rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
rule 10 permit ip source 192.168.2.0 0.0.0.255
acl number 3011
rule 4 deny ip source 10.0.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 5 deny ip source 10.0.0.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 10 permit ip source 10.0.0.0 0.0.0.255
rule 15 permit ip source 10.0.2.0 0.0.0.255
acl number 3030
rule 4 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 5 deny ip source 192.168.3.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
rule 10 permit ip source 192.168.3.0 0.0.0.255
#
route-policy 1 permit node 1
if-match acl 3010
apply output-interface Dialer1
route-policy 2 permit node 1
if-match acl 3011
apply output-interface Dialer2
route-policy 4 permit node 1
if-match acl 3030
apply output-interface Dialer2
route-policy 3 permit node 1
if-match acl 3030
apply output-interface Dialer1
#
interface Vlanif10
description to_lan
ip address 192.168.2.1 255.255.255.0
ip policy route-policy 1
#
interface Vlanif20
description to_server
ip address 10.0.0.1 255.255.255.0
ip policy route-policy 2
#
interface Vlanif30
ip address 192.168.3.1 255.255.255.0
ip policy route-policy 3
#
一台L3交换机,华为5300系列 IP地址为192.168.1.2 METH 0/0/1 interface Meth 0/0/1 ip address 192.168.1.2
配置路由不通。。
interface MEth0/0/1 ip address 192.168.1.2 255.255.255.0
meth口这个是用来升级或者管理用的。不要用来做业务。
interface MEth0/0/1 ip address 192.168.1.2 255.255.255.0 不要用这个口。。 用普通口 你建个VLAN 设置IP为
ip address 192.168.1.2 255.255.255.0
用普通口与路由器互联。。这个口属于刚才这个VLAN
日志格式说明日志输出格式syslog协议采用UDP的514号端口进行传输,任何在514端口上出现的UDP包都会被视为一条日志信息,其输出格式如[url=mk:@MSITStore:C:\\Users\\Thinkpad\\AppData\\Local\\Temp\\Rar$DIa0.545\\日志参考(V100R003C01_01).chm::/s/dc_cbb_log_format.html#dc_cbb_log_format__fig_dc_cbb_log_format01]图1[/url]所示。 图1 日志信息输出格式
日志字段说明字段 说明 时间戳
发向日志主机的日志时间字段,为date型,格式为“Mmm dd hh:mm:ss yyyy”。
“Mmm”为英语月份的缩写,即Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、“dd”为日期,如果日期的值小于10,则必须写为“空格+日期”,如“7”。 “hh:mm:ss”为本地时间,hh采用24小时制,从00到23;分钟和秒的值均从00到59。 Oct、Nov、Dec。
“yyyy”为年份。
时间戳与主机名之间用一个空格隔开。 主机名
主机名是本机的系统名,默认为“Quidway”。 主机名与模块名之间用一个空格隔开。 华为标识
“%%”为华为公司的厂商标志符,用来标识该日志是由华为产品输出。 版本号
“dd”是两位数字的版本号,用来标识该日志格式的版本,从01开始编号。 模块名
该字段表示日志是由哪个模块产生的,模块名与级别之间用一个斜杠(/)隔开。 日志级别
日志的级别共分为8级,从0~7。
级别与信息摘要之间用一个斜杠(/)隔开。 信息摘要
信息摘要是一个短语,代表了该信息的内容概要。 日志标识
“(l)”用来标识该信息为日志信息。
日志标识与详细信息之间用一个冒号“:”隔开。 详细信息
详细信息是各个模块实际向信息中心输出的字符串信息,由各个模块在每次输出时填充,详细描述该日志的具体内容。
示例Aug 6 20:34:46 2005 %% 01 Quidway HWCM/5/EXIT (l): exit from configure mode 从以上信息可以得知,该日志产生时间为2005年8月6日20点34分46秒,主机名为Quidway,该日志由HWCM模块发出,级别为5,日志描述的内容是从配置模式退出
1、重启交换机,进入bootrom菜单后,按CTRL+Z进入隐含菜单;
2、选择8-Rename file in CFCard,把9300默认配置文件vrpcfg.zip改为其他名称,例如为vrptest;
3、重启后进入较交换机,此时交换机为出厂的默认配置; 4、把改名后的文件vrptest解压缩为vrpcfg.bat unzip vrptest vrpcfg.bat
5、执行execute命令,把原有的配置调用出来,在此基础上可把console的密码去掉。 sys Enter system view, return user view with Ctrl+Z. [Quidway]exec
[Quidway]execute vrpcfg.bat
[Quidway]user-inter console 0 [Quidway-ui-console0]undo auth 6、保存配置为vrpcfg.zip
save
The current configuration will be written to the device. Continue? [Y/N]:y Info: Please input the file name(*.cfg,*.zip)[vrpcfg.zip]: Jun 25 2010 11:41:59 Quidway %�CFM/4/SAVE(l): The user chose Y when deciding w hether to save the configuration to the device. vrpcfg.zip -----这里要输入正确的9300默认配置文件名称 vrpcfg.zip
7、重启交换机后,console密码被删除,同时原有的业务配置不丢失。 A:
使用下面的命令:
info-center source SHELL channel 4 log level informational 注意:
要指明level informational。Informational表示用于设备正常运转的一般性操作信息,如用户使用display命令等。
下面是记录到logbuffer中的信息:
Feb 9 2011 12:14:52 S9306 %�SHELL/6/DISPLAY_CMDRECORD(l): Record command information. (Task=vt0, Ip=192.168.170.17, User=n2000user, Command=\diagnostic-information\
logbuffer 中的log不会马上记录到logfile,而是等到日志内存缓存满后或者使用命令save logfile后才会记录到logfile.
