H3CS12500用户FAQCopyright2013杭州华三通信技术有限公司版权所有,保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
本文档中的信息可能变动,恕不另行通知.
i目录1硬件类FAQ1S12500设备分哪几类产品1S12500是否支持PoE(以太网远程供电)2S12500能否支持直流电源2S12500的电源模块是否支持热插拔2S12500电源模块风扇噪声大是否正常2S12500电源模块输出电流很小是否正常2S12500交换网板是否支持热插拔3S12500是否支持主控板热备份3如何查看S12500的单板序列号或者制造信息3S12500是否支持风扇调速4LST2XP32非线速单板收敛情况是怎样的52软件类FAQ5S12500的BootWare是否支持向前兼容5S12500如何查看当前运行的版本和运行时间5S12500为何需要升级主机软件版本以及升级注意事项5S12500升级成功后主机软件文件是否可以删除5S12500如何查看已删除文件5S12500如何清除回收站中的文件6S12500是否支持热补丁6S12500加载新的补丁需要删除原有补丁吗6S12500设备的默认启动文件名是什么6S12500加载补丁文件有哪些注意事项6为何S12500无法显示已经保存的配置文件63系统管理维护类FAQ6超级终端连接主控板的配置串口有时为何显示不正常6S12500如何配置才能使用AUX登录7如何清除Telnet进程7S12500能支持Telnet用户名包含@字符吗7通过resetcountersinterface命令清除端口计数后,为什么用MIB获取端口错包计数没有变化7如何在BootWare中格式化FLASH或CF卡7如何进行开机前内存全面自检9S12500主备倒换后MAC表、ARP表、路由表需要重新学习吗9ii为什么所有业务板没有正常运行前不能执行save命令保存配置文件9S12500管理以太网接口没有配置IP地址能够直接UP吗10为什么使用TFTP获取S12500上的文件时传输到32M左右时失败10S12500是否支持作为TFTP服务器10设备是否可以快速上下电10流量转发到备用主控板管理以太网接口后设备如何处理10为什么sflow的会话包里面,inputinterfacevalue(入端口采样个数)或outputinterfacevalue(出端口采样个数)都会有一个是0的接口104网络安全与防攻击FAQ.
11S12500支持哪些攻击防御功能11S12500支持SSH的版本号.
12S12500是否支持本地用户先认证然后在远程进行Radius认证12为何S12500登录采用Radius认证,服务器采用ACS,console方式无法登录12为何S12500的Radius和ACS对接时,用户是否只能控制到一级权限12S12500的HWTACACS认证失败后能在本地继续认证吗13S12500支持和第三方服务器TACACS对接吗13S12500配置RADIUS认证时是否需要配置server-typeextend类型13用户通过认证后,RADIUS服务器回复的报文中是否有login-service一项13S12500如何设置命令级别13S12500HWTACACS和Cisco的ACS的级别是如何对应的13用远程认证方式,telnet到设备时,VTY用户界面下和RADIUS或TACAS服务器上用户名都设置了权限,以哪个为准13S12500作为网关设备,如何配置防止下面用户的仿冒网关攻击14S12500支持哪些OAA单板145网络接入类FAQ14S12500的端口计数值最大到几位14S12500同一接口上单播报文、广播报文和组播报文是否能够同时进行抑制14使用命令displayinterface显示的端口统计中INPUT和OUTPUT中各错包字段的含义14S12500是否支持jumbo帧15S12500各业务板中MAC地址表内容是否一样15动态MAC地址表项的老化时间是多少,如何老化15MAC地址学习数目设置为0业务能否正常转发15端口下配置了不学习MAC功能(mac-addressmax-mac-count0),但是查看端口的MAC表项,还是存在MAC表项信息16为什么一个MAC地址会学习到多个VLAN中16S12500链路聚合时流量如何分担16S12500的静态MAC是否可以在聚合口上配置16iiiS12500设备配置链路聚合后是否还支持RRPP16如果一条链路的两条光纤都是断开的,然后连接上其中一根光纤,DLDP是否起作用16设备显示的光模块光功率信息有哪些16端口速率百分比的计算公式16GE端口与10GE端口聚合,成员端口选中情况是怎样的17S12500与其他设备端口对接,为什么对端DOWN、本端没有DOWN18环路监测功能如何使用,有哪些注意事项186STP/RSTP/MSTPFAQ.
19S12500支持的STP协议有哪些19业界有哪些生成树协议19STP拓扑变化时对ARP和MAC地址如何处理20MSTPTCBPDU报文产生的条件是什么20为何有时S12500设备MSTP配置正确,但是MSTP状态却错误21RSTP和MSTP是否都有TCN报文21S12500和思科设备组网,在S12500端口去使能MSTP时,思科设备出现端口DOWN21S12500的MSTP如何和思科设备对接以及注意事项217IP转发业务类FAQ.
22S12500是否支持在物理端口上配置IP地址22S12500是否支持VLAN接口添加从地址22VLAN接口主地址删除后,从地址是否能正常工作22VLAN接口MAC地址有何作用22S12500在ARP表项超过规格后会发送TRAP告警信息吗22S12500等价路由负载分担方式是怎样实现的22S12500是否支持带权重的路由分担方式23S12500的VRRP监视接口功能有何作用23S12500VRRP是否支持在Master上配置Track项关联某个物理端口23S12500的路由协议下发的路由和ARP主机路由哪个优先23伪DHCP服务器检测功能在S12500作为二层设备的情况下能否有效23S12500如何处理超过1500字节的ICMPPING报文23S12500的ICMPPING报文发送时间间隔能否设置23使用URPF功能需要注意什么24MTU值的设置如何实现24S12500OAA单板的内联口的链路类型为TRUNK,将其加入某个VLAN并配置IPv6地址,为什么会产生地址冲突24S12500从什么版本SuperVLAN开始支持IPv6248IP路由类FAQ.
24ivS12500支持黑洞路由吗24S12500的OSPF的Cost值是否与二层以太网接口有关24不同路由协议及其发现路由的优先级是怎样的25设备打印OSPFCONFIGERROR有哪些原因25什么情况下OSPFERROR记录中有LSACK:Badack计数25S12500静态路由下一跳失效时路由为什么会迭代到黑洞路由26OSPFRouterID冲突的日志信息如何产生的269MPLS类FAQ.
27S12500与JuniperMX900设备VPLS对接注意事项27S12500LSP未超规格的情况下如何过滤非32位地址的LSP27PBB组网中BVLAN和CVLAN可以配置一样吗2710IP组播类FAQ.
28S12500支持的组播协议有哪些28S12500支持的IGMP版本有哪些28S12500组播是否支持静态RP功能28S12500是否支持组播静态路由28如何从配置上限制非法组播源28S12500是否支持组播组过滤规则29S12500组播RPF检测失败后如何实现组播按需转发29S12500PIM-SM域间的MSDP对等体切换时发现RPF检查失败的可能原因30S12500的命令link-aggregationload-sharingmode对组播的负载分担生效吗30S12500到组播源的路由下一条能否为VRRP虚拟IP地址30S12500是否支持auto-rp3011QACL类FAQ30S12500是否支持跨板配置端口镜像和流镜像30S12500是否支持跨框配置端口镜像和流镜像30S12500配置端口镜像有哪些注意事项30S12500流镜像支持配置多少目的端口31S12500端口镜像支持多少目的端口31S12500流镜像与端口镜像可以同时使用吗31S12500配置包过滤对端口镜像有无影响31S12500配置镜像在什么情况会打印这个源端口硬件不支持信息31S12500是否支持跨框端口镜像和重定向到端口功能31S12500是否支持出方向QoS策略31S12500上QoS策略匹配顺序是怎样的32S12500的VLAN中的QoS策略有哪些限制32vS12500的全局QoS策略有哪些限制32S12500的ACL规则匹配顺序是怎样的32S12500的ACL规则permit和deny在不同应用中有什么区别32为何S12500在下发了策略路由后外网无法Ping通接口地址33S12500应用在端口的ACL规则在单板重启后配置恢复顺序是怎样的33S12500的流规则能识别二三层转发报文吗33S12500是否支持同时匹配二层ACL和三层ACL规则33S12500支持访问控制(包过滤)吗33S12500如何配置访问控制(报文过滤packet-filter)33S12500支持对多个端口整体流量监管(流量限速CAR)吗34S12500端口配置流量限速后,查看端口流量为何没有变化34S12500是否支持重定向功能34S12500的重定向到下一跳是强策略路由还是弱策略路由34为何S12500配置PBR后还是能够Tracert通34S12500如何清除流量统计计数34PPPoE封装的ICMP报文能否匹配ACL规则35S12500端口上配置的qosprioritydot1p和qostrustdot1p有什么作用35S12500默认信任报文的优先级吗35S12500做MPLS网络的P设备时是否信任报文的exp字段35为什么SP和WRR混合调度的时候有时候会调度不准确35队列调度WRR可以与流量整形GTS一起使用吗36S12500上由于拥塞导致端口丢包应当怎么处理36S12500是否支持VLAN接口上的流量统计36S12500出方向被QoS策略过滤的报文能够进行端口队列统计计数吗36在IRF模式下,流镜像和端口镜像有哪些限制3612QinQ类FAQ36什么是QinQ36S12500的QinQ有几种实现方式36QinQ主要解决哪些问题37用户侧上来的报文已经有两层Tag,可否再做QinQ37流分类规则中service-vlan-id与customer-vlan-id分别表示什么含义37灵活QinQ中,外层Tag的cos值是如何得到的37灵活QinQ中可以修改内层Tag的cos值吗37S12500基本QinQ和灵活QinQ是否学习MAC37为何S12500与其他厂商设备QinQ对接会失败3713IRF类FAQ.
37viS12500可以与哪些产品组成IRF37S12500IRF最多支持多少台成员设备38配置IRF端口时,需要注意什么38S12500IRF支持哪些拓扑38IRF支持跨成员设备的以太网聚合链路吗38IRF支持将多条IRF物理链路与同一条IRF链路绑定吗38组成IRF的成员设备编号可以相同吗38组成IRF的成员设备上,哪些配置必须相同38使能IRF增强模式后设备就不能配置三层以太网接口吗39如何才能取消IRF增强模式39配置LACPMAD时,对中间设备有要求吗39为何在IRF模式下,全局使能STP之后,BFDMAD会不生效39为何IRF使能MAD检测,IRF分裂之后重启处于Active状态的IRF,但IRF重新合并之后重新加入的成员设备上的业务端口都是down的39用户在IRF分裂状态下在设备上新增配置并保存,为何重新形成IRF之后这些新增配置会丢失39为何IRF分裂后Slave会自动重启40为什么IRF端口配置流量分担跨框转发不能达到线速40为什么在IRF分裂之后Master执行save操作,Slave重启、重新加入IRF之后,IRF分裂之前的Slave业务配置仍在4011硬件类FAQS12500设备分哪几类产品H3CS12500系列产品包括:H3CS12504,H3CS12508及H3CS12518.
H3CS12504有两个主控板槽位,分别在0槽和1槽,2~5槽位是业务板槽位;H3CS12508有两个主控板槽位,分别在0槽和1槽,2~9槽位是业务板槽位;H3CS12518有两个主控板槽位,分别在0槽和1槽,2~19槽位业务板槽位;各型号设备外观如下(从左至右依次为S12504、S12508、S12518):图1设备前视图2S12500是否支持PoE(以太网远程供电)不支持.
S12500能否支持直流电源可以.
S12500系列目前支持的电源包括直流电源和交流电源.
S12500的电源模块是否支持热插拔S12500系列的电源模块支持热插拔,只要电源模块的功率满足当前设备运行功率要求就能够保证S12500正常运行.
S12500电源模块风扇噪声大是否正常S12500的交流电源模块无电流或者电流很小(小于5A)时,电源模块采用硬开关技术,发热大,这时风扇转速较高.
