【交换机在江湖】疑难FAQ汇总(每周更新)

时间:2024-02-24 15:53:14

 

交换机在江湖 官方号 2017-6-9 10:15:52 最新回复:2020-08-01 10:58:39
 3.4W  9  9  65
有一些问题看似简单但是实际碰到了又不能确定答案。
有一些问题淹没在产品文档里碰到之后无心查找。
有一些问题别人已经问过但是我却不知道。
?
快来看看别人打400电话时都问了哪些问题让客服服务中心都感到很头疼吧

一、为什么三层口不能配置风暴控制
三层转发的流量不会广播不需要风暴控制所以三层口不支持风暴控制。

二、从V200R009C00降级到V200R008C00license是否需要重新申请
升降级前版本的License均可以在升降级后的设备上继续使用无需重新申请License。
?
三、如何清除display alarm active显示的告警信息
<Quidway> system-view
[Quidway] alarm
[Quidway-alarm] clear alarm active all

?
四、有远程桌面连接访问时Windows PC为什么802.1x认证失败
当有远程桌面连接访问已经802.1x认证成功的Windows PC时访问2分钟左右连接丢失。该原因是PC上802.1x认证的身份验证模式为用户身份验证。需将其改为“用户或计算机身份验证”或“计算机身份验证”。修改方法为进入“控制面板\网络和Internet\网络连接”右键点击所使用网络连接弹出“属性”对话框。依次选择“身份验证”、“其他设置”将“指定身份验证模式”修改为“用户或计算机身份验证”或“计算机身份验证”。

五、如何查询单板的版本配套关系
查询单板在哪些软件版本支持主要有以下几种方式
1、查看对应产品的《硬件描述》手册该手册中会详细写明每个单板与软件版本的配套关系。
2、通过版本配套查询工具来查询。

六、如何处理S2700的CPU高导致的设备卡顿、敲入命令慢的问题
S2700是二层设备三层建议只用于管理。因此S2700有可能是S2700中配置了三层协议造成请使用display cpu-usage查看CPU占用率如果发现有三层业务CPU高请重新规划网络。


七、如何处理从终端电话往外网呼电话 可以接通但是没有声音的问题
此问题一般是因为终端电话没有回包或者回包没有送到交换机上照成的可以在交换机上配置镜像功能获取报文或者流量统计的方法确认终端是否能够正常回包。具体流量统计的方法请参见http://support.huawei.com/onlinetoolsweb/tsrev/cn/content/s/10_edesk_Ping_Fail/edesk_Ping_Fail_edesk007.html
如果终端不能正常回包请确认终端的网关地址配置是否正确并确认其他路由是否会导致终端回包送到其他设备上。具体路由确认方法请参见http://support.huawei.com/onlinetoolsweb/tsrev/cn/content/s/10_edesk_Ping_Fail/edesk_Ping_Fail_edesk004.html

八、为什么Eth-Trunk负载分担不能完全均匀
交换机仅支持逐流的负载分担。如果端口流量过大必然会导致从某个端口出去的流量过大这种场景下Eth-Trunk是无法达到HASH均匀的。
?
九、为什么MAC地址无法老化
设备上有端口频繁UP/DOWN全局MAC老化定时器不断被刷新导致设备的MAC无法老化。
?
十、 客户需要使用MPLS特性申请了license由于license授权版本低激活后无效。由于当时着急上线客户使用了临时license。现在临时license快过期了客户想使用正式的license需要原来的失效码可是客户对临时license进行过失效处理现在显示的失效码是临时license的。如何才能获取原来的失效码激活正式的license
授权版本过低的正式license激活失败对新的正式license激活没有影响。临时license执行过失效操作对正式license激活没有影响。此情况不需要获取任何失效码只需要申请新的license按正常步骤加载激活即可。
?
十一、如何处理批量升级一批S5700交换机其中部分交换机升级失败的情况
这种情况的原因可能是交换机上的新版本系统软件不完整。判断方法是在电脑上查看新版本系统软件的字节数再使用DIR命令查看上传到交换机的新版本系统软件的字节数判断两者是否一致。如果不一致那么重新上传一遍该系统软件即可。

?
十二、接口视图下配置了免认证规则和流策略为什么流策略无法生效
接口视图下的免认证规则free-rule比流策略优先级高所以生效的是免认证规则。
?
十三、为什么无线用户漫游时需要较长时间才能上线
无线用户进行漫游时切换VLAN和接入端口后无法立即上线。这是因为表项老化需要一定的时间。对于V200R010之前的版本只能等到表项老化后才能再次发起认证所以需要等几分钟。如果需要立即上线可升级到V200R010 版本并配置MAC迁移功能。

十四、为什么V100R005版本的S3328不建议使用N:1 VLAN Mapping
V100R005版本的S3328创建多个N:1 VLAN Mapping会导致设备CPU使用率过高业务受损因此不建议使用N:1 VLAN Mapping功能。
 
十五、如何关闭V100R002版本的S9300频繁打印CPCAR丢弃报文的日志
首先执行命令display channel确认下设备上日志上报网管通道然后再执行命令info-center source QOSE channel channelid log state off关闭打印CPCAR丢弃报文的日志。
 
十六、S7700下挂S5700S5700连OceanStor S2600T存储设备OceanStor S2600T经常异常离线如何判断故障点是否在交换机上
在S7700和S5700上分别配置流量统计功能进行分析经过流量统计分析确认非交换机问题是OceanStor S2600T存储设备的问题。
以在S7700设备上做ICMP报文的流量统计为例介绍流量统计功能的配置方法
# 配置进入S7700报文的流量统计。
1.配置ACL规则。
<SwitchA> system-view  
[SwitchA] acl number 3000  
[SwitchA-acl-adv-3000] rule permit icmp source 192.168.2.21 0 destination 192.168.2.20 0  
[SwitchA-acl-adv-3000] quit
2.配置流分类。
[SwitchA] traffic classifier 3000  
[SwitchA-classifier-3000] if-match acl 3000  
[SwitchA-classifier-3000] quit
3.配置流行为。
[SwitchA] traffic behavior 3000  
[SwitchA-behavior-3000] statistic enable  
[SwitchA-behavior-3000] quit
4.配置流策略。
[SwitchA] traffic policy 3000  
[SwitchA-trafficpolicy-3000] classifier 3000 behavior 3000  
[SwitchA-trafficpolicy-3000] quit
5.在接口上应用流策略
[SwitchA] interface gigabitethernet 1/0/1  
[SwitchA-GigabitEthernet1/0/1] traffic-policy 3000 inbound  
[SwitchA-GigabitEthernet1/0/1] quit
# 配置离开S7700报文的流量统计。
1.配置ACL规则。
<SwitchA> system-view  
[SwitchA] acl number 3001  
[SwitchA-acl-adv-3001] rule permit icmp source 192.168.2.20 0 destination 192.168.2.21 0  
[SwitchA-acl-adv-3001] quit
2.配置流分类。
[SwitchA] traffic classifier 3001  
[SwitchA-classifier-3001] if-match acl 3001  
[SwitchA-classifier-3001] quit
3.配置流行为。
[SwitchA] traffic behavior 3001  
[SwitchA-behavior-3001] statistic enable  
[SwitchA-behavior-3001] quit
4.配置流策略。
[SwitchA] traffic policy 3001  
[SwitchA-trafficpolicy-3001] classifier 3001 behavior 3001  
[SwitchA-trafficpolicy-3001] quit
5.在接口上应用流策略
[SwitchA] interface gigabitethernet 1/0/1  
[SwitchA-GigabitEthernet1/0/1] traffic-policy 3001 outbound  
[SwitchA-GigabitEthernet1/0/1] quit
配置完成后通过display traffic policy statistics interface gigabitethernet 1/0/1 inbound verbose rule-base和display traffic policy statistics interface gigabitethernet 1/0/1 outbound verbose rule-base命令查看接口流量统计信息。这里以查看接口GE1/0/1入方向的流量统计结果为例。
[HUAWEI] display traffic policy statistics interface gigabitethernet 1/0/1 inbound verbose rule-base
Interface: GigabitEthernet1/0/1
Traffic policy inbound: 3000
Rule number: 1
Current status: success
Statistics interval: 300
---------------------------------------------------------------------
Classifier: 3000 operator and                             
Behavior: 3000                                    
Board : 1   
rule 5 permit icmp source 192.168.2.21 0 destination 192.168.2.20 0 (match-counter 0)
---------------------------------------------------------------------                     
Passed           |      Packets:                             0                           
                  |      Bytes:                               0                           
                  |      Rate(pps):                           0                           
                  |      Rate(bps):                           0                           
---------------------------------------------------------------------                     
Dropped          |      Packets:                             0                           
                  |      Bytes:                               0                           
                  |      Rate(pps):                           0                           
                  |      Rate(bps):                           0                           
---------------------------------------------------------------------

