S8016配置及维护宝典V10.docx

1、S8016配置及维护宝典V10S8016配置及维护宝典V1.0本文档涵盖了S8016产品的常见问题，问题大类包括：硬件系统、链路层部分、路由应用及VPN、NAT应用以及其他（QOS 等）。本文档主要是常见问题的FAQ，设备操作及基本命令类介绍较少，相关的资料可以参考对应产品的操作手册 可以到下载. 更新说明更新时间更新说明2007/03/30 初稿 目 录硬件系统 42、如何正确的开关直流电源的S8016交换机？ 43、S8016的单板配置情况如何？ 45、FAQ-S8016支持的单板及其规格 VRP3.10 54,FAQ-S8016支持的单板及其规格 65、S8016路由器支持什么业务子卡？

2、 86、S8016哪些版本支持netstream板？ 87、在S8016上拔出LPU单板前如何关闭SFC板和LPU单板之间的DASL端口(VRP3.10-5338SP01) 8链路层应用 81、S8016的VLAN创建三层接口的情况下该VLAN是否可以透传VRRP报文 82、S8016 以太网接口下的tag-tos enable命令作用是什么 93、如何定位S8016受ARP攻击及基本的处理方法 94、S8016的接口从地址能否接收组播数据 105、S8016的PIM-SM是否支持在VRP3.10-53XX版本静态的RP配置 106、在S8016上如何实现两个VLAN之间的单向访问 107、如

3、何配置S8016的观测端口同时该端口可以接入PC上网 128、S8016如何限制某个MAC接入 129、如何正确理解S8016上实现的ip与mac的绑定 1310、为何在S8016三层接口下输入STP DISABLE命令导致全局STP关闭 1312、为何局域网计算机经过S8016交换机后找不到邻居问题 1413、S8016加入链路聚合端口的三层vlan接口是否支持绑定VPN实例, VRP3.10-53XX版本 1414、物理端口不能加入Eth-Trunk的几个原因 1415、tracert操作返回!信息是什么含义 14路由及VPN 161、S8016 中命令arp vlan-binding m

4、atch有什么功能(S8016的版本为VRP 3.10-2226) 162、NE40NE80S8016产品是否支持mpls vpn内的弱策略路由 163、S8016的OSPF邻居Down后会不会有日志记录 164、为何S8016上面存在LSA刷新的告警 165、为什么S8016不选cost值小的链路 176、S8016如何向ebgp邻居发布缺省路由 179、NE80和S8016处理mpls报文时有何区别 1810、S8016（53xx版本）聚合端口是否可以启用ldp 1811、S8016哪些版本支持VPLS的本地VC交换 1912、NE40 NE80 S8016路由协议及缺省时的路由优先级如何

5、？ 19其他 191、S8016内容交换网板有哪些版本支持 192、S8016NAT扩容是否可以增加NAT-LIST数量 193、S8016如何使level1的用户能使用某些特定的操作命令？ 204、S8016 FIBMISS告警含义是什么？ 205、S8016如何配置禁止用户ssh登录 216、S8016端口镜像支持情况 217、S8016哪些版本支持NTP功能 218、S8016端口限速时几个流控参数之间的关系 219、S8016是否支持POS端口捆绑 2210、S8016的VRP3.10-5338SP01如何查看LPU单板NP版本号 2211、S8016漏桶清空丢弃包计数的方法 2312

6、、端口存在冗余配置导致S8016无法指定该端口为观测端口 2313、如何查看S8016 arp表项是否成功下发至硬件 2314、NE80NE40S8016产品主控板cpu各个主要进程代表什么意思 2415、S8016能否直接使用上行接口地址作为NAT地址池地址 2516、S8016设备的VRRP倒换时间最小为多少 2517、S8016如何进行流量整形 26硬件系统2、如何正确的开关直流电源的S8016交换机？由于直流供电对于上电顺序有严格要求，请务必遵照开关顺序进行操作，如操作不当，可能损坏设备，直流配电框中SW1为母板插框的电源开关，SW2为风扇框的电源开关，其余两路未使用。正确的开机步骤为

