- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-用户FAQ
本章节下载: 04-用户FAQ (651.04 KB)
SR8800-X和SR8800-X-S在数据转发上有什么差别?
通过reset counters interface命令清除端口计数后,为什么用MIB获取端口错包计数没有变化?
为什么所有业务板没有正常运行前不能执行save命令保存配置文件?
为什么使用TFTP获取设备上的文件时传输到32M左右时失败?
SR8800-X-S主控板上的MCC 10GE端口在独立运行模式中能否使用?
为何IRF使能MAD检测,IRF分裂之后重启处于Active状态的IRF,但IRF重新合并之后重新加入的成员设备上的业务端口都是down的?
用户在IRF分裂状态下在设备上新增配置并保存,为何重新形成IRF之后这些新增配置会丢失?
为何设备登录采用Radius认证,服务器采用ACS,Console方式无法登录?
为何设备的Radius和ACS对接时,用户是否只能控制到一级权限?
用户通过认证后,RADIUS服务器回复的报文中是否有login-service一项?
用远程认证方式,telnet到设备时,VTY用户界面下和RADIUS或HWTACACS服务器上用户名都设置了权限,以哪个为准?
使用命令display interface显示的以太网端口INPUT和OUTPUT中各错包字段的含义?
端口下配置了不学习MAC功能(mac-address max-mac-count 0)后,为什么查看端口的MAC表项时还存在MAC表项信息?
如果一条链路的两条光纤都是断开的,然后连接上其中一根光纤,DLDP是否起作用?
本设备与其他设备端口对接,为什么对端DOWN、本端没有DOWN?
PIM-SM域间的MSDP对等体切换时发现RPF检查失败的可能原因?
组播VPN是否支持跨AS(Autonomous System,自治系统)转发?
QoS策略、流镜像、端口镜像在各类逻辑接口上的支持情况有何差异?
QoS中对于同一个类同时配置了重定向与流量监管,哪个动作先处理?
当接口应用了队列调度策略或者CBQ队列调度方式并且需要对该接口进行限速时需要注意什么?
在User Profile视图中同时配置QoS策略方式的流量监管和基于上线用户的流量监管,实际效果是怎样的?
oam loopback命令中 interval参数的配置需要注意什么?
ATM网络中是否需要根据对端PVC输出ATM信元的峰值速率配置本端的速率?
在CGN主备切换期间,执行reset nat session/reset session table/reset nat eim等命令清除会话,一定几率会出现主备会话不一致的原因?
在等价出接口上配置nat outbound,然后执行display nat session verbose命令,生成的会话表项中出接口全部显示为接口编号小的接口的原因?
BRAS组网环境下,接口统计报文信息的时间间隔配置需要注意什么?
有时通过命令display l2tp tunnel和display l2tp session可以查看到L2TP隧道和会话信息,但用户实际上却没有拨入成功,这种情况通常是什么原因造成的?
在DHCP中继组网环境中,配置IPoE动态用户接入接口时需要注意什么?
针对DHCP IPoE接入用户,是否需要开启异常下线恢复功能?
针对一个MAC多个账号认证上线的情况,如何保证用户上线正常?
用户MQC方式和User Profile方式配置限速策略,有什么区别?
是否允许用户从未配置IP地址的接口漫游到配置IP地址的接口?
是否允许用户从配置IP地址的接口漫游到另一个配置IP地址的接口(跨网段)?
DHCPv6方式,IPv6接口漫游接口大都是配置IP地址的(全球单播地址或link-local),是否允许跨这类接口漫游?
NDRS方式,前缀为A的用户是否允许漫游到另一前缀为B的接口?
Y.1564探测结果中显示的真实探测时间较实际配置的探测时间会有误差
SR8800-X系列路由器分为SR8800-X和SR8800-X-S,各产品具体的硬件介绍可参见该产品对应安装手册的附录A。
不支持。设备上主用主控板和备用主控板的型号必须保持一致,否则备用主控板将不能正常启动。
可以。目前支持的电源包括直流电源和交流电源。
支持。只要电源模块的功率满足当前设备运行功率要求就能够保证设备正常运行。
不支持。不同型号的电源模块不能混插在同一台设备上。
支持单板热拔插,除了SR8800-X的MIC-SM子卡外,其他子卡都支持热拔插。
堆叠情况下接口采用4维编号方式:interface-type A/B/C/D
接口采用3维编号方式:interface-type B/C/D。
· A:单板所在机框的框号(只在堆叠模式下有效)
· B:单板在设备上的槽位号。
· C:单板上的子卡号。如果单板上没有子卡槽位,取值固定为0。
· D:端口编号。
支持主控板热备份,主用主控板故障时能自动切换到备用主控板而不中断业务。
同时满足以下条件时支持主控板热备份:
· 主备主控板运行的软件版本必须一致。
· 当使用OSPF/ISIS/BGP/LDP等协议时,需先使能OSPF/ISIS/BGP/LDP等协议的不间断路由功能。
支持。通过fan-speed命令可以设置风扇的工作模式。缺省情况下,风扇会根据单板温度进行自动调速。
支持,冗余备份情况下,热插拔不影响设备业务运行;非冗余备份时,可以在尽量小的影响业务运行情况下,更换部件,降低平均故障修复时间。
风扇框虽然支持热插拔,但设备在完全没有风扇框情况下,无法稳定工作,会有板卡烧毁的风险。所以请务必在2分钟内完成风扇更换,否则设备将被自动控制下电以避免板卡面临的烧毁风险。
工作温度为0℃~45℃。
display environment命令用来显示设备各个单板的温度信息,包括当前温度和设定的温度告警门限。如果温度低于低温告警门限,系统会生成日志信息和告警信息提示用户;如果温度高于Warning高温门限,系统会生成日志信息和告警信息提示用户;如果温度高于Alarm高温门限,系统一方面通过反复打印日志信息和告警信息提示用户,另一方面还会通过设备面板上的指示灯来告警;如果温度高于关断级(Shutdown)高温告警门限,系统会生成日志信息和告警信息提示用户并且单板会自动关闭。
可以在设备上用以下命令查看。
[Sysname]display device manuinfo
最主要的差别在于SR8800-X是通过交换网板进行数据转发,SR8800-X-S是通过主控板进行数据转发。
SR8800-X支持多块网板,各网板之间采用了负载分担(LoadSharing)的工作方式。
· 当设备中有任一网板被拔出,设备会自动将流量在剩余网板上重新进行负载分担。
· 当设备上有新网板插入后,设备会自动将当前所有流量在现有网板间重新进行负载分担。
SR8800-X由于B类、D类、E类、T类交换网板的交换容量不同,为了保证设备处于最佳工作状态,不同类型网板不能混配。
SR8800-X网板上的Console口仅用于H3C技术支持人员对单板进行维修和检测,没有经过专业培训的用户,请不要擅自操作。
SR8800-X路由器的CSR05SRP1P1、CSR05SRP1P3-G 和CSR05SRP1R3主控板和SR8800-X-S路由器的SR07SRPUA1主控板不支持CF卡,其他类型主控板均支持CF卡。
各业务板所支持的光模块信息请参见对应产品安装手册的附录B。
· 输入保护:输入过压保护、输入欠压保护、输入过流保护。
· 输出保护:过压保护、过流保护、短路保护、过温保护。
支持。在SR8800-X上,以网板的形式进行冗余备份;在S88800-X-S上,以主控板的形式进行冗余备份。
仅MIC-TCP8L、PIC-TCP8L接口子卡支持对GE接口和POS接口进行接口类型切换。
支持。因此,升级软件后,如果需要回退主机版本,可以不回退BootWare。
可以使用命令display version查看系统当前运行的主机程序版本、BootWare版本和设备运行时间。
软件升级成功后,xx.ipe文件可以删除,xx.bin文件不能删除。主机软件版本文件中包含主控板软件和业务板软件两部分,而主控板和业务板每次启动时都要读取,所以不能删除。
设备提供回收站功能,使用delete命令删除的文件会保留在回收站中,只有使用delete /unreserved命令才能彻底删除文件。可以使用undelete来恢复没有彻底删除的文件。
使用dir命令不显示已经被删除并被放入回收站中的文件,只有使用dir /all命令才能显示回收站中的文件,这些文件的文件名被“[ ]”包含。
使用reset recycle-bin命令清除回收站中的文件,彻底释放空间。如果回收站中的文件损坏,则可以在命令后加/force参数强制删除。
支持完善的热补丁机制。
缺省情况下,启动文件为flash:/startup.cfg。
需要确认要加载的补丁文件位于Flash、CF卡或SD存储介质中。目前仅SR05SRP1P3和CSR05SRP1P1主控板支持SD存储介质。
设置的补丁加载目录和存放目录保持一致。
主用主控板和备用主控板上补丁文件存放目录保持一致,并且补丁文件都存在。
当设备出厂后第一次启动的时候,是无法显示当前启动的配置文件的。
<Sysname>display startup
MainBoard:
Current saved-configuration file: NULL
Next main startup saved-configuration file: flash:/startup.cfg
Next backup startup saved-configuration file: NULL
SlaveBoard:
Current saved-configuration file: NULL
Next main startup saved-configuration file: flash:/startup.cfg
Next backup startup saved-configuration file: NULL
如果路由器上电后配置终端无显示信息,首先请排除以下方面的问题:
· 电源系统是否正常
· 主控板是否正常
· 是否已将配置电缆接到主控板的配置口(Console)
如果以上检查未发现问题,很可能有如下原因:
配置电缆连接的串口错误(实际选择的串口与终端设置的串口不符);
· 配置终端参数设置错误
· 配置电缆本身有问题
· 如果配置终端上显示乱码,很可能是配置终端参数设置错误
正确设置为:波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无,选择终端仿真为VT100。
需要注意的是:对于SecureCRT终端软件,需要在连接设置时取消Flow-control中的DTR/DSR或者RTS/CTS,而SecureCRT的默认配置为勾选“RTS/CTS”。
通过Console口管理设备时,出现信息丢失怎么办?