十七、为什么机框替换后网络中出现了MAC地址漂移
把V100R002版本上的所有业务单板全部更换到V200R008版本的机框上主控板没有更换更换后交换机上频繁记录用户MAC地址漂移的告警。
经过对比分析发现用户在V100R002版本上配置了undo mac-learning priority 0 allow-flapping不允许相同优先级的接口发生MAC地址漂移而V200R008版本的主控板上并没有该配置所以更换前没有MAC地址漂移更换后出现大量MAC地址漂移。

十八、为什么在S5720EI上对PPPoE报文进行流镜像时基于IP的流镜像不生效基于VLAN的流镜像生效
因为流镜像中的ACL无法匹配PPPoE报文内层的IP信息只能匹配外层的以太信息MAC或VLAN。

十九、为什么S9300升级到V200R010C00后ME60无法Ping通S9300
S9300开启快ping功能后ME60无法ping通交换机。而V200R010版本开始S9300上的快ping功能改为默认开启。因此S9306升级到V200R010C00后ME60无法Ping通S9300。

二十、如何确认接口板FIB是否超规格
使用display fib slot-id statisticsall命令。如果回显中IPv4 FIB Route Prefix Capacity字段和IPv4 FIB Total Route Prefix Count 字段的值一样说明该接口板FIB表已被全部使用。

二十一、已经使能了BFD功能的OSPF链路去使能BFD功能是否会导致OSPF链路down
不会。

二十二、MSTP状态变化时为什么部分接口需要30秒才变为转发状态边缘端口在从Down变为Up时为避免临时环路会有一个Learning到Forwarding的过程在1秒内完成属于正常现象。如果是非边缘端口在从Down变为Up时要经过30秒才能正常转发报文。
二十三、如何配置同一流策略下同时匹配IPv4 ACL和IPv6 ACL如果需要IPv4 ACL和IPv6 ACL配置在同一个流策略下那么需要配置两个流分类分别匹配IPv4 ACL和IPv6 ACL。举例配置如下<HUAWEI> system-view[HUAWEI] acl name test1[HUAWEI-acl-adv-test1] rule 1 deny ip source 86.108.150.48 0[HUAWEI-acl-adv-test1] quit[HUAWEI] traffic classifier c1[HUAWEI-classifier-c1] if-match acl test1[HUAWEI-classifier-c1] quit[HUAWEI] traffic behavior b1[HUAWEI-behavior-b1] permit[HUAWEI-behavior-b1] quit[HUAWEI] acl ipv6 name test2[HUAWEI-acl6-adv-test2] rule 2 deny ipv6 source fc00:1::1/64[HUAWEI-acl6-adv-test2] quit[HUAWEI] traffic classifier c2[HUAWEI-classifier-c2] if-match ipv6 acl test2[HUAWEI-classifier-c2] quit[HUAWEI] traffic behavior b2[HUAWEI-behavior-b2] permit[HUAWEI-behavior-b2] quit[HUAWEI] traffic policy p1[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1[HUAWEI-trafficpolicy-p1] classifier c2 behavior b2[HUAWEI-trafficpolicy-p1] quit
二十四、S3300端口隔离和MFF的应用场景是什么S3300上不建议同时配置端口隔离和MFF两者的应用场景如下。端口隔离为了实现报文之间的二层隔离用户可以将不同的端口加入不同的VLAN但这样会浪费有限的VLAN资源。采用端口隔离功能可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。如果用户希望隔离同一VLAN内的广播报文但是不同端口下的用户还可以进行三层通信则可以将隔离模式设置为二层隔离三层互通如果用户希望同一VLAN不同端口下用户彻底无法通信则可以将隔离模式配置为二层三层均隔离即可。端口隔离的方法和应用场景如图 1 端口隔离示例?所示。PC1、PC2和PC3同属于VLAN10将PC1与PC2对应的端口GE0/0/1和GE0/0/2加入端口隔离组后PC1与PC2在VLAN10内不能互相访问但是PC3与PC1之间可以互相访问PC3与PC2之间也可以互相访问。
?图1 端口隔离示例
【交换机在江湖】疑难FAQ汇总(每周更新)-2290525-1

MFF为同一广播域内实现客户端主机间的二层隔离和三层互通提供了一种解决方案。MFF截获用户的ARP请求报文通过ARP代答机制构造源MAC为网关MAC地址的ARP应答报文发给用户。通过这种方式强制用户将所有流量发送到网关使网关可以监控数据流量防止用户之间的恶意攻击更好地保障网络部署的安全性。如图 2 通过MFF实现二层网络隔离所示用户流量不能从二层汇聚节点直接通过而是从网关通过实现了二层隔离。
图2 通过MFF实现二层网络隔离
【交换机在江湖】疑难FAQ汇总(每周更新)-2290525-2
二十五、交换机没有路由器端口时IGMP Report报文无法转发如何处理
如图 路由器端口介绍 所示三层设备Router从组播源接收数据并向下游转发在二层组播设备SwitchA和SwitchB上分别运行IGMP SnoopingHostA、HostB和HostC为接收者主机即组播组成员。
路由器端口介绍
【交换机在江湖】疑难FAQ汇总(每周更新)-2290525-3


            端口角色 ?
?作用 ?如何生成
路由器端口Router Port如SwitchA和SwitchB上蓝色圆圈表示的接口。
            说明路由器端口都是指二层组播设备上朝向组播路由器的接口而不是指路由器上的接口。
?二层组播设备上朝向三层组播设备DR或IGMP查询器一侧的接口二层组播设备从此接口接收组播数据报文。 ?由协议生成的路由器端口叫做动态路由器端口。收到源地址不为0.0.0.0的IGMP普遍组查询报文或PIM Hello报文三层组播设备的PIM接口向外发送的用于发现并维持邻居关系的报文的接口都将被视为动态路由器端口。
            手工配置的路由器端口叫做静态路由器端口。

交换机没有路由器端口时IGMP Report报文无法转发可以在接口视图下执行命令igmp-snooping static-router-port vlan { vlan-id1 [ to vlan-id2 ]}&<1-10>配置该接口作为指定VLAN内的静态路由器端口。

二十六、S3300 CPU高的常见原因有哪些S3300 CPU高常见的原因有缺省情况下接口下所有的BPDU报文都上送CPU处理。即使对应的协议没有使能收到的BPDU报文也会上送例如STP没有使能但是STP协议对应的BPDU报文也会上送CPU处理因此容易导致CPU高。建议现网在不使用二层协议如STP的接口下配置bpdu disableBPDU不再上送CPU处理。V100R006C05之前的版本S3300会默认将reseved mulitcast保留组播上送到CPU从而引起CPU高。可以在防攻击策略视图下执行命令deny packet-type reserved-multicast将上送CPU的reseved mulitcast报文丢弃掉。
二十七、BFD与接口联动时BFD Down后接口shutdown但是执行undo shutdown后为什么接口仍然不能UP如图 BFD与接口联动组网 所示SwitchA和SwitchB之间配置BFD与接口联动。由于某些原因SwitchB上的BFD和接口联动功能被删除了此时BFD状态变为Down同时接口GE1/0/1也被shutdown了。在接口GE1/0/1下执行undo shutdown接口仍然Down此时需要将该接口下的BFD与接口联动配置oam-bind ingress bfd-session bfd-session trigger if-down egress interface gigabitethernet 1/0/1删除配置删除后接口才变为UP。
BFD与接口联动组网图【交换机在江湖】疑难FAQ汇总(每周更新)-2290525-4
二十八、交换机和服务器对接为什么交换机能Ping通服务器而服务器无法Ping通交换机当服务器Ping交换机时如果ICMP报文的MAC地址为交换机的MAC地址则能Ping通否则Ping不通。服务器无法Ping通交换机时是因为ICMP报文的目的MAC变化导致的。

二十九、机场场景下为什么S12700+ACU2下无线用户漫游过程无法Ping通业务网关而定点上网正常终端漫游无线并没有断开业务不通是终端ARP请求应答较慢或丢失导致。AP会收到大量广播和组播导致CPU升高所以需要在接AP的交换机上以及一直到网关交换机上配置端口隔离。
三十、对于QinQ报文为什么使用remark 8021p重标记内层VLAN的8021p优先级不成功
remark 8021p只支持重标记外层VLAN的8021p优先级不支持重标记内层VLAN的8021p优先级。