7、：1、先将风扇框的电源开关SW2置成“ON”位置。2、待风扇框运行起来后，再将母板插框的电源开关SW1置成“ON”位置。正确的关机步骤为：1、先将母板插框的电源开关SW1开关置成“OFF”位置。2、再将风扇框的电源开关SW2开关置成“OFF”位置。另外，交流配电框上电时只需向上拨两路空气开关，没有其它的要求3、S8016的单板配置情况如何？ 单板配置如下:两块互为备份的主控板(MPU，Main Processing Unit),占用母板插框最左侧的两个槽位,(占用槽位号17、18);两块互为备份的网板(SFC，Swith Fabric Card),占用中间两个槽位,(占用槽位号19、20);两

8、块时钟板(CLK，Clock),CLK板扣在SFC板上面(占用槽位号21、22);交流电源(PWR，占用槽位号23),直流配电框(DPR，占用槽位号24),风扇(FAN，占用槽位号25和26);其余的16个槽位上为自由选配的单板,可以插接口线路板、NAT板.5、FAQ-S8016支持的单板及其规格 VRP3.10 1, EGFE 16端口百兆以太网电接口线路板，提供RJ-45电接口2, EWFE 32端口百兆以太网电接口线路板，提供RJ-45电接口3, EGFS 16端口百兆以太网光接口线路板（单模 15km），提供MT-RJ 1310nm单模光接口4, EGFM 16端口百兆以太网光接口线路

9、板（多模 2km），提供MT-RJ 1310nm多模光接口5, E4GS 4端口千兆以太网光接口线路板（单模 10km），提供MT-RJ 1310nm单模光接口6, E4GQ 4端口千兆以太网光接口线路板（单模 40km），提供LC 1550nm单模光接口7, E4GV 4端口千兆以太网光接口线路板（单模 70km），提供LC 1550nm单模光接口8, E4GP 4端口千兆以太网光接口线路板（多模 500m），提供MT-RJ 850nm多模光接口9, E4GC 4端口千兆以太网GBIC光接口线路板10, E4GE 4端口千兆以太网电接口线路板，提供RJ-45电接口11, P4CS 4端口OC

10、-3c/STM-1 POS单模光接口线路板（单模15km），提供MTRJ 1300nm单模光接口12, P4CM 4端口OC-3c/STM-1 POS多模光接口线路板（多模2km），提供MTRJ 1300nm多模光接口13, P8CS 8端口OC-3c/STM-1 POS单模光接口线路板（单模15km），提供MTRJ 1300nm单模光接口14, P8CM 8端口OC-3c/STM-1 POS多模光接口线路板（多模2km），提供MTRJ 1300nm多模光接口15, P2HM 2端口OC-12c/622M POS光接口线路板（多模500m），提供SC 1300nm 多模光接口16, P2HS

11、2端口OC-12c/622M POS光接口线路板（单模15km），提供SC 1300nm 单模光接口17, P1UZ 1端口OC-48c/STM-16 POS光接口线路板（单模2km），提供LC 1300nm单模光接口18, P1US 1端口OC-48c/STM-16 POS光接口线路板（单模15km），提供LC 1300nm单模光接口19, A8CS 8端口155M ATM单模光接口线路板（单模15km），提供MTRJ 1310nm单模光接口20, A8CM 8端口155M ATM多模光接口线路板（多模2km），提供MTRJ 1310nm多模光接口21, A2HF 2端口622M ATM单/

12、多模光接口线路板，提供SFP光模块可热插拔、LC型光接口。22, R1UZ 1端口2.5G RPR单模光接口线路板（单模2km），提供LC 1310nm单模光接口23, R1US 1端口2.5G RPR单模光接口线路板（单模15km），提供LC 1310nm单模光接口24, R1UQ 1端口2.5G RPR单模光接口线路板（单模40km），提供LC 1310nm单模光接口25, R1UV 1端口2.5G RPR单模光接口线路板（单模70km），提供LC 1550nm单模光接口4,FAQ-S8016支持的单板及其规格 主控板MPU:ETH0以太网接口（10M/100MBase-TX自适应） RJ

