S8016配置及维护宝典V10.docx
- 文档编号:10214214
- 上传时间:2023-02-09
- 格式:DOCX
- 页数:22
- 大小:29.15KB
S8016配置及维护宝典V10.docx
《S8016配置及维护宝典V10.docx》由会员分享,可在线阅读,更多相关《S8016配置及维护宝典V10.docx(22页珍藏版)》请在冰豆网上搜索。
S8016配置及维护宝典V10
S8016配置及维护宝典V1.0
本文档涵盖了S8016产品的常见问题,问题大类包括:
硬件系统、链路层部分、路由应用及VPN、NAT应用以及其他(QOS等)。
本文档主要是常见问题的FAQ,设备操作及基本命令类介绍较少,相关的资料可以参考对应产品的操作手册可以到下载.
更新说明
更新时间
更新说明
2007/03/30
●初稿
●
目录
硬件系统4
2、如何正确的开关直流电源的S8016交换机?
4
3、S8016的单板配置情况如何?
4
5、FAQ-S8016支持的单板及其规格VRP3.105
4,FAQ-S8016支持的单板及其规格6
5、S8016路由器支持什么业务子卡?
8
6、S8016哪些版本支持netstream板?
8
7、在S8016上拔出LPU单板前如何关闭SFC板和LPU单板之间的DASL端口(VRP3.10-5338SP01)8
链路层应用8
1、S8016的VLAN创建三层接口的情况下该VLAN是否可以透传VRRP报文8
2、S8016以太网接口下的tag-tosenable命令作用是什么9
3、如何定位S8016受ARP攻击及基本的处理方法9
4、S8016的接口从地址能否接收组播数据10
5、S8016的PIM-SM是否支持在VRP3.10-53XX版本静态的RP配置10
6、在S8016上如何实现两个VLAN之间的单向访问10
7、如何配置S8016的观测端口同时该端口可以接入PC上网12
8、S8016如何限制某个MAC接入12
9、如何正确理解S8016上实现的ip与mac的绑定13
10、为何在S8016三层接口下输入STPDISABLE命令导致全局STP关闭13
12、为何局域网计算机经过S8016交换机后找不到邻居问题14
13、S8016加入链路聚合端口的三层vlan接口是否支持绑定VPN实例,VRP3.10-53XX版本14
14、物理端口不能加入Eth-Trunk的几个原因14
15、tracert操作返回!
<13>信息是什么含义14
路由及VPN16
1、S8016中命令arpvlan-bindingmatch有什么功能(S8016的版本为VRP3.10---2226)16
2、NE40NE80S8016产品是否支持mplsvpn内的弱策略路由16
3、S8016的OSPF邻居Down后会不会有日志记录16
4、为何S8016上面存在LSA刷新的告警16
5、为什么S8016不选cost值小的链路17
6、S8016如何向ebgp邻居发布缺省路由17
9、NE80和S8016处理mpls报文时有何区别18
10、S8016(53xx版本)聚合端口是否可以启用ldp18
11、S8016哪些版本支持VPLS的本地VC交换19
12、NE40NE80S8016路由协议及缺省时的路由优先级如何?
19
其他19
1、S8016内容交换网板有哪些版本支持19
2、S8016NAT扩容是否可以增加NAT-LIST数量19
3、S8016如何使level1的用户能使用某些特定的操作命令?
20
4、S8016FIBMISS告警含义是什么?
20
5、S8016如何配置禁止用户ssh登录21
6、S8016端口镜像支持情况21
7、S8016哪些版本支持NTP功能21
8、S8016端口限速时几个流控参数之间的关系21
9、S8016是否支持POS端口捆绑22
10、S8016的VRP3.10-5338SP01如何查看LPU单板NP版本号22
11、S8016漏桶清空丢弃包计数的方法23
12、端口存在冗余配置导致S8016无法指定该端口为观测端口23
13、如何查看S8016arp表项是否成功下发至硬件23
14、NE80NE40S8016产品主控板cpu各个主要进程代表什么意思24
15、S8016能否直接使用上行接口地址作为NAT地址池地址25
16、S8016设备的VRRP倒换时间最小为多少25
17、S8016如何进行流量整形26
硬件系统
2、如何正确的开关直流电源的S8016交换机?
