这种情况的原因可能是交换机上的新版本系统软件不完整。判断方法是在电脑上查看新版本系统软件的字节数再使用DIR命令查看上传到交换机的新版本系统软件的字节数判断两者是否一致。如果不一致那么重新上传一遍该系统软件即可。

?
十二、接口视图下配置了免认证规则和流策略为什么流策略无法生效
接口视图下的免认证规则free-rule比流策略优先级高所以生效的是免认证规则。
?
十三、为什么无线用户漫游时需要较长时间才能上线
无线用户进行漫游时切换VLAN和接入端口后无法立即上线。这是因为表项老化需要一定的时间。对于V200R010之前的版本只能等到表项老化后才能再次发起认证所以需要等几分钟。如果需要立即上线可升级到V200R010 版本并配置MAC迁移功能。

V100R005版本的S3328创建多个N:1 VLAN Mapping会导致设备CPU使用率过高业务受损因此不建议使用N:1 VLAN Mapping功能。

 

首先执行命令display channel确认下设备上日志上报网管通道然后再执行命令info-center source QOSE channel channelid log state off关闭打印CPCAR丢弃报文的日志。

 

三十八、S交换机响应SNMP网管缓慢的解决措施有哪些

措施一、可能由于多个终端同时访问S交换机导致S交换机SNMP模块并行响应多个终端用户导致延时。用户可以尝试执行命令snmp-agent acl配置SNMP的访问控制列表限制其他用户访问。
例如配置如下
# 设置满足ACL 2000匹配条件的网管可以通过SNMP访问设备。
<HUAWEI> system-view 
[HUAWEI] acl 2000 
[HUAWEI-basic-2000] rule permit source192.168.10.10 0 
[HUAWEI-basic-2000] quit 
[HUAWEI] snmp-agent acl 2000
措施二、尝试在SNMP网管侧修改SNMP请求频率1分钟或者修改一下超时重发时间当前应该是0.5s。
措施三、升级到最新版本查看问题是否解决。
三十九、为什么S5700-10P-LI网络位置由二层转发设备切换为三层网关用户上网速度变慢


S5700-10P-LI一般在网络规划中属于二层设备当作为三层转发设备时默认软件转发性能较差因此需要修改配置转化为硬件转发。即执行命令assign ipv4-forward-modehardware然后重启才可以生效。硬件转发模式后设备还有一些使用限制。因此不建议用户将S5700-10P-LI作为三层网关使用。.
四十、为什么 交换机与服务器对接修改端口自协商模式后后仍然上传文件缓慢


交换机与服务器对接用户从客户端上传文件至服务器速度很慢 50k的文件上传需要花费几分钟没有丢包延时也不大。

当前接口为自协商模式协商的速率只有10M。尝试执行命令undo negotiation auto配置为非自协商模式然后执行命令speed 1000强制速率到1000M如果问题还是没有解决可尝试联系对端的服务器端技术人员分析解决。
四十一、为什么框式设备使用新版本主控板后就会存在MAC漂移


框式设备先前使用的是V100R003版本的主控板用户更换为V200R008版本主控板并且连线和先前保持一致的情况是下出现MAC漂移。此时您要比对版本之间配置的命令行差异。经比对发现V100R003版本的主控板配置了命令undo mac-learning priority 0 allow-flapping而V200R008版本主控板上没有配置此命令。 在新版本上配置此命令后问题解决。该命令功能为配置不允许相同优先级的接口发生MAC地址漂移。

虽然配置此命令后MAC漂移不再产生但是还是建议用户排查网络拓扑彻底排除环路。


四十二、为什么端口没连接网线指示灯也亮
可能原因有两个。
原因一、用户在端口下配置loopback  internal使能了内环回功能。
您可以在相应接口视图下执行命令display this interface查看端口信息。
重点查看Loopback字段如果显示为INTERNAL则表示配置了此功能需要执行命令undo loopback去使能此功能。

原因二、如果上述步骤Loopback字段显示为 NONE则设备未配置此功能并且用户没有插网线情况下很可能是硬件故障请联系技术支持人员。
四十三、用户如何将低级别用户提升到高级别用户
用户可以通过如下方式修改自己的用户级别。1.管理员配置用户提升用户级别为15级时的密码。
<HUAWEI> system-view 
[HUAWEI] super password level 15 cipherHuawei@5678
2.普通用户通过Telnet登录设备后在线修改自己的用户级别。

<HUAWEI> super 15 
Password:  //输入密码Huawei@5678 
Now user privilege is 15 level, and only those commands whose level is equal too 
r less than this level can be used.                         
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE   //用户提升用户级别成功