处理过程: A:
由于S9300的日志超过8M就会自动压缩为以时间命令的ZIP格式的压缩文件,导致不能直接通过more查看文件,可以通过下边的方法把zip文件解压缩在通过more查看,这样就不用现场通过ftp下载之后解压查看:
1、需要在用户模式下通过unzip加文件名解压,格式如下:
unzip 2010-12-18.15-53-20.log.zip 2010-12-18.15-53-20.log 可以解压为.log及.txt格式的文件。
2、之后就可以通过直接在设备上more此文件,如: more 2010-12-18.15-53-20.log
3、需要注意在解压之前cf卡的剩余空间必须大于8M(因为解压之后会形成一个8M左右的文件)。
如何清除设备当前配置文件的用户配置信息在用户视图下使用reset saved-configuration命令,可删除交换机当前配置文件中的用户信息。
当配置文件的文件内容被擦除后,将创建相同名字的空配置文件,并加载HGMP初始配置文件。保存配置信息,当Switch重新启动之后,加载的为HGMP缺省的使能配置。
reset saved-configuration一般在以下情况下使用:将一台已经配置过的交换机用于新的应用环境,原有的配置文件不能适应新环境的需求时,需要对交换机重新配置,这时使用reset saved-configuration可以清除配置文件的用户配置信息后,重新配置交换机。 说明: 在配置reset saved-configuration命令后,重启设备时请选择不保存当前配置文件。
清除和重新配置的信息只能在设备重新启动后生效,当前配置不变。
如何清空用户当前工作路径中被删除到回收站的文件
使用reset recycle-bin [ filename ]命令,可彻底删除回收站中的文件。回收站中的文件被彻底删除后,将不可恢复
交换机缺省的bootrom密码是什么
交换机系统启动bootrom时,在2秒内按下“CTRL+B”,此处需要输入密码才能进入BOOTROM菜单。默认密码为“huawei”。
查看Flash中的默认文件时,除了默认的启动软件和配置文件,其他的分别是什么文件 设备上电时,默认从Flash存储器中读取配置文件进行初始化。在用户视图下执行dir flash:时,显示信息如下:
dir flash:
Directory of flash:/ Idx Attr Size(Byte) Date Time FileName 0 -rw- 812 Jan 01 2008 00:00:56 private-data.txt 1 -rw- 948 Jan 01 2008 07:16:55 vrpcfg.zip 2 -rw- 90,602 Jan 03 2008 03:58:15 v100r005sph001.pat
3 -rw- 6,418,980 Jan 19 2008 20:19:42 s2300-v100r005c01.cc 4 -rw- 12,240 Jan 03 2008 04:52:43 $_patchstate_reboot 14,632 KB total (8,228 KB free) 显示信息中:
private-data.txt:用来保存业务初始化数据的文件。部分任务的初始化数据与配置无关(比如设备的重启次数),无法记录在配置文件中,使用该文件记录。
$_patchstate_reboot:补丁状态文件。设备运行过补丁时,该状态文件将会产生。该文件生成以后,受系统保护,不允许删除,将记录以后所有的补丁的状态(active,run等)。 某些情况下,Flash中还会存在一个notilogindex.txt的文件。系统启动后,若设备上配
置了Inform方式告警的目标主机,会将该文件中的数值作为初始流水号,作为报文的request ID字段值。SNMP任务启动后,开始计时,每12小时刷新一次该文件。
如何将S2300的配置清空
在S2300交换机上使用reset save-configuration命令重启设备,设备启动后配置不为空。例如,端口下会存在bpdu enable等。
要完全清空S2300的配置必须要删除flash中的vrpcfg.cfg文件后重启才能实现。在运行状态中,无法用命令删除vrpcfg.cfg文件,该文件被视作系统文件而禁止删除,如果要强制删除,需要在bootroom菜单下操作,具体步骤如下:
重启交换机,按ctrl+b进入bootroom菜单,输入默认密码huawei。 按ctrl+z进入隐含菜单,选择2可删除flash中文件。 选择删除vrpcfg.cfg文件后重启设备,操作完成。
交换机通过console口登录的低权限用户能否有默认的super密码 默认配置下,交换机使用console登录后的权限为最高。