当电源模块负载稍大、电流大于5A时,采用软开关技术,发热量变小,风扇转速会降低.
但满载时,其输出功率大,内部发热大,风扇转速也很高.
由于电源系统的备份作用,在位的电源模块风扇会根据自身温度调节自身风扇的转速,在一定的时间内出现轻载导致风扇转速高属于正常现象,电源模块也不会告警.
如果电源模块发生故障,会主动上报故障告警.
S12500直流电源模块如果噪声很大,一般都是负载较高、发热量大造成的.
S12500电源模块输出电流很小是否正常查看S12500电源模块输出电流时发现部分数值很小,甚至为0,如下:displaypower-supplyverbosePowerinfoonchassis0:Systempower-supplypolicy:enableSystempower-moduleredundant(configured):1Systempowerusable:22000WattsSystempowerredundant(actual):2000WattsSystempowerallocated:6930Watts……DCoutputcurrentinformation:Totalcurrent(A):90.
20BranchValue(A)1/10.
00《----显示输出电流01/28.
201/38.
401/48.
401/58.
801/68.
202/18.
202/28.
2032/38.
202/48.
202/57.
202/68.
20系统电源负载小于25%时,个别模块的输出电流数值相对其它电源模块可能会很小甚至为0,这种现象是正常的.
这时该电源模块虽然几乎没有输出电流,但其仍旧具有备份的作用,当系统负载增加或者某个电源模块被拔出,电源监控软件会自动调整输出电流的大小,显示的value值也会相应增大.
如果随着系统负载增加或在用电源模块减少,某电源模块的输出电流并没有相应增大、始终接近0,那么此电源模块可能存在问题.
S12500交换网板是否支持热插拔支持热插拔.
S12500是否支持主控板热备份S12500支持主控板热备份,主用主控板故障时能自动切换到备用主控板而不中断业务.
主备主控板运行的软件版本必须一致.
也可以使用命令进行手工的主备倒换:独立运行模式[Sysname]slaveswitchoverCaution!
!
!
Confirmtoswitchslavetomaster[Y/N]:yIRF模式rebootchassisslot手工倒换前备用主控板板必须已经将主用主控板信息备份完成,即处于实时备份状态.
如果正在备份过程中,系统会提示倒换不成功,可以使用命令displayswitchoverstate查看备用主控板的状态:displayswitchoverstate如何查看S12500的单板序列号或者制造信息可以在设备上用以下命令查看.
displaydevicemanuinfoChassisselfSlot0:DEVICE_NAME:LST1GT48LEC1DEVICE_SERIAL_NUMBER:210231A85N0099000041MAC_ADDRESS:NONEMANUFACTURING_DATE:2012-10-21VENDOR_NAME:H3CSlot2:DEVICE_NAME:LST1GT48LEC1DEVICE_SERIAL_NUMBER:210231A85N0099000041MAC_ADDRESS:NONEMANUFACTURING_DATE:2012-10-21VENDOR_NAME:H3C4S12500是否支持风扇调速H3CS12500系列支持风扇的调速功能,能够根据机框内的温度高低来自动调整风扇运行转速.
可以使用命令displayfanverbose查看风扇转速等信息:displayfanverboseFan-trayverbosestateonchassis2:Fan-tray1:Softwareversion:105Hardwareversion:Ver.
ACPLDversion:002Fannumber:12Temperature:37°CHightemperaturealarmthreshold:60°CLowspeedalarmthreshold:750rpmFanStatusSpeed(rpm)1normal43202normal44403normal43804normal47405normal40806normal44407normal43208normal43209normal438010normal456011normal450012normal4500Fan-tray2:Softwareversion:105Hardwareversion:Ver.
ACPLDversion:002Fannumber:12Temperature:37°CHightemperaturealarmthreshold:60°CLowspeedalarmthreshold:750rpmFanStatusSpeed(rpm)1normal43202normal44403normal43804normal47405normal40806normal44407normal43208normal43209normal438010normal4560511normal450012normal4500LST2XP32非线速单板收敛情况是怎样的LST2XP32单板支持32个10GE的4:1收敛的非线速单板,其中用户端口号为1,5,9,13为一个收敛组;4,8,12,16为一个收敛组,2,6,10,14为一个收敛组,3,7,11,15为一个收敛组,其他的收敛组照此类推,每个收敛组共有10G带宽.
2软件类FAQS12500的BootWare是否支持向前兼容S12500的BootWare向前兼容.
因此,升级软件后,如果回退主机版本,可以不回退BootWare.
S12500如何查看当前运行的版本和运行时间可以使用命令displayversion查看系统当前运行的主机程序版本、BootWare版本和设备运行时间.
S12500为何需要升级主机软件版本以及升级注意事项为满足客户需求和解决问题,软件会不断的增加新功能和新特性、修正软件错误、优化程序以提高设备性能、提高设备稳定性、提高设备抗攻击能力等等.
应用新特性以及避免已知的问题出现影响业务需要通过升级主机软件版本解决.
为避免升级后出现命令行兼容问题,需要核对升级后的配置和原有配置的差别.
由于配置文件比较大,很难看出哪些配置信息没有被恢复,所以最好用文件对比工具(例如BeyondCompare)对升级前后的配置文件进行比较(不适合V5升级到V7的情况.
V5升级到V7的方法请用户参见《S12500V5至V7版本升级指导书》).
具体方法如下:(1)升级前用命令save保存配置文件,通过FTP将配置文件下载到PC机;(2)升级完成等所有单板正常运行后,再用命令save保存配置文件,通过FTP将配置文件下载到PC机;(3)请通过文件比较工具对文件进行比较,确定哪些配置被没有正确恢复,然后通过手工配置.
S12500升级成功后主机软件文件是否可以删除主机软件版本文件中包含主控板软件和业务板软件两部分,而主控板和业务板每次启动时都要读取,所以不能删除.
S12500如何查看已删除文件S12500提供回收站功能,使用delete命令删除的文件会保留在回收站中,只有使用delete/unreserved命令才能彻底删除文件.
可以使用undelete来恢复没有彻底删除的文件.
使用dir命令不显示已经被删除并被放入回收站中的文件,只有使用dir/all命令才能显示回收站中的文件,这些文件的文件名被"[]"包含.
6S12500如何清除回收站中的文件S12500使用resetrecycle-bin命令清除回收站中的文件,彻底释放空间.
如果回收站的中文件损坏,则可以在命令后加force参数强制删除.
S12500是否支持热补丁S12500支持热补丁功能.
S12500加载新的补丁需要删除原有补丁吗S12500的新补丁都会包含原有补丁内容,在加载新补丁前需要手工删除存储介质中的原有补丁,不能够直接覆盖.
S12500设备的默认启动文件名是什么缺省情况下,S12500设备的启动文件为flash:/config.
cfg.
S12500加载补丁文件有哪些注意事项需要确认要加载的补丁文件位于FLASH或CF卡中.
设置的补丁加载目录和存放目录保持一致.
主备主控板上补丁文件存放目录保持一致,并且补丁文件都存在.
为何S12500无法显示已经保存的配置文件当设备出厂后第一次启动的时候,是无法显示已经保存的配置文件的.
displaystartupMainBoard:Startupsaved-configurationfile:NULLNextstartupsaved-configurationfile:flash:/config.
cfgSlaveBoard:Startupsaved-configurationfile:NULLNextstartupsaved-configurationfile:flash:/config.
cfg3系统管理维护类FAQ超级终端连接主控板的配置串口有时为何显示不正常如果交换机上电后配置终端无显示信息,首先请排除以下方面的问题:电源系统是否正常;主控板是否正常;是否已将配置电缆接到主控板的配置口(Console).
如果以上检查未发现问题,很可能有如下原因:7配置电缆连接的串口错误(实际选择的串口与终端设置的串口不符);配置终端参数设置错误;配置电缆本身有问题.
如果配置终端上显示乱码,很可能是配置终端参数设置错误正确设置为:波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无,选择终端仿真为VT100.
需要注意的是:对于SecureCRT终端软件,需要在连接设置时取消Flow-control中的DTR/DSR或者RTS/CTS,而SecureCRT的默认配置为勾选"RTS/CTS".
S12500如何配置才能使用AUX登录S12500可以通过Aux口登录设备,配置方法如下:[Sysname]user-interfaceaux0[Sysname-ui-aux0]authentication-modenone[Sysname-ui-aux0]userprivilegelevel3如何清除Telnet进程通过在用户视图下执行命令freeuser-interfacevtynumber可以清除Telnet进程.
S12500能支持Telnet用户名包含@字符吗S12500不支持本地用户名包含@字符.
通过resetcountersinterface命令清除端口计数后,为什么用MIB获取端口错包计数没有变化命令行端口上计数与通过MIB获取的计数有所不同.
通过resetcountersinterface命令清除端口的计数时,虽然会清除接口管理模块对应接口上的计数信息,但并不会清除底层的硬件计数信息.
通过MIB获取端口计数是通过获取底层硬件的计数器进行累加的,因此不会受到影响.
如何在BootWare中格式化FLASH或CF卡设备启动时根据提示按Ctrl+B进入bootrom菜单,选择当前操作的设备类型为FLASH或CF卡,然后按键Ctrl+F进行当前存储器的格式化操作(缺省的当前存储器为Flash,如果要格式化CF卡,可以在BootWare菜单中修改当前操作的存储空间为CF卡).
EXTEND-BOOTWAREMENU>|BootSystem|EnterSerialSubMenu|EnterEthernetSubMenu|FileControl|RestoretoFactoryDefaultConfiguration||BootWareOperationMenu|ClearSuperPassword|StorageDeviceOperation8|ProductSpecialOperation|RebootCtrl+Z:AccessEXTEND-ASSISTANTMENUCtrl+F:FormatFileSystemEnteryourchoice(0-9):8DEVICECONTROL>|DisplayAllAvailableNonvolatileStorageDevice(s)||SetTheOperatingDevice|SetTheDefaultBootDevice|ExitToMainMenuEnteryourchoice(0-3):2Pleasesettheoperatingdevice:|Note:theoperatingdeviceiscfa0||NO.
DeviceNameFileSystemTotalSizeAvailableSpace|1flashVFS132909056132892672|2cfa0FAT1044549632282378240|0ExitEnteryourchoice(0-2):1Settheoperationdevicesuccessful!
DEVICECONTROL>|DisplayAllAvailableNonvolatileStorageDevice(s)||SetTheOperatingDevice|SetTheDefaultBootDevice|ExitToMainMenuEnteryourchoice(0-3):0EXTEND-BOOTWAREMENU>|BootSystem|EnterSerialSubMenu|EnterEthernetSubMenu|FileControl|RestoretoFactoryDefaultConfiguration||BootWareOperationMenu|ClearSuperPassword|StorageDeviceOperation|ProductSpecialOperation|RebootCtrl+Z:AccessEXTEND-ASSISTANTMENUCtrl+F:FormatFileSystem9Enteryourchoice(0-9):Warning:Allfilesonflashwillbelost!
Areyousuretoformat[Y/N]如何进行开机前内存全面自检在交换机上电后,还没有输出启动信息之前,按键Ctrl+T可进行内存5步测试;如果按键Ctrl+Y可进行9步内存全面测试.
五步测试结果显示如下:%Jun410:47:23:0922013H3CDEVM/5/SYSTEM_REBOOT:Systemisrebootingnow.
DDR2SDRAMtestsuccessful.
PressCtrl+Ttostartfive-stepfullRAMtest.
.
.
PressCtrl+Ytostartnine-stepfullRAMtest.
.
.
Runningfive-stepRAMtest.
.
.
Thisoperationmaytakeseveralminutes.
Pleasewait.
.
.