通过在Console用户界面视图执行speed speed-value命令修改Console口传输速率为115200bps,然后断开超级终端,使用波特率为115200重新连接即可。
通过在用户视图下执行命令free user-interface vty number可以清除Telnet进程。
不支持本地用户名包含@字符。
命令行端口上计数与通过MIB获取的计数有所不同。通过reset counters interface命令清除端口的计数时,虽然会清除接口管理模块对应接口上的计数信息,但并不会清除底层的硬件计数信息。通过MIB获取端口计数是通过获取底层硬件的计数器进行累加的,因此不会受到影响。
设备启动时根据提示按<Ctrl+B>进入bootrom菜单,选择当前操作的设备类型为Flash、CF卡或SD卡,然后按键<Ctrl+F>进行当前存储器的格式化操作(缺省的当前存储器为Flash,如果要格式化CF卡或SD卡,可以在BootWare菜单中修改当前操作的存储空间为CF卡或SD卡)。
以下操作以SR05SRP1L3主控板格式化Flash为例。
==========================<EXTENDED-BOOTWARE MENU>==========================
|<1> Boot System |
|<2> Enter Serial SubMenu |
|<3> Enter Ethernet SubMenu |
|<4> File Control |
|<5> Restore to Factory Default Configuration |
|<6> Skip Current System Configuration |
|<7> BootWare Operation Menu |
|<8> Skip Authentication for Console Login |
|<9> Storage Device Operation |
|<0> Reboot |
============================================================================
Ctrl+Z: Access EXTEND-ASSISTANT MENU
Ctrl+F: Format File System
Enter your choice(0-9): 9
==============================<DEVICE CONTROL>==============================
|<1> Display All Available Nonvolatile Storage Device(s) |
|<2> Set The Operating Device |
|<3> Set The Default Boot Device |
|<0> Exit To Main Menu |
============================================================================
Please set the operating device:
============================================================================
|Note:the operating device is cfa0 |
|NO. Device Name File System Total Size Available Space |
|1 flash JFFS2 503808KB 9604KB |
|2 cfa0 FAT 4088468KB 3685136KB |
|0 Exit |
============================================================================
Enter your choice(0-2):1
Set the operation device successful!
==============================<DEVICE CONTROL>==============================
|<1> Display All Available Nonvolatile Storage Device(s) |
|<2> Set The Operating Device |
|<3> Set The Default Boot Device |
|<0> Exit To Main Menu |
============================================================================
==========================<EXTENDED-BOOTWARE MENU>==========================
|<1> Boot System |
|<2> Enter Serial SubMenu |
|<3> Enter Ethernet SubMenu |
|<4> File Control |
|<5> Restore to Factory Default Configuration |
|<6> Skip Current System Configuration |
|<7> BootWare Operation Menu |
|<8> Skip Authentication for Console Login |
|<9> Storage Device Operation |
|<0> Reboot |
============================================================================
Ctrl+Z: Access EXTEND-ASSISTANT MENU
Ctrl+F: Format File System
Enter your choice(0-9):
Warning:All files on flash will be lost! Are you sure to format? [Y/N]
在路由器上电后,还没有输出启动信息之前,按键<Ctrl+T>可进行五步内存测试。
五步测试结果显示如下:
DDR2 SDRAM test successful.
System is starting...
Press Ctrl+D to access BASIC-BOOTWARE MENU...
Press Ctrl+T to start memory test
Running five-step RAM test...
This operation may take several minutes. Please wait...
DDR2 SDRAM dataline testing... [ PASS ]
DDR2 SDRAM addressline testing... [ PASS ]
Five-step RAM test succeeded.
System is starting...
MAC表项和ARP表项在备用主控板上会进行备份,主备倒换不需要重新学习。
路由表需要重新学习,但是如果路由协议配置了GR或NSR,主备倒换之后转发表保持不变,转发不受影响;如果路由协议没有配置GR或NSR,转发会受到影响。
配置信息保存在Flash的配置文件中,单板启动时会读取配置文件恢复对此单板的配置信息,并在内存中保留一份当前运行的配置信息。在系统启动阶段,如果所有接口还没有正常运行,即配置文件还未完全恢复到内存中,此时执行命令save保存,就会以内存中不完整的配置信息覆盖配置文件,会造成部分配置信息丢失。
管理以太网接口只要二层连接就能够Up,且软件已经作了流量限制,不会因为报文冲击导致系统运行异常。
传输到32M左右中断和TFTP服务器的机制相关,和设备不相关,TFTP协议规定每个块标记(2字节)是从0到65535,刚好32M;当传输到32M时,有些TFTP服务器的标记块到达FFFF后没有跳转到0000,也就没有再向设备去请求传输报文,所以传输中断,请更换TFTP服务器软件。
备用主控板的管理以太网口收到的报文会直接被丢弃,只有主用主控板的管理以太网口收到的报文才会做进一步处理。
只能支持两台成员设备,且只支持链形拓扑堆叠,不支持环形拓扑堆叠。
配置IRF端口时,本设备上与IRF-Port1绑定的IRF物理端口只能和邻居成员设备IRF-Port2口上绑定的IRF物理端口相连,本设备上与IRF-Port2口绑定的IRF物理端口只能和邻居成员设备IRF-Port1口上绑定。
在将物理端口加入IRF端口或者从IRF端口中删除前,必须先将涉及到的物理端口执行shutdown命令;执行添加或者删除操作后,再将该物理端口执行undo shutdown命令;在备框上的最后一个IRF物理端口不能够执行shutdown命令。
支持。
支持。只要将对应成员设备上的IRF物理端口与IRF端口绑定,这些IRF物理端口就会自动聚合,无需使用聚合端口。
两台成员设备的成员编号不能相同,在组建IRF之前要求两台设备配置不同的成员编号后再进行组建;同一成员设备上的两块主控板成员编号要求一致,如果不一致,备用主控板会重启一下然后把成员编号改成和主用主控板一致。
在IRF模式下,主用和备用主控板上的软件版本号必须一致。
如果成员设备距离较远,可以通过中继设备(如二层设备)建立IRF。中继连接目前实现方式如下:将每条IRF物理链路划分到不同的VLAN,使不同IRF物理链路的IRF报文隔离传输,如图4-1所示。
需要注意的是:
· 中继设备不能使用Access端口;使用Trunk端口时,请确保IRF报文的VLAN ID在端口允许通过的列表中,但是不能与PVID相同;使用Hybrid端口时,请确保发送报文携带VLAN Tag。
· IRF物理链路上,中继设备的端口需要关闭STP生成树协议。
图4-1 IRF中继连接拓扑示意图
不能。SR8800-X-S主控板上的MCC 10GE端口只能作为IRF物理端口使用,不支持作为普通的业务端口,且该端口只有在IRF模式下才能使用。
所有业务板都支持在IRF模式下使用。
不能。因为成员设备之间的IRF报文是通过每台成员设备上的主控板进行交互的,而且每台成员设备中的业务板也必须通过该成员设备上的主控板才能正常工作(包括数据平面和控制平面),当从设备上所有主控板都被拔出时,从设备无法正常工作。所以从设备的主控板不能都拔掉,至少保留1块。对于SR8800-X-S,IRF物理端口所在的主控板也不能都被拔出,否则当最后一条IRF物理链路断开后会导致IRF分裂。
如果配置LACP MAD检测方式,组网中需要使用中间设备,中间设备必须满足下列条件:
· 必须为H3C的交换机设备;
· 使用的软件版本必须能够识别、处理携带了ActiveID值的LACP PDU协议报文。
· 在LACP MAD检测组网中,如果中间设备本身也是一个IRF系统,则必须通过配置确保其IRF域编号与被检测的IRF系统不同。否则可能造成LACP MAD检测异常,甚至导致业务中断。
如果IRF启用了MAD,在IRF分裂之后处于Recovery状态的IRF上所有业务端口会被Shutdown,此时重启处于Active状态的IRF上,在IRF重新合并(merge)时,处于Recovery状态的IRF会重新加入IRF,此时软件不会自动让重新加入的成员设备的端口自动up起来,避免再次有同样的原因导致IRF分裂。需要通过mad restore命令把MAD DOWN的端口重新UP起来。如果重启的是处于Recovery状态的IRF,则不会存在这个问题。