四十四、如何通过MIB节点查询设备补丁信息

通过MIB节点查询设备补丁信息的OID为1.3.6.1.4.1.2011.5.25.19.1.8.5.1.1.4。

例如用户在网管设备上查看此信息输出结果如下

[DEVICE]$ snmpwalk -v 2c -c Community Hostname1.3.6.1.4.1.2011.5.25.19.1.8.5.1.1.4 
SNMPv2-SMI::enterprises.2011.5.25.19.1.8.5.1.1.4.0.50 = STRING: "V200R007SPH001" 
SNMPv2-SMI::enterprises.2011.5.25.19.1.8.5.1.1.4.1.50 = STRING: "V200R007SPH001"

查询结果可以看出补丁版本号为V200R007SPH001。上述回显信息中对于[0.50][1.50]其中0和1均表示堆叠系统的堆叠ID50表示补丁中包含50个补丁单元。

四十五、为什么S2700和S5700设备对接S5700收发正常但S2700入方向有大量的错包统计

S5700与S2700对接执行命令display interface interface-type interface-number查看接口报文计数发现S2700入方向报文统计持续增加但是S5700无错包统计。通过分析发现S5700交换机允许通过的最大帧长度为9216字节支持通过命令行jumboframe enable value 调整配置但是S2700允许通过的最大帧长度为1600字节并且不支持命令行。因此当链路中存在大于1600但是小于9216字节的报文时S2700报文统计会统计在错包中但是S5700上统计为正常报文。
四十六、为什么堆叠成员退出堆叠再加入堆叠后配置文件丢失了
两台S5700设备通过堆叠卡组建堆叠其中备交换机异常下电重启重启后再加入堆叠系统时发现备交换机配置文件丢失您可以通过查看用户操作日志排查原因

May 26 2017 09:29:39 CDGT-HUAWEI-5720FSP/4/STACKMEMBER_LEAVE:OID 1.3.6.1.4.1.2011.5.25.183.1.22.7 Slot 2 leaves fromstack. 
May 26 2017 09:33:01 CDGT-HUAWEI-5720%SHELL/6/CMDCONFIRM_UNIFORMRECORD(s)[743844]:Record command information.(Task=VT0, IP=113.215.2.220, VpnName=, User=admin, Command="sa",PromptInfo="The current configuration will be written to the device.Areyou sure to continue?[Y/N]", UserInput=Y) 
May 26 2017 09:33:01 CDGT-HUAWEI-5720 /4/SAVE(s)[743845]:The user choseY when deciding whether to save the configuration to the device. 
May 26 2017 14:38:30 CDGT-HUAWEI-5720 %LOAD/6/SLOTJOINED(l)[751557]:Slot 2joined the stack.

通过上述用户操作日志可以得出用户在设备下电并上电后执行了命令行save配置文件操作然后备交换机再次加入堆叠系统经过研发工程师分析堆叠实现流程发现如果堆叠离开后保存配置文件然后再加入堆叠原堆叠配置就会丢失。

因此建议用户后续出现类似故障时异常下电并上电后不要执行save即保存配置文件的操作。

四十七、设备Ping网管地址有丢包需要先检查什么


首先需要检查设备是否正确学习到了网关IP地址对应的ARP表项即执行命令display arp network net-number查看ARP表项中网关IP地址对应的MAC地址是否和实际网关MAC地址一致。如果错误则很有可能网络中出现IP地址冲突有其他网络设备误配置IP和网关IP重复从而在设备上Ping 网关IP地址会出现丢包。

四十八、配置peer connect-interface时针对源接口和源地址注意事项是什么

使用非直连物理接口建立BGP连接时需要在两端均配置peer connect-interface命令以保证两端连接的正确性。否则可能导致BGP连接建立失败。

如果对端跟本端的loopback口建立邻居需要在本端指定源接口是loopback口如果对端跟本端物理口建立邻居需要在本端指定源接口是物理口。

为了使物理接口在出现问题时设备仍能发送BGP报文建议将发送BGP报文的源接口配置成Loopback接口。在使用Loopback接口作为BGP报文的源接口时必须确认BGP对等体的Loopback接口的地址是可达的。

例如SwitchA和SwitchB建立BGP连接时针对peer connect-interface配置如下

SwitchA配置如下

<SwitchA> system-view 
[SwitchA] bgp 100 
[SwitchA-bgp] peer 10.16.6.6 as-number 100 
[SwitchA-bgp] peer 10.16.6.6 connect-interface loopback0 10.18.8.8

SwitchB配置如下

<SwitchB> system-view 
[SwitchB] bgp 100 
[SwitchB-bgp] peer 10.18.8.8 as-number 100 
[SwitchA-bgp] peer 10.18.8.8 connect-interface loopback0 10.16.6.6