13、45 用于连接系统网管工作站。自带LINK和ACT指示灯。CONSOLE接口 RJ45 用于连接控制台，实现对系统的现场配置功能。AUX接口 RJ45 用于连接Modem，通过拨号实现远程维护。单板功耗: 50W RS01EGFEE 16端口10/100M自适应以太网电接口线路板 单板功耗: 50WRS01EWFEE 32端口10/100M自适应以太网电接口线路板 单板功耗: 50WRS01EGFF 16端口100M以太网光接口线路板（SFP光模块） 单板功耗: 40WRS01E4GC 4端口1000M以太网光接口线路板（GBIC模块） 单板功耗: 39WRS01P4CFF 4端口OC-3c/

14、STM-1 POS光接口线路板（SFP光模块） 单板功耗: 50WRS01P8CFF 8端口OC-3c/STM-1 POS光接口线路板（SFP光模块） 单板功耗: 50WRS01P2HS/ RS01P2HM 2端口OC-12c/STM-4c POS光接口线路板（SFP光模块） 单板功耗: 40W RS01P1UZ/RS01P1US/RS01P1UL/RS01P1UV 1端口OC-48c/STM-16c POS光接口线路板（SFP光模块）单板功耗: 40WRS01R1UZ/ RS01R1US/ RS01R1UL/ RS01R1UV 1端口OC-48/STM-16 RPR光接口线路板 单板功耗:

15、44W CR01A4CFF 4端口OC-3/STM-1 ATM光接口线路板（SFP光模块） 单板功耗: 40WCR01A8CFF 8端口OC-3/STM-1 ATM光接口线路板（SFP光模块） 单板功耗: 40WCR01A2HFF 2端口OC-12/STM-4 ATM光接口线路板（SFP光模块） 单板功耗: 40WSPUA：与NAT子卡配合提供NAT业务，与NAT-PT子卡配合提供NAT-PT业务。SPUB：与NetStream子卡配合提供NetStream业务，与L2TP子卡配合提供L2TP业务。SPUC：与GRE子卡配合提供GRE/组播VPN业务，与NetStream子卡配合提供NetSt

16、ream业务。5、S8016路由器支持什么业务子卡？NAT子卡NAT-PT子卡NetStream子卡L2TP子卡GRE子卡6、S8016哪些版本支持netstream板？S8016的53XX 、22XX版本不支持此单板，只有23XX版本支持此单板，如果使用此单板建议升级到版本2351SP027、在S8016上拔出LPU单板前如何关闭SFC板和LPU单板之间的DASL端口(VRP3.10-5338SP01)在用户视图，配置如下：shut slot slot-id | all ，该命令可以关闭主用SFC板的某个或者全部DASL端口，避免在该版本下直接插拔单板造成整机复位。8、S8016哪些单板可以

17、支持自适应网线类型S8016的LPUB类型16FE单板（RS-EGFE） GE（RS-E4GE）无法支持自适应网线类型。EW开头的新LPUF类型单板可以支持自适应网线类型链路层应用1、S8016的VLAN创建三层接口的情况下该VLAN是否可以透传VRRP报文S8016的VLAN创建三层接口的情况下该VLAN是否可以透传VRRP报文？NE40/S8016的VRP3.10-23XX版本S8016的VLAN创建三层接口的情况下该VLAN不能透传VRRP报文，此时可以在VLAN视图下配置“vrrp broadcast enable”命令来透传VRRP的报文。相关配置：S8016vlan 100S801

18、6-vlan100vrrp broadcast enable2、S8016 以太网接口下的tag-tos enable命令作用是什么1、在S8016的以太网接口下配置此命令可以使能接口的802.1P优先级支持。2、802.1q是在VLAN TAG的16bit中的后12个bit表示的内容，表示VLAN ID号，范围是0-4095。3、802.1p表示是否支持在TAG中带优先级，是在 VLAN TAG的16bit中的前4个bit中的后3个bit， 共有0-7共8个优先级，级别7最高。4、一般情况下，此命令不需要进行配置。3、如何定位S8016受ARP攻击及基本的处理方法S8016在运营商网络中一般