如果用户通过console登录后,又配置了本地认证,且用户级别低,在没有配置super密码的情况下,可以通过执行super命令可获取最高权限。如果已经配置了super密码,那么以上操作将不再生效。
交换机正常工作溫度应该为多少 S2300温度范围:
长期工作温度-5°C~50°C 短期工作温度-5°C~55°C 存储温度-40°C~70°C S3300温度范围:
长期工作温度0°C~50°C 短期工作温度-5°C~55°C 存储温度-40°C~70°C S5300温度范围:
长期工作温度0°C~50°C 短期工作温度-5°C~55°C
存储温度-40°C~70°C 通过命令行display environment看到的当前温度是监控温度(监控温度并非实际的环境温度,而是设备内部的高温点)。
只要没有告警,设备是属于正常工作,没有超出工作温度范围。
说明:
可以通过temperature threshold命令设置设备的告警温度门限值。可以通过display environment命令查看设备的告警温度门限值及当前温度。
S2300/S3300/S5300如何配置限制接口学习MAC地址的数量 背景信息
配置限制接口学习MAC地址的数量时,请注意如下几点:
V100R005之前的版本,在配置限制接口学习MAC地址的数量前,必须先在系统视图下配置mac-address restrict命令使能设备的MAC地址学习限制功能,V100R005版本没有此要求。 V100R005版本接口安全功能与基于接口的MAC地址学习限制功能相冲突。配置接口安全功能后,不能在该接口下配置MAC地址学习限制。
V100R005之前的版本,在配置接口安全功能前,必须先完成如下配置:
在系统视图下使用mac-address restrict命令使能设备的MAC地址学习限制功能。 在接口视图下使用mac-table limit命令配置限制接口学习MAC地址的数量。 下面的操作步骤和举例以V100R005版本的实现进行说明。 操作步骤
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入接口视图。 执行命令mac-limit maximum max-num,限制接口的MAC地址学习数量。
缺省情况下,不限制MAC地址学习数量。当学习到的MAC地址数达到接口限制数时,接口将丢弃源地址在MAC表以外的报文,同时发出trap告警。
如果需要更改接口在学习到的MAC地址数达到接口限制数时,对源地址在MAC表以外的报文的处理动作,可以执行port-security enable命令使能接口的安全保护功能,然后执行port-security protect-action { protect | restrict | shutdown }命令设置当MAC地址数量达到限制后接口采取的安全保护动作。接口安全功能的保护动作有如下三种: protect
当学习到的MAC地址数达到接口限制数时,接口将丢弃源地址在MAC表以外的报文。
restrict
当学习到的MAC地址数达到接口限制数时,接口将丢弃源地址在MAC表以外的报文,同时发出trap告警。 shutdown
当学习到的MAC地址数达到接口限制数时,接口将执行shutdown操作。
举例:配置接口只能学习一个MAC地址,接口学习超过一个MAC地址后,对源地址在MAC表以外的报文采用protect的处理动作。
system-view[Quidway] interface ethernet0/0/1[Quidway-Ethernet0/0/1] port-security enable[Quidway-Ethernet0/0/1] port-security protect-action protect
如何配置链路聚合的负载分担方式 链路聚合的负载分担方式的配置方法: V100R001版本
在Eth-Trunk接口视图下使用load-balance { dmac | smac | smacxordmac } 命令配置链路的负载分担方式。
缺省情况下,Eth-Trunk接口的负载分担模式为smacxordmac。
V100R002、V100R003版本
在Eth-Trunk接口视图下使用load-balance { dmac | smac | smacxordmac | sip | dip | sipxordip } 命令配置链路的负载分担方式。
缺省情况下,Eth-Trunk接口的负载分担模式为smacxordmac。
V100R005版本
在Eth-Trunk接口视图下使用load-balance { dst-ip | dst-mac | src-ip | src-mac | src-dst-ip | src-dst-mac } 命令配置链路的负载分担方式。