四十九、SSH 1.x和SSH2.0有什么区别


SSH2.0和SSH1.x均表示SSH服务器及客户端支持的版本。

服务器会比较客户端发来的SSH版本号并根据自身是否已经执行了命令ssh server compatible-ssh1x enable配置SSH服务器兼容低版本功能来决定是否能同客户端一起工作。如果已经使能SSH服务器兼容低版本功能则

l  如果客户端的协议版本号低于1.3或高于2.0则版本协商失败断开连接。

l  如果客户端的协议版本为大于等于1.3并且小于1.99系统配置为兼容SSH1.x方式则进入SSH1.5 SERVER模块后续进行SSH1.x协议流程否则版本协商失败断开与客户端的连接。

l  如客户端协议版本为1.99或2.0则进入SSH2.0 SERVER模块后续进行SSH2.0协议流程。

S交换机V200R006 及之前版本设备默认使能SSH服务器兼容低版本功能对于V200R007以及之后版本出于网络安全考虑设备默认未使能SSH服务器兼容低版本功能。如果设备是从低版本升级至V200R007以及之后版本升级前SSH服务器兼容低版本功能处于默认的使能状态出于升级兼容考虑升级后设备的SSH服务器兼容低版本功能将仍处于使能状态。


SSH2.0协议相比SSH1.X协议来说在结构上做了扩展可以支持更多的认证方法和密钥交换方法安全性更高可以规避SSH1.x存在的安全风险推荐用户使用SSH2.0。建议您升级后使用命令undo ssh server compatible-ssh1x enable去使能SSH服务器兼容低版本功能提升设备安全性。



五十、执行reset arp staic命令清除ARP表项后还有什么其他影响


用户执行reset  arpstatic命令清除静态ARP表项的同时还会清除配置静态ARP表项的的命令。
例如
[Quidway] arp static 1.1.1.1 0efc-0505-86e3                      
[Quidway] display current-configuration  | include arp static        
arp static 1.1.1.1 0efc-0505-86e3          
[Quidway] quit                                       
<Quidway> reset  arp static                                          
Warning: This operation will reset all static ARP entries, and clear theconfigurations of all static ARP, continue?[Y/N]:y             
<Quidway> displaycurrent-configuration  | include arpstatic                       //先前配置命令arp static 1.1.1.1 0efc-0505-86e3已经删除 
<Quidway>  
 
五十一、为什么设备Ping网络号网络地址设备显示会收到回应报文

交换机SwitchA上直连交换机SwitchB的管理网口。在SwitchA上Ping 192.168.16.0 这个网络号设备上会显示收到回应报文。

交换机SwitchA上Ping网络号时SwitchA设备发送的ICMP报文的目的MAC是FFF-FFFF-FFFF如果交换机SwitchB业务口收到这种报文是不会上送软件处理的软件只上送到本机的ICMP单播请求报文。但是如果是从SwitchB管理网口接收的话可以上送处理因此SwitchA能收到SwitchB返回的ICMP REPLY报文。

五十二、配置部分VTY用户通过ACL控制后用户VTY登录实现机制是怎样的
交换机设置最大登录用户数是15在vty0-4下配置了acl控制列表在vty5-14下未做控制列表当前只占用vty0的情况下通过控制列表外的IP地址访问设备能够成功登录查看占用的vty5通道。

<HUAWEI> display user-interface maximum-vty  
Maximum of VTY user:15 
<HUAWEI> displaycurrent-configuration | begin user-interface 
user-interface maximum-vty 15 
user-interface con 0 
authentication-mode aaa 
idle-timeout 0 0 
screen-length 25 
user-interface vty 0 4 
acl 2000 inbound 
authentication-mode aaa 
user privilege level 3 
idle-timeout 0 0 
screen-length 25 
protocol inbound telnet 
user-interface vty 5 14 
authentication-mode aaa 
user privilege level 3 
idle-timeout 0 0 
screen-length 25 
protocol inbound telnet 
user-interface vty 16 20 
# 
<9312> display acl 2000 
Basic ACL 2000, 3 rules 
Acl\'s step is 5 
rule 1 permit source 10.0.5.0 0.0.0.255  
rule 2 permit source 10.0.9.0 0.0.0.255  
rule 10 deny  
<9312> display users 
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 
0 CON 0 24:49:10 pass no Username : admin 
+ 34 VTY 0 00:00:00 TEL 10.0.9.10 pass no Username : admin

使用另外一个终端IP地址为10.1.18.213再登录设备登录成功执行display users查看用户信息如下

<HUAWEI> display users 
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 
0 CON 0 24:50:00 pass no Username : admin 
+ 34 VTY 0 00:00:00 TEL 10.0.9.10 pass no Username : admin 
39 VTY 5 00:00:02 TEL 10.1.18.213 pass noUsername : admin