DDR2SDRAMdatalinetesting.
.
.
[PASS]DDR2SDRAMaddresslinetesting.
.
.
[PASS]Five-stepRAMtestsucceeded.
Systemisstarting.
.
.
九步测试结果显示如下:DDR2SDRAMtestsuccessful.
StartingNine-Stepramtest.
DDR2SDRAMdatalinetesting.
.
.
[PASS]DDR2SDRAMaddresslinetesting.
.
.
[PASS]DDR2SDRAMunittesting.
.
.
[PASS]Nine-Stepramtestsuccessful.
Systemisstarting.
.
.
BootingNormalExtendBootWareTheExtendBootWareisself-decompressing.
Done!
S12500主备倒换后MAC表、ARP表、路由表需要重新学习吗MAC表项存在于业务板,主备倒换不需要重新学习,转发不受影响.
ARP表项在备用主控板上会进行备份,主备倒换不需要重新学习,转发不受影响.
FIB表在备用主控板上会进行备份,如果路由协议配置GR或NSR,主备倒换之后路由协议不中断,路由表项重新学习,但转发不受影响;如果路由协议没有配置GR,对端设备协议中断,路由表项也会重新学习,导致转发受到影响.
为什么所有业务板没有正常运行前不能执行save命令保存配置文件S12500的配置信息保存在Flash的配置文件中,单板启动时会读取配置文件恢复对此单板的配置信息,并在内存中保留一份当前运行的配置信息.
在系统启动阶段,如果所有接口还没有正常运行,即配置文件还未完全恢复到内存中,此时执行命令save保存,就会以内存中不完整的配置信息覆盖配置文件,会造成部分配置信息丢失.
10S12500管理以太网接口没有配置IP地址能够直接UP吗S12500的管理以太网接口只要二层连接就能够UP,且软件已经作了流量限制,不会因为报文冲击导致系统运行异常.
为什么使用TFTP获取S12500上的文件时传输到32M左右时失败传输到32M左右中断和TFTP服务器的机制相关,和S12500不相关,TFTP协议规定每个块标记(2字节)是从0到65535,刚好32M;当传输到32M时,有些TFTP服务器的标记块到达FFFF后没有跳转到0000,也就没有再向S12500去请求传输报文,所以传输中断,请更换TFTP服务器软件.
S12500是否支持作为TFTP服务器不支持.
设备是否可以快速上下电建议上下电的时候应该逐一关闭所有电源开关,并等待3-5S待机框内电源释放干净以后再依次开启所有电源开关.
流量转发到备用主控板管理以太网接口后设备如何处理这类报文还是会占用CPU处理的,但是会进行判断,如果是备用主控板,把这类报文直接丢弃,主用主控板才会对报文上送平台做进一步处理;对于主控板CPU接收到管理以太网接口(不管主用还是备用)报文会有每秒钟最多处理2000个报文的限制.
为什么sflow的会话包里面,inputinterfacevalue(入端口采样个数)或outputinterfacevalue(出端口采样个数)都会有一个是0的接口入方向采样的报文只有入端口报文个数,没有出端口报文个数信息,出方向采样的报文只有出端口的报文个数,没有入端口的报文个数信息.
11图2入方向采样图3出方向采样4网络安全与防攻击FAQS12500支持哪些攻击防御功能表1S12500攻击防御功能简介攻击防御分类攻击防御措施功能描述链路层攻击防御MAC地址防攻击设定端口可以学习到的最大MAC地址数目,避免被大量源MAC地址频繁变化或者VLAN频繁变化的报文攻击STP的防攻击主要的防护措施有BPDU保护、根保护、环路保护、防TC报文攻击、防止STP协议状态混乱12攻击防御分类攻击防御措施功能描述ARP攻击防御ARP源抑制功能用于防止设备被固定源发送的IP报文攻击ARP黑洞路由功能用于防止设备被不固定的源发送的IP报文攻击ARP主动确认功能用于防止攻击者仿冒用户欺骗设备源MAC地址固定的ARP攻击检测用于防止设备被同一MAC地址源发送的攻击报文攻击ARP报文源MAC一致性检查功能用于防止设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击IP层攻击防御URPF检查用于防止基于源地址欺骗的网络攻击行为ICMP防攻击为了防止ICMP分片报文攻击,用户可以关闭设备的ICMP分片报文转发功能,对于收到的ICMP分片报文不进行转发.
TTL报文防攻击通过关闭ICMP超时报文发送功能来避免被攻击者恶意攻击传输层攻击防御防止Syn-flood攻击当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYNACK报文,可以避免在服务器上建立大量的TCP半连接,防止服务器受到SYNFlood攻击防止Naptha攻击设备周期性地检测处于各TCP连接状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数,则加速该状态下TCP连接的老化,降低了服务器遭受Naptha攻击的风险S12500支持SSH的版本号版本/功能SSH1版本SSH2版本S12500只支持作为服务器端支持作为服务器端和客户端S12500是否支持本地用户先认证然后在远程进行Radius认证H3CS12500不支持先本地认证再RADIUS认证,只能先RADIUS认证再本地认证,而且是必须要在RADIUS无响应的情况下才执行本地认证.
为何S12500登录采用Radius认证,服务器采用ACS,console方式无法登录需要将ACS上面的Login-service选项去除,这样才可以允许Console口用户登录.
为何S12500的Radius和ACS对接时,用户是否只能控制到一级权限下面三项中的任意一项没有设置正确,就会出现问题描述的现象:在S12500配置RADIUS并和思科的ACS对接,需要在设备上配置server-type为extend.
13ACS上的2011/002私有属性没有配置完整.
ACS上没有配置Login-service属性.
S12500的HWTACACS认证失败后能在本地继续认证吗S12500支持在HWTACACS服务器不能连接后启用本地认证方式,但对于HWTACACS服务器正常,但认证失败(即用户名/密码错误)的情况则不会启用本地认证.
在需要启用这个功能的domain下在HWTACACSscheme后配置local即可,类似如下命令:domainisp-nameauthenticationdefaulthwtacacs-schemehwtacacs-scheme-namelocalS12500支持和第三方服务器TACACS对接吗只要第三方的TACACS服务器按照标准RADIUS协议实现,S12500即可和该服务器对接,包括思科的ACS以及FreeTACACS等开源的TACACS服务器.
S12500配置RADIUS认证时是否需要配置server-typeextend类型S12500如果配置RADIUS认证时需要指定访问路径而不是缺省的Flash或者Telnet用户需要下发权限级别而不是缺省的0级权限,则需要配置server-type为extend,其他情况可以不用配置.
用户通过认证后,RADIUS服务器回复的报文中是否有login-service一项这取决于服务器设置,S12500不关注"login-service"选项,但对"service-type"需要处理.
S12500如何设置命令级别可以使用命令userprivilegelevelX配置从当前用户界面登录系统的用户所能访问的命令级别.
本地用户下通过authorization-attributelevel命令来决定;支持使用HWTACACS计费功能在服务器上配置命令的级别.
如果支持HWTACACS计费功能,通常在实际网络中采用在服务器上设置命令级别.
S12500HWTACACS和Cisco的ACS的级别是如何对应的H3CS12500的HWTACACS的0~2级对应ACS的0~2级,ACS的3~16级对应HWTACACS的3级.
用远程认证方式,telnet到设备时,VTY用户界面下和RADIUS或TACAS服务器上用户名都设置了权限,以哪个为准先以RADIUS或者TACAS服务器上用户名配置权限为准,再以本地配置的VTY用户界面下权限为次之.
默认权限都是0级.
例如:如果VTY配置了3级权限,服务器上配置的用户名没有权限,那么使用用户名telnet登录后只有0级权限.
14如果VTY没有配置权限或配置了任意权限,服务器上配置的用户名有3级权限,那么使用用户名telnet登录后只有3级权限.
实际上VTY用户界面下配置的权限是在不认证情况下,即在设备配置了[Sysname-ui-vty0]authentication-modenone或password时才发生作用的.
S12500作为网关设备,如何配置防止下面用户的仿冒网关攻击如果S12500收到有设备冒充自己的ARP报文,会主动发送一个免费ARP报文,来修改下挂被欺骗的ARP表项.
如果攻击报文较多,可以查找出攻击报文的入端口,抓取报文,获取报文特征,再下发ACL规则进行过滤.
S12500支持哪些OAA单板S12500支持防火墙(FW)类型、NetStream(NSM)类型、负载均衡(LB)类型、千兆入侵防御(IPS)类型和应用控制网关(ACG)类型OAA单板.
5网络接入类FAQS12500的端口计数值最大到几位H3CS12500的端口计数最大64bit,超过64bit范围便重新计数.
S12500同一接口上单播报文、广播报文和组播报文是否能够同时进行抑制可以同时抑制,但需要对单播报文、广播报文和组播报文分别配置,并且抑制值必须相同.
[Sysname-GigabitEthernet1/5/0/24]unicast-suppression[pps|kbps]xxx[Sysname-GigabitEthernet1/5/0/24]multicast-suppression[pps|kbps]xxx[Sysname-GigabitEthernet1/5/0/24]broadcast-suppression[pps|kbps]xxx使用命令displayinterface显示的端口统计中INPUT和OUTPUT中各错包字段的含义表2INPUT字段含义runts超短帧,即端口收到帧长小于64字节,且没有CRC校验错误的帧;giants超长帧,即端口收到帧长大于允许通过的最大长度,且没有CRC校验错误的帧;throttles超小而且CRC错误的帧;CRC校验和错误,即端口收到的帧CRC校验和错误;frame错误帧,即端口收到未知错误的帧;overrunsoverrun帧,由于端口输入速率超过接受方处理能力,导致丢包,在网络出现拥塞时会导致overrun的出现;aborts输入描述符错误,S12500交换机不存在该错误帧;15表3OUTPUT字段含义underruns帧下溢错误,S12500交换机不存在该错误帧;bufferfailures缓冲失败,S12500交换机不存在该错误帧;aborts帧丢失,当网络存在拥塞时,导致报文不能从MAC层转发,会出现aborts错误;deferred帧延时,半双工模式下,在以太网帧数据部分的前64字节进入线路后,由于检测到冲突,当时没有发出的包;collisions冲突帧;latecollisions滞后冲突帧,帧在MAC层中缓存,被滞后发送;lostcarrier滞后发送帧,S12500交换机不存在该错误帧;nocarrier载波丢失帧,S12500交换机不存在该错误帧;outputerror的情况很少会碰到.
大部分问题都是inputerror,如果收到runts,giants,throttles,CRC,frame等错帧,需要检查对端设备或者中间的传输链路是否存在问题;如果收到overruns等错帧,需要确定本端的链路带宽是否足够.
S12500是否支持jumbo帧S12500支持Jumbo帧设置,最长可以设置到9216字节,对于LST1XP16LEB1和LST1XP16LEC1单板的jumbo帧最大则为8168字节.
S12500各业务板中MAC地址表内容是否一样各业务板中MAC地址表项内容不一定相同.
每块业务板只包含端口所属VLAN的MAC地址;如果VLAN分布在多个业务板上,则MAC地址需要在业务板间同步.
动态MAC地址表项的老化时间是多少,如何老化动态MAC地址表项的老化时间默认5分钟,命令mac-addresstimeraging可以修改MAC地址动态表项的老化时间.
MAC地址的老化时间更新机制:某条数据流进入端口后,MAC地址进行动态学习.
如果该数据流一直存在,则此MAC地址老化时间会一直刷新,不会进行老化.
当数据流停止,MAC地址经过老化时间后自动老化.
目前不支持对某个动态MAC地址老化剩余时间的查询.
MAC地址学习数目设置为0业务能否正常转发MAC地址学习数目设置为0后,端口的MAC地址不学习,缺省情况下报文仍然会采用广播的方式在VLAN内转发.