三十一、端口配置信任端口后为什么配置的IPSG功能不生效
端口配置成信任端口后所有的报文不会被检查直接转发所以导致配置的IPSG功能不生效。
三十二、交换机是否支持在Super VLAN和MUX VLAN上配置VRRP交换机支持在Super VLAN上配置VRRP可以通过使用 命令vrrp advertise send-mode决定在哪个Sub-VLAN中发送VRRP心跳。交换机不支持在MUX VLAN上配置VRRP也不建议VRRP和MUX VLAN联用MUX VLAN一般使用在二层互通场景中。
三十三、光模块与光电模块的区别是什么什么是光模块
信号在光网络中传输时必须进行光/电转换。光模块就是专门在光网络中完成光/电转换工作的部件。光模块的外观结构如下图所示。
图1-1 光模块的外观结构
【交换机在江湖】疑难FAQ汇总(每周更新)-2290525-5
?
      1拉手扣
            
      2接收接口
            
      3发送接口
            
      4壳体
            
      5标签
            
      6防尘塞
            
      7裙片
            
      8接头
            
      -
            
?
以SFP/eSFP封装光模块为例光模块的外观如下图所示。
图1-2 SFP/eSFP封装光模块的外观
【交换机在江湖】疑难FAQ汇总(每周更新)-2290525-6
?
什么是光电模块也叫电模块
与光模块不同光电模块不进行光电转换。通过电模块的转接可以用网线将两个光接口连接起来。目前华为只提供GE光电模块接口为RJ45接口使用5类网线支持1000BASE-TIEEE 802.3ab标准最大传输距离为100m。
GE光电模块的外观如下图所示。
图1-3 GE光电模块的外观
【交换机在江湖】疑难FAQ汇总(每周更新)-2290525-7
?
光模块和光电模块都是用在光接口上的其中光模块配套光纤使用而光电模块配套网线使用。
不是所有的光接口都能使用光电模块可以使用硬件查询工具查询具体设备或单板是否支持光电模块。

三十四、流策略中配置了2个classifier+behavior其中一个classifier+behavior匹配了自定义ACL但是流策略却没有生效原因是什么如果其中一个classifier+behavior匹配了自定义ACL而流策略的匹配顺序配置成了config流策略就会不生效。需要将流策略的匹配顺序需要配置成autotraffic policy policy-name match-order auto 。
三十五、交换机下行口和V100R005C01版本的S5700或S5300相连为什么下行口会被STP阻塞导致业务不通下行口被阻塞的原因是因为指定端口收到了STP报文。V100R005C01版本的S5700或S5300默认没有使能bpdu enable因此收到交换机发来的BDPU报文没有上送所以S5700或S5300一直以为自己是根会向交换机一直发送BPDU报文。
框式交换机V100R001S3300&S5300、S3700&S5700 V100R003、V100R005版本参与STP计算的端口需要配置bpdu enable否则对于收到的STP报文不处理不会影响STP报文发送。S3300&S5300、S3700&S5700的Eth-trunk接口下最容易遗漏该配置。
框式交换机V100R002及后续版本参与STP计算的端口不需要配置bpdu enable默认bpdu disable/bpdu bridge disable
盒式交换机V100R006版本开始端口默认bpdu enable
三十六、设备上的报文进行三层转发防火墙重定向为什么无法生效如下图所示在GE1/8/10上配置重定向通过Eth-Trunk19引流到防火墙报文再从Eth-Trunk20回到交换机SwitchA。
由于PC和Server在不同的网段报文在SwitchA上走三层转发所以会替换源MAC为VLANIF3三层出接口GE1/8/12属于VLAN3的MACEth-Trunk20进入到SwitchA的源MAC就是VLANIF3的MAC。设备SwitchA会默认丢弃源MAC为VLANIF的MAC的报文因此在PC上没有收到报文PC Ping不通Server。
【交换机在江湖】疑难FAQ汇总(每周更新)-2290525-8
三十七、交换机没有接任何业务接口全部都是Down的为什么CPU占用率仍然高
交换机上配置了IP地址192.168.1.1/172192.168.1.1/172被许多主机设置为DNS服务器。交换机上收到了大量的DNS、TCP报文导致CPU占用率高修改交换机的IP地址CPU占用率恢复正常。
 
三十八、S交换机响应SNMP网管缓慢的解决措施有哪些
 
措施一、可能由于多个终端同时访问S交换机导致S交换机SNMP模块并行响应多个终端用户导致延时。用户可以尝试执行命令snmp-agent acl配置SNMP的访问控制列表限制其他用户访问。
例如配置如下
设置满足ACL 2000匹配条件的网管可以通过SNMP访问设备。
<HUAWEI> system-view 
[HUAWEI] acl 2000 
[HUAWEI-basic-2000] rule permit source192.168.10.10 0 
[HUAWEI-basic-2000] quit 
[HUAWEI] snmp-agent acl 2000
措施二、尝试在SNMP网管侧修改SNMP请求频率1分钟或者修改一下超时重发时间当前应该是0.5s
措施三、升级到最新版本查看问题是否解决。
三十九、为什么S5700-10P-LI网络位置由二层转发设备切换为三层网关用户上网速度变慢


S5700-10P-LI一般在网络规划中属于二层设备当作为三层转发设备时默认软件转发性能较差因此需要修改配置转化为硬件转发。即执行命令assign ipv4-forward-modehardware然后重启才可以生效。硬件转发模式后设备还有一些使用限制。因此不建议用户将S5700-10P-LI作为三层网关使用。.
四十、为什么 交换机与服务器对接修改端口自协商模式后后仍然上传文件缓慢


交换机与服务器对接用户从客户端上传文件至服务器速度很慢 50k的文件上传需要花费几分钟没有丢包延时也不大。

当前接口为自协商模式协商的速率只有10M。尝试执行命令undo negotiation auto配置为非自协商模式然后执行命令speed 1000强制速率到1000M如果问题还是没有解决可尝试联系对端的服务器端技术人员分析解决。
四十一、为什么框式设备使用新版本主控板后就会存在MAC漂移


框式设备先前使用的是V100R003版本的主控板用户更换为V200R008版本主控板并且连线和先前保持一致的情况是下出现MAC漂移。此时您要比对版本之间配置的命令行差异。经比对发现V100R003版本的主控板配置了命令undo mac-learning priority 0 allow-flappingV200R008版本主控板上没有配置此命令。 在新版本上配置此命令后问题解决。该命令功能为配置不允许相同优先级的接口发生MAC地址漂移。

虽然配置此命令后MAC漂移不再产生但是还是建议用户排查网络拓扑彻底排除环路。


四十二、为什么端口没连接网线指示灯也亮
可能原因有两个。
原因一、用户在端口下配置loopback  internal使能了内环回功能。
您可以在相应接口视图下执行命令display this interface查看端口信息。
重点查看Loopback字段如果显示为INTERNAL则表示配置了此功能需要执行命令undo loopback去使能此功能。

原因二、如果上述步骤Loopback字段显示为 NONE则设备未配置此功能并且用户没有插网线情况下很可能是硬件故障请联系技术支持人员。
四十三、用户如何将低级别用户提升到高级别用户
用户可以通过如下方式修改自己的用户级别。1.管理员配置用户提升用户级别为15级时的密码。
<HUAWEI> system-view 
[HUAWEI] super password level 15 cipherHuawei@5678
2.普通用户通过Telnet登录设备后在线修改自己的用户级别。

<HUAWEI> super 15 
Password:  //输入密码Huawei@5678 
Now user privilege is 15 level, and only those commands whose level is equal too 
r less than this level can be used.                         
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE   //用户提升用户级别成功

四十四、如何通过MIB节点查询设备补丁信息
通过MIB节点查询设备补丁信息的OID1.3.6.1.4.1.2011.5.25.19.1.8.5.1.1.4

例如用户在网管设备上查看此信息输出结果如下

[DEVICE]$ snmpwalk -v 2c -c Community Hostname1.3.6.1.4.1.2011.5.25.19.1.8.5.1.1.4 
SNMPv2-SMI::enterprises.2011.5.25.19.1.8.5.1.1.4.0.50 = STRING: "V200R007SPH001" 
SNMPv2-SMI::enterprises.2011.5.25.19.1.8.5.1.1.4.1.50 = STRING: "V200R007SPH001"

查询结果可以看出补丁版本号为V200R007SPH001。上述回显信息中对于[0.50][1.50]其中01均表示堆叠系统的堆叠ID50表示补丁中包含50个补丁单元。

四十五、为什么S2700S5700设备对接S5700收发正常但S2700入方向有大量的错包统计
 
S5700S2700对接执行命令display interface interface-type interface-number查看接口报文计数发现S2700入方向报文统计持续增加但是S5700无错包统计。通过分析发现S5700交换机允许通过的最大帧长度为9216字节支持通过命令行jumboframe enable value 调整配置但是S2700允许通过的最大帧长度为1600字节并且不支持命令行。因此当链路中存在大于1600但是小于9216字节的报文时S2700报文统计会统计在错包中但是S5700上统计为正常报文。
四十六、为什么堆叠成员退出堆叠再加入堆叠后配置文件丢失了
两台S5700设备通过堆叠卡组建堆叠其中备交换机异常下电重启重启后再加入堆叠系统时发现备交换机配置文件丢失您可以通过查看用户操作日志排查原因

May 26 2017 09:29:39 CDGT-HUAWEI-5720FSP/4/STACKMEMBER_LEAVE:OID 1.3.6.1.4.1.2011.5.25.183.1.22.7 Slot 2 leaves fromstack. 
May 26 2017 09:33:01 CDGT-HUAWEI-5720%SHELL/6/CMDCONFIRM_UNIFORMRECORD(s)[743844]:Record command information.(Task=VT0, IP=113.215.2.220, VpnName=, User=admin, Command="sa",PromptInfo="The current configuration will be written to the device.Areyou sure to continue?[Y/N]", UserInput=Y) 
May 26 2017 09:33:01 CDGT-HUAWEI-5720 /4/SAVE(s)[743845]:The user choseY when deciding whether to save the configuration to the device. 
May 26 2017 14:38:30 CDGT-HUAWEI-5720 %LOAD/6/SLOTJOINED(l)[751557]:Slot 2joined the stack.