对于IP地址为10.1.18.213的终端客户使用V2R10C00版本可以登陆但是V2R1C00不可以登陆成功原因如下V200R010 的版本用户登录时会遍历VTY通道非法IP在VTY0- 4被拒绝之后会向后遍历VTY 5-14。对于V200R001版本如果在VTY0拒绝了就不会向后遍历因此老版本会登录失败。



五十三、框式集群业务口堆叠连线如何保证可靠性


业务口集群按照链路的分布有两种组网形式。

l  1+0组网每台成员交换机配置一个逻辑集群端口物理成员端口分布在一块业务板上依靠一块业务板上物理成员端口与对框的物理成员端口实现集群连接。

l  1+1组网每台成员交换机配置两个逻辑集群端口物理成员端口分布在两块业务板上不同业务板上的集群链路形成备份。

说明

集群连线时需注意以下几点

一个逻辑集群端口下的物理成员端口只能与对框的一个逻辑集群口下物理成员端口相连。

在1+1组网中建议两块单板上的集群链路数量保持一致。

出于可靠性考虑组建上述两种业务口集群组网形式需注意以下几点

l  出于高可靠性要求推荐您使用1+1组网并且推荐配置多主检测功能。

l  一块业务板上建议至少有两个物理成员端口加入到一个逻辑集群端口并且建议加入逻辑集群端口的物理成员口都和对端成员交换机互连。在这些链路上都有堆叠状态心跳检测机制可以更好监控堆叠状态。


l  上行端口和配置多主检测端口不建议部署在组建集群的业务板上。



五十四、镜像配置中观察端口占用的单板资源如何计算


A单板上配置观察端口将B单板镜像端口绑定到A单板上的观察端口时将占用B单板上所有镜像端口可绑定的观察端口规格数量。

例如1槽位单板属于E系列单板最多可配置6个观察端口所有镜像端口入方向加起来最多可以绑定4个观察端口出方向加起来最多可以绑定2个观察端口。如果镜像端口入方向和出方向绑定到了同一个观察端口并且这个观察端口是配置在槽位2的单板上则入方向可以绑定的剩余观察端口数量为3出方向可以绑定的剩余观察端口数量为1那么剩余可用观察端口数量都是按照槽位1规格来计算为3+1=4并非是6-1=5。


<HUAWEI> system-view 
[HUAWEI] observe-port 1 interfacegigabitethernet 2/0/2 
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-mirroringto observe-port 1 both

五十五、OSPF优选路由和等价路由的处理机制是什么


如果您希望查看优选路由表项可执行命令display ip routing-table 回显信息中仅显示激活路由的概要信息。如果希望查看激活和未激活路由的详细信息可执行命令display ip routing-tableverbose。

对于OSPF路由您还可以在诊断视图下执行命令display ospf [ p***ess-id ] routing [ ip-address  ] verbose查看OSPF的链路状态数据库信息。

<HUAWEI> system-view 
[HUAWEI] diagnose 
[HUAWEI-diagnose] display ospf routing80.80.1.0 verbose     
OSPF P***ess 1 with Router ID 1.1.1.1 
 Destination : 80.80.1.0/24 
 AdverRouter : 23.23.23.23              Tag       : 1 
 Cost        : 1                       Type      : Type2 
 NextHop     : 80.80.1.1                Interface : Ethernet1/0/0 
 Priority    : Medium                   Age       : 00h00m19s 
 OrigLSAType : None 
 Locks       : PRC 
 RouteFlags  : ADD2RM | POLPASS | RMELIG | T2EXT 
 FlagValue   : 0XE1008063 
 RtSource 1  : 
  LsId(Key)   : 6.6.6.6                 Type(Key)      : External 
  AreaId(Key) : 0.0.0.0                 AdvRouter(Key) : 1.1.1.3 
  LsaCost     :1                      EffectiveCost  : 1 
  CostType    : Type-2                  DnBit          : Un-Set 
  Tag         : 1                       FwdAddr        : 0.0.0.0/0 
  Flag        : REACHABLE | BESTPATH | ELIGIBLE |T2EXT | LEARNT | MAXRTELIG 
  FlagValue   : 0xE0191B48

OSPF优选和等价路由的处理机制可以重点查看上述回显信息中的LsaCost(度量值)和EffectiveCost实际生效的cost主要用于Type5类路由。

l  优先查看LsaCost数值数值小的的路由表项将作为优选路由。


l  如果LsaCost数值相同则将LsaCost+EffectiveCost数值总和加起来比较数值总和小的路由表项将作为优选路由如果仍然一样则两条路由将作为等价路由进行负载分担。