如果需要报文不转发,可以在端口/聚合接口/VLAN视图下配置达到MAC学习数目后不转发:mac-addressmax-mac-countdisable-forwarding.
16端口下配置了不学习MAC功能(mac-addressmax-mac-count0),但是查看端口的MAC表项,还是存在MAC表项信息这些MAC表项是在配置MAC不学习之前学习到的,在配置不学习MAC命令时软件不会主动删除这些MAC表项,需要等到时间后自行老化.
为什么一个MAC地址会学习到多个VLAN中S12500的MAC地址学习是基于MAC+VLAN方式进行学习的,如果多个VLAN收到相同MAC地址的报文,则多个VLAN下都会学习到相同的MAC地址.
S12500链路聚合时流量如何分担通过命令行link-aggregationload-sharingmode可以改变负载分担的模式、灵活地实现聚合组流量的负载分担,系统利用Hash算法来计算负载分担的模式,该算法可依据报文中携带的MPLS标签、服务端口号、IP地址、MAC地址、报文入端口等信息及其组合进行计算.
S12500的静态MAC是否可以在聚合口上配置S12500的静态MAC可以配置在聚合端口上.
S12500设备配置链路聚合后是否还支持RRPP支持.
如果一条链路的两条光纤都是断开的,然后连接上其中一根光纤,DLDP是否起作用在链路两边状态都是down的情况下,DLDP邻居没有建立,DLDP不起作用.
设备显示的光模块光功率信息有哪些S12500支持光模块的诊断功能,当光模块接收或发送光功率异常时,有可能导致端口DOWN,需要检查两端光模块类型是否匹配,链路是否正常;光功率的常见信息说明如下:"RXpowerishigh!
"――光模块接收光功率高"RXpowerislow!
"――光模块接收光功率低"RXpowerisnormal!
"――光模块接收光功率正常"TXpowerishigh!
"――光模块发送光功率高"TXpowerislow!
"――光模块发送光功率低"TXpowerisnormal!
"――光模块发送光功率正常端口速率百分比的计算公式端口速率百分比是端口实际流量和端口总带宽的比值,用来描述端口带宽的实际使用率.
端口速率百分比的计算主要在于要加上帧间隙和前导码:(ulActualSpeed+20(前导码+帧间隙)*ulPktSpeed)*8/ulRatedSpeed17ulActualSpeed为下面显示的字节速率(红色字体),ulPktSpeed为下面显示的报文速率(蓝色字体),ulRatedSpeed为端口速率,比如10GE端口则为10000000000bps.
[Sysname-Ten-GigabitEthernet5/0/2]displayinterfaceTe5/0/2Ten-GigabitEthernet5/0/2currentstate:DOWNIPPacketFrameType:PKTFMT_ETHNT_2,HardwareAddress:00e0-fc00-0000Description:Ten-GigabitEthernet5/0/2InterfaceLoopbackisnotset……Peakvalueofinput:0bytes/sec,at2000-04-2612:00:32Peakvalueofoutput:0bytes/sec,at2000-04-2612:00:32Last300secondsinput:0packets/sec0bytes/sec0%Last300secondsoutput:0packets/sec0bytes/sec0%Input(total):0packets,0bytes-unicasts,-broadcasts,-multicastsInput(normal):0packets,0bytes0unicasts,0broadcasts,0multicastsInput:0inputerrors,0runts,0giants,0throttles0CRC,0frame,0overruns,-aborts-ignored,-parityerrorsOutput(total):0packets,0bytes-unicasts,-broadcasts,-multicasts,-pausesOutput(normal):0packets,0bytes0unicasts,0broadcasts,0multicasts,0pausesOutput:0outputerrors,-underruns,-bufferfailures0aborts,0deferred,0collisions,0latecollisions-lostcarrier,-nocarrierGE端口与10GE端口聚合,成员端口选中情况是怎样的端口聚合分为两种模式:静态聚合和动态聚合.
下面在端口优先级相同的情况下分别就两种模式介绍端口选中情况:静态聚合:由于静态聚合按照端口的全双工/高速率->全双工/低速率->半双工/高速率->半双工/低速率的优先次序,选择优先次序最高、且第二类配置(关于"第二类配置"的定义,请参见二层技术-以太网交换配置指导中的"以太网链路聚合")与对应聚合接口相同的端口作为该组的参考端口,所以10GE端口会选择为参考端口.
故最终10GE端口为选中端口,GE端口为非选中端口.
动态聚合:动态聚合比较的是端口号,端口号最小的作为参考端口.
该端口号并不对应用户端口号,而是一个16bit的索引.
可通过命令displaylink-aggregationmember-port查到.
所以是GE端口还是10GE端口成为选中端口取决于具体的端口号.
[Sysname-Ten-GigabitEthernet15/0/1]dislink-aggregationmember-portTen-GigabitEthernet15/0/1Flags:A--LACP_Activity,B--LACP_Timeout,C--Aggregation,D--Synchronization,E--Collecting,F--Distributing,G--Defaulted,H--Expired18Ten-GigabitEthernet15/0/1:AggregationInterface:Bridge-Aggregation5Local:PortNumber:105PortPriority:32768Oper-Key:4Flag:{AC}Remote:SystemID:0x8000,3822-d659-7c00PortNumber:112PortPriority:32768Oper-Key:1Flag:{AC}ReceivedLACPPackets:3packet(s)Illegal:0packet(s)SentLACPPackets:3packet(s)注意:IRF物理端口由于是产品自行对端口进行加入/退出聚合组操作的,所以是不区分GE、10GE口的.
IRF物理端口同时有GE、10GE端口时要保证经过任何一个IRF物端口的流量不大于GE流量,否则当流量到GE端口时会出现丢包.
S12500与其他设备端口对接,为什么对端DOWN、本端没有DOWN对于GE光口互连,如果配置了强制速率双工,只要S12500端口可以接收光信号,端口就可以UP;如果是自协商,则如果对端DOWN,本端也应该会DOWN.
对于10GE光口互连,如果是S12500之间互连,那么端口MAC层之间会有协商,一端如果检测到LocalFault,该端口会DOWN并且会发送RemoteFault通知对端,对端检测到RemoteFault也会将本端口DOWN掉.
如果是S12500与其他设备端口对接,对端端口DOWN,但是发光是好的,并且没有发送RemoteFault,则本端不会DOWN掉.
环路监测功能如何使用,有哪些注意事项环路监测功能原理设备通过发送环路监测报文、并监测其是否返回本设备以确认是否存在环路.
若某端口收到了由本设备发出的环路监测报文,就确认该端口存在环路.
此功能不需要下游设备感知和配合.
环路监测是基于VLAN进行的,但不排除存在因QinQ或VLAN映射等特性的配置错误而产生环路的情况,也不能排除互连端口的PVID配置的不一样,导致的跨VLAN环路(尽管发出和收到的报文所携带的VLAN信息不同,但仍认为存在环路).
注意事项只建议针对可疑VLAN配置,或者下挂设备比较多可能存在环路的VLAN,不建议对所有VLAN配置,避免占用大量系统资源.
如果规划链路本身就是要冗余备份的,配置STP即可,而不是环路检测.
环路监测和STP不冲突,但我们建议优先选择单独配置STP;环路监测的好处:只要环路中一台设备配置就可以监测到环路,而STP需要所有设备参与.
但我们建议默认使用STP来检测整个网络的环路,因为环路检测无法找到环路原因,只能检测出环路,而19STP则从全局网络拓扑的角度出发,来切断环路的可能,且链路之间可以冗余备份切换.
我们仅仅建议在故障排查的时候,使用环路检测来快速找到环路的端口.
如果两者配合使用,环路监测也不要配置shutdown模式,否则环路检测的shutdown端口的动作可能会干扰到STP的动作.
如果VLAN内已使能了环路监测功能,那么在属于该VLAN的端口上不建议再配置端口镜像功能,否则可能引起环路监测功能出错.
配置loopback-detectionactionnone后,监测到环路会打印log和trap,不解决环路.
但注意如果一旦环路长期没有解决,则环路检测报文本身可能会加剧这种环路的广播流量.
配置loopback-detectionactionshutdown,在使能了环路监测的vlan内,所有收到"源MAC是本设备桥MAC的报文"的端口都会被down掉,即这个VLAN的所有环路端口都会DOWN掉了,而STP则只会DOWN掉少量的端口来保证整个网络没有环路.
且除非用户通过undoshutdown命令进行手工开启,否则被环路监测Shutdown模式所关闭的端口将一直维持关闭状态,这可能导致该端口上流量中断;最好有管理员在场,解决环路问题后undoshutdown端口.
1825及之后的版本支持MAC地址迁移日志上报功能,通过此功能也可以发现可能存在的二层环路,且对业务无影响.
6STP/RSTP/MSTPFAQS12500支持的STP协议有哪些S12500支持现有标准生成树协议:STP、RSTP、PVST和MSTP,默认使用MSTP协议,兼容STP和RSTP.
STP(SpanningTreeProtocol),生成树协议;RSTP(RapidSpanningTreeProtocol),快速生成树协议,兼容STP;MSTP(MultipleSpanningTreeProtocol),多生成树协议,兼容STP和RSTP;PVST(PerVLANSpanningTree,每VLAN生成树)则可以在每个VLAN内都拥有一棵生成树,能够有效地提高链路带宽的利用率.
业界有哪些生成树协议表4业界生成树协议介绍协议全称中文名称标准目的MAC优点缺点SpanningTreeProtocol生成树协议IEEE802.
1d01-80-c2-00-00-00消除回路,阻止广播风暴,链路备份收敛慢RapidSpanningTreeProtocol快速生成树协议IEEE802.
w01-80-c2-00-00-00改进收敛速度(可选和备份端口、点对点链路、边缘端口)整网只有一颗树,拓扑改变影响大;TRUNK口产生环路;链路阻塞带宽浪费PerVLANSpanningTreeVLAN生成树协议Cisco01-00-0c-cc-cc-cd实现VLAN认知和负载均衡多VLAN通信量大;不兼容STP/RSTP20协议全称中文名称标准目的MAC优点缺点PerVLANSpanningTree+改进VLAN生成树协议Cisco01-00-0c-cc-cc-cdVLAN1运行STP协议,其他VLAN上运行PVST协议多VLAN通信量大Multi-InstanceSpanningTreeProtocol多实例生成树协议Cisco01-80-c2-00-00-00实现VLAN认知和负载均衡;低CPU占用率不兼容STP/RSTP/PVST协议Multi-InstanceSpanningTreeProtocol--PerVLANSpanningTree+多实例生成树协议和改进VLAN生成树协议中间模式Cisco01-80-c2-00-00-00MISTP和PVST+中间模式,兼容MISTP和PVST+私有协议不便于普及MultipleSpanningTree多生成树协议Cisco01-80-c2-00-00-00实现VLAN认知和负载均衡;低CPU占用率;端口快速切换;可以向下兼容STP/RSTP/PVST+,发送Cisco自定义报文格式不兼容IEEE802.
1s标准MSTP报文格式MultipleSpanningTreeProtocol多生成树协议IEEE802.
1s01-80-c2-00-00-00实现VLAN认知和负载均衡;低CPU占用率;端口快速切换;可以向下兼容STP/RSTP/PVST+,发送标准报文格式STP拓扑变化时对ARP和MAC地址如何处理STP拓扑变化会及时删除端口上的MAC表项;STP拓扑变化会将对应的ARP表项置为无效表项,同时发出ARP请求报文,如果收到ARP回应报文则会更新ARP表项,否则删除对应的ARP表项;如果STP拓扑变化之后又重新学习到了MAC,这个MAC也会同时更新MAC对应的ARP表项.
MSTPTCBPDU报文产生的条件是什么依据IEEEStd802.