IRF分裂之后,两台成员设备都是主设备,在某一台成员设备上新增配置并保存,虽然在本设备上确实保存了新配置,但是如果这台成员设备重新形成IRF之后成了从设备,那么由于这些配置没有同步到主设备,从设备仍然按照主设备的配置执行,最终从设备上独自新增的配置丢失了。
有多种可能的原因。比如:
· IRF成员设备的业务端口链路类型为Access类型,当业务报文从IRF物理出来时,会去掉4字节的vlan tag;
· IRF物理端口的流量分担是根据报文的源MAC、目的MAC、源IP和目的IP等参数使用Hash算法计算出不同的出端口,但是如果报文的这些属性相同,计算出的出端口也相同,没有达到负载分担的效果;
· 主设备和从设备之间需要同步一些协议报文(例如IRF的hello报文等),这些协议报文也会占用端口的带宽。
|
攻击防御分类 |
攻击防御措施 |
功能描述 |
|
链路层攻击防御 |
MAC地址防攻击 |
设定端口可以学习到的最大MAC地址数目,避免被大量源MAC地址频繁变化或者VLAN频繁变化的报文攻击 |
|
STP的防攻击 |
主要的防护措施有BPDU保护、根保护、环路保护、端口角色限制、TC-BPDU传播限制、防TC-BPDU攻击 |
|
|
ARP攻击防御 |
ARP源抑制功能 |
用于防止设备被固定源发送的IP报文攻击 |
|
ARP黑洞路由功能 |
用于防止设备被不固定的源发送的IP报文攻击 |
|
|
ARP主动确认功能 |
用于防止攻击者仿冒用户欺骗设备 |
|
|
ARP双向分离 |
用于解决流量损耗类型的ARP攻击问题 |
|
|
源MAC地址固定的ARP攻击检测 |
用于防止设备被同一MAC地址源发送的攻击报文攻击 |
|
|
ARP报文源MAC一致性检查功能 |
用于防止设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击 |
|
|
ARP攻击报文接口限速 |
当设备某个接口下收到的ARP报文数超过配置的攻击抑制阈值,则认为该接口受到ARP报文的攻击,此时设备会限制该接口的ARP报文上送CPU的速率 |
|
|
ND攻击防御 |
源MAC地址固定的ND攻击检测 |
用于防止设备被同一MAC地址源发送的攻击报文攻击 |
|
ND攻击报文接口限速 |
当设备某个接口下收到的ND报文数超过配置的攻击抑制阈值,则认为该接口受到ND报文的攻击,此时设备会限制该接口的ND报文上送CPU的速率 |
|
|
IP层攻击防御 |
URPF检查 |
用于防止基于源地址欺骗的网络攻击行为 |
|
TTL报文防攻击 |
通过关闭ICMP超时报文发送功能来避免被攻击者恶意攻击 |
|
|
ICMP防攻击 |
通过设置硬件快回,对ICMP报文直接进行回复,从而避免对设备的冲击 |
|
|
IGMP防攻击 |
当设备收到某个源MAC地址对应的IGMP报文数超过配置的攻击抑制阈值时,则认为设备受到了该源MAC地址的IGMP报文的攻击,会丢弃来自该MAC地址的IGMP报文;当设备某个接口下收到的IGMP报文数超过配置的攻击抑制阈值,则认为该接口受到IGMP报文的攻击,此时设备会限制该接口的IGMP报文上送CPU的速率 |
|
|
MLD防攻击 |
当设备收到某个源MAC地址对应的MLD报文数超过配置的攻击抑制阈值时,则认为设备受到了该源MAC地址的MLD报文的攻击,会丢弃来自该MAC地址的MLD报文;当设备某个接口下收到的MLD报文数超过配置的攻击抑制阈值,则认为该接口受到MLD报文的攻击,此时设备会限制该接口的MLD报文上送CPU的速率 |
|
|
畸形报文防攻击 |
当设备收到源地址和目的地址为同一个地址,源端口与目的端口也被设置成同一个端口,则被认为受到Land报文攻击,会丢弃该报文; 当设备检测到ICMP echo request报文的目的地址是广播地址时,则认为该报文为Smurf攻击报文,会丢弃该报文; 当设备检测到没有高层数据,只有头部的IP\TCP\UDP的空报文,会丢弃该报文 |
|
|
源路由选项报文防攻击 |
如果设备收到网络攻击者发送携带伪造源路由选项的IP/IPv6报文时,会获取错误的源路由信息,将影响网络故障诊断和特定业务传输。关闭携带源路由选项报文处理功能之后,设备收到携带源路由选项的IP/IPv6报文,将丢弃该报文 |
|
|
传输层攻击防御 |
TCP SYN Flood防攻击 |
攻击者向设备发送大量请求建立TCP连接的SYN报文,而不回应设备的SYN ACK报文,导致设备上建立了大量的无效TCP半连接,从而达到耗尽系统资源,使设备无法处理正常业务的目的。开启TCP SYN Flood防攻击后,设备在一个检测周期内收到SYN报文个数达到或超过触发阈值,即认为存在攻击,进入攻击防范状态,限速(基于接口)或者丢弃(基于流)后续收到的SYN报文 |
|
UDP Flood防攻击 |
攻击者在短时间内向特定目标发送大量的UDP报文,使其忙于处理这些报文,致使目标系统负担过重而不能处理正常的业务。开启UDP Flood防攻击后,设备在一个检测周期内收到UDP报文个数达到或超过触发阈值,即认为存在攻击,进入攻击防范状态,限速(基于接口)或者丢弃(基于流)后续收到的UDP报文 |
|
|
应用层攻击防御 |
DHCP攻击报文接口限速 |
配置DHCP服务器接口的DHCP报文限速功能后,当接口上收到的DHCP报文速率超过用户设定的限速值时,丢弃超过速率限制的DHCP报文 |
|
DHCP Discovery/Flood防攻击 |
当设备收到携带异常源MAC封装的攻击报文时,对报文进行丢弃;当设备收到其他类型的FLOOD攻击报文,报文个数达到防攻击阀值时,则认为设备受到了该源MAC地址的DHCP报文的攻击,会丢弃来自该MAC地址的DHCP报文;当设备某个接口下收到的DHCP报文数超过配置的攻击抑制阈值,则认为该接口受到DHCP报文的攻击,此时设备会限制该接口的DHCP报文上送CPU的速率 |
|
|
PPPoE PADI防攻击 |
当服务器收到大量相同用户的PADI报文或者同一个PPPoE用户在一定时间内反复上线下线时,对该用户进行静默一段时间,在静默时间内,该用户的请求服务器不响应 |
|
SSH1版本 |
SSH2版本 |
|
只支持作为服务器端 |
支持作为服务器端和客户端 |
需要将ACS上面的Login-service选项去除,这样才可以允许Console口用户登录。
下面两项中的任意一项没有设置正确,就会出现问题描述的现象:
· ACS上的2011/002私有属性没有配置完整。
· ACS上没有配置Login-service属性。
设备支持在HWTACACS服务器不能连接后启用本地认证方式,但对于HWTACACS服务器正常,但认证失败(即用户名/密码错误)的情况则不会启用本地认证。在需要启用这个功能的domain下在HWTACACS scheme后配置local即可,例如在ISP域abc下,配置缺省认证方法为使用HWTACACS方案hwtacacs1进行认证,若HWTACACS服务器不能连接后启用本地认证方式:
<Sysname> system-view
[Sysname] domain name abc
[Sysname-isp-abc] authentication default hwtacacs-scheme hwtacacs1 local
只要第三方的TACACS服务器按照标准RADIUS协议实现,设备即可和该服务器对接,包括思科的ACS以及Free TACACS等开源的TACACS服务器。
这取决于服务器上是否配置了用户的服务类型。如果服务器上配置了用户的服务类型,则RADIUS服务器回复的报文中有login-service一项;否则,RADIUS服务器回复的报文中不会有该项。
· 用户线视图/用户线类视图下使用user-role命令配置从当前用户线登录系统的用户角色;
· 本地用户视图下通过authorization-attribute user-role命令用来指定本地用户的授权用户角色;
· 采用AAA远程认证方式时,在远程服务器上设置用户角色。
先以RADIUS或者HWTACACS服务器上用户名配置角色为准,再以本地配置的VTY用户界面下角色为次之。默认用户角色都是network-operator。
例如:
· 如果VTY 配置了network-admin或者level 15角色,服务器上配置的用户名没有用户角色,那么使用用户名telnet登录后用户角色为network-operator。
· 如果VTY没有配置角色,服务器上配置的用户角色为level 15,那么使用用户名telnet登录后用户角色为level 15。
实际上VTY用户界面下配置的用户角色是在VTY用户界面配置了authentication-mode none或password时才发生作用的。
如果设备收到有设备冒充自己的ARP报文,会主动发送一个免费ARP报文,来修改下挂被欺骗的ARP表项。如果攻击报文较多,可以查找出攻击报文的入端口,抓取报文,获取报文特征,再下发ACL规则进行过滤。
端口计数最大64bit,超过64bit范围便重新计数。
(1) INPUT
|
字 段 |
含 义 |
|
input errors |
端口接收的错误报文的统计值 |
|
runts |
接收超长帧的数量,即端口收到帧长小于64字节,且没有CRC校验错误的帧 |
|
giants |
超长帧,即端口收到帧长大于允许通过的最大长度,且没有CRC校验错误的帧 |
|
throttles |
超小而且CRC错误的帧 |
|
CRC |
校验和错误,即端口收到的帧CRC校验和错误 |
|
frame |
错误帧,即端口收到未知错误的帧 |
|
overruns |
overrun帧,由于端口输入速率超过接受方处理能力,导致丢包,在网络出现拥塞时会导致overrun的出现 |
|
aborts |
输入描述符错误 |
|
ignored |
由于端口接收缓冲区不足等原因而丢弃的报文数量 |
|
parity errors |
接收到的奇偶校验错误的帧的数量 |
(2) OUTPUT
|
字 段 |
含 义 |
|
output errors |
各种发送错误的报文总数 |
|
giants |
发送超长帧的数量,即端口发送帧长大于允许通过的最大长度,且没有CRC校验错误的帧 |
|
underruns |
帧下溢错误 |
|
buffer failures |
缓冲失败 |
|
aborts |
帧丢失,当网络存在拥塞时,导致报文不能从MAC层转发,会出现aborts错误 |
|
deferred |
帧延时,半双工模式下,在以太网帧数据部分的前64字节进入线路后,由于检测到冲突,当时没有发出的包 |
|
collisions |
冲突帧 |
|
late collisions |
滞后冲突帧,帧在MAC层中缓存,被滞后发送 |
|
lost carrier |
滞后发送帧 |
|
no carrier |
载波丢失帧 |
output error的情况很少会碰到。大部分问题都是input error,如果收到runts,giants,throttles,CRC,frame等错帧,需要检查对端设备或者中间的传输链路是否存在问题;如果收到overruns等错帧,需要确定本端的链路带宽是否足够。
支持。设备缺省支持最大取值的超长帧(Jumbo帧)通过以太网接口。不同单板/子卡的超长帧最大取值可能不同,请参见命令手册说明。
如果接口收到的报文长度超过超长帧的配置值,将会丢弃该报文。