通过上述用户操作日志可以得出用户在设备下电并上电后执行了命令行save配置文件操作然后备交换机再次加入堆叠系统经过研发工程师分析堆叠实现流程发现如果堆叠离开后保存配置文件然后再加入堆叠原堆叠配置就会丢失。

因此建议用户后续出现类似故障时异常下电并上电后不要执行save即保存配置文件的操作。

四十七、设备Ping网管地址有丢包需要先检查什么


首先需要检查设备是否正确学习到了网关IP地址对应的ARP表项即执行命令display arp network net-number查看ARP表项中网关IP地址对应的MAC地址是否和实际网关MAC地址一致。如果错误则很有可能网络中出现IP地址冲突有其他网络设备误配置IP和网关IP重复从而在设备上Ping 网关IP地址会出现丢包。

四十八、配置peer connect-interface时针对源接口和源地址注意事项是什么
 
使用非直连物理接口建立BGP连接时需要在两端均配置peer connect-interface命令以保证两端连接的正确性。否则可能导致BGP连接建立失败。

如果对端跟本端的loopback口建立邻居需要在本端指定源接口是loopback口如果对端跟本端物理口建立邻居需要在本端指定源接口是物理口。

为了使物理接口在出现问题时设备仍能发送BGP报文建议将发送BGP报文的源接口配置成Loopback接口。在使用Loopback接口作为BGP报文的源接口时必须确认BGP对等体的Loopback接口的地址是可达的。

例如SwitchASwitchB建立BGP连接时针对peer connect-interface配置如下

SwitchA配置如下

<SwitchA> system-view 
[SwitchA] bgp 100 
[SwitchA-bgp] peer 10.16.6.6 as-number 100 
[SwitchA-bgp] peer 10.16.6.6 connect-interface loopback0 10.18.8.8

SwitchB配置如下

<SwitchB> system-view 
[SwitchB] bgp 100 
[SwitchB-bgp] peer 10.18.8.8 as-number 100 
[SwitchA-bgp] peer 10.18.8.8 connect-interface loopback0 10.16.6.6



四十九、SSH 1.xSSH2.0有什么区别


SSH2.0SSH1.x均表示SSH服务器及客户端支持的版本。

服务器会比较客户端发来的SSH版本号并根据自身是否已经执行了命令ssh server compatible-ssh1x enable配置SSH服务器兼容低版本功能来决定是否能同客户端一起工作。如果已经使能SSH服务器兼容低版本功能则

l  如果客户端的协议版本号低于1.3或高于2.0则版本协商失败断开连接。

l  如果客户端的协议版本为大于等于1.3并且小于1.99系统配置为兼容SSH1.x方式则进入SSH1.5 SERVER模块后续进行SSH1.x协议流程否则版本协商失败断开与客户端的连接。

l  如客户端协议版本为1.992.0则进入SSH2.0 SERVER模块后续进行SSH2.0协议流程。

S交换机V200R006 及之前版本设备默认使能SSH服务器兼容低版本功能对于V200R007以及之后版本出于网络安全考虑设备默认未使能SSH服务器兼容低版本功能。如果设备是从低版本升级至V200R007以及之后版本升级前SSH服务器兼容低版本功能处于默认的使能状态出于升级兼容考虑升级后设备的SSH服务器兼容低版本功能将仍处于使能状态。


SSH2.0协议相比SSH1.X协议来说在结构上做了扩展可以支持更多的认证方法和密钥交换方法安全性更高可以规避SSH1.x存在的安全风险推荐用户使用SSH2.0。建议您升级后使用命令undo ssh server compatible-ssh1x enable去使能SSH服务器兼容低版本功能提升设备安全性。



五十、执行reset arp staic命令清除ARP表项后还有什么其他影响


用户执行reset  arpstatic命令清除静态ARP表项的同时还会清除配置静态ARP表项的的命令。
例如
[Quidway] arp static 1.1.1.1 0efc-0505-86e3                      
[Quidway] display current-configuration  | include arp static        
arp static 1.1.1.1 0efc-0505-86e3          
[Quidway] quit                                       
<Quidway> reset  arp static                                          
Warning: This operation will reset all static ARP entries, and clear theconfigurations of all static ARP, continue?[Y/N]:y             
<Quidway> displaycurrent-configuration  | include arpstatic                       //先前配置命令arp static 1.1.1.1 0efc-0505-86e3已经删除 
<Quidway>  
 
五十一、为什么设备Ping网络号网络地址设备显示会收到回应报文
交换机SwitchA上直连交换机SwitchB的管理网口。在SwitchAPing 192.168.16.0 这个网络号设备上会显示收到回应报文。

交换机SwitchAPing网络号时SwitchA设备发送的ICMP报文的目的MACFFF-FFFF-FFFF如果交换机SwitchB业务口收到这种报文是不会上送软件处理的软件只上送到本机的ICMP单播请求报文。但是如果是从SwitchB管理网口接收的话可以上送处理因此SwitchA能收到SwitchB返回的ICMP REPLY报文。

五十二、配置部分VTY用户通过ACL控制后用户VTY登录实现机制是怎样的
交换机设置最大登录用户数是15vty0-4下配置了acl控制列表在vty5-14下未做控制列表当前只占用vty0的情况下通过控制列表外的IP地址访问设备能够成功登录查看占用的vty5通道。

<HUAWEI> display user-interface maximum-vty  
Maximum of VTY user:15 
<HUAWEI> displaycurrent-configuration | begin user-interface 
user-interface maximum-vty 15 
user-interface con 0 
authentication-mode aaa 
idle-timeout 0 0 
screen-length 25 
user-interface vty 0 4 
acl 2000 inbound 
authentication-mode aaa 
user privilege level 3 
idle-timeout 0 0 
screen-length 25 
protocol inbound telnet 
user-interface vty 5 14 
authentication-mode aaa 
user privilege level 3 
idle-timeout 0 0 
screen-length 25 
protocol inbound telnet 
user-interface vty 16 20 

<9312> display acl 2000 
Basic ACL 2000, 3 rules 
Acl\'s step is 5 
rule 1 permit source 10.0.5.0 0.0.0.255  
rule 2 permit source 10.0.9.0 0.0.0.255  
rule 10 deny  
<9312> display users 
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 
0 CON 0 24:49:10 pass no Username : admin 
+ 34 VTY 0 00:00:00 TEL 10.0.9.10 pass no Username : admin

使用另外一个终端IP地址为10.1.18.213再登录设备登录成功执行display users查看用户信息如下

<HUAWEI> display users 
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 
0 CON 0 24:50:00 pass no Username : admin 
+ 34 VTY 0 00:00:00 TEL 10.0.9.10 pass no Username : admin 
39 VTY 5 00:00:02 TEL 10.1.18.213 pass noUsername : admin


对于IP地址为10.1.18.213的终端客户使用V2R10C00版本可以登陆但是V2R1C00不可以登陆成功原因如下V200R010 的版本用户登录时会遍历VTY通道非法IPVTY0- 4被拒绝之后会向后遍历VTY 5-14。对于V200R001版本如果在VTY0拒绝了就不会向后遍历因此老版本会登录失败。