不建议这样配置如果镜像端口和观察端口属于同一VLAN则镜像端口发送一份报文在语音服务器上就会受到两份报文影响业务。

五十七、S交换机双链路备份和友商设备对接为什么主备接口切换后部分ARP表项未及时刷新

该场景依赖对端设备发送免费ARP报文来更新主接口的ARP表项。建议用户减小对端设备发送免费ARP的时间间隔来解决。

盒式设备组建堆叠时台数越多网管设备通过SNMP获取信息越缓慢。原因是由于获取端口相关信息需要遍历的节点太多台数越多耗时越长。


五十九、用户是否可以自行修改配置文件并指定为下次启动使用的配置文件


startupsaved-configuration命令用来配置系统下次启动时使用的配置文件。


用户请勿自行手动修改配置文件并指定为下次启动时的配置文件否则可能会造成设备启动异常。例如用户私自修改配置文件中的BGP相关配置则就有可能因为#后是否有空格导致配置文件下发异常。



六十、如何判断设备是否出现RouterID冲突异常


任意视图下执行命令display logbuff查看设备是否出现OSPF/4/CONFLICT_ROUTERID_INTF日志。

<Quidway>  displaylogbuffer  
 ... ... 
May  4 2017 00:17:57+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[311]:OSPF Router id conflict is detectedon interface. (P***essId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21) 
May  4 2017 00:15:57+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[312]:OSPF Router id conflict is detectedon interface. (P***essId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21) 
May  4 2017 00:13:56+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[313]:OSPF Router id conflict is detectedon interface. (P***essId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21)

如果出现上述告警则设备出现了Router ID冲突一般情况下可以执行命令执行ospf router-id router-id命令修改设备的Router ID。


特殊情况下如果设备RouterID冲突日志信息中源IP地址PacketSrcIp=41.48.16.21为自身设备上的IP地址则表示设备收到了本接口发出去的报文您需要排查网络中是否存在环路并获取OSPF报文中MAC地址信息进行定位排查具体哪个设备将报文转发回来。



六十一、交换机是否根据UDP端口号过滤出PPPoE、MPLS报文
交换机对于PPPoE、MPLS、 Tunnel 、CAPWAP隧道封装等报文交换机ACL过滤时目前无法解析报文内部IP信息。

例如用户在交换机设备尝试配置如下步骤通过ACL流过滤获取特定报文。

在入接口配置了一条流策略到镜像端口要求只接收到UDP53端口的报文。

<HUAWEI> system-view 
[HUAWEI] observe-port 1 interfaceGigabitEthernet 0/0/14  
[HUAWEI] acl number 3001 
[HUAWEI--acl-adv-3001] rule 5 permit udpdestination-port eq 53 
[HUAWEI--acl-adv-3001] quit 
[HUAWEI] traffic classifier a1 operatorand 
[HUAWEI-classifier-a1] if-match  acl 3001 
[HUAWEI-classifier-a1] quit 
[HUAWEI] traffic behavior  b1                
[HUAWEI-behavior-b1] permit       
[HUAWEI-behavior-b1] mirroring toobserve-port 1   
[HUAWEI-behavior-b1]quit 
[HUAWEI]traffic policy yagoo    
[HUAWEI-trafficpolicy-yagoo]classifier a1 behavior  b1    
[HUAWEI-trafficpolicy-yagoo]quit   
[HUAWEI]interface  GigabitEthernet  0/0/4   
[HUAWEI-GigabitEthernet0/0/4]traffic-policy yagoo inbound   




结果是客户能获取到以太网类型的到目的端口53的报文但是获取不到PPP类型的到目的端口53的报文。原因就是上述描述的PPPoE等类型的封装报文S交换机ACL过滤时无法获取内部IP信息。