缺省情况下,Eth-Trunk接口的负载分担模式为src-dst-mac。
交换机如何设置接口的流量统计时间间隔
通过使用set flow-stat interval命令设置接口的流量统计时间间隔,用户可以对感兴趣的报文进行统计与分析。同时,通过预先查看接口的流量统计,及时采取流量控制的措施,可以避免网络拥塞和业务中断。
当用户发现网络有拥塞加剧的情况时,将接口的流量统计时间间隔设置为小于300秒(情况紧急时,设置为30秒),观察接口在短时间内的流量分布情况。对于导致拥塞的数据报文,采取流量控制措施。
当网络带宽充裕,业务运行正常时,可以将接口的流量统计时间间隔设置为大于300秒。一旦发现有流量参数异常的情况,及时修改流量统计时间间隔,便于更实时的观察该流量参数的趋势。
说明:
在系统视图下配置的接口流量统计时间间隔对接口下的时间间隔为缺省值的所有接口都生效。
在接口视图下配置的接口流量统计时间间隔只对本接口生效,不影响其他接口。
在接口视图下配置的时间间隔的优先级高于在系统视图下配置的时间间隔。
清除端口的报文统计,为什么会影响流量计费的结果
流量计费的依据就是各个端口的报文统计,使用reset counters interface清除端口的报文统计,会对流量计费的结果产生影响。因此,在正常的应用环境中,请不要随意进行清除端口报文统计的操作。
为什么用于复杂流分类匹配的ACL,使用display acl命令没有计数
对于流策略而言,可以通过在其流行为中增加一个count动作来对匹配该ACL的报文进行计
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]address-group 5 [USG5310-nat-policy-interzone-trust-dmz-outbound-0]
由于负载分担方式导致内网电脑部分网页打不开问题
检查防火墙配置,没有看出有明显的配置错误。试着给设备打上下面的命令:
[USG5100]load-balance flow
再测试,内网用户可以正常上网。
从测试结果看之前防火墙采用的负载分担方式应该是逐包的(但是配置中没想过显示),这将导致TCP会话建立出现问题,导致丢包。
逐流负载分担与逐包负载分担小结:
1)当到达某一目的IP地址的数据流存在多个链路时,同一条数据流的报文从同一条链路发送,不同的数据流根据一定的算法选择链路,选择链路的算法有以下两种:
Hash算法:根据源/目的IP地址,源/目的端口号计算出一个值,根据这个值选择一条链路进行报文转发。
轮询算法:依次选择空闲链路进行报文转发。 缺省情况下,设备采用Hash算法选择链路。
2)当启用逐包负载分担时,同一条数据流的报文不一定从相同的链路发送,而是会均匀的分配到不同的链路上。
在逐包负载分担下,设备采用轮询的算法选择链路。
:配置了多条策略路由不生效的问题
用户按照配置用例完成了策略路由的配置,发现只有第一条策略路由是生效的,如果在
policy中单独引用其中任何一条:类class定对应的流行为behavior是有效的。 由于单独引用一个class指定对应流都是正常的,说明用户的配置流程正确。引用了多条时发生故障,不能完全生效,仅仅第一条是有效的,因此判断还是配置上的问题。
获取了用户的配置文件,发现用户在配置每个class时引用的acl中都包含了deny any 的语句。问题确认:由于做策略的时候先匹配acl,如果策略的第一条包含deng的语句,则认为已经确认处理方式,指定处理方式behavior。不再向后匹配。当完成了所有class引用acl的修改去掉了acl中deny的配置。测试和设计预想的相同,符合要求,问题解决。 策略路由执行时先匹配acl,再acl中不能有deny的语句。如果存在则对哪些被deny的网段不做策略路由。因此在做策略路由时,尤其时做多条策略路由时,务必不要在acl中添加deny语句,预防被匹配到网段不能按照策略路由进行转发。
防火墙会话表显示内容表示什么意思 会话表项显示:
one: dmz -> trust //首包会话方向源域为dmz,目的域为trust(源域 -> 目的域)
ttl: 00:20:00 left: 00:19:43 //ttl表示会话表老化时间,left表示会话表剩余多少时间老化
Interface: E1 Nexthop: 10.0.0.145 Mac: 00-00-5e-00-01-0f //会话首包方向出接口、下一跳IP地址和MAC地址
<-- packets:686 bytes:50264 --> packets:500 bytes:40828 //<--代表会话inbound方向的字节数和报文数,-->代表会话outbound方向/同域的
字节数和报文数
