-format {sdh | sonet } |
可选,默认配置为SDH |
|
配置SD,SF的门限值 |
sdh threshold {sd-ber vlaue | sf-ber vlaue } |
可选,sd-ber 缺省值为6,sf-ber缺省值为3 |
|
退出RPR POS物理端口视图,进入用户视图 |
return |
- |
|
打开RPR调试开关 |
[ undo ] debugging rpr { all | topology | protection | controlframe | ringselection | tp-frame } |
可选,缺省情况下,RPR调试开关是关闭的 |
|
显示接口配置的信息 |
display interface [ interface-type | interface-type interface-number [ packets ] ] |
可选,display命令可以在任意视图下执行 |
|
清除端口的统计信息 |
reset counters interface [ interface-type ] interface-number |
可选,在用户视图下执行 |
|
显示RPR所有缺陷信息 |
display rpr defect [ rprpos [ interface-number ] ] |
可选,值为1表示该缺陷存在,值为0表示该缺陷不存在 |
|
显示RPR可配置公平性参数的值 |
display rpr fairness [ rprpos [ interface-number ] |
可选 |
|
查看保护机制状态信息 |
display rpr protection [ rprpos [ interface-number ] ] |
可选,如果不指定接口,则显示所有RPR接口的保护状态信息 |
|
显示综合选环表的信息 |
display rpr rs-table [overall | static | dynamic | vrrp] [ rprpos [ interface-number ] ] |
可选,如果所有参数都不带,默认显示所有RPR环综合选环表 |
|
显示RPR所有可配置定时器的值 |
display rpr timers [ rprpos [ interface-number ] |
可选 |
|
查看拓扑相关信息 |
display rpr topology { all | ring | local | stations } [ verbose ] |
可选,如果不指定接口,默认显示所有RPR接口的拓扑相关信息 |
|
查询环上其他节点发送到本节点或者本节点到其他节点的报文统计的流量信息 |
display rpr statistics { dmac | smac } [mac address] [ rpr [ interface-number ] ] |
可选 |
需要注意的是:环上节点的桥MAC地址不能相同。
使用一对光纤在Node A、Node B、Node C、Node D的RPR端口上互连,物理0端口跟物理1端口相连。
以下用Node A的配置为例,其他节点的配置类似。
# 把RPR端口2/1/1加入到VLAN 2中。
[Node A] vlan 2
[Node A-vlan2] interface vlan-interface 2
[Node A-Vlan-interface2] ip address 202.38.163.10 255.255.255.0
[Node A-Vlan-interface2] quit
[Node A] vlan 2
[Node A-Vlan2] port rpr 2/1/1
& 说明:
RPR几乎无需配置就可以承载业务,真正做到即插即用。
通过display命令对RPR端口配置进行显示,display命令可以在任意视图下执行。
|
配置 |
命令 |
说明 |
|
打开RPR调试开关 |
[ undo ] debugging rpr { all | topology | protection | controlframe | mac | ringselection | tp-frame } |
可选,缺省情况下,RPR调试开关是关闭的 |
|
显示接口配置的信息 |
display interface [ interface-type | interface-type interface-number] |
可选,display命令可以在任意视图下执行 |
|
显示RPR所有缺陷信息 |
display rpr defect [ rprpos [ interface-number ] ] |
可选,值为1表示该缺陷存在,值为0表示该缺陷不存在 |
|
显示RPR可配置公平性参数的值 |
display rpr fairness |
可选 |
|
查看保护机制状态信息 |
display rpr protection [ rprpos [ interface-number ] ] |
可选,如果不指定接口,则显示所有RPR接口的保护状态信息 |
|
显示综合选环表的信息 |
display rpr rs-table [overall | static | dynamic | vrrp] [ rprpos [ interface-number ] ] |
可选,如果所有参数都不带,默认显示所有RPR环综合选环表 |
|
显示RPR所有可配置定时器的值 |
display rpr timers [ rprpos [ interface-number ] |
可选 |
|
查看拓扑相关信息 |
display rpr topology { all | ring | local | stations } [ verbose ] [ rprpos [ interface-number ] |
可选,如果不指定接口,默认显示所有RPR接口的拓扑相关信息 |
|
查询环上其他节点发送到本节点或者到别的节点的报文统计的流量信息 |