六十二、交换机用户登录及文件管理相关功能的默认开启情况是什么


交换机用户登录及文件管理功能主要涉及FTP/SFTP、Telnet/STelnet、HTTP/HTTPS。各版本默认开启情况及相关配置命令如下

FTP

ftp server enable命令用来开启设备的FTP服务器功能允许FTP用户登录。

undo ftp server命令用来关闭设备的FTP服务器功能禁止FTP用户登录。

缺省情况下FTP服务器功能处于去使能状态。

SFTP

sftp server enable命令用来使能SSH服务器端的SFTP服务功能。

undo sftp server enable命令用来关闭SSH服务器端的SFTP服务功能。

缺省情况下SSH服务器端的SFTP服务功能处于去使能状态。

Telnet

telnet server enable命令用来启动Telnet服务器。

undo telnet server enable命令用来关闭Telnet服务器。

缺省情况下对于V200R003及之前版本Telnet服务器功能处于使能状态对于V200R005及之后版本Telnet服务器功能处于去使能状态。

STelnet

stelnet server enable命令用来使能SSH服务器端的STelnet服务。

undo stelnet server enable命令用来关闭SSH服务器端的STelnet服务。

缺省情况下SSH服务器端的STelnet服务处于去使能状态。

HTTP

http server enable命令用来使能HTTP服务功能。

undo http server enable命令用来去使能HTTP服务功能。

缺省情况下HTTP服务功能处于使能状态。

HTTPS

http secure-server enable命令用来使能安全HTTP服务功能。

undo http secure-server enable命令用来去使能安全HTTP服务功能。


缺省情况下安全HTTP服务功能处于使能状态。


六十三、VTY用户登录是否需要配置ACL控制规则


出于网络安全考虑建议用户配置VTY通道ACL过滤规则防止大量Telnet攻击导致所有VTY通道被占满正常用户没有可使用的VTY通道导致无法登录设备。例如可配置如下规则


<HUAWEI> display user-interface maximum-vty  
Maximum of VTY user:15 
<HUAWEI> displaycurrent-configuration | begin user-interface 
user-interface maximum-vty 15 
user-interface con 0 
authentication-mode aaa 
idle-timeout 0 0 
screen-length 25 
user-interface vty 0 14 
acl 2000 inbound 
authentication-mode aaa 
user privilege level 3 
idle-timeout 0 0 
screen-length 25 
protocol inbound telnet 
# 
<9312> display acl 2000 
Basic ACL 2000, 3 rules 
Acl\'s step is 5 
rule 1 permit source 10.0.5.0 0.0.0.255  
rule 2 permit source 10.0.9.0 0.0.0.255  
rule 10 deny 

六十四、S交换进对于转发面和控制面的报文是否都分片


通过配置MTU值接口的最大传输单元)可以控制一次能够发送IP报文的最大字节数如果MTU值生效并且传送报文长度大于MTU值报文才会分片否则即使报文长度很大也不会分片。因此判断转发面和控制面的报文是否会分片需要先看MTU值的生效情况。

l  对于框式交换机

配置MTU对控制平面的数据报文生效。对于V200R010及之后版本LE1D2S04SEC0、LE1D2X32SEC0、LE1D2H02QEC0和X系列单板需要执行ipv4 fragment enable命令使能报文分片功能后配置的MTU值才对转发平面的数据报文生效对于以上描述之外的单板配置MTU值对转发平面的数据报文无法生效。

对于V200R009及之前版本配置MTU仅对控制平面的数据报文生效对转发平面的数据报文无法生效即转发平面报文不会分片。

l  对于盒式交换机

配置MTU对控制平面的数据报文生效。对于V200R010及之后版本S320HI及S5720HI设备需要执行ipv4 fragment enable命令使能报文分片功能后配置的MTU值才对转发平面的数据报文生效对于以上描述之外的设备配置MTU值对转发平面的数据报文无法生效。


对于V200R009及之前版本配置MTU仅对控制平面的数据报文生效对转发平面的数据报文无法生效即转发平面报文不会分片。



六十五、双电源设备重启可能原因是什么



两台S6720-30C-EI-组建堆叠其中只有一台设备异常重启两台交换机是插在机房同一个插排的。设备当前是双电源供电基本排除两个电源模块同时故障的可能怀疑是外部供电导致。

六十六、为什么S交换机和NE设备对接时会出现Ping大包不通
S交换机和NE设备对接时在NE设备上Ping  -s 1555 192.168.1.3(此IP地址为交换机地址)无法Ping通但是Ping -s 1554 192.168.1.3可以Ping通。

登录S交换机进入交换机对接NE设备的接口视图并执行命令display this interface查看报文统计信息。通过回显信息发现接口Giants字段报文统计计数为90即接口收到了超过Jumbo最大帧长度。Ping大包可能是超过了接口允许的最大帧长。用户可尝试配置jumboframe enable value 调整以太网接口允许通过的最大帧长。