121.14.74.21:14000<--10.252.204.111:16503 //<-- 表示会话首包是inbound,--> 表示会话首包是outbound或者同域
会话报文统计简单说就是箭头指的方向就是报文的方向:
1.下面这10个包是从172.16.10.1到172.16.0.96方向上统计的。
udp VPN: public -> public
Zone: trust -> untrust TTL: 00:02:00 Left: 00:01:59
172.16.10.1:1517-->172.16.0.96:1231
Interface: G2/0/1 Nexthop: 172.16.0.96 MAC: 00-00-00-00-00-00
<-- packets:0 bytes:0 --> packets:10 bytes:5636
2.下面这5个包是从172.16.1.26到172.16.10.22方向上统计的。
udp VPN: public -> public
Zone: untrust -> trust TTL: 00:02:00 Left: 00:02:00
Interface: G2/0/0 Nexthop: 172.16.10.22 MAC: 00-00-00-00-00-00
<-- packets:5 bytes:7930 --> packets:0 bytes:0 172.16.10.22:1517<--172.16.1.26:48988
请问防火墙ACL是否支持非连续掩码方式
:支持,举例如下,有两个规则:
规则1:rule permit source 192.168.1.0 0.0.0.254
匹配该规则时,只要192.168.1.0网段最后8位是偶数就能匹配该规则,如192.168.1.4 & 255.255.255.1 == 192.168.1.0 & 255.255.255.1;
规则2:rule 5 permit source 192.168.1.1 0.0.0.254
匹配该规则时,只要192.168.1.0网段最后8位是奇数就能匹配该规则,如192.168.1.5 & 255.255.255.1 == 192.168.1.1 & 255.255.255.1。
现网应用中可以很好的利用该方式(比如策略路由)实现流量的负载均衡。奇偶方式只是非连续掩码方式中的一种,当然可以有更多的选择,比如设置反掩码为0.0.0.252,就可以区分IP地址最后2位(二进制)为00、01、10、11四种情况。
OSPF 引入默认路由
缺省情况下,OSPF不引入缺省路由。
引入静态路由可以使用import-route命令,但使用import-route命令不能引入缺省路由。
如果要引入缺省路由,必须使用default-route-advertise命令。当本机没有配置缺省路由时,要产生缺省路由ASE LSA应使用always关键字。
如何禁止tracert但允许ping
如何禁止tracert但允许ping
Tracert和ping都是通过icmp协议来实现的,但他们的icmp类型不一样,可以使用参数icmp-type 进行区别
ping时发出的报文类型为echo,类型码为8,回应报文的类型为echo-reply,类型码为0
? tracert时,发出的报文类型和ping相同(但ttl值不同);返回的icmp报文类型为ttl-exceeded, 类型码为 Type=11
可以参考如下acl
acl number 3000
rule 5 permit icmp icmp-type echo rule 10 permit icmp icmp-type echo-reply rule 15 deny icmp icmp-type ttl-exceeded 方法一:
对于防火墙,以下配置过程可以通用:
language-mode chinese 21:23:18 2000/04/03
Warning: The operation will change the language mode. Continue? [Y/N]: y 提示:改变到中文模式。
2000/4/3 21:23:20 FW %�CMD/4/LAN_MODE(l): 当决定是否改变语言模式时,用户选择了
Y。
reset saved-configuration 21:23:29 2000/04/03
设备中的配置将被擦除. 你确信吗?[Y/N]y
开始擦除存储设备中的配置.
2000/4/3 21:23:32 FW %�CFM/4/RST_CFG(l): 当决定是否重置保存的配置时,用户选择了Y。...
提示:擦除配置成功.
reboot
21:23:47 2000/04/03
Info:Reading saved configuration failed.