display rpr statistics { dmac | smac } [mac address] [ rpr [ interface-number ] ] |
可选 |
一直以来,业界对于安全需求只局限于单项产品解决单一需求的方式,例如购买防火墙出发点是阻断一切可疑数据从而切断攻击,而购买密码机来实现传输数据的加密,购买IDS(Invasion Detect System,入侵检测系统)实现入侵的检测。
随着应用的不断增加,叠加购买的方式不但成本高昂,并且带来很多的管理问题。同时,部分安全隐患仍然存在。很多情况下安全产品与安全产品之间、安全产品与网络中的其他部件之间需要通力协作,保证相关的攻击在源头就被发现和阻断,从而更加有效的保护整个网络的安全。这种通力合作就叫做联动。交换机支持IDS联动,即交换机和IDS通力合作,有效的保证整个网络的安全。
从网络安全角度,联动需要包含下述内容:
l 内容过滤:如针对病毒,恶意的ActiveX程序等的过滤;
l 入侵检测:根据各种协议特征检测网络中的可疑行为,通知防火墙、交换机(路由器)进行处理。
l 提供至少一个镜像端口,端口速率为百兆或千兆;
l 支持SNMP V3,并支持对代理地址的设置;
l 支持访问控制列表功能,支持对IP地址、TCP/UDP端口等包头字段的访问控制,支持对每条访问控制列表项的作用时间和作用类型的设置。
支持SNMP V3,通过SET操作发送访问控制消息给交换机。
& 说明:
为了使联动正常工作,必须在交换机、IDS上都配置SNMP。SNMP部分配置请参见“系统管理操作”部分中的SNMP配置章节。
IDS联动配置包括:
l 端口镜像配置
l 端口IDS使能配置
端口镜像就是将被监控端口上的数据复制到指定的监控端口,对数据进行分析和监视。以太网交换机支持多对一的镜像,即将多个端口的报文复制到一个监控端口上。
用户可以指定受监控的报文的方向,如只监控指定端口发送的报文。
S9500系列交换机采用端口镜像组的方式来配置端口镜像功能。每个端口镜像组包含一个监控端口,和一组被监控端口。
配置好镜像关系后必须在相应的端口激活IDS联动功能,这样才能使IDS联动生效。
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置端口镜像 |
mirroring-group groupId { inbound | outbound } mirroring-port-list &<1-8> mirrored-to mornitor-port |
必选 |
|
进入以太网端口视图 |
interface interface-type interface-number |
以太网端口视图提示符和输入的端口有关 |
|
激活端口IDS联动功能 |
ids-acl enable |
必选 |
|
显示端口镜像状况 |
display mirroring-group { integer<1-20> | <cr> } |
可选,display命令可以在任意视图执行 |
|
显示IDS联动功能信息状况 |
display ids { all | controlled-interface | name name | source ip-addr | destination ip-addr } |
& 说明:
l 如果该以太网端口的IDS联动功能处于已使能的状态,再次使能IDS联动功能时系统会给出警告,但是不会影响联动功能的使能状态。
l 端口镜像组中配置的镜像端口为与IDS监控端口相连的端口。
l 使能IDS联动的端口为端口镜像组中的被监控端口。
l 识别IDS生成的Packet filter规则,不保存IDS生成的节点。IDS生成的Packet Filter不会Buildrun,在端口视图下执行display this是看不见。
l 要求对IP地址为192.168.1.20的主机进行监听,接入该主机的交换机端口为Ethernet3/1/1;
l 在被IDS管制前,主机(192.168.1.20)可以Ping通主机(IP地址为192.168.1.205,接入该主机的交换机端口为Ethernet3/1/3);
l 在被IDS管制后,主机(192.168.1.20)不可Ping通主机(192.168.1.205);
l IDS的IP地址为192.168.1.247,其管理端口连接到交换机端口Ethernet3/1/47,监听端口连接到交换机端口Ethernet3/1/48;
l 交换机的IP地址为192.168.1.1,这是与IDS进行通信的管理接口地址。
& 说明:
管制是指IDS监听来自被监控端口中的流量数据,发现可疑的流量数据后,把相应的流量数据的协议头相关信息(IP/TCP/UDP/ICMP)及动作信息发送给交换机(路由器)或者防火墙,由交换机(路由器)或防火墙对指定的流量或端口进行阻断。
& 说明:
以下的配置,只列出了交换机(路由器)配置相关的命令。
<H3C> system-view
[H3C] mirroring-group 1 inbound Ethernet 3/1/1 mirrored-to Ethernet 3/1/48
[H3C]vlan 192
[H3C-vlan192]port Ethernet3/1/1 Ethernet3/1/3 Ethernet3/1/5 Ethernet3/1/47
[H3C-vlan192]interface vlan-interface 192
[H3C-Vlan-interface192]ip add 192.168.1.1 255.255.255.0
[H3C] interface Ethernet 3/1/1
[H3C-Ethernet3/1/1] ids-acl enable
[H3C-Ethernet3/1/1] display ids all
通过display命令对IDS联动配置信息进行显示,display命令可以在任意视图下执行。
|
配置 |
命令 |
说明 |
|
打开IDS联动调试开关 |