1sMSTP标准协议,如下三个条件同时成立时端口会产生TC:端口不是stpedgedport;端口角色从Alternate/Backup/Disabled转化成Root/Designated/Master;端口状态从Discarding/Learning转化成Forwarding.
上述条件一样适用于我们的STP模式和RSTP模式.
实际网络中如下几种触发因素导致STP重计算时可能产生TC:设备故障或恢复;端口链路状态变化;设备配置改变;21BPDU收发出现不正常.
为何有时S12500设备MSTP配置正确,但是MSTP状态却错误S12500运行在MSTP模式时,端口可以有两种工作模式:STP兼容模式、MSTP模式.
如果端口连接到运行STP的交换机,端口会自动迁移到STP兼容模式,但是端口连接设备改成MSTP设备后,端口不会主动切换回MSTP模式,此时在MSTP计算时就会出现错误,需要在该端口视图下配置stpmcheck命令才能让MSTP运行正常.
在应用MSTP配置时需要注意,更改过STPMode后需要在端口应用stpmcheck命令.
RSTP和MSTP是否都有TCN报文RSTP没有TCN报文,当拓扑结构发生改变时,RSTP将BPDU中的TC位置1,然后向根端口发送.
S12500和思科设备组网,在S12500端口去使能MSTP时,思科设备出现端口DOWN这是因为S12500去使能MSTP后会透传思科设备的STP报文,思科设备在收到自己发送出去的STP报文后将端口DOWN掉.
S12500的MSTP如何和思科设备对接以及注意事项S12500可以与思科设备的MSTP和PVST+在MSTI0对接,但是不能与PVST对接.
由于思科设备采用的MSTP实现和我司采用的不一致,所以尽管域配置信息相同,双方设备还是都认为自己是MSTP的域根,导致两台设备不能在同一个域中,即两台设备之间实际上运行的是RSTP.
S12500能够支持和思科设备进行MSTP的对接,但是必须在端口视图下配置:stpconfig-digest-snoopingS12500能够根据收到的STP报文自动进行调整和适应,需要在端口视图下配置:stpcomplianceauto注意一如果和S12500对接的设备是发送和接收标准格式的802.
1s报文,要求S12500也收发标准格式的802.
1s报文.
在S12500的端口上面配置stpcompliancedot1s,该端口就可以发送和接收标准的802.
1s格式报文.
注意二stpconfig-digest-snooping命令如果只是端口配置了,全局没有使能此命令,摘要侦听不生效.
如果接的是其他厂商设备,可能导致认为是在不同的域中.
摘要侦听功能一定要在域内所有与其他厂商相连的交换机的域配置完全相同的条件下使能,否则可能因为各交换机VLAN与实例映射关系不一致导致广播风暴.
在域内某些交换机使能摘要侦听功能的情况下,不能直接更改域配置.
请在更改域配置之前去使能该域内所有交换机的摘要侦听功能,否则在更改域配置的过程中可能因为各交换机VLAN与实例映射关系不一致导致广播风暴.
22使能摘要侦听功能后,交换机内一直保存着最新接收的配置摘要,即使使能摘要侦听功能的端口失效,此前接收的配置摘要仍然生效.
必须在使能端口摘要侦听特性后,才可以使能全局摘要侦听特性.
必须是在与其他厂商的交换机相连时才使能,否则不必要使能摘要侦听特性.
使能摘要侦听特性时要求与其他厂商的交换机配置完全相同.
域内与其他厂商交换机互连的端口必须全部使能摘要侦听特性.
在域内的边界端口不允许使能摘要侦听特性.
7IP转发业务类FAQS12500是否支持在物理端口上配置IP地址S12500支持在物理以太网端口上配置IP地址,但要先使用portlink-moderoute命令设置以太网接口工作在三层模式.
缺省情况下,以太网接口工作在二层模式.
S12500是否支持VLAN接口添加从地址S12500支持VLAN接口配置从地址,从地址和主地址的功能基本一致,唯一需要注意的从地址不支持组播,使用从地址网段用户不能正常点播组播业务,从地址也不支持建立OSPF邻居.
另外,任何三层接口,比如三层以太网接口(子接口)、三层聚合接口(子接口)等,都支持配置从地址.
VLAN接口主地址删除后,从地址是否能正常工作在删除主IP地址前必须先删除对应的所有从IP地址(不管是VLAN接口还是三层接口).
VLAN接口主地址删除后,从地址无法正常工作.
[Sysname-Vlan-interface1]undoipaddress1.
1.
1.
124Warning:Mustdeletesubaddressbeforedeletingprimaryaddress!
VLAN接口MAC地址有何作用S12500判断报文是进行二层转发还是三层转发,在端口设置为桥模式时(配置为portlink-modebridge)是根据报文的目的MAC地址是否是VLAN接口MAC地址.
如果报文目的MAC地址是接口MAC地址,则该报文进行三层转发或者是MPLS转发;否则,进行二层转发.
S12500在ARP表项超过规格后会发送TRAP告警信息吗目前ARP表项在超过规格后不支持发送TRAP,但在日志中会打印资源不足消息.
%Oct509:53:33:6552010H3CDRVL3/3/DRVL3_LOG_EMERG:Noenoughresource!
S12500等价路由负载分担方式是怎样实现的基于报文的目的MAC、源MAC、源IP、目的IP、TCP/UDP源目的端口等信息进行负载分担.
用户可以根据需要调节等价路由负载分担的方法,具体方法同聚合负载分担调节方法,参见"二层技术-以太网交换配置指导"的"链路聚合配置"(对应命令:link-aggregationload-sharingmode).
23说明:通过link-aggregationload-sharingmode命令配置链路聚合负载分担类型时,除mpls-label1、mpls-label2、mpls-label3、per-packet之外的所有其他分担类型对单播流量的等价路由负载分担也会生效,即等价路由流量会按照这些分担类型进行负载分担;链路聚合支持per-packet逐包分担,而等价路由是不支持的.
S12500是否支持带权重的路由分担方式不支持.
S12500的VRRP监视接口功能有何作用VRRP的监视接口功能在被监视的接口处于Down或Removed状态时,拥有这个接口的交换机的优先级会自动降低一个数额(value-reduced),可能导致备份组内其他交换机的优先级高于这个交换机的优先级,从而使得其他优先级高的交换机转变为Master.
S12500只能监视三层以太网接口、VLAN接口、三层聚合接口,如果VLAN接口对应的VLAN中包含多个物理端口,只要有1个端口是UP就不会降低优先级.
S12500VRRP是否支持在Master上配置Track项关联某个物理端口支持.
VRRP可以通过Track项关联,跟踪某个物理端口状态来调整VRRP的优先级.
S12500的路由协议下发的路由和ARP主机路由哪个优先S12500的路由协议(比如:BGP/OSPF/ISIS/RIP)下发的32位掩码路由的优先级要比ARP主机路由优先级高.
伪DHCP服务器检测功能在S12500作为二层设备的情况下能否有效无效.
使能/禁止伪DHCP服务器检测功能时,必须要DHCP模块才能处理(DHCP服务器和DHCPRelay都可以).
如果S12500只做二层转发,DHCP报文上不了CPU,则S12500无法进行伪DHCP服务器的检测.
S12500如何处理超过1500字节的ICMPPING报文S12500CPU对报文长度(包含IP头)超过软件设置的MTU((缺省为1500字节)的ICMPPING报文,采用分片方式发送,如果设置-f(不分片)标记,则报文无法对外发送.
如果S12500单板接口上配置了允许jumbo帧通过,则设备可以接收超过1500字节的ICMP报文,且该报文可以上送CPU,同时设备也可以回应该ICMP报文,但是如果回应报文长度超出1500字节,也会被分片.
S12500的ICMPPING报文发送时间间隔能否设置S12500如果是回应对方的PING报文,CPU收到以后就直接回应;如果是S12500发出ICMPPING报文,缺省情况下收到回应后马上发送下一报文;如果没有收到对方的回应,在达到超时时间后发送下一报文,超时时间可以设置,缺省为2秒;24如果设置了ping–minterval参数,则报文在收到回应后间隔interval时间后发送下一ICMP请求.
使用URPF功能需要注意什么URPF只在VLAN接口下支持,三层以太网接口和三层聚合口等都不支持;若等价路由下一跳表项数超过8条,则设备不支持URPF检查.
当系统工作模式为标准模式时,如果VPN实例没有配置保留VLAN,则该VPN实例绑定的私网VLAN接口上不能配置URPF功能,URPF检查仅对接口收到的报文有效.
MTU值的设置如何实现MTU设置对于IPV4软件转发有效,硬件转发无效;IPV6支持软硬件设置,对软硬件转发都有效,但设备最多只能设置14个MTU值.
IPV4和IPV6两种设置分别如下:[Sysname-Vlan-interface30]mtuINTEGERMTUvalue[Sysname-Vlan-interface30]ipv6mtuINTEGERMTU(bytes)S12500OAA单板的内联口的链路类型为TRUNK,将其加入某个VLAN并配置IPv6地址,为什么会产生地址冲突在该VLAN接口上配置IPv6地址后,接口会发送IPv6DAD协议报文(NS消息)进行重复地址检测,该报文先被送到OAA前插板处理,处理完后被送到OAA后插板处理,处理完后再上送CPU,此时设备会将上送CPU的报文当作NA消息处理,所以认为地址冲突.
S12500从什么版本SuperVLAN开始支持IPv617XX、18XX版本SuperVLAN支持IPv6.
8IP路由类FAQS12500支持黑洞路由吗所谓黑洞路由就是当去往某一目的地的静态路由出接口均为NULL0接口,任何去往该目的地的IP报文都将被丢弃,并且不通知源主机.
在网络遭受IP攻击的情况下,可以通过配置黑洞路由丢弃去往目的地址的报文,配置举例如下:system-view[Sysname]iproute-static1.
1.
1.
132null0preference1S12500的OSPF的Cost值是否与二层以太网接口有关S12500的OSPFCost值与二层以太网接口速率无关,默认为10,配置在VLAN接口下.
25不同路由协议及其发现路由的优先级是怎样的到相同的目的地,不同的路由协议(包括静态路由)可能会发现不同的路由,但并非这些路由都是最优的.
事实上,在某一时刻,到某一目的地的当前路由仅能由唯一的路由协议来决定.
这样,各路由协议(包括静态路由)都被赋予了一个优先级,这样当存在多个路由信息源时,具有较高优先级的路由协议发现的路由将成为当前路由.
各种路由协议及其发现路由的缺省优先级(数值越小表明优先级越高).
表5路由协议及其发现路由的优先级路由协议或路由种类相应路由的优先级DIRECT0OSPF10IS-IS15STATIC60RIP100OSPFASE150OSPFNSSA150IBGP255EBGP255UNKNOWN256其中:0表示直连路由,256表示任何来自不可信源端的路由.
设备打印OSPFCONFIGERROR有哪些原因设备打印ospfconfigerror的原因通常为配置错误导致,有如下两种情况:交换机同一VLAN广播域内存在其他设备配置了相同网段的接口地址,但是两台设备上的区域不相同.
对端设备配置了Virtual-link到本设备,但是本设备没有配置对应的Vritual-link邻居,在收到对端Vlink发送的报文时发送Trap信息.
什么情况下OSPFERROR记录中有LSACK:Badack计数在链型组网SwitchA----SwitchB----SwtichC(SwitchA、SwitchB、SwitchC简称为A、B、C)情况下:(1)A发送新的LSA-1到B,B转发送至C,并加重传列表,C收到更新,但尚未回复ACK;(2)A再次更新LSA-1到B,B再次转发至C,并加重传列表,由于尚未收到C的回复ACK,因此替换掉老的重传结点,发送Updater至C;(3)C没收到最近的LSA,发送上次更新的ACK;(4)B收到的ACK与重传列表上的比较,发觉新旧不一致,就做计数,记录错误码:BadACK.