MPLS转发,默认对超大报文不分片。MPLS公网口上配置mpls mtu时,可以对L3VPN转发报文分片,如果是P节点转发,还需要配置mpls l3vpn fragment enable命令才可以分片。
普通三层转发,IPv4协议默认对超过MTU的报文分片,IPv6协议规定不分片,上送CPU处理。
隧道转发,IPv4协议默认对超过MTU报文分片,IPv6不分片。隧道报文分片的话,可以是内层报文分片,分片后的报文分别加上隧道头,或者是加了隧道头后的封装报文分片,不会出现内层报文分片,加了隧道头后的报文也分片的情况。
是的。某个业务板的表项有变更时,会同步到其他所有业务板。
动态MAC地址表项的老化时间默认5分钟,使用mac-address timer aging命令可以修改MAC地址动态表项的老化时间。
MAC地址的老化时间更新机制:某条数据流进入端口后,MAC地址进行动态学习。如果该数据流一直存在,则此MAC地址老化时间会一直刷新,不会进行老化。当数据流停止,MAC地址经过老化时间后自动老化。
MAC地址学习数目设置为0后,端口的MAC地址不学习,缺省情况下报文仍然会采用广播的方式在VLAN内转发。如果需要报文不转发,可以在端口/聚合接口/VLAN视图下配置达到MAC学习数目后不转发。
这些MAC表项是在配置mac-address max-mac-count 0之前学习到的,需要经过老化时间后自动老化或通过undo mac-address命令手动删除当前接口下的MAC地址表项。
MAC地址学习是基于MAC+VLAN方式进行学习的,如果多个VLAN收到相同MAC地址的报文,则多个VLAN下都会学习到相同的MAC地址。
支持。
需要注意的是CSPEX-1304X、CSPEX-1304S、CSPEX-1404X、CSPEX-1404S、CSPEX-1502X、CSPEX-1504X、CSPEX-1504S、CSPEX-1602X、CSPEX-1804X、CSPEX-1512X、CSPEX-1612X、CSPEX-1812X、CEPC-XP4LX、CEPC-XP24LX、CEPC-XP48RX、CEPC-CP4RX、CEPC-CP4RX-L、CSPEX-1802XB、CSPEX-1802X、CSPEX-1812X-E、CSPEX-2304X-G、CEPC-CQ8L、CEPC-CQ16L1、CSPEX-1104-E、CSPC-GE16XP4L-E、CSPC-GE24L-E、CSPC-GP24GE8XP2L-E、SPEX-1204单板不支持加入同一聚合组。
缺省情况下,设备按照源MAC地址、目的MAC地址、源IP地址和目的IP地址进行聚合负载分担。通过全局配置link-aggregation global load-sharing mode命令或在聚合组内配置link-aggregation load-sharing mode命令,可以改变聚合负载分担模式(聚合组优先采用该聚合组内的配置,只有该聚合组内未进行配置时,才采用全局的配置)。
采用不同的聚合负载分担类型可以实现灵活地对聚合组内流量进行负载分担。聚合负载分担的类型可以归为以下几类:
· 逐流负载分担:按照报文的源/目的MAC地址、源/目的服务端口、入端口、源/目的IP地址、IP协议类型或MPLS标签中的一种或某几种的组合区分流,使属于同一数据流的报文从同一条成员链路上通过。
· 按照报文类型(如二层、IPv4、IPv6、MPLS等)自动选择所采用的聚合负载分担类型。
· 逐包负载分担:不区分数据流,而是以报文为单位,将流量分担到不同的成员链路上进行传输。
可以。
在链路两边状态都是down的情况下,DLDP邻居没有建立,DLDP不起作用。
设备支持光模块的诊断功能,当光模块接收或发送光功率异常时,有可能导致端口DOWN,需要检查两端光模块类型是否匹配,链路是否正常;光功率的常见信息说明如下:
· “RX power is high!”――光模块接收光功率高
· “RX power is low!”――光模块接收光功率低
· “RX power is normal!”――光模块接收光功率正常
· “TX power is high!”――光模块发送光功率高
· “TX power is low!”――光模块发送光功率低
· “TX power is normal!”――光模块发送光功率正常
端口速率百分比是端口实际流量和端口总带宽的比值,用来描述端口带宽的实际使用率。端口速率百分比的计算主要在于要加上帧间隙和前导码:
(ulActualSpeed + 20(前导码+帧间隙)*ulPktSpeed)*8/ulRatedSpeed
ulActualSpeed为下面显示的字节速率(红色字体),ulPktSpeed为下面显示的报文速率(蓝色字体),ulRatedSpeed为端口速率,比如10GE端口则为10 000 000 000 bps。
[Sysname-Ten-GigabitEthernet3/1/2]display interface te-gigabitEthernet 3/1/2
Ten-GigabitEthernet3/1/2 current state: DOWN
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 00e0-fc00-0000
Description: Ten-GigabitEthernet3/1/2 Interface
Loopback is not set
……
Peak value of input: 0 bytes/sec, at 2000-04-26 12:00:32
Peak value of output: 0 bytes/sec, at 2000-04-26 12:00:32
Last 300 seconds input: 0 packets/sec 0 bytes/sec 0%
Last 300 seconds output: 0 packets/sec 0 bytes/sec 0%
Input (total): 0 packets, 0 bytes
- unicasts, - broadcasts, - multicasts
Input (normal): 0 packets, 0 bytes
0 unicasts, 0 broadcasts, 0 multicasts
Input: 0 input errors, 0 runts, 0 giants, 0 throttles
0 CRC, 0 frame, 0 overruns, - aborts
- ignored, - parity errors
Output (total): 0 packets, 0 bytes
- unicasts, - broadcasts, - multicasts, - pauses
Output (normal): 0 packets, 0 bytes
0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses
Output: 0 output errors, - underruns, - buffer failures
0 aborts, 0 deferred, 0 collisions, 0 late collisions
- lost carrier, - no carrier
对于GE光口互连,如果配置了强制速率双工,只要设备端口可以接收光信号,端口就可以UP;如果是自协商,则如果对端DOWN,本端也应该会DOWN。
对于10GE光口互连,如果是本设备之间互连,那么端口MAC层之间会有协商,一端如果检测到Local Fault,该端口会DOWN并且会发送Remote Fault通知对端,对端检测到Remote Fault也会将本端口DOWN掉。如果是本设备与其他设备端口对接,对端端口DOWN,但是发光是好的,并且没有发送Remote Fault,则本端不会DOWN掉。
当MIC-XP4L1、MIC-XP2L和MIC-XP2L-LAN接口子卡安装于CSPEX-1104-E单板上时,如果在这些接口子卡的10GE端口上安装1G光模块,请设置本端和对端的双工模式为full,接口速率为1000。
配置双工模式时需要注意:
· 光口不支持配置half参数。
· 当接口子卡位于CSPEX-1104-E或SPEX-1204单板时,电口不支持半双工状态;当接口子卡位于其他CSPEX单板时,仅MIC-GP4L接口子卡的电口支持半双工状态。
· 当MIC接口子卡上的GE接口位于SPEX-1204单板时,不支持10M、100M速率下的全双工和半双工状态。
万兆以太网接口子卡在CSPEX-1304X、CSPEX-1304S、CSPEX-1404X、CSPEX-1404S、CSPEX-1502X、CSPEX-1504X、CSPEX-1504S、CSPEX-1602X、CSPEX-1804X、CSPEX-1512X、CSPEX-1612X、CSPEX-1812X、RX-SPE200、CEPC-XP4LX、CEPC-XP24LX、CEPC-XP48RX、CEPC-CP4RX、CEPC-CP4RX-L设置以太网接口的速率时,需要注意:
· 仅MIC-XP2L、MIC-XP2L-LAN、MIC-XP4L1、MIC-XP5L、MIC-XP5L1、MIC-XP20L、NIC-XP10L、NIC-XP20L和NIC-XP20L1接口子卡支持1000Mbps/10000Mbps速率切换;其他万兆以太网接口子卡均不支持1000Mbps/10000Mbps速率切换。
· MIC-XP2L、MIC-XP2L-LAN、MIC-XP4L1、MIC-XP5L、MIC-XP5L1、MIC-XP20L、NIC-XP10L、NIC-XP20L接口子卡配置speed auto命令后,接口速率处于10M/100M/1000M自协商状态。
· NIC-XP20L1接口子卡配置speed auto命令后,接口速率处于10M/100M/1000M/10000M自协商状态。
· MIC-XP2L、MIC-XP2L-LAN接口子卡上端口1与2为一个接口组。当时进行速率切换时,接口组下面的所有端口同时切换。
· MIC-XP4L1接口子卡上端口1与3为一个接口组、端口2与4为一个接口组。当时进行速率切换时,接口组下面的所有端口同时切换。
· MIC-XP5L、MIC-XP5L1接口子卡上端口2与4为一个接口组、端口3与5为一个接口组。当时进行速率切换时,接口组下面的所有端口同时切换;MIC-XP5L、MIC-XP5L1接口子卡上端口1不支持速率切换。
· MIC-XP20L接口子卡上端口1与2为一个接口组、端口3与4为一个接口组、端口5与6为一个接口组、端口7与8为一个接口组、端口9与10为一个接口组、端口11与12为一个接口组、端口13与14为一个接口组、端口15与16为一个接口组、端口17与18为一个接口组、端口19与20为一个接口组。当时进行速率切换时,接口组下面的所有端口同时切换。
· NIC-XP10L接口子卡上端口1与2为一个接口组、端口3与4为一个接口组、端口5与6为一个接口组、端口7与8为一个接口组、端口9与10为一个接口组。当时进行速率切换时,接口组下面的所有端口同时切换。
· NIC-XP20L接口子卡上端口1与4为一个接口组、端口2与6为一个接口组、端口3与7为一个接口组、端口5与8为一个接口组、端口9与12为一个接口组、端口10与11为一个接口组、端口13与16为一个接口组、端口14与15为一个接口组、端口17与20为一个接口组、端口18与19为一个接口组。当时进行速率切换时,接口组下面的所有端口同时切换。
· NIC-XP20L1接口子卡进行速率切换时,可以单端口进行切换。