<SwitchC> system-view                                   
[SwitchC] interface GigabitEthernet  0/0/2       
[SwitchC-GigabitEthernet0/0/2] displaythis interface  
GigabitEthernet0/0/2 current state : UP 
Line protocol current state : UP 
Description:HUAWEI, Quidway Series, GigabitEthernet0/0/2 Interface 
Switch Port, TPID : 8100(Hex), The Maximum Frame Length is 1600 
IP Sending Frames\' Format is PKTFMT_ETHNT_2, Hardware address is 2cab-0083-3880
Port Mode: COMMON FIBER 
Speed : 1000,  Loopback: NONE 
Duplex: FULL,  Negotiation: DISABLE 
Last 300 seconds input rate 184 bits/sec, 0 packets/sec 
Last 300 seconds output rate 376 bits/sec, 0 packets/sec 
Input peak rate 78224 bits/sec, Record time: 2008-01-01 01:21 
Output peak rate 93152 bits/sec, Record time: 2008-01-01 01:21 
Input:  31511 packets, 2595452 bytes 
Unicast        :               29140, Multicast          :                2249 
Broadcast      :                   0, Jumbo              :                  32 
CRC            :                   0, Giants             :                  90 
Jabbers        :                   0, Fragments          :                   0 
Runts          :                   0, DropEvents         :                   0 
Alignments     :                   0, Symbols            :                   0 
Ignoreds       :                   0, Frames             :                   0 
Discard        :                   0, Total Error        :                  90 
Pause          :                   0 
Output:  55317 packets, 4341335 bytes 
Unicast        :               52978, Multicast          :                2276 
Broadcast      :                   0, Jumbo              :                  63 
Collisions     :                   0, Deferreds          :                   0 
Late Collisions:                   0,ExcessiveCollisions:                   0 
Buffers Purged :                   0 
Discard        :                   0, Total Error        :                   0 
Pause          :                   0 
    Input bandwidth utilization threshold: 100.00% 
    Output bandwidth utilizationthreshold: 100.00% 
    Input bandwidth utilization  : 0.01% 
    Output bandwidth utilization : 0.01% 
[SwitchC-GigabitEthernet0/0/2] jumboframeenable 1700


六十六、问什么网管上接口错包统计信息和设备上显示的不一致

清除网管的接口流量统计信息需要在S交换机设备用户视图上执行命令reset counters if-mib interface清除设备接口的统计信息需要在S交换机设备用户视图上执行命令reset counters  interface。


上述两条命令相互独立即执行命令reset counters if-mibinterface对命令display interface显示的接口流量统计信息不影响。当需要清除命令display interface查看到的接口统计信息时可以执行命令reset counters interface。同样执行命令reset counters interface对于网管上查看的报文统计计数也不影响当需要清除网管上查看到的接口统计信息时可以执行命令reset counters if-mibinterface。

六十七、如何理解日志抑制的实现机制


用户可以在系统视图下执行命令info-centerstatistic-suppress enable使能连续重复日志的统计抑制功能。

有一些业务特性如ARP和VRRP等在ARP攻击、路由链路故障等场景下会短时间产生大量重复日志这样既浪费系统的存储空间又浪费系统的CPU资源用户一般不希望看到这些重复冗余的日志信息。可以执行命令info-center statistic-suppress enable使能连续重复日志的统计抑制功能避免系统受到冲击而影响其他日志的记录。

只有日志ID和全部参数完全相同且中间无其它日志的两条日志才可判定为连续重复日志。

对于重复次数的输出采用3种时间长度控制第一次是30秒输出一次统计情况然后是120秒输出一次统计信息最后是每600秒输出一次统计信息。

缺省情况下信息中心每收到一条日志后立刻输出。对于后来连续产生的重复日志只输出重复次数直到收到其他日志为止。例如某模块生成日志序如下A1(T1) A2(T2) A3(T2) B1(T3) B2(T4) B3(T4) C1(T5) C2(T6) A4(T7)B4(T8) B5(T8) B5(T8) B7(T9) A5(T9) B8(T10) D1(T11) A6(T11) A7(T12) A8(T12)A9(T13) A10(T14) A11(T15) A12(T16) A13(T17) A14(T18) B9(T18)其中An和Bn是相同的日志即A1A2A3A14是相同日志B1B9是相同日志Cn和D是不相同的日志即C1C2是不相同日志Tn表示序列号。则输出结果为

T1:A1 
T3(1): last message repeated 2 times 
T3:B1 
T5: last message repeated 2 times 
T5:C1 
T6:C2 
T7:A4 
T8:B4 
T9(1): last message repeated 3 times 
T9:A5 
T10:B8 
T11:D1 
T11:A6 
T13(2): last message repeated 3 times 
T18(2): last message repeated 5 times 
T18:B9

对信息中心显示该业务模块的内容说明如下

l  触发连续重复日志输出方法有两个

a.下一条是非重复的日志会触发上一条连续重复日志记录输出如1

b.连续重复日志的统计时间超过阈值30秒、120秒、600秒由该重复日志的一条触发之前的统计情况输出如2

l  每次输出统计信息后业务模块重新启动计数即在T11到T18阶段A日志重复了1+3+5=9条

l  信息中心对日志输出依照日志产生顺序方便后续日志的回溯信息和场景复原

说明

日志序为A B A B A B A B的振荡日志由于不是连续重复日志执行info-centerstatistic-suppress enable命令无法达到统计抑制效果。

举例1端口频繁UP/DOWN震荡日志就无法抑制。

Nov 18 2017 10:12:15+08:00HNSY-WGX-ZXJ-SW1-S9306 %IFNET/4/IF_STATE(l)[4059453]:InterfaceGigabitEthernet6/0/45 has turned into UPstate. 
Nov 18 2017 10:12:18+08:00 HNSY-WGX-ZXJ-SW1-S9306 %IFNET/4/IF_STATE(l)[4059454]:InterfaceGigabitEthernet6/0/45 has turned into DOWNstate. 
Nov 18 2017 10:12:20+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059455]:Interface GigabitEthernet6/0/45 has turnedinto UP state. 
Nov 18 2017 10:12:29+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059456]:Interface GigabitEthernet6/0/45 has turnedinto DOWN state. 
Nov 18 2017 10:12:31+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059457]:Interface GigabitEthernet6/0/45 has turnedinto UP state. 
 



