H3C-配置案例大全-(內(nèi)部分享)

..光纖鏈路排錯經(jīng)驗一、

組網(wǎng)：

用戶采用4臺S5500作為接入交換機(jī)、1臺S5500作為核心交換機(jī)組網(wǎng),4臺接入交換機(jī)分別在三個倉庫以及門衛(wèi)處與核心機(jī)房都是通過2根八芯單模光纖走地井連接,在這5個機(jī)房再通過跳纖來連接到交換上。用戶要求實現(xiàn)內(nèi)網(wǎng)的用戶主機(jī)訪問公共服務(wù)器資源,并實現(xiàn)全網(wǎng)互通。組網(wǎng)如下圖所示：二、

問題描述：

PC現(xiàn)無法訪問server服務(wù)器,進(jìn)一步發(fā)現(xiàn)S5500光纖端口燈不亮,端口信息顯示down狀態(tài)。在核心交換機(jī)端通過自環(huán)測試發(fā)現(xiàn)該端口以及光模塊正常,接入交換機(jī)端也同樣測試發(fā)現(xiàn)正常。監(jiān)控網(wǎng)絡(luò)正常使用,再將網(wǎng)絡(luò)接口轉(zhuǎn)接到監(jiān)控主干鏈路上,發(fā)現(xiàn)網(wǎng)絡(luò)同樣無法正常使用。三、

過程分析：

想要恢復(fù)鏈路,首先要排查出故障點,根據(jù)故障點情況結(jié)合實際恢復(fù)鏈路通暢。在這里主要分析光纖通路,光信號從接入交換機(jī)光口出來通過跳線,轉(zhuǎn)接到主干光纖,然后再通過核心跳線轉(zhuǎn)接到核心交換上。由于該鏈路不通,首先要排除兩端接口以及光模塊問題,這里使用自環(huán)檢測<如果是超遠(yuǎn)距離傳輸光纖線纜需要接光衰然后在自環(huán),防止燒壞光模塊>。當(dāng)檢測完成發(fā)現(xiàn)無問題,再測試接入端的光纖跳纖：如果是多模光纖可以將一端接到多模光纖模塊的tx口,檢測對端是否有光；單模光纖如果沒有光功率計可以使用光電筆檢測<該方法只能檢測出中間無斷路,并不能檢測出線路光衰較大的情況>。最后再檢測主線路部分,檢測方式同跳線一樣。光路走向流程如圖所示：四、

解決方法：

從上述的分析可以看出,只要保證了光信號一出一收兩條路徑都能正常就可以解決用戶無法訪問服務(wù)器的問題。為了保證光路正常通路,最好的解決方法就是,通過使用光功率計來檢測對端發(fā)射光在本端的光功率是否在光口可接受范圍內(nèi)。由于用戶組網(wǎng)使用了一些監(jiān)控設(shè)備來接入該主干光纜,并且該光路現(xiàn)正常使用,通過將網(wǎng)絡(luò)光纖轉(zhuǎn)接到該監(jiān)控主干光纜,發(fā)現(xiàn)網(wǎng)絡(luò)光路仍然不通；并且兩端端口自環(huán)檢測正常。由此可以判斷出主要問題在兩端的跳纖上。如圖所示：

在沒有光功率計并且客戶業(yè)務(wù)又比較著急恢復(fù)的情況,可以先將兩端的接入跳纖更換。有光功率計時就可以直接檢測跳纖的光衰是否正常。

五、

說明及注意事項：1、光纖的連接需要注意以下幾點：<1>光纖接口有沒有插緊完全對接上；<2>光纖接口端面是否受灰塵等污染；<3>光纖中間是否存在物理損壞,部分損傷或者斷開；<4>光纖彎曲是否半徑小于8cm；<5>其他相關(guān)問題。2、該案例適用于光纖網(wǎng)絡(luò)基本排錯。某大學(xué)城防病毒案例

問題描述：某大規(guī)模教育園區(qū)網(wǎng)絡(luò)中,采用兩臺萬兆交換機(jī)FORCE10作為網(wǎng)絡(luò)核心,三個分校區(qū)各采用兩臺FORCE10作為校區(qū)核心,而采用我司的S6506共22臺做為三級匯聚層交換機(jī),并接入800多臺接入交換機(jī)S3026E,接園區(qū)一萬多個信息點,承載整個校園INTERNET業(yè)務(wù)。

設(shè)備拓?fù)鋱D如下：

發(fā)生問題時,客戶反饋S6506

出現(xiàn)