万兆以太网接口子卡在CSPEX-1802XB、CSPEX-1802X、CSPEX-1812X-E、CSPEX-2304X-G、CEPC-CQ8L、CEPC-CQ16L1、RX-SPE200-E设置以太网接口的速率时,需要注意:
· 仅NIC-XP20L1接口子卡支持1000Mbps/10000Mbps速率切换;其他万兆以太网接口子卡均不支持1000Mbps/10000Mbps速率切换。
· NIC-XP20L1接口子卡配置speed auto命令后,接口速率处于10M/100M/1000M/10000M自协商状态。
· NIC-XP20L1接口子卡进行速率切换时,可以单端口进行切换。
PIC-TCP8L接口子卡GE接口的速率仅支持自协商,且只能协商为1000。
配置速率时需要注意:
· 40GE、100GE端口仅支持工作在最大速率。
· 位于CSPEX-1304X、CSPEX-1404X、CSPEX-1502X、CSPEX-1504X、CSPEX-1602X、CSPEX-1802XB、CSPEX-1804X、CSPEX-1512X、CSPEX-1612X、CSPEX-1812X、CSPEX-1304S、CSPEX-1404S、CSPEX-1504S、RX-SPE200、RX-SPE200-E单板的支持速率切换的万兆以太网接口子卡配置速率为auto(自协商)后,仅NIC-XP20L1接口子卡支持10GE光模块,其他接口子卡不支持10GE光模块。
· 位于CSPEX-1802X、CSPEX-1812X-E单板的万兆以太网接口子卡,仅NIC-XP20L1接口子卡支持速率切换,其他接口子卡不支持速率切换。
· 位于CSPEX-2304X-G单板上支持GE/10GE速率切换的万兆以太网接口子卡,当万兆以太网接口子卡切换成GE模式时,不支持auto(自协商)进行切换,仅支持设置1000Mbps速率进行切换。
MIC-CQ1L2接口子卡仅支持40GE/100GE速率切换,双工模式仅支持全双工状态。
当接口子卡位于CSPEX-2304X-G单板时,该接口子卡上的以太网接口最小速率为1000Mbps,不支持10Mbps/100Mbps速率切换,不支持半双工状态。
CSR05SRP1P3-G主控板网管口的缺省双工模式为auto(自协商),不支持通过duplex命令配置为其他值;缺省速率为auto(自协商),不支持通过speed命令配置为其他值。
三层以太网子接口、三层聚合子接口、L2VE子接口、L3VE子接口、基于slot的L3VE子接口、FlexE业务子接口支持VLAN终结。
这些子接口支持如下VLAN终结类型:明确的Dot1q终结、模糊的Dot1q终结、明确的QinQ终结以及模糊的QinQ终结、Untagged终结、Default终结。
根据VLAN终结相关表项的创建方式,子接口上的VLAN终结功能分为普通终结方式和用户VLAN终结方式。
· 普通终结方式:包括普通Dot1q终结(vlan-type dot1q vid)、普通QinQ终结(vlan-type dot1q vid second-dot1q)和普通Default终结(vlan-type dot1q default),配置后,设备会立即创建表项来记录配置的VLAN终结信息。
· 用户VLAN终结方式:包括用户VLAN Dot1q终结(user-vlan dot1q vid)、用户VLAN QinQ终结(user-vlan dot1q vid second-dot1q)和用户VLAN Default终结(user-vlan dot1q default),配置后,设备仅为指定VLAN内的在线用户动态创建表项,以节省系统资源。
用户VLAN终结方式适用于BRAS用户接入场景,例如IPoE/PPPoE组网。
支持,通过traffic-statistic enable命令开启以太网子接口的报文统计功能。
支持三层以太网接口配置从地址,从地址和主地址的功能基本一致,唯一需要注意的从地址不支持组播,使用从地址网段用户不能正常点播组播业务,从地址也不支持建立OSPF邻居。另外,任何三层接口,比如三层以太网接口(子接口)、三层聚合接口(子接口)、VLAN接口等,都支持配置从地址。
主从地址完全独立,主地址删除后从地址可以正常工作。
设备判断报文是进行二层转发还是三层转发,在端口设置为桥模式时(配置为port link-mode bridge)是根据报文的目的MAC地址是否是VLAN接口MAC地址。如果报文目的MAC地址是接口MAC地址,则该报文进行三层转发或者是MPLS转发;否则,进行二层转发。
支持。
支持。
路由协议(比如:BGP/OSPF/ISIS/RIP)下发的32位掩码路由的优先级要比ARP主机路由优先级高。
CPU对报文长度(包含IP头)超过软件设置的MTU((缺省为1500字节)的ICMP PING报文,采用分片方式发送,如果设置-f(不分片)标记,则报文无法对外发送。
如果单板接口上配置了允许jumbo帧通过,则设备可以接收超过1500字节的ICMP报文,且该报文可以上送CPU,同时设备也可以回应该ICMP报文,但是如果回应报文长度超出1500字节,也会被分片。
设备如果是回应对方的PING报文,CPU收到以后就直接回应;
如果是设备发出ICMP PING报文,缺省情况下收到回应后马上发送下一报文;如果没有收到对方的回应,在达到超时时间后发送下一报文,超时时间可以设置,缺省为2秒;
如果设置了ping –m interval参数,则报文在收到回应后间隔interval时间后发送下一ICMP请求。
本地镜像组可支持跨板镜像,即镜像源与镜像目的可以位于同一台设备的不同单板上。
支持远程镜像功能。
· ADVPN(Auto Discovery Virtual Private Network,自动发现虚拟专用网络)隧道,ADVPN的相关介绍和配置请参见“三层技术-IP业务配置指导”中的“ADVPN”。
· GRE(Generic Routing Encapsulation,通用路由封装)隧道,GRE的相关介绍和配置请参见“三层技术-IP业务配置指导”中的“GRE”。
· IPv6 over IPv4隧道:使IPv6报文可以穿越IPv4网络,实现隔离的IPv6网络互通。
· IPv4 over IPv4隧道和GRE隧道:创建VPN,保证通信的安全性。
· IPv4 over IPv6隧道:在IPv4报文上封装IPv6的报文头,通过隧道使IPv4报文穿越IPv6网络,从而实现通过IPv6网络连接隔离的IPv4网络孤岛。
· MPLS TE隧道:实现流量工程,避免由于负载不均衡导致网络拥塞。
· VXLAN隧道:基于IP网络、采用“MAC in UDP”封装形式的二层VPN技术,为分散的物理站点提供二层互联,并能够为不同的租户提供业务隔离。
· SR-MPLS隧道:基于现有的MPLS框架实现分段路由机制。SR-MPLS隧道建立后需要将业务报文引流到隧道。能够迭代到SR-MPLS隧道并由SR-MPLS隧道转发的业务包括公网、L3VPN私网、VPLS和EVPN等业务。
· SRv6隧道:基于IPv6框架实现分段路由机制。隧道源节点为数据报文封装IPv6基本头和SRH扩展头。隧道中间节点使用SRH扩展头中的SID替换报文目的IPv6地址,并进行转发。隧道的尾节点根据最后SID执行对应的转发动作。
当前已经能够实现以下BFD联动功能:
· BFD for IPv4系列路由协议:包括IPv4静态路由、RIP、OSPF、IS-IS、BGP、PIM等协议。
· BFD for IPv6系列路由协议:包括IPv6静态路由、OSPFv3、IS-IS6、BGP4+、IPv6 PIM等协议。
· BFD for MPLS:包括LSP、MPLS TE、PW。
· BFD for 策略路由、track。
· BFD for IP FRR、BFD for MPLS TE FRR。
· BFD for LAGG
· BFD for INTERFACE
· BFD for MAD
· BFD for SRv6 PW
· SBFD/BFD echo for SRv6 TE Policy
为了满足更高性能、更大规模的业务快速检测,可以通过硬件BFD来支持。硬件BFD由CPU和硬件配合实现:CPU完成协议面的会话参数协商,硬件完成高速的收发包检测。该功能需要特殊网络芯片的支持,详细支持情况请参见“可靠性配置指导”中的“BFD配置”。
目前支持的负载分担方式包括:
· 基于报文目的IP地址逐流进行的负载分担方式;
· 基于报文目的MAC地址逐流进行的负载分担方式;
· 基于报文目的端口逐流进行的负载分担方式;
· 基于报文源IP地址逐流进行的负载分担方式;
· 基于报文源MAC地址逐流进行的负载分担方式;
· 基于报文源端口逐流进行的负载分担方式;
· 基于报文IP协议号逐流进行的负载分担方式;
· 基于报文逐流进行的负载分担方式;
· 基于报文逐包进行的负载分担方式。
其中基于报文逐流进行的负载分担方式采用的缺省算法是XOR16,其他算法有CRC16、CRC16XOR1、CRC16XOR2、CRC16XOR4、CRC16XOR8、CRC16CCITT。
所谓黑洞路由就是当去往某一目的地的静态路由出接口均为NULL 0接口,任何去往该目的地的IP报文都将被丢弃,并且不通知源主机。在网络遭受IP攻击的情况下,可以通过配置黑洞路由丢弃去往目的地址的报文,配置举例如下:
<Sysname> system-view
[Sysname] ip route-static 1.1.1.1 32 null 0 preference 1
Cost值与三层以太网接口协商的速率有关。
缺省情况下,三层以太网接口按照当前的接口速率自动计算接口运行OSPF协议所需的开销。
计算公式为:三层以太网接口开销=带宽参考值(100Mbps)÷接口速率(Mbps),当计算出来的开销值大于65535时,开销取最大值65535;当计算出来的开销值小于1时,开销取最小值1。
到相同的目的地,不同的路由协议(包括静态路由)可能会发现不同的路由,但并非这些路由都是最优的。事实上,在某一时刻,到某一目的地的当前路由仅能由唯一的路由协议来决定。各路由协议(包括静态路由)都被赋予了一个优先级,这样当存在多个路由信息源时,具有较高优先级的路由协议发现的路由将成为当前路由。各种路由协议及其发现路由的缺省优先级(数值越小表明优先级越高)。
|
路由协议或路由种类 |
相应路由的优先级 |
|
DIRECT |
0 |
|
OSPF |
10 |
|
IS-IS |
15 |
|
STATIC |
60 |
|
RIP |
100 |
|
OSPF ASE |
150 |
|
OSPF NSSA |
150 |
|
IBGP |
255 |
|
EBGP |
255 |
|
UNKNOWN |
256 |
其中:0表示直连路由,256表示任何来自不可信源端的路由。
设备上报ospf config error的原因通常为配置错误导致,可能存在以下两种情况:
· 两台路由器相连的接口,属于同一网段但不在同一区域;
· 对端设备配置了虚连接到本设备,但是本设备没有配置对应的虚连接邻居,在收到对端虚连接邻居发送的报文时便产生该Trap信息。
属于弱策略路由,即把某条流重定向到下一跳地址之后,如果该下一跳地址不存在,报文不进行重定向(不丢弃),而是按照报文的目的IP地址进行路由选路和处理。
当设备日志中有如下记录时,表明LDP LSP下游控制块超规格:
*Nov 1 11:07:18:368 2011 SG-ZQD-8808 LDP/7/Error:
Can't create Downstream Control Block: Up the maximum limitation.