举例2如果重复的日志打印过程中出现其他不同日志则抑制就会被打断


 
Nov 18 2017 12:32:02+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059459]:Last message repeated 1times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE) 
Nov 18 2017 12:46:05+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059460]:Last message repeated 4times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE) 
Nov 18 2017 14:26:25+08:00 HNSY-WGX-ZXJ-SW1-S9306D/4/CPCAR_DROP_LPU(l)[4059461]:Some packets are dropped by cpcar on theLPU in slot 3. (Protocol=arp-reply, Drop-Count=0123)//出现不同日志则原先的抑制会中断重新记录 
Nov 18 2017 17:56:25+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059462]:Last message repeated 2times.(InfoID=4280946691, ModuleName=DEFD, InfoAlias=CPCAR_DROP_LPU) 
Nov 18 2017 18:06:25+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059463]:Last message repeated 1times.(InfoID=4280946691, ModuleName=DEFD, InfoAlias=CPCAR_DROP_LPU) 
Nov 18 2017 18:30:00+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059464]:Interface GigabitEthernet6/0/45 has turned intoDOWN state. 
Nov 18 2017 18:31:22+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059465]:Interface GigabitEthernet6/0/45 has turnedinto UP state. 
Nov 18 2017 18:31:25+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059466]:Interface GigabitEthernet6/0/45 has turnedinto DOWN state. 
Nov 18 2017 18:31:27+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059467]:Interface GigabitEthernet6/0/45 has turnedinto UP state. 
Nov 18 2017 18:31:37+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059468]:Interface GigabitEthernet6/0/45 has turnedinto DOWN state. 
Nov 18 2017 18:31:38+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059469]:Interface GigabitEthernet6/0/45 has turnedinto UP state. 
Nov 18 2017 23:28:09+08:00 HNSY-WGX-ZXJ-SW1-S9306 %INFO/6/SUPPRESS_LOG(l)[4059470]:Lastmessage repeated 1 times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE)
Nov 18 2017 23:46:05+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059471]:Last message repeated 15times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE)

六十八、为什么交换机的VLANIF接口带宽在U2000网管上显示为1Gbit/s

VLNIF接口属于逻辑接口没有物理接口的带宽概念交换机侧本身也不会提供VLANIF的带宽利用率。对于网管侧获取的VLNIF带宽信息是其根据RFC规则描述给予以太网VLNIF接口赋予的默认值1Gbit/s。



六十九、框式交换机NTP的状态信息显示时钟已设定但时钟频率没有确定的原因是什么


交换机上执行命令display ntp-service status查看NTP的状态信息如下。

[HUAWEI] display ntp-service status 
clock status: synchronized  
clock stratum: 5  
reference clock ID: 192.168.30.1 
nominal frequency: 100.0000 Hz  
actual frequency: 100.0000 Hz  
clock precision: 2^18 
clock offset: 1.5096 ms  
root delay: 109.93 ms  
root dispersion: 5.94 ms  
peer dispersion: 178.51 ms  
reference time: 08:03:54.402 UTC May 5 2017(DCB6B06A.6713AD5B) 
synchronization state: clock set butfrequency not determined

其中本地时钟的同步状态synchronizationstate显示时钟已设定但时钟频率没有确定。通过查看设备中时间设置相关的操作日志怀疑用户修改时区引发NTP重新同步。


如果NTP服务器状态稳定的NTPv3的频率同步完成时间一般在8个同步校准周期即8*64秒 ---- 8*1024秒。确认服务器稳定并观察一段时间后2小时之后再次执行display ntp-service status命令发现时钟同步已经完成。

七十、为什么用户通过HWTACACS以及Radius认证方式进行Telnet登录设备时密码过长会导致认证失败



当S交换机为V200R003及之前版本交换机识别的密码长度都是16位因此如果用户配置的密码的长度过长用户在登录交换机并输入密码时长度大于16位将会因为密码交互异常导致登录失败。建议您修改密码长度长度小于16位或者升级S交换机设备到V200R005或之后版本。

 

 

 适用版本及形态：支持WLAN-AC的所有款型和版本。