系统将要重启,是否保存当前配置[Y/N]? :n ##这里一定要注意选 n 系统将重新启动! 继续?[Y/N]:y
策略路由导致VLAN间不通
问题描述:客户在设备交换接口上划分了三个VLAN,VLAN间互相不能通信。 原因分析:
1、 配置问题
2、 版本问题
在检查配置过程中,配置方面没有看出问题,在PING的时候,查看ICMP会话,原地址被转换成了公网IP,在配置中发现客户对每个VLAN接口做了策略路由,所以VLAN间互ping的时候首先匹配策略路由(策略路由优于其他路由),导致vlan间不通。
处理过程:
得知原因以后,在匹配策略路由的ACL表中,将各vlan间的ip网段互相deny,让各网段的通信不匹配策略路由。这样更改后各vlan间可以互通。修改如下:
acl number 3010
rule 4 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
为什么配置了一个VLANIF接口的IP地址,在路由表中下发了三条路由 配置了VLANIF 200的IP地址200.1.1.1/24,并且接口VLANIF 200的状态为UP,这时在路由表中下发的表项有三条:
200.1.1.0/24 Direct 0 0 D 200.1.1.1 Vlanif200 200.1.1.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 200.1.1.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 第一条是网段路由,根据IP地址的掩码计算的网络地址下发的路由,对该网段的路由使用该路由指导报文转发。
第二条是本地路由,对于目的IP地址为200.1.1.1的报文使用该路由,通过虚拟接口InLoopBack0上送协议层处理。
第三条路由是用来指导子网广播报文转发,从下发路由的出接口来看,对子网广播报文也是送上层协议处理的,并不转发。
S9300是否支持VLAN虚接口配置从地址
支持,每个VLAN虚接口下支持配置31个从地址,从地址不支持OSPF建立邻居关系。
两个光口用光纤互连端口不能UP怎么办
在检查链路之前,首先观察接口的LINK灯是否点亮。如果点亮,证明物理链路是正常连通的。确定物理链路正常连通后,通过以下思路进行检查:
首先检查2个端口有没有shutdown,如果有shutdown的端口,则要取消shutdown。
如果没有shutdown,则要检查互连的两个光口中有没有COMBO口,如果有的话则要用display this interface命令查看是否为FORCE FIBER,如果不是,则V100R001、V100R002版本用combo fiber命令,V100R003版本用combo-media fiber命令转化为强制光口。
[Quidway-GigabitEthernet1/0/1] display this interface GigabitEthernet1/0/1 current state : UP
Description:HUAWEI, Quidway Series, GigabitEthernet1/0/1 Interface Switch Port,PVID : 1,The Maximum Frame Length is 1536
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0018-2000-0083 Port Mode: FORCE FIBER Speed : 1000, Loopback: NONE
Duplex: FULL, Negotiation: ENABLE Mdi : NORMAL
如果都是光口还不能UP,则检查是否是一端为FE口,另一端是GE口的情况,如果是的话,则将GE口一端自协商关闭,速度配成100,双工配置为full,看是否能UP,如果不能UP,请联系华为技术工程师。
如果都是GE口,则依次检查自协商、速度、双工两端是否一致,如果不一致,请两端配成一致。
如果步骤4中各项参数两端配置成一致后还不能UP,请确定实际收光的强度是否在本端的收光灵敏度范围内。
如果通过上述处理步骤后,端口仍然不能UP,请联系华为技术工程师。 说明:
物理端口的状态和业务配置没有任何的关系。
两个电口用网线互连,端口不能UP该怎么办
在检查链路之前,首先观察接口的LINK灯是否点亮。如果点亮,证明物理链路是正常连通的,请按照以下思路进行检查:
首先检查2个端口有没有shutdown,如果有shutdown的端口,则要取消shutdown。
如果没有shutdown,则要检查互连的两个电口中有没有COMBO口,如果有的话则要用display this interface命令查看是否为FORCE COPPER,如果不是,则V100R001、V100R002版本用combo copper命令,V100R003版本用combo-media copper命令转化为强制电口。
[Quidway-GigabitEthernet1/0/1] display this interface
Description:HUAWEI, Quidway Series, GigabitEthernet1/0/1 Interface Switch Port,PVID : 1,The Maximum Frame Length is 1536
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0018-2000-0083 Port Mode: FORCE COPPER
Speed : 0, Loopback: NONE
Duplex: HALF, Negotiation: ENABLE Mdi : AUTO
如果都是电口还不能UP,则依次检查自协商、速度、双工两端是否一致,如果不一致,请两端配成一致。
如果配成一致还不能UP,请检查端口的MDI模式,如果不知道网线类型,则将两端配置为auto模式,如果还不能UP,请联系研发协助定位。
两个端口互连,出现端口有时UP,有时down的情况的原因是什么 这个问题是互连两端一端打开了自协商,另一端关闭了自协商导致的,将自协商状态在两端配成一致就可以了。如果仍然没有解决,请联系研发协助定位。
说明:
电口一端自协商一端非自协商时,即使端口都是UP状态,也有可能出现丢包的想象。
电口或光口互连是否应该设置强制双工和速率
电口具有很好的自协商能力,一般都能自协商成功,所以不要设置强制双工和速率。
光口自协商能力比电口稍差,极少部分光口会出现自协商不成功的现象,所以大部分光口在开局是往往都被设置强制双工和速率。这样不加分析的设置强制双工和速率,往往会掩盖一些问题,需要注意查看端口信息中有没有错包。是否光衰过大,必要时要用光功率仪进行测试,确实是否需要更换光纤等。