五十三、框式集群业务口堆叠连线如何保证可靠性


业务口集群按照链路的分布有两种组网形式。

l  1+0组网每台成员交换机配置一个逻辑集群端口物理成员端口分布在一块业务板上依靠一块业务板上物理成员端口与对框的物理成员端口实现集群连接。

l  1+1组网每台成员交换机配置两个逻辑集群端口物理成员端口分布在两块业务板上不同业务板上的集群链路形成备份。

说明

集群连线时需注意以下几点

一个逻辑集群端口下的物理成员端口只能与对框的一个逻辑集群口下物理成员端口相连。

1+1组网中建议两块单板上的集群链路数量保持一致。

出于可靠性考虑组建上述两种业务口集群组网形式需注意以下几点

l  出于高可靠性要求推荐您使用1+1组网并且推荐配置多主检测功能。

l  一块业务板上建议至少有两个物理成员端口加入到一个逻辑集群端口并且建议加入逻辑集群端口的物理成员口都和对端成员交换机互连。在这些链路上都有堆叠状态心跳检测机制可以更好监控堆叠状态。


l  上行端口和配置多主检测端口不建议部署在组建集群的业务板上。



五十四、镜像配置中观察端口占用的单板资源如何计算


A单板上配置观察端口将B单板镜像端口绑定到A单板上的观察端口时将占用B单板上所有镜像端口可绑定的观察端口规格数量。

例如1槽位单板属于E系列单板最多可配置6个观察端口所有镜像端口入方向加起来最多可以绑定4个观察端口出方向加起来最多可以绑定2个观察端口。如果镜像端口入方向和出方向绑定到了同一个观察端口并且这个观察端口是配置在槽位2的单板上则入方向可以绑定的剩余观察端口数量为3出方向可以绑定的剩余观察端口数量为1那么剩余可用观察端口数量都是按照槽位1规格来计算为3+1=4并非是6-1=5


<HUAWEI> system-view 
[HUAWEI] observe-port 1 interfacegigabitethernet 2/0/2 
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-mirroringto observe-port 1 both

五十五、OSPF优选路由和等价路由的处理机制是什么


如果您希望查看优选路由表项可执行命令display ip routing-table 回显信息中仅显示激活路由的概要信息。如果希望查看激活和未激活路由的详细信息可执行命令display ip routing-tableverbose

对于OSPF路由您还可以在诊断视图下执行命令display ospf [ p***ess-id ] routing [ ip-address  ] verbose查看OSPF的链路状态数据库信息。

<HUAWEI> system-view 
[HUAWEI] diagnose 
[HUAWEI-diagnose] display ospf routing80.80.1.0 verbose     
OSPF P***ess 1 with Router ID 1.1.1.1 
 Destination : 80.80.1.0/24 
 AdverRouter : 23.23.23.23              Tag       : 1 
 Cost        : 1                       Type      : Type2 
 NextHop     : 80.80.1.1                Interface : Ethernet1/0/0 
 Priority    : Medium                   Age       : 00h00m19s 
 OrigLSAType : None 
 Locks       : PRC 
 RouteFlags  : ADD2RM | POLPASS | RMELIG | T2EXT 
 FlagValue   : 0XE1008063 
 RtSource 1  : 
  LsId(Key)   : 6.6.6.6                 Type(Key)      : External 
  AreaId(Key) : 0.0.0.0                 AdvRouter(Key) : 1.1.1.3 
  LsaCost     :1                      EffectiveCost  : 1 
  CostType    : Type-2                  DnBit          : Un-Set 
  Tag         : 1                       FwdAddr        : 0.0.0.0/0 
  Flag        : REACHABLE | BESTPATH | ELIGIBLE |T2EXT | LEARNT | MAXRTELIG 
  FlagValue   : 0xE0191B48

OSPF优选和等价路由的处理机制可以重点查看上述回显信息中的LsaCost(度量值)EffectiveCost实际生效的cost主要用于Type5类路由。

l  优先查看LsaCost数值数值小的的路由表项将作为优选路由。


l  如果LsaCost数值相同则将LsaCost+EffectiveCost数值总和加起来比较数值总和小的路由表项将作为优选路由如果仍然一样则两条路由将作为等价路由进行负载分担。
 
五十六、S交换机和语音服务器对接是否可以在S交换机上将连接服务器的端口配置为镜像功能中观察端口配置
 
不建议这样配置如果镜像端口和观察端口属于同一VLAN则镜像端口发送一份报文在语音服务器上就会受到两份报文影响业务。

五十七、S交换机双链路备份和友商设备对接为什么主备接口切换后部分ARP表项未及时刷新
 
该场景依赖对端设备发送免费ARP报文来更新主接口的ARP表项。建议用户减小对端设备发送免费ARP的时间间隔来解决。

 
五十八、组建堆叠后为什么网管设备通过SNMP获取信息缓慢
 
盒式设备组建堆叠时台数越多网管设备通过SNMP获取信息越缓慢。原因是由于获取端口相关信息需要遍历的节点太多台数越多耗时越长。


五十九、用户是否可以自行修改配置文件并指定为下次启动使用的配置文件


startupsaved-configuration命令用来配置系统下次启动时使用的配置文件。


用户请勿自行手动修改配置文件并指定为下次启动时的配置文件否则可能会造成设备启动异常。例如用户私自修改配置文件中的BGP相关配置则就有可能因为#后是否有空格导致配置文件下发异常。



六十、如何判断设备是否出现RouterID冲突异常


任意视图下执行命令display logbuff查看设备是否出现OSPF/4/CONFLICT_ROUTERID_INTF日志。

<Quidway>  displaylogbuffer  
 ... ... 
May  4 2017 00:17:57+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[311]:OSPF Router id conflict is detectedon interface. (P***essId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21) 
May  4 2017 00:15:57+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[312]:OSPF Router id conflict is detectedon interface. (P***essId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21) 
May  4 2017 00:13:56+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[313]:OSPF Router id conflict is detectedon interface. (P***essId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21)

如果出现上述告警则设备出现了Router ID冲突一般情况下可以执行命令执行ospf router-id router-id命令修改设备的Router ID


特殊情况下如果设备RouterID冲突日志信息中源IP地址PacketSrcIp=41.48.16.21为自身设备上的IP地址则表示设备收到了本接口发出去的报文您需要排查网络中是否存在环路并获取OSPF报文中MAC地址信息进行定位排查具体哪个设备将报文转发回来。



六十一、交换机是否根据UDP端口号过滤出PPPoEMPLS报文
交换机对于PPPoEMPLS Tunnel CAPWAP隧道封装等报文交换机ACL过滤时目前无法解析报文内部IP信息。

例如用户在交换机设备尝试配置如下步骤通过ACL流过滤获取特定报文。

在入接口配置了一条流策略到镜像端口要求只接收到UDP53端口的报文。

<HUAWEI> system-view 
[HUAWEI] observe-port 1 interfaceGigabitEthernet 0/0/14  
[HUAWEI] acl number 3001 
[HUAWEI--acl-adv-3001] rule 5 permit udpdestination-port eq 53 
[HUAWEI--acl-adv-3001] quit 
[HUAWEI] traffic classifier a1 operatorand 
[HUAWEI-classifier-a1] if-match  acl 3001 
[HUAWEI-classifier-a1] quit 
[HUAWEI] traffic behavior  b1                
[HUAWEI-behavior-b1] permit       
[HUAWEI-behavior-b1] mirroring toobserve-port 1   
[HUAWEI-behavior-b1]quit 
[HUAWEI]traffic policy yagoo    
[HUAWEI-trafficpolicy-yagoo]classifier a1 behavior  b1    
[HUAWEI-trafficpolicy-yagoo]quit   
[HUAWEI]interface  GigabitEthernet  0/0/4   
[HUAWEI-GigabitEthernet0/0/4]traffic-policy yagoo inbound   




结果是客户能获取到以太网类型的到目的端口53的报文但是获取不到PPP类型的到目的端口53的报文。原因就是上述描述的PPPoE等类型的封装报文S交换机ACL过滤时无法获取内部IP信息。

六十二、交换机用户登录及文件管理相关功能的默认开启情况是什么


交换机用户登录及文件管理功能主要涉及FTP/SFTPTelnet/STelnetHTTP/HTTPS。各版本默认开启情况及相关配置命令如下

FTP

ftp server enable命令用来开启设备的FTP服务器功能允许FTP用户登录。

undo ftp server命令用来关闭设备的FTP服务器功能禁止FTP用户登录。

缺省情况下FTP服务器功能处于去使能状态。

SFTP

sftp server enable命令用来使能SSH服务器端的SFTP服务功能。

undo sftp server enable命令用来关闭SSH服务器端的SFTP服务功能。

缺省情况下SSH服务器端的SFTP服务功能处于去使能状态。

Telnet

telnet server enable命令用来启动Telnet服务器。

undo telnet server enable命令用来关闭Telnet服务器。

缺省情况下对于V200R003及之前版本Telnet服务器功能处于使能状态对于V200R005及之后版本Telnet服务器功能处于去使能状态。

STelnet

stelnet server enable命令用来使能SSH服务器端的STelnet服务。

undo stelnet server enable命令用来关闭SSH服务器端的STelnet服务。

缺省情况下SSH服务器端的STelnet服务处于去使能状态。

HTTP

http server enable命令用来使能HTTP服务功能。

undo http server enable命令用来去使能HTTP服务功能。

缺省情况下HTTP服务功能处于使能状态。

HTTPS

http secure-server enable命令用来使能安全HTTP服务功能。

undo http secure-server enable命令用来去使能安全HTTP服务功能。


缺省情况下安全HTTP服务功能处于使能状态。


六十三、VTY用户登录是否需要配置ACL控制规则


出于网络安全考虑建议用户配置VTY通道ACL过滤规则防止大量Telnet攻击导致所有VTY通道被占满正常用户没有可使用的VTY通道导致无法登录设备。例如可配置如下规则