如果设备使能了非32位路由触发LSP,导致很多非32位路由形成LSP,出现了LSP超规格或者LDP LSP下游控制块超规格的情况,这时如果想将非32位路由的LSP过滤掉不使其占用LSP资源,可以配置策略来实现。假设需要过滤LDP邻居1.1.1.9的非32位路由LSP,可以配置策略如下:
[Sysname]ip prefix-list host index 10 permit 0.0.0.0 0 greater-equal 32 less-equal 32
[Sysname]mpls ldp
[Sysname-mpls-ldp]accept-label peer 1.1.1.9 prefix-list host
这条策略配置完成即生效,将非32位路由的LSP过滤掉。但是如果要取消策略形成非32位路由的LSP,则取消配置后还需要reset mpls ldp peer命令才能生效。
如果设备配置了TTL复制功能(mpls ttl propagate命令),需要刷新路由表项后才可以正常显示tracert路径。
支持IGMP的V1、V2和V3版本。缺省情况下,IGMP的版本为IGMPv2。
支持静态RP功能。在PIM视图下使用static-rp rp-address [ acl-number | bidir | preferred ] *命令配置静态RP,同时可以配置ACL规则限制静态RP服务的组播组范围。
需要注意的是:
· 当网络中同时存在动态RP和静态RP时,如果配置preferred参数,表示优先选择静态RP,只有当静态RP失效时,动态RP才能生效。如果未指定本参数,则表示优先选择动态RP。
· PIM域内所有路由器必须同时配置该命令并且指定同一RP地址。
支持。可以利用组播静态路由来改变或衔接RPF(Reverse Path Forwarding,逆向路径转发)路由。
可以通过配置ACL规则限制非法组播源的组播转发。比如只想对源地址是99.100.100.4、组地址是225.1.1.1的组播组建立组播表项,进行转发,则可以配置如下:
1. 配置ACL规则:
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule 0 permit ip source 99.100.100.4 0 destination 225.1.1.1 0
[Sysname-acl-ipv4-adv-3000] rule 1 deny ip
2. 在PIM视图下配置组播数据过滤器:
[Sysname-pim] source-policy 3000
这样在路由器上就只能建立S为99.100.100.4,G为225.1.1.1的组播表项,其他组播表项都无法建立。
支持组播组过滤规则。可以通过在二层以太网接口视图/二层聚合接口视图下配置igmp-snooping group-policy acl-number [ vlan vlan-list ]命令实现。
需要注意的是:
· 当指定的ACL不存在或者其规则为空时,将过滤掉所有的组播组,即主机不能加入任何组播组。主机只能加入与该ACL规则中permit语句匹配的组播组。
· 组播组过滤功能对指定VLAN内的所有成员都生效。
· 组播组过滤规则对本设备配置的静态成员端口加入不生效。
· 在二层以太网接口或二层聚合接口视图下配置时,如果未指定VLAN,则该配置将对该接口所属的每个VLAN分别生效;如果指定了VLAN,则只有当该接口属于指定VLAN时,该配置才生效。
· 检查是否配置了静态RPF对等体(命令static-rpf-peer),如果该配置不当(如过滤策略指定的不正确),就容易发生RPF检查失败的情形。
· 正常的网络中也可能产生,比如网络中MSDP对等体存在环路,导致报文从非RPF接口进入,此时就会发生RPF检查失败。
支持。
不支持。请不要在同一接口上配置VPLS和组播,否则会导致组播功能不可用。
|
接口类型 |
QoS策略 |
端口镜像 |
流镜像 |
单板支持情况 |
|
三层聚合接口 |
支持,下发在聚合接口上 |
镜像端口需要指定为三层聚合口的成员接口 |
支持,下发在聚合口 |
支持 |
|
三层聚合子接口 |
支持,下发在聚合子接口上 |
镜像端口需要指定为三层聚合子接口的成员接口 |
支持,下发在聚合子接口上 |
支持 |
|
二层聚合接口 |
仅支持下发在成员接口上 |
镜像端口需要指定为二层聚合接口的成员接口 |
仅支持下发在成员接口上 |
支持 |
|
VLAN接口 |
不支持直接在VLAN接口视图下应用Qos策略,支持在系统视图下对整个VLAN应用Qos策略,对整个VLAN的二层流量和VLAN接口的三层流量生效 |
镜像端口需要指定为VLAN接口对应的物理口 |
应用Qos策略配置流镜像时,不支持直接在VLAN接口视图下应用Qos策略,支持在系统视图下对整个VLAN应用Qos策略,对整个VLAN的二层流量和VLAN接口的三层流量生效 |
支持 |
|
Tunnel接口 |
仅Tunnel接口入方向支持 |
镜像端口需要指定为Tunnel接口对应的物理口 |
仅Tunnel接口入方向支持 |
仅CSPEX-1802X、CSPEX-1812X-E单板支持 |
先进行流量监管丢弃超速的报文,未被丢弃的报文再进行重定向。与这两个动作配置的顺序没有关系。
匹配CBQ规则的流量,在入队列之前先进行拥塞避免机制和带宽限制的检查,然后按照流量匹配规则进入各队列:
· LLQ队列:即EF队列。如果拥塞未发生,LLQ队列中超过分配带宽的流量可以发送。如果拥塞发生,超过分配带宽的流量将优先被丢弃;
· BQ队列:即AF队列。超出带宽的流量和BE队列(包括默认BE队列)进行WFQ调度;
· 默认BE队列:没有匹配CBQ规则的流量的队列;
· 加权公平调度队列:即BE队列,需要配置queue wfq。
对于SPEX-1204单板,CBQ队列包括两种方式:普通CBQ队列和高级CBQ队列。
普通CBQ队列之间的优先级关系为:EF队列保证带宽的流量 > AF队列保证带宽的流量 > AF队列超带宽的流量 > BE队列的流量 > EF队列超带宽的流量。
高级CBQ队列之间的优先级关系为:EF队列保证带宽的流量 = AF队列保证带宽的流量 > EF队列超带宽的流量 = AF队列超带宽的流量 = 配置WFQ权重的BE队列的流量 > 未配置WFQ权重的BE队列的流量。
对于CSPC-GE16XP4L-E、CSPC-GE24L-E、CSPC-GP24GE8XP2L-E、CSPEX类单板和CEPC类单板,各队列之间的优先级关系为:EF队列保证带宽的流量 >AF队列保证带宽的流量 > EF队列超带宽的流量 = AF队列超带宽的流量 = 配置WFQ权重的BE队列的流量 > 未配置WFQ权重的BE队列的流量。
此情况下的限速配置建议尽量选择在接口视图下通过qos lr命令的方式配置,不建议配置流量监管(qos car)或者流量整形(qos gts)。
缺省情况为不存在任何流行为动作。
对于CSPEX-1304X、CSPEX-1304S、CSPEX-1404X、CSPEX-1404S、CSPEX-1502X、CSPEX-1504X、CSPEX-1504S、CSPEX-1602X、CSPEX-1804X、CSPEX-1512X、CSPEX-1612X、CSPEX-1812X、RX-SPE200、CEPC-XP4LX、CEPC-XP24LX、CEPC-XP48RX、CEPC-CP4RX、CEPC-CP4RX-L、CSPEX-1802XB、CSPEX-1802X、CSPEX-1812X-E、CSPEX-2304X-G、CEPC-CQ8L、CEPC-CQ16L1、RX-SPE200-E单板可以在Probe视图下通过display hardware internal rxtx proto-limit-speed命令查看。
对于CSPEX-1104-E、SPEX-1204、CSPC-GE16XP4L-E、CSPC-GE24L-E、CSPC-GP24GE8XP2L-E单板可以在Probe视图下通过display hardware internal rxtx tm命令查看。
如果在User Profile视图中同时配置QoS策略方式的流量监管和基于上线用户的流量监管,实际两者配置都能生效,最终效果为两种配置叠加后的效果。
为了进行链路自动检测,可配置OAM F5 LoopBack信元发送及重传(OAM loopback)检测功能:一端发送OAM信元给对端,如果对端收到后,则把这个OAM信元返回给发送方。如果发送方判断接收到自己的OAM信元,并在预先设置的时间(此时间就是发送OAM信元的间隔时间interval)内收到,则说明链路是通畅的;如果发送端没有在预先设置的时间内接收到自己的OAM信元,则说明链路可能出现故障。
当链路不稳定时,为了防止频繁检测到对端PVC down,建议配置oam loopback命令中的interval参数为10,这样15秒~25秒可感知到对端PVC down(如果配置interval参数为1,则5秒~6秒可感知到对端PVC down。)
ATM P2P/P2MP子接口建议按照如下方式配置:
· P2P子接口,配置map ip default命令。
· P2MP子接口,配置map ip { ip-address | inarp [ minutes ] }命令。
如:
· P2P子接口