19、处于汇聚层，下面带有大量的用户，较容易受到ARP攻击。ARP攻击的方法为：攻击者向网关发送大量的ARP请求或者ARP应答报文，引起设备CPU负载加重，影响正常业务的稳定运行S8016在受到ARP攻击时，表现的现象一般有以下几点： 1、接口板CPU高，甚至达到100%。2、接口板的ARP表项学满，规格：4K。3、22号和3号漏桶有大量丢弃计数。4、用户无法ping通网关或者丢包。5、上层协议断链，例如：OSPF、BGP、VRRP等。攻击的严重程度不同，表现的现象可能仅有上述现象中的某几个问题的定位可以通过如下几个命令： 1、检查CPU占用率检查接口板和主控板CPU占用率，看是否超出正常的范围。命

20、令为：display cpu, display device $SlotNO, display performance $SlotNO。 2、查看接口板的丢弃漏桶计数检查接口板的漏桶丢弃计数，判断是几号漏桶也就是何种协议存在大量的丢弃计数。由此可以确定是何种攻击命令为：display system-bucket $SlotNO。 3、查看接口板的ARP表项信息，及统计信息，看是否由于ARP攻击导致接口板的ARP表项达到规格4K。命令为：display arp summary 处理过程：如果已经定位是ARP攻击，可以通过如下方法来解决问题：修改漏桶配置，将22号及3号漏桶根据实际情况调整为2K或

21、者4K。该数值需要根据实际的业务量大小做相应的限制。根据网上设备运行经验：如果单板ARP数小于100个，则漏桶可以配置为2K；如果单板的ARP数小于500个，对于ARP攻击建议将漏桶配置成4K；如果大于500个，建议漏桶配置值为8K。命令为： apply system-bucket 1（槽位号） 2（漏桶号） traffic-rate 2 （限速的数值）。4、S8016的接口从地址能否接收组播数据S8016的接口从地址不能接收任何组播数据。5、S8016的PIM-SM是否支持在VRP3.10-53XX版本静态的RP配置S8016的VRP3.10-53XX版本，PIM-SM不支持静态RP配置。S

22、8016的VRP3.10-53XX版本使用PIM-SM协议时请避免使用静态RP，如必须支持静态RP，请将软件版本升级到VRP 3.10-22XX或VRP 3.10-23XX，此版本即可支持。6、在S8016上如何实现两个VLAN之间的单向访问S8016的版本为：VRP3.10-5336处理过程：假设S8016上有两个VLAN：VLAN 2和VLAN 3。要求：VLAN 2下的用户可以访问VLAN 3下的用户，而VLAN 3下的用户不能访问VLAN 2下的用户。具体的配置过程如下：1、首先定义两个VLAN：Quidwayvlan 2Quidway-vlan2port Ethernet 15/0/

23、2Quidway-vlan2interface vlan 2Quidway-Vlanif2ip address 192.168.1.1 255.255.255.0Quidway-Vlanif2vlan 3Quidway-vlan2port Ethernet 15/0/3Quidway-vlan3interface vlan 3Quidway-Vlanif3ip address 192.168.2.1 255.255.255.0 2、定义一个流规则：# 定义规则Ping请求报文。Quidway rule-map intervlan p1 icmp 192.168.2.0 0.0.0.255 19

24、2.168.1.0 0.0.0.255 echo# 定义规则限制TCP连接发起方。Quidway rule-map intervlan t1 tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established3、将规则映射描述的一个流加入一个ACL列表，并且配置访问禁止# 过滤Ping请求报文。Quidway eacl dantong p1 deny# 过滤TCP发起方报文。Quidway eacl dantong t1 deny4、将ACL应用到VLAN3所有端口上。Quidway access-group eacl dantong vla

25、n 3 port all5、做完以上配置，能够实现TCP和ICMP报文从VLAN 2到VLAN 3方向的单通。注意：由于UDP报文为无连接方式，无法得知发起连接方，所以无法配置对于UDP报文的单通7、如何配置S8016的观测端口同时该端口可以接入PC上网现象描述：S8016的版本为5339SP01，客户的需求是在作为观测用的端口下，同时可以接入PC上网，即：E5/1/2为镜像端口，E5/1/8为观测端口，需要实现在E5/1/8下可以观测E5/1/2的流量的同时可以上网处理过程：1、首先进行如下配置，一定要在作为观测端口的E5/1/8后配置input-dataflow port monitor