<HUAWEI> display user-interface maximum-vty  
Maximum of VTY user:15 
<HUAWEI> displaycurrent-configuration | begin user-interface 
user-interface maximum-vty 15 
user-interface con 0 
authentication-mode aaa 
idle-timeout 0 0 
screen-length 25 
user-interface vty 0 14 
acl 2000 inbound 
authentication-mode aaa 
user privilege level 3 
idle-timeout 0 0 
screen-length 25 
protocol inbound telnet 

<9312> display acl 2000 
Basic ACL 2000, 3 rules 
Acl\'s step is 5 
rule 1 permit source 10.0.5.0 0.0.0.255  
rule 2 permit source 10.0.9.0 0.0.0.255  
rule 10 deny 

六十四、S交换进对于转发面和控制面的报文是否都分片


通过配置MTU值接口的最大传输单元)可以控制一次能够发送IP报文的最大字节数如果MTU值生效并且传送报文长度大于MTU值报文才会分片否则即使报文长度很大也不会分片。因此判断转发面和控制面的报文是否会分片需要先看MTU值的生效情况。

l  对于框式交换机

配置MTU对控制平面的数据报文生效。对于V200R010及之后版本LE1D2S04SEC0LE1D2X32SEC0LE1D2H02QEC0X系列单板需要执行ipv4 fragment enable命令使能报文分片功能后配置的MTU值才对转发平面的数据报文生效对于以上描述之外的单板配置MTU值对转发平面的数据报文无法生效。

对于V200R009及之前版本配置MTU仅对控制平面的数据报文生效对转发平面的数据报文无法生效即转发平面报文不会分片。

l  对于盒式交换机

配置MTU对控制平面的数据报文生效。对于V200R010及之后版本S320HIS5720HI设备需要执行ipv4 fragment enable命令使能报文分片功能后配置的MTU值才对转发平面的数据报文生效对于以上描述之外的设备配置MTU值对转发平面的数据报文无法生效。


对于V200R009及之前版本配置MTU仅对控制平面的数据报文生效对转发平面的数据报文无法生效即转发平面报文不会分片。



六十五、双电源设备重启可能原因是什么



两台S6720-30C-EI-组建堆叠其中只有一台设备异常重启两台交换机是插在机房同一个插排的。设备当前是双电源供电基本排除两个电源模块同时故障的可能怀疑是外部供电导致。

六十六、为什么S交换机和NE设备对接时会出现Ping大包不通
S交换机和NE设备对接时在NE设备上Ping  -s 1555 192.168.1.3(IP地址为交换机地址)无法Ping通但是Ping -s 1554 192.168.1.3可以Ping通。

登录S交换机进入交换机对接NE设备的接口视图并执行命令display this interface查看报文统计信息。通过回显信息发现接口Giants字段报文统计计数为90即接口收到了超过Jumbo最大帧长度。Ping大包可能是超过了接口允许的最大帧长。用户可尝试配置jumboframe enable value 调整以太网接口允许通过的最大帧长。


<SwitchC> system-view                                   
[SwitchC] interface GigabitEthernet  0/0/2       
[SwitchC-GigabitEthernet0/0/2] displaythis interface  
GigabitEthernet0/0/2 current state : UP 
Line protocol current state : UP 
Description:HUAWEI, Quidway Series, GigabitEthernet0/0/2 Interface 
Switch Port, TPID : 8100(Hex), The Maximum Frame Length is 1600 
IP Sending Frames\' Format is PKTFMT_ETHNT_2, Hardware address is 2cab-0083-3880
Port Mode: COMMON FIBER 
Speed : 1000,  Loopback: NONE 
Duplex: FULL,  Negotiation: DISABLE 
Last 300 seconds input rate 184 bits/sec, 0 packets/sec 
Last 300 seconds output rate 376 bits/sec, 0 packets/sec 
Input peak rate 78224 bits/sec, Record time: 2008-01-01 01:21 
Output peak rate 93152 bits/sec, Record time: 2008-01-01 01:21 
Input:  31511 packets, 2595452 bytes 
Unicast        :               29140, Multicast          :                2249 
Broadcast      :                   0, Jumbo              :                  32 
CRC            :                   0, Giants             :                  90 
Jabbers        :                   0, Fragments          :                   0 
Runts          :                   0, DropEvents         :                   0 
Alignments     :                   0, Symbols            :                   0 
Ignoreds       :                   0, Frames             :                   0 
Discard        :                   0, Total Error        :                  90 
Pause          :                   0 
Output:  55317 packets, 4341335 bytes 
Unicast        :               52978, Multicast          :                2276 
Broadcast      :                   0, Jumbo              :                  63 
Collisions     :                   0, Deferreds          :                   0 
Late Collisions:                   0,ExcessiveCollisions:                   0 
Buffers Purged :                   0 
Discard        :                   0, Total Error        :                   0 
Pause          :                   0 
    Input bandwidth utilization threshold: 100.00% 
    Output bandwidth utilizationthreshold: 100.00% 
    Input bandwidth utilization  : 0.01% 
    Output bandwidth utilization : 0.01% 
[SwitchC-GigabitEthernet0/0/2] jumboframeenable 1700


六十六、问什么网管上接口错包统计信息和设备上显示的不一致

清除网管的接口流量统计信息需要在S交换机设备用户视图上执行命令reset counters if-mib interface清除设备接口的统计信息需要在S交换机设备用户视图上执行命令reset counters  interface


上述两条命令相互独立即执行命令reset counters if-mibinterface对命令display interface显示的接口流量统计信息不影响。当需要清除命令display interface查看到的接口统计信息时可以执行命令reset counters interface。同样执行命令reset counters interface对于网管上查看的报文统计计数也不影响当需要清除网管上查看到的接口统计信息时可以执行命令reset counters if-mibinterface

六十七、如何理解日志抑制的实现机制


用户可以在系统视图下执行命令info-centerstatistic-suppress enable使能连续重复日志的统计抑制功能。

有一些业务特性如ARPVRRP等在ARP攻击、路由链路故障等场景下会短时间产生大量重复日志这样既浪费系统的存储空间又浪费系统的CPU资源用户一般不希望看到这些重复冗余的日志信息。可以执行命令info-center statistic-suppress enable使能连续重复日志的统计抑制功能避免系统受到冲击而影响其他日志的记录。

只有日志ID和全部参数完全相同且中间无其它日志的两条日志才可判定为连续重复日志。

对于重复次数的输出采用3种时间长度控制第一次是30秒输出一次统计情况然后是120秒输出一次统计信息最后是每600秒输出一次统计信息。

缺省情况下信息中心每收到一条日志后立刻输出。对于后来连续产生的重复日志只输出重复次数直到收到其他日志为止。例如某模块生成日志序如下A1(T1) A2(T2) A3(T2) B1(T3) B2(T4) B3(T4) C1(T5) C2(T6) A4(T7)B4(T8) B5(T8) B5(T8) B7(T9) A5(T9) B8(T10) D1(T11) A6(T11) A7(T12) A8(T12)A9(T13) A10(T14) A11(T15) A12(T16) A13(T17) A14(T18) B9(T18)其中AnBn是相同的日志即A1A2A3A14是相同日志B1B9是相同日志CnD是不相同的日志即C1C2是不相同日志Tn表示序列号。则输出结果为

T1:A1 
T3(1): last message repeated 2 times 
T3:B1 
T5: last message repeated 2 times 
T5:C1 
T6:C2 
T7:A4 
T8:B4 
T9(1): last message repeated 3 times 
T9:A5 
T10:B8 
T11:D1 
T11:A6 
T13(2): last message repeated 3 times 
T18(2): last message repeated 5 times 
T18:B9