将接口类型配置成P2P,同时配置map ip default命令。
interface Atm2/1/1.1 p2p
pvc 5/81
oam loopback 10 up 3 down 3 retry 1
broadcast
map ip default
ip address 1.1.1.1 255.255.255.252
· P2MP子接口:
¡ 不建议配置
interface Atm2/1/1.1 p2mp
description TeleCom ATM To ShangHai
pvc 5/81
oam loopback 10 up 3 down 3 retry 1
broadcast
map ip default//default方式,OAM检测到PVC down之后无法通知路由快速切换
ip address 1.1.1.1 255.255.255.252
¡ 建议修改成如下配置
将map ip命令中的default方式修改为ip-address或inarp。
interface Atm2/1/1.1 p2mp
description TeleCom ATM To ShangHai
pvc 5/81
oam loopback 10 up 3 down 3 retry 1
broadcast
map ip 1.1.1.2
ip address 1.1.1.1 255.255.255.252
不可以。需要对接的设备两端都支持且配置该功能(oam cc命令),仅一端配置会导致链路震荡。
建议两端都配置为为oam cc,这样任一端PVC down后,另一端3秒便可检测到并将本端PVC状态变为DOWN。
当转发组播或广播报文时,需要通过broadcast命令配置PVC的广播属性,否则会导致组播或广播报文转发不通。
需要。使用ospf network-type { broadcast | nbma | p2mp [ unicast ] | p2p [ peer-address-check ] }命令配置OSPF接口的网络类型时,两端需要配置一致。当接口封装的链路层协议是ATM时,OSPF接口网络类型的缺省值为NBMA。
是的。可使用service ubr output-pcr命令配置本端PVC输出ATM信元的峰值速率为对端可以承受的速率。
#
interface Atm2/1/1
pvc 10/40
service ubr 2000
broadcast
map ip default
ip address 1.0.0.1 255.255.255.0
#
除SPC-CP2LA和SPC-CP2LB单板外,其他业务板均支持NAT。
· 传统NAT:报文经过NAT设备时,在NAT接口上仅进行一次源IP地址转换或一次目的IP地址转换。对于内网访问外网的报文,在出接口上进行源IP地址转换;对于外网访问内网的报文,在入接口上进行目的地址IP地址转换;
· 两次NAT:报文入接口和出接口均为NAT接口。报文经过NAT设备时,先后进行两次NAT转换。对于内网访问外网的报文和外网访问内网的报文,均在入接口进行目的IP地址转换,在出接口进行源IP地址转换。这种方式常用于支持地址重叠的VPN间互访。
使能EasyIP时,所有需要上送CPU处理的报文都走一个软件队列(未使能时,各协议走各自的队列)。若有大量报文需要上送CPU处理,则容易导致队列拥塞而被丢弃,并影响设备的正常运行。因此,不建议在使能EasyIP的接口上运行路由协议。
当内网用户访问外网时,还需要配置QoS策略将流量入接口收到的报文重定向到出接口上指定的提供NAT处理的业务板,这样流量才会进行NAT处理。如果需要使用具有NAT能力的业务板进行NAT处理,则必须在配置了NAT业务的接口上指定该业务板,才能使通过该接口进行NAT转换的报文重定向到业务板上进行处理。在NAT业务板上进行业务处理,可以提高了NAT业务处理的性能。
当前只有SR8800-X路由器的IM-MSUX和IM-MSEX-B单板支持CGN业务。
· NAT64:指IPv6网络地址转换到另一个IPv4网络地址的NAT。
· NAT444:在用户侧和运营商侧各执行一次IPv4到IPv4的NAT。
· DS-Lite:轻量级双协议栈(IPv4、IPv6协议栈),该技术采用了IPv4 over IPv6隧道和IPv4 NAT技术,实现IPv4与IPv6网络的平滑过度。
目前CGN单板支持IPoE和PPPoE联动上线方式。
根据会话的备份机制,会话只能从主节点向备节点进行备份或删除。
当设备上的会话数量较多时,清除会话需要一段时间,如果在此期间备份组的节点角色发生了变更,原主节点无法继续向原备节点发送会话删除消息,从而导致新主节点的会话多于原主节点。
报文在转发时,首个报文进行软件转发,而后续报文进行硬件转发。
软件转发不支持等价路由,此时只通过接口编号小的接口进行转发;而硬件转发支持等价路由,所以实际转发时,流量会根据硬件转发表项进行负载分担。
但是由于display nat session verbose命令显示的是软件转发的出接口,导致会话表项中显示的出接口永远是接口编号小的接口。
支持IPoE、PPPoE、L2TP多种接入方式。
建议采用缺省值300秒。
|
常用维护命令行 |
使用方法 |
|
display domain access-user statistics |
查看认证域的在线接入用户统计信息,确认设备当前上线用户数 |
|
display max-user history |
查看历史最大在线用户数 |
|
display aaa online-fail-record |
查看用户上线失败记录 |
|
display aaa offline-record |
查看用户下线记录 |
|
display nat address-group resource-usage |
查看NAT地址池利用率 |
|
display dhcp server statistics |
查看DHCP地址池利用率 |
|
display access-user count |
查看当前在线用户数量 |
|
state block |
设置当前ISP域处于阻塞状态,防止域内阻断上线的用户再次上线 |
不需要。
· L2TP用户会话建立成功,但在LNS侧PPP认证/IPCP协商失败,PPP客户端发出LCP Terminate Request报文,LAC发出CDN报文,删除L2TP会话。
· PPP客户端发出LCP Terminate Request报文正常下线,LNS发出CDN报文,删除L2TP会话。
· LAC侧使用reset pppoe-server或cut access-user命令手工清除PPP会话后,LAC发出CDN报文,删除对应的L2TP会话。
· LAC或LNS侧使用reset l2tp tunnel命令手工断开指定的L2TP隧道后,该隧道上的所有L2TP会话都会被删除。
· LAC或LNS侧使用undo l2tp enable命令去使能L2TP,所有L2TP会话都会被删除。
· LNS侧PPP发起的LCP echo request报文,每隔60秒重复三次均未收到PPP客户端回应的LCP echo reply报文,LNS发出CDN报文,删除L2TP会话。
LAC与LNS之间在成功建立了L2TP隧道、会话后,还要进行PPP会话协商,PPP若协商失败,用户便无法成功拨入。以下原因均可能造成上述情况:
· LNS侧用户认证失败,例如:没有配置用户、用户密码不一致或用户服务类型不一致。
· LNS侧IPCP协商不一致,例如:PPP用户协商IP协议栈类型与VT接口下配置的不一致、 或授权的IP地址池没有配置gateway。
· LNS侧误存在LAC类型的L2TP-Group,导致LNS实际成为LTS设备。
· LNS侧配置了强制重协商,并且不认可PPP用户的参数。
如果在用户所属的ISP域下未通过l2tp-user radius-force命令配置强制使用RADIUS服务器授权的隧道属性建立L2TP隧道,则:
· 若RADIUS服务器给用户授权了64号属性(Tunnel-Type),且隧道类型为L2TP,则在建立L2TP隧道时:
¡ 优先使用RADIUS服务器授权的隧道属性。
¡ 对于RADIUS服务器未授权的隧道属性,则按如下先后顺序选择使用第一个存在的L2TP组中配置的属性。
- RADIUS授权的L2TP组(通过183号属性H3C-Tunnel-Group-Name下发)
- ISP域下指定的L2TP组(通过ISP域视图下的l2tp-group命令配置)
- 根据用户名或域名匹配到系统视图下配置的L2TP组(通过系统视图下的l2tp-group命令配置)
- 系统视图下配置的缺省L2TP组(通过系统视图下的l2tp-group命令和L2TP组视图下的default-lac-group enable命令配置)
· 若RADIUS服务器未给用户授权64号属性,设备将完全依据L2TP组下的配置为用户建立L2TP隧道,并按如下先后顺序选择使用第一个存在的L2TP组中的配置。
- RADIUS授权的L2TP组(通过183号属性H3C-Tunnel-Group-Name下发)
- ISP域下指定的L2TP组(通过ISP域视图下的l2tp-group命令配置)
- 根据用户名或域名匹配到系统视图下配置的L2TP组(通过系统视图下的l2tp-group命令配置)