.
26S12500静态路由下一跳失效时路由为什么会迭代到黑洞路由配置如下:iproute-static110.
75.
4.
023Null0preference240descriptionHZCM4_T18_VIP_BGP_Advertiseiproute-static110.
75.
4.
024110.
75.
0.
234descriptionHZCM4_T18_VIPiproute-static110.
75.
4.
024110.
75.
0.
254preference240descriptionHZCM4_T18_VIP当110.
75.
4.
0的路由下一跳110.
75.
0.
234失效的时候,到达110.
75.
4.
0的下一跳的出接口为NULL0:disfib110.
75.
4.
0Destinationcount:1FIBentrycount:1Flag:U:UseableG:GatewayH:HostB:BlackholeD:DynamicS:StaticR:RelayDestination/MaskNexthopFlagOutInterfaceInnerLabelToken110.
75.
4.
0/24110.
75.
0.
234USBNULL0NullInvalid通过在配置静态路由时指定出接口可以避免路由迭代,这样在下一跳110.
75.
0.
234不可达时,会重新选择另一条路由,配置如下:iproute-static110.
75.
4.
024vlan-interface100110.
75.
0.
254preference240descriptionHZCM4_T18_VIP.
OSPFRouterID冲突的日志信息如何产生的Trap格式:OriginatenewLSAAreaId[STRING]LsdbType[STRING]LsdbLsid[STRING]LsdbRouterId[STRING]Router[STRING].
变量格式:$1:AreaID$2:LSDBType$3:LSDBlinkstateID$4:LSDBRouterID$5:RouterID解释:频繁打印上面的生成新的LSA信息时,可能是OSPFrouterID冲突,也可能是网络振荡导致的,需要进一步排查.
举例:#Sep1411:28:58:9932012H3COSPF/6/ORIGINATE_LSA:OSPFTrapID1.
3.
6.
1.
2.
1.
14.
16.
2.
12:OriginatenewLSAAreaId0.
0.
0.
0LsdbType1LsdbLsid11.
11.
11.
11LsdbRouterId11.
11.
11.
11Router11.
11.
11.
11.
另,如果是直连的OSPFrouterID冲突,有如下trap信息打印:Trap格式:Non-virtualInterface[STRING]index0Router[STRING]receivederrorpacketfrom[STRING]PacketType1.
变量格式:$1:interfaceID27$2:RouterID$3:peerinterfaceID解释:直连的OSPFrouterID冲突,显示接收到错误的报文,报文类型为1(hello报文).
举例:#Sep1710:59:49:5582012H3COSPF/4/IF_BAD_RX:OSPFTrapID1.
3.
6.
1.
2.
1.
14.
16.
2.
8:Non-virtualInterface10.
10.
30.
2index0Router11.
11.
11.
11receivederrorpacketfrom10.
10.
30.
1PacketType1.
9MPLS类FAQS12500与JuniperMX900设备VPLS对接注意事项PW封装模式设置为bgp-vpls;VPLS实例站点设置offset必须是1;与Juniper背靠背组网时,公网端口不可以是Access类型,必须使用Trunk类型端口S12500LSP未超规格的情况下如何过滤非32位地址的LSP当设备日志中有如下记录时,表明LDPLSP下游控制块超规格:*Nov111:07:18:3682011SG-ZQD-12508LDP/7/Error:Can'tcreateDownstreamControlBlock:Upthemaximumlimitation.
如果设备使能了非32位路由触发LSP,导致很多非32位路由形成LSP,出现了LSP超规格或者LDPLSP下游控制块超规格的情况,这时如果想将非32位路由的LSP过滤掉不使其占用LSP资源,可以配置策略来实现.
假设需要过滤LDP邻居1.
1.
1.
9的非32位路由LSP,可以配置策略如下:[Sysname]ipip-prefixhostindex10permit0.
0.
0.
00greater-equal32less-equal32[Sysname]mplsldp[Sysname-mpls-ldp]accept-labelpeer1.
1.
1.
9ip-prefixhost这条策略配置完成即生效,将非32位路由的LSP过滤掉.
但是如果要取消策略形成非32位路由的LSP,则取消配置后还需要resetmplsldppeer才能生效.
PBB组网中BVLAN和CVLAN可以配置一样吗组网中尽量不要将BVLAN和CVLAN配置一样,因为这样会导致PBB公网口过来的非PBB的广播报文广播到私网侧.
Bvlan和Cvlan配置不同的VLAN,PBB私网侧端口不permitBvlan,则普通带Bvlantag的广播报文是不会广播到私网的.
根据PBB的报文转发流程,Bvlan和Cvlan一样(假设为vlan20)时:从PBB公网上行口过来的普通非PBB带tag20的广播报文,会广播到绑定s-vid20的私网端口出去的,因为该端口一定permitvlan20.
28从PBB公网口过来的PBB带tag20的广播报文,到达公网口后进行PBB解封装,然后重定向查找mac,走二层转发,要看解封装后的用户报文,解封装后的用户报文所携带的tag是什么就在哪个vlan内广播.
10IP组播类FAQS12500支持的组播协议有哪些S12500支持的组播协议有IGMP、IGMPSnooping、PIMDM、PIMSM、MSDP以及MBGP.
S12500支持的IGMP版本有哪些S12500支持IGMP的V1,V2和V3版本.
S12500组播是否支持静态RP功能S12500支持静态RP功能.
在PIM视图下使用static-rprp-address[acl-number][preferred][bidir]命令配置静态RP,同时可以选择使用ACL规则配置RP过滤策略;S12500最多可以配置10个静态RP.
注意:在BSR机制选举产生的动态RP有效的情况下,静态RP不起作用.
PIM域内所有路由器必须同时配置该命令并且指定同一RP地址.
S12500是否支持组播静态路由S12500支持组播静态路由,可以利用组播静态路由来改变或衔接RPF(ReversePathForwarding,逆向路径转发)路由.
如何从配置上限制非法组播源可以通过配置ACL规则限制非法组播源的组播转发.
比如某局点只想对源地址是99.
100.
100.
4、组地址是225.
1.
1.
1的组播组建立组播表项,进行转发,则可以配置如下:(1)配置ACL规则:[Sysname]aclnumber3000[Sysname-acl-adv-3000]rule0permitipsource99.
100.
100.
40destination225.
1.
1.
10[Sysname-acl-adv-3000]rule1denyip(2)在PIM视图下设置路由策略source-policy:[Sysname-pim]source-policy3000这样在交换机上就只能建立S为99.
100.
100.
4,G为225.
1.
1.
1的组播表项,其他组播表项都无法建立.
29S12500是否支持组播组过滤规则S12500支持组播组过滤规则.
可以通过在以二层太网端口或者二层聚合接口上配置命令igmp-snoopinggroup-policyacl-number[vlanvlan-list]来实现.
注意:当指定的ACL不存在或者其规则为空时,将过滤掉所有的组播组,即主机不能加入任何组播组.
主机只能加入与该ACL规则中permit语句匹配的组播组.
组播组过滤功能对指定VLAN内的所有成员都生效.
组播组过滤规则对本设备配置的静态成员端口加入不生效.
S12500组播RPF检测失败后如何实现组播按需转发图4组播示意图在特定组网环境中,上图组网中组播流会按照下面路径进行转发(因为组播会首先转发到DR):组播源------>SwitchA----->SwitchB-SwitchA------>点播者.
由于从组播源到SwitchA的组播报文的RPF接口为Vlan-int10,所以这样的组播流在SwitchA上会因为RPF检查失败而被丢弃,导致点播者无法接收到组播流.
可通过下面两种方式解决此问题:改变组网使SwitchA被选举为DR.
由于IP大的交换机会成为DR(注意接口上配置的VRPP虚拟IP不参与选举),所以配置SwitchA的Vlan-int20的IP地址大于SwitchB的Vlan-int20的IP地址.
RFP检测失败后,在SwitchA上配置组播数据报文在VLAN20内组播,配置命令为multicastrpf-fail-pktbridging和multicastforwardingon-demand.
30S12500PIM-SM域间的MSDP对等体切换时发现RPF检查失败的可能原因检查是否配置了静态RPF对等体(命令static-rpf-peer),如果该配置不当(如过滤策略指定的不正确),就容易发生RPF检查失败的情形.
正常的网络中也可能产生,比如网络中MSDP对等体存在环路,导致报文从非RPF接口进入,此时就会发生RPF检查失败.
S12500的命令link-aggregationload-sharingmode对组播的负载分担生效吗不生效.
S12500到组播源的路由下一条能否为VRRP虚拟IP地址不能.
S12500是否支持auto-rpS12500设备不是完全支持auto-rp,设备上配置auto-rpenable后,只能是接收自动RP宣告(Announce)和发现(Discovery)报文,但是不能往外发布RP信息.
11QACL类FAQS12500是否支持跨板配置端口镜像和流镜像S12500支持跨板配置端口镜像和流镜像.
S12500是否支持跨框配置端口镜像和流镜像S12500不支持跨框配置端口镜像,即目的端口和源端口(或源VLAN中的端口)不能位于IRF的不同成员设备上.
S12500不支持跨框配置流镜像,即被监控流量的入端口与流镜像的目的地(目的端口、目的VLAN内的端口、目的CPU)不能位于IRF的不同成员设备上,但可以支持跨框流镜像到OAA单板内联端口,也可以流镜像到跨框聚合口(镜像到跨框聚合口的流量只能从本框聚合成员端口出去,如果本框的聚合成员端口处于down状态,镜像报文不会从跨框的聚合成员端口上转发出去).
S12500配置端口镜像有哪些注意事项S12500端口镜像应用过程中需要注意以下事项:S12500支持多对一的镜像,即将多个源端口的报文复制到一个目的端口上;S12500支持跨板镜像,即源端口和目的端口可以位于不同的业务板;同一个端口不可以作为不同镜像组的源端口和目的端口.
31S12500流镜像支持配置多少目的端口S12500只支持入方向流镜像,包括流镜像到端口、流镜像到聚合口、流镜像到VLAN、以及流镜像到CPU(流镜像到VLAN时有如下限制:对于LST1XP16LEB1、LST1XP16LEC1、LST1XP16LEC2单板,配置流镜像到指定VLAN时,功能不支持.
).
流镜像到CPU固定占用一个目的端口资源,其他的三种流镜像合计每板最多配置6个目的端口资源.
S12500端口镜像支持多少目的端口端口镜像支持同方向的目的端口数量存在下面的限制:对于48个端口的GE单板,1块单板支持配置2个监控端口,其中前24个端口支持配置1个监控端口,后24个端口支持配置1个监控端口;对于10GE单板(除了LST1XP32REB1、LST1XP32REC1、LST2XP32REC2、LST1XP16LEB1、LST1XP16LEC1和LST1XP16LEC2单板之外),按照端口顺序,单板上每2个10GE端口只支持配置1个监控端口;对于LST1XP32REB1、LST1XP32REC1和LST2XP32REC2单板,1个单板支持配置4个监控端口;对于LST1XP16LEB1、LST1XP16LEC1和LST1XP16LEC2单板,1个单板支持配置8个监控端口,每相隔的2个10GE端口支持配置一个监控端口.
S12500流镜像与端口镜像可以同时使用吗S12500流镜像和端口镜像可以同时配置使用,流镜像和端口镜像的目的端口不共用.
S12500配置包过滤对端口镜像有无影响没有影响,S12500端口上收到的所有数据包都会无条件被镜像至目的端口.
S12500配置镜像在什么情况会打印这个源端口硬件不支持信息IRF模式下,设备不支持跨框配置端口镜像.
如果配置镜像的目的端口和源端口(或源VLAN中的端口)位于IRF模式下的两台不同成员设备上,就会打印提示信息"Error:Failedtoconfigureportmirroringduetohardwareunsupported!