对信息中心显示该业务模块的内容说明如下

l  触发连续重复日志输出方法有两个

a.下一条是非重复的日志会触发上一条连续重复日志记录输出如1

b.连续重复日志的统计时间超过阈值30秒、120秒、600秒由该重复日志的一条触发之前的统计情况输出如2

l  每次输出统计信息后业务模块重新启动计数即在T11T18阶段A日志重复了1+3+5=9

l  信息中心对日志输出依照日志产生顺序方便后续日志的回溯信息和场景复原

说明

日志序为A B A B A B A B的振荡日志由于不是连续重复日志执行info-centerstatistic-suppress enable命令无法达到统计抑制效果。

举例1端口频繁UP/DOWN震荡日志就无法抑制。

Nov 18 2017 10:12:15+08:00HNSY-WGX-ZXJ-SW1-S9306 %IFNET/4/IF_STATE(l)[4059453]:InterfaceGigabitEthernet6/0/45 has turned into UPstate. 
Nov 18 2017 10:12:18+08:00 HNSY-WGX-ZXJ-SW1-S9306 %IFNET/4/IF_STATE(l)[4059454]:InterfaceGigabitEthernet6/0/45 has turned into DOWNstate. 
Nov 18 2017 10:12:20+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059455]:Interface GigabitEthernet6/0/45 has turnedinto UP state. 
Nov 18 2017 10:12:29+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059456]:Interface GigabitEthernet6/0/45 has turnedinto DOWN state. 
Nov 18 2017 10:12:31+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059457]:Interface GigabitEthernet6/0/45 has turnedinto UP state. 
 



举例2如果重复的日志打印过程中出现其他不同日志则抑制就会被打断


 
Nov 18 2017 12:32:02+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059459]:Last message repeated 1times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE) 
Nov 18 2017 12:46:05+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059460]:Last message repeated 4times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE) 
Nov 18 2017 14:26:25+08:00 HNSY-WGX-ZXJ-SW1-S9306D/4/CPCAR_DROP_LPU(l)[4059461]:Some packets are dropped by cpcar on theLPU in slot 3. (Protocol=arp-reply, Drop-Count=0123)//出现不同日志则原先的抑制会中断重新记录 
Nov 18 2017 17:56:25+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059462]:Last message repeated 2times.(InfoID=4280946691, ModuleName=DEFD, InfoAlias=CPCAR_DROP_LPU) 
Nov 18 2017 18:06:25+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059463]:Last message repeated 1times.(InfoID=4280946691, ModuleName=DEFD, InfoAlias=CPCAR_DROP_LPU) 
Nov 18 2017 18:30:00+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059464]:Interface GigabitEthernet6/0/45 has turned intoDOWN state. 
Nov 18 2017 18:31:22+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059465]:Interface GigabitEthernet6/0/45 has turnedinto UP state. 
Nov 18 2017 18:31:25+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059466]:Interface GigabitEthernet6/0/45 has turnedinto DOWN state. 
Nov 18 2017 18:31:27+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059467]:Interface GigabitEthernet6/0/45 has turnedinto UP state. 
Nov 18 2017 18:31:37+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059468]:Interface GigabitEthernet6/0/45 has turnedinto DOWN state. 
Nov 18 2017 18:31:38+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059469]:Interface GigabitEthernet6/0/45 has turnedinto UP state. 
Nov 18 2017 23:28:09+08:00 HNSY-WGX-ZXJ-SW1-S9306 %INFO/6/SUPPRESS_LOG(l)[4059470]:Lastmessage repeated 1 times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE)
Nov 18 2017 23:46:05+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059471]:Last message repeated 15times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE)

六十八、为什么交换机的VLANIF接口带宽在U2000网管上显示为1Gbit/s

VLNIF接口属于逻辑接口没有物理接口的带宽概念交换机侧本身也不会提供VLANIF的带宽利用率。对于网管侧获取的VLNIF带宽信息是其根据RFC规则描述给予以太网VLNIF接口赋予的默认值1Gbit/s



六十九、框式交换机NTP的状态信息显示时钟已设定但时钟频率没有确定的原因是什么


交换机上执行命令display ntp-service status查看NTP的状态信息如下。

[HUAWEI] display ntp-service status 
clock status: synchronized  
clock stratum: 5  
reference clock ID: 192.168.30.1 
nominal frequency: 100.0000 Hz  
actual frequency: 100.0000 Hz  
clock precision: 2^18 
clock offset: 1.5096 ms  
root delay: 109.93 ms  
root dispersion: 5.94 ms  
peer dispersion: 178.51 ms  
reference time: 08:03:54.402 UTC May 5 2017(DCB6B06A.6713AD5B) 
synchronization state: clock set butfrequency not determined

其中本地时钟的同步状态synchronizationstate显示时钟已设定但时钟频率没有确定。通过查看设备中时间设置相关的操作日志怀疑用户修改时区引发NTP重新同步。


如果NTP服务器状态稳定的NTPv3的频率同步完成时间一般在8个同步校准周期即8*64 ---- 8*1024秒。确认服务器稳定并观察一段时间后2小时之后再次执行display ntp-service status命令发现时钟同步已经完成。

七十、为什么用户通过HWTACACS以及Radius认证方式进行Telnet登录设备时密码过长会导致认证失败



S交换机为V200R003及之前版本交换机识别的密码长度都是16位因此如果用户配置的密码的长度过长用户在登录交换机并输入密码时长度大于16位将会因为密码交互异常导致登录失败。建议您修改密码长度长度小于16位或者升级S交换机设备到V200R005或之后版本。

 
七十一、为什么无线局域网内共享文件做下载测试下载速率慢
 
 适用版本及形态:支持WLAN-AC的所有款型和版本。
建链速率越大终端可能达到的下载速率越大。建链速率取决于射频工作频宽、GI模式等因素。
如果想到达到更高的速率可以配置较高的工作带宽如40MHz2.4G频段不建议配置并配置GI模式为short。如果当前使用的是非11ac类型AP和终端可以尝试更换为11ac类型的AP和终端如Macbook配置工作带宽为80MHz并配置GI模式为short。
此外如果当前使用的业务数据转发模式是隧道转发可以考虑修改为直接转发并且在做下载速率测试的AP上仅生成一个VAP。
但是共享文件的测试方式受限于终端的读写性能如果终端读写达到瓶颈无线链路的速率再怎么提高也没有用。可以使用speedtest进行下载速率测试。
 
七十一、为什么无线用户经常掉线
 
适用版本及形态:V200R005C00、V200R006C00、V200R007C00和V200R008C00版本所有支持WLAN-AC的款型。
如果同一个AP上同时绑定的多个服务集的SSID相同但是业务VLAN不同则会出现无线用户经常掉线的情况。例如以下配置是错误的。
service-set name ser-employee id 1
 forward-mode tunnel
 wlan-ess 1
 ssid chinamoney-2F
 traffic-profile id 1
 security-profile id 1
 service-vlan 207
service-set name ser-guest id 2
 forward-mode tunnel
 wlan-ess 2
 ssid chinamoney-2F-guest
 traffic-profile id 1
 security-profile id 2
 service-vlan 208
service-set name ser-employee-vlan209 id 3
 forward-mode tunnel
 wlan-ess 1
 ssid chinamoney-2F
 traffic-profile id 1
 security-profile id 1
 service-vlan 209
service-set name peixun id 4
 forward-mode tunnel
 wlan-ess 4
 ssid peixun
 traffic-profile id 1
 security-profile id 0
 service-vlan 206
ap 0 radio 0
 radio-profile id 0
 service-set id 1 wlan 1
 service-set id 2 wlan 2
 service-set id 3 wlan 3
 service-set id 4 wlan 4
ap 0 radio 1
 radio-profile id 0
 service-set id 1 wlan 1
 service-set id 2 wlan 2
 service-set id 3 wlan 3
 service-set id 4 wlan 4

七十二、为什么SNMP同时配置read权限和write权限不同时生效?
snmp-agent community命令配置读写团体名的时候,同一个团体名只能配置一种权限,如果同一个团体名既配置了只读权限又配置了读写权限,只有后配置的权限生效。
 
七十三、能否通过SNMP网管对S交换机接口下发shutdown/undo shutdown配置
SNMP协议设计上不是面向配置的协议,缺乏有效的安全性和配置事务提交机制,所以SNMP多用于设备性能和监控,不适用于网络设备的配置。如果想要通过SNMP网管给交换机下发配置,则需要有对应的MIB节点支持,目前没有MIB节点支持通过SNMP给S交换机下发下发shutdown/undo shutdown配置。NETCONF协议是一种基于XML的网络管理协议,它提供一套可编程的网络设备管理机制,用户可以使用这套机制增加、修改、删除网络设备的配置以及获取网络设备的配置和状态信息。用户可以考虑使用支持NETCONF协议的网管或者控制器对网络设备进行配置和管理。
 