电口或光口的协商机制可以遵循以下2个原则:
除非有特别的理由,双方均采用自协商方式。
双方方式必须一致,要么双方都是自协商方式,要么双方都设置强制双工和速率,不允许一端自协商,一端设置强制双工和速率,也不允许只设置双工方式而不设置速率,同样也不允许只设置速率而不设置双工方式。
目前标准的生成树协议有:STP、RSTP和MSTP。
STP(Spanning Tree Protocol),生成树协议。
RSTP(Rapid Spanning Tree Protocol),快速生成树协议,兼容STP。
MSTP(Multiple Spanning Tree Protocol),多生成树协议兼容STP和RSTP。
默认使用MSTP模式,在配置命令中选择STP模式时有STP/RSTP/MSTP三种选项,可以任意选择进行配置。
如何查看ARP表项
使用display arp [ interface-name | [ dynamic | static ] [ | { begin | include | exclude } text ] ]命令查看ARP表项。
S9300的端口如何编号
S9300的端口编号采用“端口类型 槽位号/子槽号/端口号”的方式,如:GigabitEthernet 2/0/1等。在不混淆的情况下可以简化,如:G1/0/1或者G 1/0/1,也不区分大小写。端口类型与槽位号之间的空格也可以省略。
从V100R003C00版本起,设备使能堆叠功能后,S9300中的端口编号将采用“端口类型 框号/槽位号/子槽号/端口号”的形式。
S9300如何查看已删除文件
S9300提供回收站功能,使用delete命令删除的文件保留在回收站中,只有使用delete /unreserved命令才能真正删除文件。
使用dir命令不显示已经被删除并被放入回收站中的文件,只有使用dir /all命令才能显示回收站中的文件,这些文件的文件名被“[]”包含。
超级终端连接交换路由板的配置串口有时为何显示不正常 交换机上电后,如果系统正常,将在配置终端上显示启动信息;如果终端参数信息设置错误,配置终端可能无显示或者显示乱码。
终端无显示故障处理
如果上电后配置终端无显示信息,首先要做以下检查:
电源系统是否正常
主控板是否正常
是否已将配置电缆接到交换路由板的配置口(Console)
如果以上检查未发现问题,很可能有如下原因:
配置电缆连接的串口错误(实际选择的串口与终端设置的串口不符)
配置终端参数设置错误(参数要求:设置波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无,选择终端仿真为VT100)
配置电缆本身有问题
终端显示乱码故障处理
如果配置终端上显示乱码,很可能是配置终端参数设置错误(设置波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无,选择终端仿真为VT100),请进行相应检查。
如何查询和设置系统时间/时区
任意视图下执行display clock命令查询系统时间/时区。
display clock 2009-02-11 14:28:34 Wednesday
Time Zone : UTC add 00:00:00用户视图下,执行clock datetime设置系统时间。
clock datetime HH:MM:SS YYYY/MM/DD用户视图下,执行clock timezone设置系统时区。
clock timezone time-zone-name { add | minus } offset
console口密码遗忘处理 配置文件已经被备份
启动时按Ctrl+B进入bootrom后,按Ctrl+z进入隐藏菜单,直接删除启动的配置文件后重启。
配置文件没有备份
启动时按Ctrl+B进入bootrom,按Ctrl+z进入隐藏菜单,将交换机默认启动的配置文件改成其他名字,例如vrptest。
将改名字后的文件vrptest解压缩为vrpcfg.bat。
unzip vrptest vrpcfg.bat执行execute命令,运行批处理文件vrpcfg.bat,在该配置的基础上可以删除原来配置的Console密码。
system-view
[Quidway] execute vrpcfg.bat
[Quidway] user-interface console 0
[Quidway-202-ui-console0] undo authentication-mode 保存配置为交换机默认的配置文件vrpcfg.zip
save
The current configuration will be written to the device. Continue? [Y/N]:y Info: Please input the file name(*.cfg,*.zip)[vrpcfg.zip]: Jun 25 2010 11:41:59 Quidway %�CFM/4/SAVE(l): The user chose Y when deciding w hether to save the configuration to the device.重启交换机
console密码被删除,同时原有的业务配置不丢失。
为什么ssh用户在配置远端认证时必须同时在设备本地配置用户才能通过认证
在设备本地配置用户不是必需操作,当在设备上配置ssh authentication-type default password后,无须再在本地配置用户
交换机远程用户管理的配置方式
登录到交换机的用户,系统会根据配置的认证方式对用户的合法性进行验证。交换机提供了如下3种用户认证方式:
用户名+密码的认证方式配置
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode aaa [Quidway] aaa
[Quidway-aaa] local-user huawei password simple huawei [Quidway-aaa] local-user huawei service-type telnet [Quidway-aaa] local-user huawei level 3密码认证方式配置
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode password
[Quidway-ui-vty0-4] set authentication password simple huawei [Quidway-ui-vty0-4] user privilege level 3不需要密码认证方式配置