debugging ids-acl |
缺省情况下,IDS联动调试开关是关闭的 |
|
显示IDS联动配置的信息 |
display ids { all | controlled-interface | name name | source ip-addr | destination ip-addr } |
display命令可以在任意视图下执行 |
通过端口隔离特性,可以将不同用户的端口划分到同一个VLAN,不同用户之间不能互通,从而增强了网络的安全性,提供了灵活的组网方案,同时节省了大量的VLAN资源。
|
配置任务 |
说明 |
详细配置 |
|
必选 |
详见7.2.1 |
|
|
必选 |
详见7.2.2 |
|
|
配置隔离组的隔离端口 |
必选 |
详见7.2.3 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置隔离组 |
port-isolate group isolate-group-id |
必选 隔离组内的端口只能与上行端口进行通信,隔离组的上行端口所在的VLAN必须包括所有该隔离组内端口 |
|
查询隔离信息 |
display port-isolate group [ isolate-group-id ] [ verbose ] |
可在任意视图下执行 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图或者RPR端口视图 |
interface interface-type interface-number |
必选 |
|
配置隔离组的上行端口 |
port-isolate uplink-port group isolate-group-id |
必选 l 只有在创建隔离组后才能配置该隔离组的上行端口 l 上行端口只能是以太网口或RPR逻辑端口 l 一个隔离组的上行端口只能有一个,可以是聚合组,但不能是静态聚合组或动态聚合组 |
|
查询隔离信息 |
display port-isolate group [ isolate-group-id ] [ verbose ] |
可在任意视图下执行 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图或者RPR端口视图 |
interface interface-type interface-number |
必选 |
|
配置隔离组的隔离端口 |
port-isolate group isolate-group-id |
必选 l 只有在创建隔离组后才能配置该隔离组的隔离端口;隔离端口只能是以太网口或RPR逻辑端口 l 一个端口只能加入一个隔离组 l 一个端口可以既是隔离端口也可以是上行端口,但不能是同一个隔离组的隔离端口和上行端口 l 如果隔离端口是聚合组的成员,聚合组的其他端口也将加入隔离组 |
|
查询隔离信息 |
display port-isolate group [ isolate-group-id ] [ verbose ] |
可在任意视图下执行 |
小区用户连接到交换机,交换机通过端口Ethernt2/1/1与外部网络互通。小区用户属于同一个VLAN 1,且相互之间不能互通。
# 创建隔离组。
<H3C>system-view
[H3C] port-isolate group 1
# 把端口Ethernet2/1/2配置成隔离组1的隔离端口。
[H3C] interface Ethernet2/1/2
[H3C-Ethernet2/1/2] port-isolate group 1
# 把端口Ethernet2/1/1配置成隔离组1的上行端口。
[H3C] interface Ethernet2/1/1
[H3C-Ethernet2/1/1] port-isolate uplink-port group 1
一块单板提供两组寄存器用于监测单板的出接口报文统计,监控的对象有端口、VLAN、端口+VLAN、单板。除了这四种监控对象外,单板还可以监控一个TC(Traffic Class,流分类)或者一个DP(Drop Precedence,丢弃优先级)。在监控单板时还可以监控全部TC和全部DP。出接口报文的统计项有单播报文数、多播报文数、广播报文数、桥过滤报文数和拥塞丢弃报文数。报文统计只统计报文数,不统计字节数。
& 说明:
一块单板只提供两组寄存器Counter0和Counter1,每组都是独立的。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置出接口报文统计寄存器的监控对象 |
set egress { counter0 | counter1 } slot slot-num [ interface interface-type interface-number ] [ vlan vlan-id ] [ tc traffic-class ] [ dp drop-precedence ] |
必选 单板默认出接口报文统计寄存器监控对象为所有端口,所有VLAN,所有TC,所有DP 缺省情况下,单板不进行出端口报文统计 |
|
查询寄存器信息 |
display egress { counter0 | counter1 } slot slot-num [ clear ] |
display命令可在任意视图下执行 |
要注意的是:
l 在GV48D、GT24D、GP24D、XP4B、XP4CA单板上配置出接口报文统计寄存器的监控对象时,监控对象不能为端口。
l 对于POS端口,如果没有绑定VLAN,则该命令不支持对POS端口统计。
l 配置成功后,需要将该组寄存器计数清零,重新开始计数。
l 当监控的对象为端口时,可以通过命令display current-configuration | include egress 命令来查看端口下的配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