七十四、S系列交换机是否支持将网管通过SNMP登录设备成功的信息记录到日志里面?
按照S系列交换机当前的实现机制,网管通过SNMP周期性登录交换机获取交换机性能监控信息,这种机制也叫轮询。轮询成功不会记录日志,只有轮询失败才会记录日志,SNMP登录失败的时候,会产生如下日志:SNMP/4/SNMP_FAIL:Failed to login through SNMP. (Ip=[STRING], Times=[ULONG], Reason=[STRING], VPN=[STRING])在绝大多数场景下,这个实现机制是合理的,因为轮询成功也记录日志的话会导致产生大量日志,导致产生很多冗余性日志信息。
 
七十五、为什么通过NQA测试例与通过ping测试得到的报文时延不一样?
【问题背景】
某局点客户在S6720交换机上配置了NQA测试例,测试源IP地址172.16.1.6和目的IP地址172.16.1.5之间的链路质量。
具体配置如下:
#
nqa test-instance admin huawei
  test-type icmp
  destination-address ipv4 172.16.1.5
  source-address ipv4 172.16.1.6
  frequency 300
  probe-count 15
  datasize 56
  start now
#
【客户疑问】
如下所示,发现NQA测试例的时间延迟在20ms左右,而通过ping测试发现时间延迟在2ms左右,两者不一致,且差距较大,这是为什么?
<HUAWEI>display  nqa  history
NQA entry(1065635,huawei) history:
Index  T/H/P       Response  Status    Address     Time
46      46284/1/1  20ms       success   172.18.1.5 2008-01-01 01:21.326
47     46284/1/2   21ms      success   172.18.1.5  2008-01-01 01:21.326
48     46284/1/3   19ms      success   172.18.1.5  2008-01-01 01:21.326
49     46284/1/4   19ms       success  172.18.1.5  2008-01-01 01:21.386
50     46284/1/5   29ms      success   172.18.1.5  2008-01-01 01:21.386
 
<HUAWEI> ping -a 172.16.1.6 172.16.1.5
  PING 172.18.1.5: 56 databytes, pressCTRL_C to break
    Reply from172.18.1.5:bytes=56 Sequence=1 ttl=64 time=2 ms
    Reply from172.18.1.5:bytes=56 Sequence=2 ttl=64 time=2 ms
    Reply from172.18.1.5:bytes=56 Sequence=3 ttl=64 time=2 ms
    Reply from172.18.1.5:bytes=56 Sequence=4 ttl=64 time=6 ms
    Reply from172.18.1.5:bytes=56 Sequence=5 ttl=64 time=2 ms
  ---172.16.1.5 ping statistics---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-tripmin/avg/max = 2/2/6ms
【问题分析】
在S系列交换机上,Ping和NQA测试例是两个不同的任务,时间延迟的计算方式不一样。Ping的时间延迟是物理端口发送和接收的ICMP数据包之间的时间。而NQA测试例的时间延迟是Ping时间+CPU处理时间,因为NAQ与CPU一起参与处理,而CPU需要时间来处理那些数据包。所以会看到在同一段链路之间,NQA测试例的时间延迟会大于Ping测试的时间延迟,这取决于交换机CPU处理报文需要花费的时间。
 
七十六、为什么交换机会产生大量NTP时钟同步变化日志?
如果多次执行ntp-service unicast-peer命令配置了多个远端对等体,或多次执行ntp-service unicast-server命令配置了多个远端服务器,交换机同步时钟时会在不同的对等体或服务器之间反复震荡切换,从而导致交换机时间频繁变化而触发大量日志。
可以在配置某一个对等体或服务器时指定preference参数规避该问题。

七十七、交换机做DHCP服务器时,无法在Windows DNS服务器上通过查询PC的IP地址获取其主机名,如何解决?

配合Windows DNS服务器,若S系列交换机作为DHCP服务器,且PC从交换机获取IP地址,那么默认情况下,Windows DNS服务器上只有A记录,却没有PTR记录。A记录通过查询域名获取IP地址,而PTR记录是查询IP地址获取域名。
这是因为,作为DHCP服务器的S系列交换机,不支持通知DNS服务器终端的域名和IP绑定关系。因此,若需要在Windows DNS服务器上通过查询PC的IP地址获取其主机名,可以使PC自行通知DNS服务器。有如下两种解决方法(以Windows 10环境为例):
  • 方法一:修改PC的DNS设置。
    • 依次打开“控制面板”>“网络和 Internet”>“网络和共享中心”。
    • 打开对应网络的网络连接,进入网络状态页面。
    • 点击“属性”,并双击“网络”页签下的“Internet协议版本4(TCP/IPv4)”,从而打开对应页面。
    • 在“Internet协议版本4(TCP/IPv4)属性”页面中点击“高级”按钮,在“高级TCP/IP设置”页面中选择“DNS”页签。
    • 勾选“在DNS中注册此连接的地址(R)”和“在DNS注册中使用此链接的DNS后缀(U)”两个选项,点击“确定”,完成配置。
  • 方法二:修改域服务器的组策略配置。这种方法可以使下挂的PC自动向DNS服务器刷新域名信息。
    • 在组策略管理编辑器中依次打开“计算机配置”>“管理模板”>“网络”>“DNS客户端”。
    • 双击“用连接特定的DNS后缀注册DNS记录”,在弹出的页面中选择“已启用(E)”,并点击“确定”。
    • 双击“注册PTR记录”,在弹出的页面中选择“已启用(E)”,在“选项”>“注册PTR记录”中选择“仅在A记录注册成功时注册”,并点击“确定”。
    • 完成以上配置后,执行强制更新组策略命令gpupdate /force,从而更新组策略。
      C:\> gpupdate /force
    七十八、 VCMP的Client交换机上是否可以手动配置VLAN



Client上创建、删除VLAN和修改VLAN名称、描述的信息不会在域内传播,但会被Server发送的VLAN信息覆盖。
 
       
七十九、如何保证DHCP客户端选择正确的DHCP服务器?
由于DHCP客户端发送的请求报文(DHCP DISCOVER报文)是广播的,如果同一网段内存在多个DHCP服务器(例如,私自部署的DHCP服务器等),可能会导致客户端从错误的服务器申请IP地址。通过配置DHCP Snooping功能,使客户端仅从信任的DHCP服务器接收DHCP报文,从而保证客户端从正确的服务器获取IP地址。
对于AC+FIT AP场景配置DHCP Snooping功能时需要注意:
  • 配置有线用户的DHCP Snooping功能:
    AP下行有线口直连有线终端时,在AP有线口模板下配置命令learn-client-address enable,并将模板应用到AP下行的有线口。该命令会开启与下行有线口相连终端的IPv4/IPv6地址学习功能,同时会联动开启下行有线口的DHCP snooping enable功能。AP上行口(包括物理口、CAPWAP口)默认开启DHCP信任端口功能,无需修改AP上行口的默认配置。
    在AP上执行命令display dhcp snooping configuration,能够查询到开启dhcp snooping enable的端口(dhcp snooping enable命令在AP上无法直接执行,需由AC下发)和开启dhcp snooping trusted的端口。
  • 无线用户的DHCP Snooping功能默认开启:
    AP无线接口默认开启无线终端IPv4/IPv6地址学习功能和DHCP snooping enable功能;AP上行口(包括物理口、CAPWAP口)默认开启DHCP信任端口功能。
FIT AP设备的DHCP snooping功能接收到DHCP客户端和服务器的DHCP报文时支持记录日志(DHCP/6/SNP_RCV_MSG),查看该日志时,需要开启FIT AP上送日志到日志主机的功能,并且保证FIT AP和日志主机网络互通,在日志主机上查看日志。
 
 
八十、如何配置DHCP Snooping?

在二层网络的接入设备或第一个DHCP中继上,配置DHCP Snooping功能防止从仿冒的DHCP服务器获取IP地址。

说明:
  • 对于二层接入设备来说,1、2和3都是必选步骤,请按照以下顺序配置。

  • 对于DHCP中继设备来说,仅需配置步骤1和2。

  1. 全局下的配置。

    <HUAWEI> system-view
    [HUAWEI] dhcp enable
    [HUAWEI] dhcp snooping enable
  2. 连接DHCP客户端侧接口的配置。所有连接DHCP客户端的接口都需要配置,以接口GE 1/0/1为例。

    [HUAWEI] interface gigabitethernet 1/0/1
    [HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable
    [HUAWEI-GigabitEthernet1/0/1] quit
  3. 连接DHCP服务器侧接口的配置。

    [HUAWEI] interface gigabitethernet 1/0/2
    [HUAWEI-GigabitEthernet1/0/2] dhcp snooping trusted
    [HUAWEI-GigabitEthernet1/0/2] quit