如果在用户所属的ISP域下通过l2tp-user radius-force命令配置了强制使用RADIUS服务器授权的隧道属性建立L2TP隧道,则仅当通过RADIUS服务器给用户授权了64号属性(Tunnel-Type),且隧道类型为L2TP时,LAC才认为该PPP用户为L2TP用户,进行后续的L2TP处理。这种情况下,L2TP按如下原则选择用于建立L2TP隧道的隧道属性:
· 优先使用RADIUS服务器授权的隧道属性。
· 对于RADIUS服务器未授权的隧道属性,则按如下先后顺序选择使用第一个存在的L2TP组中配置的属性。
¡ RADIUS授权的L2TP组(通过183号属性H3C-Tunnel-Group-Name下发)
¡ ISP域下指定的L2TP组(通过ISP域视图下的l2tp-group命令配置)
¡ 根据用户名或域名匹配到系统视图下配置的L2TP组(通过系统视图下的l2tp-group命令配置)
· 系统视图下配置的缺省L2TP组(通过系统视图下的l2tp-group命令和L2TP组视图下的default-lac-group enable命令配置)
LTS(L2TP Tunnel Switch,L2TP隧道交换),指将输入的L2TP会话/隧道交换到另一个L2TP会话/隧道,进一步将PPP会话终端端点推进到另一个LNS。LTS并不参与源和目的主机之间的点到点会话,能够聚合多个隧道进入一个单一的外出隧道,减少网络资源占用量,有效地管理协调各个隧道。在功能方面,LTS对于输入的隧道相当于LNS,而对于输出的隧道相当于LAC。
LTS可以有效地降低对LNS设备规格资源的要求。另外,LTS能够进一步把隧道延伸到企业网络内部,保证数据在内网传输的安全性。
根据用户的接入方式不同,IPoE接入用户分为如下几种:
|
接入用户类型 |
应用场景 |
|
|
动态个人接入用户 |
未知源IP接入用户 |
适用于已经通过DHCP、ND RS报文或手工静态配置的方式获取到IP地址,但当前接入设备上不存在对应的IPoE会话的情况 |
|
IPv6 ND RS接入用户 |
适用于用户需要通过采用无状态自动配置方式与接入设备进行交互自动生成IPv6地址的情况 |
|
|
DHCP接入用户 |
适用于用户需要通过DHCP方式动态获取IP地址的情况 |
|
|
静态个人接入用户 |
适用于固定IP地址用户静态接入的情况 |
|
|
子网专线接入用户 |
适用于需要对某一接口上接入的指定子网的所有用户进行统一认证、授权和计费的情况 |
|
|
接口专线接入用户 |
适用于需要对同一接口上接入的所有用户进行统一认证、授权和计费的情况 |
|
|
L2VPN专线接入用户 |
适用于需要对绑定了L2VPN的接口上接入的所有用户进行统一认证、授权和计费的情况 |
|
在二层接入场景下,即用户直接连接接入设备,或通过二层网络设备连接接入设备时,可以实现IPoE用户一次认证双栈放行功能。
配置IPoE动态用户接入接口时,需要通过dhcp-proxy enable命令配置接口工作在DHCP代理模式(缺省开启)。
需要开启常下线恢复功能:
· 针对DHCP接入用户,需要开启未知源IP报文触发生成IPoE会话功能(ip subscriber initiator unclassified-ip enable matching-user命令)和ARP报文触发用户上线功能(ip subscriber initiator arp enable命令)。
· 针对DHCPv6接入用户,需要开启未知源IPv6报文触发生成IPoE会话功能(ip subscriber initiator unclassified-ipv6 enable matching-user命令)和NSNA报文触发用户上线功能(ip subscriber initiator nsna enable命令)。
需要注意的是,此处配置的未知源IP报文触发生成IPoE会话功能、未知源IPv6报文触发生成IPoE会话功能、ARP报文触发用户上线功能和NSNA报文触发用户上线功能,仅为了匹配DHCP异常下线记录表项后根据异常记录信息恢复该用户的会话信息,无法完成用户通过这几种方式接入上线的功能。
在多个用户名使用同一MAC地址上线的场景下,需要配置如下命令,才能保证多个用户能够正常上线:
· 接入接口上配置pppoe-server session-limit per-mac命令,保证在接口上每个用户所能创建PPPoE会话的最大数目。
· 虚拟模板接口上配置remote address dhcp client-identifier username命令,保证使用PPP用户名生成DHCP客户端ID。
通过MQC方式和User Profile方式配置限速策略,仅在跨板聚合场景下会出现如下区别:
· 跨板聚合接口下应用MQC方式配置限速时,下发到硬件的限速值为实际配置的限速值/单板个数,入出方向情况一致。
· 跨板聚合接口下应用User Profile配置限速时,每块单板都会下发限速值,因此如果用户流量HASH到多个单板上则会有流量限速值翻倍的问题,入出方向情况一致。
· ISP域内授权User Profile配置限速时,出方向可以保证每用户限速值为配置值,入方向限速值则为每个接口限速值之和。
允许漫游。
漫游过程不关心目的接口IP地址,漫游到目的接口后,直接根据目的接口刷新用户表项。
例如:A口未配置IP地址,用户A(1.1.1.2)通过A口上线;B口配置了IP地址2.2.2.2,其余漫游的配置在A口和B口都正确配置了。该情况下,用户A可以从A口漫游到B口。
允许漫游。
漫游过程不关心目的接口IP地址,漫游到目的接口后,直接根据目的接口刷新用户表项。
例如:A口配置了IP地址1.1.1.1,用户A(1.1.1.2)通过A口上线;B口配置了IP地址2.2.2.2,其余漫游的配置在A口和B口都正确配置了。该情况下,用户A可以从A口漫游到B口。
允许漫游。
漫游过程不关心目的接口IP地址,漫游到目的接口后,直接根据目的接口刷新用户表项。
例如:A口配置了IPv6地址1::1/64,用户A(1::3/64)通过A口上线;B口配置了IPv6地址2::2,其余漫游的配置在A口和B口都正确配置了。该情况下,用户A可以从A口漫游到B口。
允许漫游。
漫游过程不关心目的接口IP地址,漫游到目的接口后,直接根据目的接口刷新用户表项。
例如:A口配置了IPv6地址1::1/64,用户A(1::3/64)通过A口上线;B口配置了IPv6地址2::2,其余漫游的配置在A口和B口都正确配置了。该情况下,用户A可以从A口漫游到B口。
包括Y.1564、路径服务质量测试、TWAMP-light、TWAMP、高性能的UDP-jitter测试以及其他NQA。
由于产品实际硬件发送探测报文,软件控制探测时间,从而导致与用户实际配置的探测时间会有误差。
部署iFIT探测时,开启时延探测的情况下必须部署PTP,没有开启时延探测的情况下,可以可以使用NTP时钟同步。
通过iIFT的实现原理可知,时延数据是通过不同设备上获取的时间戳做数学运算得出的,所以必须保证在网络内不同设备上做高精度的时间同步。
standard工作模式下,仅以下单板支持本功能:CSPEX-1802XB、CSPEX-1802X、CSPEX-1812X-E、CSPEX-2304X-G、CEPC-CQ8L、CEPC-CQ16L1、RX-SPE200-E。
sdn-wan工作模式下,仅以下单板支持本功能:CSPEX-1304X、CSPEX-1304S、CSPEX-1404X、CSPEX-1404S、CSPEX-1502X、CSPEX-1504X、CSPEX-1504S、CSPEX-1602X、CSPEX-1804X、CSPEX-1512X、CSPEX-1612X、CSPEX-1812X、RX-SPE200、CEPC-XP4LX、CEPC-XP24LX、CEPC-XP48RX、CEPC-CP4RX、CEPC-CP4RX-L、CSPEX-1802XB、CSPEX-1802X、CSPEX-1812X-E、CSPEX-2304X-G、CEPC-CQ8L、CEPC-CQ16L1、RX-SPE200-E和IM-NGFWX-IV单板。
standard工作模式下,仅以下单板支持本功能:CSPEX-1802XB、CSPEX-1802X、CSPEX-1812X-E、CSPEX-2304X-G、CEPC-CQ8L、CEPC-CQ16L1、RX-SPE200-E。
sdn-wan工作模式下,仅以下单板支持本功能:CSPEX-1304X、CSPEX-1304S、CSPEX-1404X、CSPEX-1404S、CSPEX-1502X、CSPEX-1504X、CSPEX-1504S、CSPEX-1602X、CSPEX-1804X、CSPEX-1512X、CSPEX-1612X、CSPEX-1812X、RX-SPE200、CEPC-XP4LX、CEPC-XP24LX、CEPC-XP48RX、CEPC-CP4RX、CEPC-CP4RX-L、CSPEX-1802XB、CSPEX-1802X、CSPEX-1812X-E、CSPEX-2304X-G、CEPC-CQ8L、CEPC-CQ16L1、RX-SPE200-E和IM-NGFWX-IV单板。
支持。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