由于直流供电对于上电顺序有严格要求,请务必遵照开关顺序进行操作,如操作不当,可能损坏设备,直流配电框中SW1为母板插框的电源开关,SW2为风扇框的电源开关,其余两路未使用。
正确的开机步骤为:
1、先将风扇框的电源开关SW2置成“ON”位置。
2、待风扇框运行起来后,再将母板插框的电源开关SW1置成“ON”位置。
正确的关机步骤为:
1、先将母板插框的电源开关SW1开关置成“OFF”位置。
2、再将风扇框的电源开关SW2开关置成“OFF”位置。
另外,交流配电框上电时只需向上拨两路空气开关,没有其它的要求
3、S8016的单板配置情况如何?
单板配置如下:
两块互为备份的主控板(MPU,MainProcessingUnit),占用母板插框最左侧的两个槽位,(占用槽位号17、18);
两块互为备份的网板(SFC,SwithFabricCard),占用中间两个槽位,(占用槽位号19、20);
两块时钟板(CLK,Clock),CLK板扣在SFC板上面(占用槽位号21、22);
交流电源(PWR,占用槽位号23),直流配电框(DPR,占用槽位号24),风扇(FAN,占用槽位号25和26);
其余的16个槽位上为自由选配的单板,可以插接口线路板、NAT板.
5、FAQ-S8016支持的单板及其规格VRP3.10
1,EGFE16端口百兆以太网电接口线路板,提供RJ-45电接口
2,EWFE32端口百兆以太网电接口线路板,提供RJ-45电接口
3,EGFS16端口百兆以太网光接口线路板(单模15km),提供MT-RJ1310nm单模光接口
4,EGFM16端口百兆以太网光接口线路板(多模2km),提供MT-RJ1310nm多模光接口
5,E4GS4端口千兆以太网光接口线路板(单模10km),提供MT-RJ1310nm单模光接口
6,E4GQ4端口千兆以太网光接口线路板(单模40km),提供LC1550nm单模光接口
7,E4GV4端口千兆以太网光接口线路板(单模70km),提供LC1550nm单模光接口
8,E4GP4端口千兆以太网光接口线路板(多模500m),提供MT-RJ850nm多模光接口
9,E4GC4端口千兆以太网GBIC光接口线路板
10,E4GE4端口千兆以太网电接口线路板,提供RJ-45电接口
11,P4CS4端口OC-3c/STM-1POS单模光接口线路板(单模15km),提供MTRJ1300nm单模光接口
12,P4CM4端口OC-3c/STM-1POS多模光接口线路板(多模2km),提供MTRJ1300nm多模光接口
13,P8CS8端口OC-3c/STM-1POS单模光接口线路板(单模15km),提供MTRJ1300nm单模光接口
14,P8CM8端口OC-3c/STM-1POS多模光接口线路板(多模2km),提供MTRJ1300nm多模光接口
15,P2HM2端口OC-12c/622MPOS光接口线路板(多模500m),提供SC1300nm多模光接口
16,P2HS2端口OC-12c/622MPOS光接口线路板(单模15km),提供SC1300nm单模光接口
17,P1UZ1端口OC-48c/STM-16POS光接口线路板(单模2km),提供LC1300nm单模光接口
18,P1US1端口OC-48c/STM-16POS光接口线路板(单模15km),提供LC1300nm单模光接口
19,A8CS8端口155MATM单模光接口线路板(单模15km),提供MTRJ1310nm单模光接口
20,A8CM8端口155MATM多模光接口线路板(多模2km),提供MTRJ1310nm多模光接口
21,A2HF2端口622MATM单/多模光接口线路板,提供SFP光模块可热插拔、LC型光接口。