26、Ethernet5/1/8 input-ataflow port mirroring Ethernet5/1/2 both Ethernet5/1/8 2、在E5/1/8下配置所属的业务VLAN interface ethernet5/1/8 negotiation auto undo shutdown port default vlan 421 3、用户进行正常的配置后，可以正常的既可以观测端口E5/1/2也可以上网，在设备的ARP表中可以看到：disp arp int e 5/1/8 VLAN IPAddress MAC_address Type Interface 421 222.139

27、.250.80 00e0-4cb8-adde Dynamic Ethernet5/1/88、S8016如何限制某个MAC接入需要限制Ethernet1/0/0端口下的MAC地址为1111-1111-1111的PC，可以通过如下配置实现：（该配置适合VRP3.10 Release 5版本）8016link-group g1 blacklist enable 8016Ethernet1/0/0link-group g1 mac 1111-1111-11118016rule-map intravlan r1 ingress-link g18016eacl e1 r1 deny8016access-g

28、roup eacl e1 port ethernet 1/0/0 vlan 10 9、如何正确理解S8016上实现的ip与mac的绑定S8016上实现的ip与mac的绑定的实现原理是通过静态arp实现的，实现的功能是将ip与mac的对应关系进行绑定。这样的绑定之后，特定的ip和mac的主机只有匹配才能上网。这种实现方式也限制了盗用ip地址的非法用户，且在物理层次上限定了主机可以与外界通信的端口。需要强调的是这种绑定由于没有限制arp的动态学习，因此在S8016上没有作配置的ip主机不会受这种绑定策略的影响可以正常上网10、为何在S8016三层接口下输入STP DISABLE命令导致全局STP关

29、闭S8016的生成树协议，可以针对全局、或某个物理端口来打开或关闭，但不能针对某个VLAN三层接口来打开、关闭。在VLAN三层接口模式下，输入?查询，也是没有STP DISABLE命令的。但如果在VLAN三层接口模式下输入此命令并回车，则系统会认为是在上一个模式（即全局模式下）执行此命令，导致整机的STP被关闭。S8016对于一些当前模式没有的命令，会回到上一模式继续执行此命令，若上一模式有此命令则会执行成功。例如，PING、STP DISABLE等命令都是这样实现的。在VLAN三层接口模式下输入了STP DISABLE命令后，导致全局的STP都被关闭，一些环路没有检测出来导致业务受阻。在全局

30、模式下输入STP ENABLE后，生成树协议开始工作，在形成环路的端口DISCARDING后，业务恢复。13、S8016加入链路聚合端口的三层vlan接口是否支持绑定VPN实例, VRP3.10-53XX版本该版本不支持。在软件配置时，该三层vlan接口虽然能成功绑定vpn实例，但相关vpn特性将不能正常工作。14、物理端口不能加入Eth-Trunk的几个原因VRP3.10-2xxx版本1、不支持混插：GE口不能加入已经包含FE口的Eth-Trunk；反之FE不能加入已经包含GE的Eth-Trunk。2、该物理口非裸配置。3、Eth-Trunk成员数目已达到16个。4、该物理口状态不是UP。5

31、、不支持跨板捆绑。6、非法的MAC地址如MAC地址为0xFFFFFFFFFFFF。15、tracert操作返回!信息是什么含义现象描述：trace返回如下信息，“ !”是什么含义？ tracert -a 10.200.113.202 10.97.64.129 traceroute to 10.97.64.129(10.97.64.129) 30 hops max,40 bytes packet 1 10.97.92.9 3 ms 34 ms 2 ms 2 10.97.92.9 4 ms ! 3 ms ! 3 ms ! 原因分析：执行Tracert的同时，在NE40上打开debug ip icmp 信息处理得到如下结果：tracert -a 10.200.113.20