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode none [Quidway-ui-vty0-4] user privilege level 3
AAA常见配置方法:aaa
authentication-scheme default
authentication-mode radius local authorization-scheme default accounting-scheme default domain default
radius-server yhwj domain default_admin
local-user kaka password cipher G2aT9(\ local-user kaka level 0
local-user kaka service-type telnet #
2
aaa
local-user kaka password cipher G2aT9(\ local-user kaka service-type telnet local-user kaka level 0
authentication-scheme default
authentication-mode radius local #
authorization-scheme default #
accounting-scheme default #
domain default
radius-server yhwj # #
双出口路由问题造成nat server映射的服务器不能打开
1、检查用户路由配置,用户配置了两条优先级不一样的默认路由,内部服务器出去的默认路由也是从出口1 出去
ip route-static 0.0.0.0 0.0.0.0 218.2.15.129 preference 20 /*出口1 上网用 ip route-static 0.0.0.0 0.0.0.0 218.2.15.121 preference 40 /*出口2 nat server用
2、指导用户修改路由配置,增加策略路由,将用户映射的服务器的地址段都从出口2出去 #
ip address-set fuwuqi type object /*服务器地址段 address 0 range 172.16.2.24 172.16.2.26 address 1 192.168.10.10 0 address 2 172.16.200.10 0 #
acl number 3011
rule 125 deny ip destination 172.16.2.0 0.0.0.255 /*内网地址段 rule 130 deny ip destination 192.168.0.0 0.0.255.255 /*内网地址段
rule 1000 permit ip source address-set fuwuqi #
traffic classifier test if-match acl 3011 #
traffic behavior test
remark ip-nexthop 218.2.15.121 output-interface GigabitEthernet0/0/0 #
3、应用策略路由后再次测试,nat server访问正常
等价路由配置问题导致用户上网时断时续
用户双出口,一条到公网,一条专线连接公司总部。网络拓扑如下:
----10.72.18.1-------10.72.18.2(untrust1) 公司总部
用户内网-----------(trust)USG
-----58.64.145.87-------58.64.145.88(untrust) Internet
反馈内网用户有时候不能上网,不能打开网页。
1、通过display nat-policy interzone trust untrust outbound检查trust和untrust的nat策略,没有发现问题
2、通过display policy interzone trust untrust outbound 检查域间策略,默认全放开
policy interzone trust untrust outbound
firewall default packet-filter is permit
3、通过display ip routing-table查看路由发现两条等价的默认路由
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 10.72.18.2 GigabitEthernet0/0/1
Static 60 0 RD 58.64.145.88 GigabitEthernet5/0/0
4、指导用户更改路由设置,修改到公司总部网络的路由,删除掉到公司总部的默认路由,到公司总部全部
配置明细路由。更改后再次测试正常,问题解决。
内网PC 通过私网IP能访问WEB服务,内网PC通过公网IP不能访问WEB服务
问题描述:客户内网有多台WEB服务器,在防火墙上配置NAT 地址映射后,其中一台在外网通过公网IP能访问WEB服务,在内网通过私网IP能访问WEB服务,在内网通过公网IP不能访问WEB服务。其他几台服务器访问一切正常。 拓扑图:
由于客户WEB服务器上是双网卡,并且另一张网卡配置的IP地址和办公网络的PC同一个网段。客户在防火墙上已将链路会话状态功能关闭,PC使用私网地址去访问WEB服务时,防火墙中有会话,服务器在回服务请求包的时候直接从内部交换回到PC。当打开链路会话状态功能后,使用私网IP就不能访问。通过公网地址来访问时,服务器是直接使用私网地址回包,PC会将回包丢弃,导致访问不成功。
1、将WEB服务器另一张网卡(192.168.18.X/24)禁用。可以解决。
2、如果不禁用另一张网卡,在TRUST到DMZ域间配置outbound 方向的NAT转换。配置后服务器就会将包回给防火墙,再回给PC。配置如下:
配置地址池:
[USG5310]nat address-group 5 172.16.80.1 172.16.80.1 配置NAT策略:
[USG5310]nat-policy interzone trust dmz outbound
[USG5310-nat-policy-interzone-trust-dmz-outbound]policy 0
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]action source-nat
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]policy source 192.168.18.0 0.0.0.255
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库华为常见基础问题在线全文阅读。