22,R1UZ1端口2.5GRPR单模光接口线路板(单模2km),提供LC1310nm单模光接口
23,R1US1端口2.5GRPR单模光接口线路板(单模15km),提供LC1310nm单模光接口
24,R1UQ1端口2.5GRPR单模光接口线路板(单模40km),提供LC1310nm单模光接口
25,R1UV1端口2.5GRPR单模光接口线路板(单模70km),提供LC1550nm单模光接口
4,FAQ-S8016支持的单板及其规格
主控板MPU:
ETH0以太网接口(10M/100MBase-TX自适应)RJ45用于连接系统网管工作站。
自带LINK和ACT指示灯。
CONSOLE接口RJ45用于连接控制台,实现对系统的现场配置功能。
AUX接口RJ45用于连接Modem,通过拨号实现远程维护。
单板功耗:
50W
RS01EGFEE16端口10/100M自适应以太网电接口线路板单板功耗:
50W
RS01EWFEE32端口10/100M自适应以太网电接口线路板单板功耗:
50W
RS01EGFF16端口100M以太网光接口线路板(SFP光模块)单板功耗:
40W
RS01E4GC4端口1000M以太网光接口线路板(GBIC模块)单板功耗:
39W
RS01P4CFF4端口OC-3c/STM-1POS光接口线路板(SFP光模块)单板功耗:
50W
RS01P8CFF8端口OC-3c/STM-1POS光接口线路板(SFP光模块)单板功耗:
50W
RS01P2HS/RS01P2HM
2端口OC-12c/STM-4cPOS光接口线路板(SFP光模块)单板功耗:
40W
RS01P1UZ/RS01P1US/RS01P1UL/RS01P1UV
1端口OC-48c/STM-16cPOS光接口线路板(SFP光模块)单板功耗:
40W
RS01R1UZ/RS01R1US/RS01R1UL/RS01R1UV
1端口OC-48/STM-16RPR光接口线路板单板功耗:
44W
CR01A4CFF
4端口OC-3/STM-1ATM光接口线路板(SFP光模块)单板功耗:
40W
CR01A8CFF
8端口OC-3/STM-1ATM光接口线路板(SFP光模块)单板功耗:
40W
CR01A2HFF
2端口OC-12/STM-4ATM光接口线路板(SFP光模块)单板功耗:
40W
SPUA:
与NAT子卡配合提供NAT业务,与NAT-PT子卡配合提供NAT-PT业务。
SPUB:
与NetStream子卡配合提供NetStream业务,与L2TP子卡配合提供L2TP业务。
SPUC:
与GRE子卡配合提供GRE/组播VPN业务,与NetStream子卡配合提供NetStream业务。
5、S8016路由器支持什么业务子卡?
NAT子卡
NAT-PT子卡
NetStream子卡
L2TP子卡
GRE子卡
6、S8016哪些版本支持netstream板?
S8016的53XX、22XX版本不支持此单板,只有23XX版本支持此单板,如果使用此单板建议升级到版本2351SP02
7、在S8016上拔出LPU单板前如何关闭SFC板和LPU单板之间的DASL端口(VRP3.10-5338SP01)
在用户视图,配置如下:
shutslot{slot-id|all},该命令可以关闭主用SFC板的某个或者全部DASL端口,避免在该版本下直接插拔单板造成整机复位。
8、S8016哪些单板可以支持自适应网线类型
S8016的LPUB类型16FE单板(RS-EGFE)GE(RS-E4GE)无法支持自适应网线类型。
EW开头的新LPUF类型单板可以支持自适应网线类型
链路层应用
1、S8016的VLAN创建三层接口的情况下该VLAN是否可以透传VRRP报文
S8016的VLAN创建三层接口的情况下该VLAN是否可以透传VRRP报文?