".
S12500是否支持跨框端口镜像和重定向到端口功能在IRF模式下,S12500不支持端口镜像和流镜像到跨框的普通目的端口,也不支持重定向到跨框的出端口,但可以支持跨框镜像到OAA单板内联端口.
S12500是否支持出方向QoS策略S12500支持出方向QoS策略,出方向QoS策略只支持报文过滤、流量监管、流量统计、dscp/dot1p/exp优先级重标记和带颜色的dscp/dot1p/exp优先级重标记、修改外层VLAN等动作.
32S12500上QoS策略匹配顺序是怎样的QoS策略的优先级由高到低依次为:全局QoS策略、接口QoS策略、VLAN中的QoS策略.
S12500的VLAN中的QoS策略有哪些限制VLAN中的QoS策略最后匹配,当全局QoS策略和接口QoS策略没有匹配后才能匹配VLAN-ACL.
基于VLAN应用的QoS策略需要下发到所有接口板,如果遇到某个接口板硬件资源不足等情况,会导致策略在该接口板下发失败.
此时主控板及其他接口不回退该策略的配置,需要用户手工将该策略的相关配置清除.
类似地,动态修改过程中,如果基于VLAN应用的QoS策略在某个接口板刷新时遇到硬件资源不足等情况,下发失败,也需要用户手工将该策略的配置清除.
S12500的全局QoS策略有哪些限制全局QoS策略优先匹配,当全局QoS策略匹配后不再匹配接口QoS策略与VLAN中的QoS策略.
基于全局应用的QoS策略需要下发到所有接口板,如果遇到某个接口板硬件资源不足等情况,会导致策略在该接口板下发失败.
此时主控板及其他接口不回退该策略的配置,需要用户手工将该策略的相关配置清除.
类似地,动态修改过程中,如果基于全局应用的QoS策略在某个接口板刷新时遇到硬件资源不足等情况,下发失败,也需要用户手工将该策略的配置清除.
S12500的ACL规则匹配顺序是怎样的S12500的ACL匹配顺序有以下两种方式:配置顺序:按照规则编号由小到大进行匹配.
自动排序:按照"深度优先"原则由深到浅进行匹配.
用户自定义ACL的规则只能按照配置顺序进行匹配;其他类型的ACL则可选择按照配置顺序或自动顺序进行匹配.
缺省情况为配置顺序.
通过命令displayaclacl-number显示的ACL规则顺序就是实际ACL规则匹配顺序:[Sysname]displayacl3000AdvancedACL3000,named-none-,3rules,match-orderisauto,ACL'sstepis5rule10permittcpsource10.
11.
0.
00.
0.
255.
255rule5permitipsource10.
11.
113.
00.
0.
0.
255rule0permitipS12500的ACL规则permit和deny在不同应用中有什么区别S12500的ACL规则中permit和deny在应用中的区别:当在QoS流分类if-match中引用ACL时,rule中定义的deny参数表示匹配的报文不执行C-B对中的动作,rule中定义的permit表示匹配的报文执行C-B对中的动作.
在报文过滤中引用ACL时,只有匹配ruledeny的报文将被丢弃,没有匹配ruledeny的报文都允许通过.
当在策略路由中引用ACL时,该ACL仅用于识别流,rule中的deny或permit参数实际无意义.
33除上述三种以外的其他情况下引用ACL时,对于没有匹配到rulepermit的报文,都会被认为ruledeny.
为何S12500在下发了策略路由后外网无法Ping通接口地址S12500的ICMPPING报文是通过查找FIB路由表转发到CPU处理,而ACL引擎在IPv4引擎前面,匹配规则后的报文会直接查找到策略路由的下一跳,而上不了CPU,从而不能回应ICMPPING请求报文,导致不能PING通.
在配置策略路由前建议配置Packet-filter的Permit的规则,让匹配的目的MAC为VLAN接口的MAC,上送CPU处理.
S12500应用在端口的ACL规则在单板重启后配置恢复顺序是怎样的S12500的端口ACL规则的配置恢复顺序就是在端口上通过displayaclacl-number命令查看到的ACL规则顺序.
S12500的流规则能识别二三层转发报文吗只能通过在流分类中通过if-matchforwarding-layer{bridge|route}命令来匹配2层报文或者3层报文.
匹配2层报文和3层报文是互斥的.
流分类中的forwarding-layer参数必须和其他参数配合使用,不允许单独配置;且不论类操作符是and或or,同时配置的其他参数都不允许和forwarding-layer参数冲突.
S12500是否支持同时匹配二层ACL和三层ACL规则S12500在流分类下的规则之间是逻辑或的关系时,支持同时匹配二层ACL和三层ACL的QoS策略;在流分类下的规则之间是逻辑与的关系时,不支持同时匹配二层ACL和三层ACL的QoS策略,但是在流分类中,二层ACL和三层ACL可以分别配合if-match其他的匹配规则使用.
S12500支持访问控制(包过滤)吗S12500支持在以太网接口上和VLAN接口上配置包过滤命令packet-filter,包括入方向的包过滤和出方向的包过滤.
在VLAN接口上执行本命令,入方向只对三层单播报文生效,出方向对所有报文生效;在以太网接口上执行packet-filter命令,对二/三层报文均生效.
通过packet-filterforwarding-layerrouteoutbound命令用来使能以太网接口板VLAN接口出方向报文过滤限制功能.
执行本命令后,如果再在以太网接口板上的VLAN接口出方向配置IPv4报文过滤功能(即配置packet-filter命令),IPv4报文过滤将只对VLAN接口出方向的三层单播报文生效.
S12500如何配置访问控制(报文过滤packet-filter)先配置ACL规则,再在接口上应用ACL规则进行报文过滤.
示例如下:配置ACL规则.
[Sysname]aclnumber300034[Sysname-acl-adv-3000]rule0denyipsource192.
168.
1.
20应用ACL规则对VLAN接口上匹配的报文进行过滤.
[Sysname]interfacevlan-interface2[Sysname-Vlan-interface2]packet-filter2009inbound[Sysname-Vlan-interface2]quitS12500支持对多个端口整体流量监管(流量限速CAR)吗S12500支持对多个端口整体流量监管,通过在对应的端口上配置聚合CAR来实现.
S12500端口配置流量限速后,查看端口流量为何没有变化端口配置流量限速CAR后,端口信息显示的入流量统计信息仍然没有变化,是因为端口统计的流量在流量限速CAR之前,先统计端口流量,后进行流量限速CAR,所以通过displayinterfacee命令显示的端口流量没有变化.
S12500是否支持重定向功能S12500只支持入方向重定向功能,而且报文可以重定向输出到CPU、普通端口、聚合接口、下一跳IP地址.
在IRF模式可以支持跨框重定向到OAA单板上的端口;S12500的重定向到下一跳是强策略路由还是弱策略路由所谓强策略路由,即把某条流重定向到下一跳地址之后,如果该下一跳地址不存在,报文丢失;所谓弱策略路由,即把某条流重定向到下一跳地址之后,如果该下一跳地址不存在,报文不进行重定向,而是按照报文的目的IP地址进行路由选路和处理.
在支持配置重定向下一跳失败的处理动作时,如果不配置处理动作,默认的处理动作是转发.
S12500可以通过命令行关键字redirectnext-hopipv4-add1fail-action{discard|forward}来设置采用强策略路由还是弱策略路由.
为何S12500配置PBR后还是能够Tracert通S12500根据策略路由转发时,TTL也会减1,如果TTL为1则上送CPU,因此Tracert的报文可以上CPU正常处理.
S12500如何清除流量统计计数可以通过resetcountersinterfaceinterface-typeinterface-number命令来清除流量统计计数:resetcountersinterfaceg7/0/17displayqospolicyinterfaceg7/0/17Interface:GigabitEthernet7/0/17Direction:InboundPolicy:p1Classifier:c1Operator:ANDRule(s):If-matchacl2020Behavior:b135AccountingEnable:0(Packets)PPPoE封装的ICMP报文能否匹配ACL规则S12500上只能识别PPPOE的控制报文与数据报文,对于PPPOE报文里面的字段是无法通过二层ACL规则和三层ACL规则进行匹配,但是可以分析PPPOE封装的ICMP报文的特征,配置自定义ACL规则来匹配.
S12500端口上配置的qosprioritydot1p和qostrustdot1p有什么作用端口可以通过配置qosprioritydot1p命令来修改端口的dot1p优先级,端口默认dot1p优先级为0.
当端口上默认配置的时候,报文会取用端口默认的(dot1p/exp/dscp/lp/dp)优先级,报文转发出去时,设备不会修改原有报文各种优先级.
当端口配置了qosprioritydot1p优先级,所有报文都会采用端口dot1p优先级,报文转发出去时,设备会将报文的dot1p优先级修改为入端口的dot1p优先级,其他各种优先级不变.
当端口配置了qostrustdot1p命令,对应taged报文,会根据报文tag中的dot1p值查找各种映射表(dot1p-exp、dot1p-dscp、dot1p-lp、dot1p-dp);对于untag报文,会使用通过qosprioritydot1p命令修改后的dot1p优先级值,如果没有通过qosprioritydot1p命令修改dot1p优先级值,则取用端口默认的dot1p优先级值.
当端口配置了qostrustdot1poveride命令,对应taged报文,会根据报文tag中的dot1p值查找dot1p-dot1p映射表来映射dot1p值,然后再根据映射后的dot1p值查找查找各种映射表(dot1p-exp、dot1p-dscp、dot1p-lp、dot1p-dp);对于untag报文,会使用通过qosprioritydot1p命令修改后的dot1p优先级值,如果没有通过qosprioritydot1p命令修改dot1p优先级值,则取用端口默认的dot1p优先级值.
报文转发出去时,如果配置了qostrust,设备会修改报文的各种优先级(dot1p/exp/dscp).
S12500默认信任报文的优先级吗S12500默认不信任报文的任何优先级,即不信任报文的dot1p优先级,也不信任报文的dscp字段和exp字段.
在端口默认配置下,报文会取用端口默认的(dot1p/exp/dscp/lp/dp)优先级,报文转发出去时,设备不会修改原有报文各种优先级.
S12500做MPLS网络的P设备时是否信任报文的exp字段S12500做P设备,不会自动信任MPLS报文的exp字段,如果需要在P设备上信任MPLS报文的exp值,可以在报文的入端口上配置qostrustexp命令.
为什么SP和WRR混合调度的时候有时候会调度不准确混合调度的时候,需要将WRR组内的队列设置成连续的队列,否则调度不准确.
36队列调度WRR可以与流量整形GTS一起使用吗队列调度WRR与流量整形GTS同时使用会引起WRR调度不准确,应尽量避免出端口上同时配置WRR和GTS.
S12500上由于拥塞导致端口丢包应当怎么处理S12500上由于拥塞导致端口丢包,可以通过命令buffer-manageegressslotslotnumshare-sizebuf-size来适当增加buffer共享大小来缓解端口丢包.
S12500是否支持VLAN接口上的流量统计不支持.
S12500出方向被QoS策略过滤的报文能够进行端口队列统计计数吗不能.
在IRF模式下,流镜像和端口镜像有哪些限制在IRF模式下,流镜像支持镜像到VLAN,但镜像报文不会从VLAN中跨框的端口转发出去;在IRF模式下,设备不支持将指定源VLAN的报文镜像到目的端口.
12QinQ类FAQ什么是QinQQinQ是802.
1Qin802.
1Q的简称(也称为802.
1QTunneling),是基于IEEE802.
1Q技术的一种比较简单的二层VPN协议.
通过将一层VLANTag封装到私网报文上,使其携带两层VLANTag穿越运营商的骨干网络(又称公网).