NE40/S8016的VRP3.10-23XX版本
S8016的VLAN创建三层接口的情况下该VLAN不能透传VRRP报文,此时可以在VLAN视图下配置“vrrpbroadcastenable”命令来透传VRRP的报文。
相关配置:
[S8016]vlan100
[S8016-vlan100]vrrpbroadcastenable
2、S8016以太网接口下的tag-tosenable命令作用是什么
1、在S8016的以太网接口下配置此命令可以使能接口的802.1P优先级支持。
2、802.1q是在VLANTAG的16bit中的后12个bit表示的内容,表示VLANID号,范围是0-4095。
3、802.1p表示是否支持在TAG中带优先级,是在VLANTAG的16bit中的前4个bit中的后3个bit,共有0-7共8个优先级,级别7最高。
4、一般情况下,此命令不需要进行配置。
3、如何定位S8016受ARP攻击及基本的处理方法
S8016在运营商网络中一般处于汇聚层,下面带有大量的用户,较容易受到ARP攻击。
ARP攻击的方法为:
攻击者向网关发送大量的ARP请求或者ARP应答报文,引起设备CPU负载加重,影响正常业务的稳定运行
S8016在受到ARP攻击时,表现的现象一般有以下几点:
1、接口板CPU高,甚至达到100%。
2、接口板的ARP表项学满,规格:
4K。
3、22号和3号漏桶有大量丢弃计数。
4、用户无法ping通网关或者丢包。
5、上层协议断链,例如:
OSPF、BGP、VRRP等。
攻击的严重程度不同,表现的现象可能仅有上述现象中的某几个
问题的定位可以通过如下几个命令:
1、检查CPU占用率检查接口板和主控板CPU占用率,看是否超出正常的范围。
命令为:
displaycpu,displaydevice$SlotNO,displayperformance$SlotNO。
2、查看接口板的丢弃漏桶计数检查接口板的漏桶丢弃计数,判断是几号漏桶也就是何种协议存在大量的丢弃计数。
由此可以确定是何种攻击命令为:
displaysystem-bucket$SlotNO。
3、查看接口板的ARP表项信息,及统计信息,看是否由于ARP攻击导致接口板的ARP表项达到规格4K。
命令为:
displayarpsummary
处理过程:
如果已经定位是ARP攻击,可以通过如下方法来解决问题:
修改漏桶配置,将22号及3号漏桶根据实际情况调整为2K或者4K。
该数值需要根据实际的业务量大小做相应的限制。
根据网上设备运行经验:
如果单板ARP数小于100个,则漏桶可以配置为2K;如果单板的ARP数小于500个,对于ARP攻击建议将漏桶配置成4K;如果大于500个,建议漏桶配置值为8K。
命令为:
applysystem-bucket1(槽位号)2(漏桶号)traffic-rate2(限速的数值)。
4、S8016的接口从地址能否接收组播数据
S8016的接口从地址不能接收任何组播数据。
5、S8016的PIM-SM是否支持在VRP3.10-53XX版本静态的RP配置
S8016的VRP3.10-53XX版本,PIM-SM不支持静态RP配置。
S8016的VRP3.10-53XX版本使用PIM-SM协议时请避免使用静态RP,如必须支持静态RP,请将软件版本升级到VRP3.10-22XX或VRP3.10-23XX,此版本即可支持。
6、在S8016上如何实现两个VLAN之间的单向访问
S8016的版本为:
VRP3.10-5336
处理过程:
假设S8016上有两个VLAN:
VLAN2和VLAN3。
要求:
VLAN2下的用户可以访问VLAN3下的用户,而VLAN3下的用户不能访问VLAN2下的用户。
具体的配置过程如下:
1、首先定义两个VLAN:
[Quidway]vlan2
[Quidway-vlan2]portEthernet15/0/2
[Quidway-vlan2]interfacevlan2
[Quidway-Vlanif2]ipaddress192.168.1.1255.255.255.0
[Quidway-Vlanif2]vlan3
[Quidway-vlan2]portEthernet15/0/3
[Quidway-vlan3]interfacevlan3
[Quidway-Vlanif3]ipaddress192.168.2.1255.255.255.0
2、定义一个流规则:
#定义规则Ping请求报文。
[Quidway]rule-mapintervlanp1icmp192.168.2.00.0.0.255192.168.1.00.0.0.255echo
#定义规则限制TCP连接发起方。
[Quidway]rule-mapintervlant1tcp192.168.2.00.0.0.255192.168.1.00.0.0.255established
3、将规则映射描述的一个流加入一个ACL列表,并且配置访问禁止
#过滤Ping请求报文。
[Quidway]eacldantongp1deny
#过滤TCP发起方报文。
[Quidway]eacldantongt1deny