S12500的QinQ有几种实现方式S12500QinQ的实现方式可分为以下两种:(1)基本QinQ基本QinQ是基于端口方式实现的.
当端口上配置了基本QinQ功能后,不论从该端口收到报文是否带有VLANTag,设备都会为该报文打上本端口缺省VLAN的Tag:如果收到的是带有VLANTag的报文,该报文就成为带双Tag的报文;如果收到的是不带VLANTag的报文,该报文就成为带有本端口缺省VLANTag的报文.
(2)灵活QinQ灵活QinQ是基于端口与VLAN相结合的方式实现的,它对QinQ的功能进行了扩展,是对QinQ的一种更灵活的实现.
灵活QinQ除了能实现所有基本QinQ的功能外,对于从同一个端口收到的报文,还可以根据VLAN的不同进行不同的操作,包括:为匹配流分类的报文添加外层VLANTag.
37根据报文内层VLAN的802.
1p优先级标记外层VLAN的802.
1p优先级.
通过使用灵活QinQ技术,在能够隔离运营商网络和用户网络的同时,又能够提供丰富的业务特性和更加灵活的组网能力.
QinQ主要解决哪些问题缓解日益紧缺的公网VLANID资源问题.
用户可以规划自己的私网VLANID,不会导致和公网VLANID冲突.
为小型城域网或企业网提供一种较为简单的二层VPN解决方案.
当升级网络时,用户网络不必更改原有配置,使用户网络具有了较强的独立性.
用户侧上来的报文已经有两层Tag,可否再做QinQ用户侧上来的报文已经有两层Tag,S12500还可以再做QinQ.
流分类规则中service-vlan-id与customer-vlan-id分别表示什么含义customer-vlan-id表示入报文有多层tag时的内层tag;service-vlan-id表示入报文有两层tag时的外层tag,或者入报文只有一层tag时的外层tag;当入报文没有tag时,service-vlan-id就是端口的pvid.
灵活QinQ中,外层Tag的cos值是如何得到的在Nested-vlan方式实现的灵活QinQ中,在增加外层VLAN的同时可以自动将内层VLAN的cos值复制给外层VLAN.
也可以通过优先级重标记的方式修改外层VLAN的cos值.
灵活QinQ中可以修改内层Tag的cos值吗在S12500上灵活QinQ不支持修改内层Tag的cos值.
S12500基本QinQ和灵活QinQ是否学习MACS12500基本QinQ和灵活QinQ都会在外层VLAN内学习MAC,通过查找MAC表进行转发.
为何S12500与其他厂商设备QinQ对接会失败某些厂商的设备将QinQ报文外层Tag的TPID值设置为0x9100或0x9200.
为了和这些设备兼容,S12500可以通过修改的QinQ报文TPID值来实现QinQ成功对接.
设置端口采用的TPID值:qinqethernet-typetpid-value13IRF类FAQS12500可以与哪些产品组成IRFS12500交换机只支持与其他S12500交换机之间建立IRF,不能与不同系列的交换机产品建立IRF.
38S12500IRF最多支持多少台成员设备IRF缺省只能支持两台成员设备.
只有配置了IRF增强功能后,IRF最多可以支持4台成员设备.
配置IRF端口时,需要注意什么配置IRF端口时,本设备上与IRF-Port1绑定的IRF物理端口只能和邻居成员设备IRF-Port2口上绑定的IRF物理端口相连,本设备上与IRF-Port2口绑定的IRF物理端口只能和邻居成员设备IRF-Port1口上绑定.
S12500IRF支持哪些拓扑如果没有配置IRF增强功能,可以使用中继设备,但只能使用链形拓扑;如果配置了IRF增强功能后,不能使用中继设备,且只能使用环形拓扑.
IRF支持跨成员设备的以太网聚合链路吗支持.
IRF支持将多条IRF物理链路与同一条IRF链路绑定吗支持.
只要将对应成员设备上的IRF物理端口与IRF端口绑定,这些IRF物理端口就会自动聚合,无需使用聚合端口.
组成IRF的成员设备编号可以相同吗成员设备的成员编号不能相同,在组建IRF之前要求将所有设备配置不同的成员编号后再进行组建;同一成员设备的两块主控板成员编号要求一致,如果不一致,备用主控板会重启一下然后把成员编号改成和主用主控板一致.
组成IRF的成员设备上,哪些配置必须相同建立IRF前,确保多台设备的系统工作模式必须相同,否则不能形成IRF.
建立IRF前,确保设备的aclipv6必须配置一致,即都为aclipv6enable或都为aclipv6disable,否则不能形成IRF.
建立IRF前,确保设备的aclmode必须配置一致,即都为aclmodeadvanced或都为aclmodestandard,否则不能形成IRF.
建立IRF前,确保设备的vpnpopgo必须配置一致,即都为vpnpopgo或都为undovpnpopgo,否则不能形成IRF.
建立IRF前,确保设备的Portal用户迁移功能必须配置一致,即都为portal-roamingenable或都为undoportal-roamingenable,否则不能形成IRF.
建立IRF前,需确保IRF增强功能配置一致,即都配置IRF增强功能或者都不配置IRF增强功能,否则不能形成IRF.
39使能IRF增强模式后设备就不能配置三层以太网接口吗是的,在使能IRF增强模式前,若存在三层以太网接口则需要切换为二层以太网接口.
使能IRF增强模式后,不能再创建三层以太网接口/子接口,三层聚合接口/子接口.
如何才能取消IRF增强模式首先必须保证成员设备小于等于两台且每台成员设备上只有一个IRF端口,再执行undoirfmodeenhanced命令,否则IRF增强功能无法取消.
配置LACPMAD时,对中间设备有要求吗如果配置LACPMAD检测方式,组网中需要使用中间设备,中间设备必须满足下列条件:必须为H3C的交换机设备;使用的软件版本必须能够识别、处理携带了ActiveID值的LACPPDU协议报文.
在LACPMAD检测组网中,如果中间设备本身也是一个IRF系统,则必须通过配置确保其IRF域编号与被检测的IRF系统不同.
否则可能造成LACPMAD检测异常,甚至导致业务中断.
为何在IRF模式下,全局使能STP之后,BFDMAD会不生效IRF两台成员设备间启用BFDMAD检测时,要求MADVLAN物理上保持互通,且不能存在环路,也不能配置其他业务;如果在全局视图下使能了STP功能,BFDMAD检测使用的VLAN包含的物理端口会收到对端成员设备的STP报文,在IRF状态下,系统会认为是收到了自身发送的STP报文,网络存在环路,从而把BFDMAD使用的物理端口Block,导致BFDMAD不生效.
在系统全局使能STP的情况下,需要在BFDMAD使用的物理端口上去使能STP功能,这样BFDMAD才能真正生效.
为何IRF使能MAD检测,IRF分裂之后重启处于Active状态的IRF,但IRF重新合并之后重新加入的成员设备上的业务端口都是down的如果IRF启用了MAD,在IRF分裂之后处于Recovery状态的IRF上所有业务端口会被Shutdown,此时重启处于Active状态的IRF上,在IRF重新合并(merge)时,处于Recovery状态的IRF会重新加入IRF,此时软件不会自动让重新加入的成员设备的端口自动up起来,避免再次有同样的原因导致IRF分裂.
需要通过madrestore命令把MADDOWN的端口重新UP起来.
如果重启的是处于Recovery状态的IRF,则不会存在这个问题.
用户在IRF分裂状态下在设备上新增配置并保存,为何重新形成IRF之后这些新增配置会丢失IRF分裂之后,两台成员设备都是Master,在某一台成员设备上新增配置并保存,虽然在本设备上确实保存了新配置,但是如果这台成员设备重新形成IRF之后成了Slave,那么由于这些配置没有同步到Master,Slave仍然按照Master的配置执行,最终Slave独自新增的配置丢失了.
40为何IRF分裂后Slave会自动重启如果IRFHello报文超时导致IRF分裂,但IRF端口没有变化过,在IRFhello报文恢复正常后,设备重新形成IRF时优先级低的框会自动复位;如果IRFhello报文超时导致IRF分裂,且IRF端口发生过变化,在IRFhello又恢复正常后,设备重新形成IRF时,会提示用户人工重启;如果没有配置MAD,软件会提示优先级最低的框重启;如果配置了MAD,那么软件会提示成员设备编号大的设备重启为什么IRF端口配置流量分担跨框转发不能达到线速有多种原因.
比如:IRF跨成员设备的两端口类型不一致,一侧Access口、一侧Trunk口,报文会多带了4字节的vlantag;因为IRF口流量分担会根据报文的源MAC、目的MAC、源IP、目的IP等由Hash算法计算出出端口,如果报文的这些属性相同,其Hash的出端口也相同;Master和Slave之间需要同步一些数据,这也会占用端口的带宽.
为什么在IRF分裂之后Master执行save操作,Slave重启、重新加入IRF之后,IRF分裂之前的Slave业务配置仍在IRF分裂之后save,会将Master当前在用的配置存储到配置文件中,配置文件中不包含Slave的业务配置;但是Master当前的buildrun配置中,却包含Slave的配置,只是displaycurrent-configuration无法显示出来;当Slave重新加入IRF系统后,由于Master未重启,所以Slave的配置仍然会继续存在;只有IRF分裂之后save,然后Master重启,这时候是从配置文件中读取配置的,再形成IRF,这时候才不会包含Slave的业务配置.
运作了18年的德国老牌机房contabo在继去年4月开办了第一个美国数据中心(中部城市:圣路易斯)后立马在本月全新上马两个数据中心:纽约、西雅图。当前,为庆祝美国独立日,美国三个数据中心的VPS全部免除设置费,VPS本身的配置很高,价格适中,有较高的性价比!官方网站:https://contabo.com/en/SSD VPSKVM虚拟,纯SSD阵列,不限制流量,自带一个IPv4内存CPUSSD带...
OneTechCloud(易科云)是一家主打CN2等高端线路的VPS主机商家,成立于2019年,提供的产品包括VPS主机和独立服务器租用等,数据中心可选美国洛杉矶、中国香港、日本等,有CN2 GIA线路、AS9929、高防、原生IP等。目前商家针对全场VPS主机提供月付9折,季付8折优惠码,优惠后香港VPS最低季付64元起(≈21.3元/月),美国洛杉矶CN2 GIA线路+20Gbps防御型VPS...
Contabo是一家运营了20多年的欧洲老牌主机商,之前主要是运营德国数据中心,Contabo在今年4月份增设新加坡数据中心,近期同时新增了美国纽约和西雅图数据中心。全球布局基本完成,目前可选的数据中心包括:德国本土、美国东部(纽约)、美国西部(西雅图)、美国中部(圣路易斯)和亚洲的新加坡数据中心。Contabo的之前国外主机测评网站有多次介绍,他们家的特点就是性价比高,而且这个高不是一般的高,是...
mtu值怎么设置为你推荐
openeuleropen opening opens opened有什么区别留学生认证留学生回国认证,是否要求需要在国外待满三年,还是只需要完成所需的三年课程?www.hao360.cn搜狗360导航网址是什么地陷裂口造成地陷都有哪些原因?www.228gg.comwww.a8tb.com这个网站该如何改善www.5any.comwww.qbo5.com 这个网站要安装播放器ip查询器怎么样查看自己电脑上的IP地址www.bbb551.com100bbb网站怎样上不去了lcoc.topoffsettop和scrolltop的区别99nets.com制作网络虚拟证件的网站 那里有呀?
河南虚拟主机 虚拟主机提供商 域名信息查询 webhosting rak机房 qq数据库下载 大容量存储器 秒杀预告 老左来了 cdn加速原理 web服务器是什么 免费ftp 789电视剧网 万网服务器 电信主机托管 zcloud 美国主机侦探 winserver2008 游戏服务器 卡巴斯基免费下载 更多