4、将ACL应用到VLAN3所有端口上。
[Quidway]access-groupeacldantongvlan3portall
5、做完以上配置,能够实现TCP和ICMP报文从VLAN2到VLAN3方向的单通。
注意:
由于UDP报文为无连接方式,无法得知发起连接方,所以无法配置对于UDP报文的单通
7、如何配置S8016的观测端口同时该端口可以接入PC上网
现象描述:
S8016的版本为5339SP01,客户的需求是在作为观测用的端口下,同时可以接入PC上网,即:
E5/1/2为镜像端口,E5/1/8为观测端口,需要实现在E5/1/8下可以观测E5/1/2的流量的同时可以上网
处理过程:
1、首先进行如下配置,一定要在作为观测端口的E5/1/8后配置input-dataflow
portmonitorEthernet5/1/8input-ataflow
portmirroringEthernet5/1/2bothEthernet5/1/8
2、在E5/1/8下配置所属的业务VLAN
interfaceethernet5/1/8
negotiationauto
undoshutdown
portdefaultvlan421
3、用户进行正常的配置后,可以正常的既可以观测端口E5/1/2也可以上网,在设备的ARP表中可以看到:
VLANIPAddressMAC_addressTypeInterface
421222.139.250.8000e0-4cb8-addeDynamicEthernet5/1/8
8、S8016如何限制某个MAC接入
需要限制Ethernet1/0/0端口下的MAC地址为1111-1111-1111的PC,可以通过如下配置实现:
(该配置适合VRP3.10Release5×××版本)
[8016]link-groupg1blacklistenable
[8016-Ethernet1/0/0]link-groupg1mac1111-1111-1111
[8016]rule-mapintravlanr1ingress-linkg1
[8016]eacle1r1deny
[8016]access-groupeacle1portethernet1/0/0vlan10
9、如何正确理解S8016上实现的ip与mac的绑定
S8016上实现的ip与mac的绑定的实现原理是通过静态arp实现的,实现的功能是将ip与mac的对应关系进行绑定。
这样的绑定之后,特定的ip和mac的主机只有匹配才能上网。
这种实现方式也限制了盗用ip地址的非法用户,且在物理层次上限定了主机可以与外界通信的端口。
需要强调的是这种绑定由于没有限制arp的动态学习,因此在S8016上没有作配置的ip主机不会受这种绑定策略的影响可以正常上网
10、为何在S8016三层接口下输入STPDISABLE命令导致全局STP关闭
S8016的生成树协议,可以针对全局、或某个物理端口来打开或关闭,但不能针对某个VLAN三层接口来打开、关闭。
在VLAN三层接口模式下,输入?
查询,也是没有STPDISABLE命令的。
但如果在VLAN三层接口模式下输入此命令并回车,则系统会认为是在上一个模式(即全局模式下)执行此命令,导致整机的STP被关闭。
S8016对于一些当前模式没有的命令,会回到上一模式继续执行此命令,若上一模式有此命令则会执行成功。
例如,PING、STPDISABLE等命令都是这样实现的。
在VLAN三层接口模式下输入了STPDISABLE命令后,导致全局的STP都被关闭,一些环路没有检测出来导致业务受阻。
在全局模式下输入STPENABLE后,生成树协议开始工作,在形成环路的端口DISCARDING后,业务恢复。
13、S8016加入链路聚合端口的三层vlan接口是否支持绑定VPN实例,VRP3.10-53XX版本
该版本不支持。
在软件配置时,该三层vlan接口虽然能成功绑定vpn实例,但相关vpn特性将不能正常工作。
14、物理端口不能加入Eth-Trunk的几个原因
VRP3.10-2xxx版本
1、不支持混插:
GE口不能加入已经包含FE口的Eth-Trunk;反之FE不能加入已经包含GE的Eth-Trunk。
2、该物理口非裸配置。
3、Eth-Trunk成员数目已达到16个。
4、该物理口状态不是UP。
5、不支持跨板捆绑。
6、非法的MAC地址如MAC地址为0xFFFFFFFFFFFF。
15、tracert操作返回!
<13>信息是什么含义
现象描述:
trace返回如下信息,“!
<13>”是什么含义?
tracerouteto10.97.64.129(10.97.64.129)30hopsmax,40bytespacket
110.97.92.93ms34ms2ms
210.97.92.94ms!
<13>3ms!
<13>3ms!
<13>
原因分析:
执行Tracert的同时,在NE40上打开debugipicmp信息处理得到如下结果:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- S8016 配置 维护 宝典 V10