VLAN內(nèi)不停的有ARP掃描〔就是6506的VLANINTERFACE不停的發(fā)本VLAN內(nèi)每個IP地址的ARPREQUEST解析報文,網(wǎng)絡(luò)速度很慢。

現(xiàn)場抓包記錄如下：在接入層交換機(jī)S3026E上的電腦上網(wǎng)發(fā)現(xiàn)網(wǎng)絡(luò)速度緩慢,且S3026的cpu占用率也較高

處理過程：通過使用抓包軟件分析發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)有大量的ARP解析報文,從而導(dǎo)致網(wǎng)絡(luò)速度緩慢,懷疑可能是網(wǎng)內(nèi)有多臺電腦感染病毒造成。

解決方案：在上網(wǎng)PC機(jī)上安裝天等防火墻個人版,通過看防火墻的攻擊日志可以得知攻擊是從和4

這兩臺電腦來的,〔由于是下班時間,可能網(wǎng)內(nèi)還有其它電腦也感染。所以在S6506上做:aclnumber110rule35denytcpdestination-porteq135rule36denyudpdestination-porteq135rule49denytcpdestination-porteq445rule50denyudpdestination-porteq445intg1/0/1qospacket-filterinboundip-group110not-carefo以阻止病毒攻擊。

由于是下班時間,所以無法得知這兩臺電腦的更詳細(xì)的信息。如果沒有防火墻個人版或者沒有明確的病毒信息,可以添加如下列表測試：rule30denytcpdestination-porteq3127

rule31denytcp

destination-porteq1025

rule32denytcpdestination-porteq5554

rule33denytcpdestination-porteq9996

rule34denytcpdestination-porteq1068

rule35denytcpdestination-porteq135

rule36denyudpdestination-porteq135

rule37denytcpdestination-porteq137

rule38denyudpdestination-porteqnetbios-ns

rule39denytcpdestination-porteq138

rule40denyudpdestination-porteqnetbios-dgm

rule41denytcpdestination-porteq139

rule42denyudpdestination-porteqnetbios-ssn

rule43denytcpdestination-porteq593

rule44denytcpdestination-porteq4444

rule45denytcpdestination-porteq5800

rule46denytcpdestination-porteq5900

rule48denytcpdestination-porteq8998

rule49denytcpdestination-porteq445

rule50denyudpdestination-porteq445

rule51denyudpdestination-porteq1434

結(jié)論：對染毒電腦進(jìn)行殺毒并對所有電腦加裝微軟的漏洞補丁,并安裝防病毒軟件,已徹底清除病毒對網(wǎng)絡(luò)的影響。MSR系列路由器QoSCBQ〔基于類的隊列基本功能的配置

關(guān)鍵字：MSR;QoS;CBQ;基于類的隊列;MQC;WRED

一、組網(wǎng)需求：MSR路由器是互聯(lián)網(wǎng)出口,下掛2個網(wǎng)段,對10網(wǎng)段訪問Internet作AF隊列8k保證,對于所有RTP流則給與EF隊列32k保證設(shè)備清單：MSR系列路由器1臺二、組網(wǎng)圖：三、配置步驟：適用設(shè)備和版本：MSR系列、Version5.20,Beta1202后所有版本。MSR配置#//定義流量類型acl2000trafficclassifieracl2000operatorand

//匹配ACL2000

if-matchacl2000//定義流量類型rtptrafficclassifierrtpoperatorand

//匹配協(xié)議類型為RTP

if-matchprotocolrtp#//定義流量行為ef32ktrafficbehavioref32k

//隊列保證ef32k帶寬

queueefbandwidth32cbs1500//定義流量行為af8ktrafficbehavioraf8k

//隊列保證af8k帶寬

queueafbandwidth8

//使能該隊列的wred

wred#//定義QoS策略s3/0cbqqospolicys3/0cbq

//蔣流量類型acl2000和流量行為af8k綁定

classifieracl2000behavioraf8k

//蔣流量類型rtp和流量行為ef32k綁定

classifierrtpbehavioref32k#//定義ACL2000aclnumber2000

//匹配源地址為的流##//出外網(wǎng)接口interfaceSerial3/0

link-protocolppp

//設(shè)置接口的QoS最大帶寬為64k

qosmax-bandwidth64

//在接口的出方向應(yīng)用QoS策略s3/0cbq

qosapplypolicys3/0cbqoutbound#//連結(jié)10網(wǎng)段的接口interfaceEthernet0/0

portlink-moderoute#//連結(jié)20網(wǎng)段的接口interfaceEthernet0/1

portlink-moderoute#四、配置關(guān)鍵點：1>CBQ的配置其實是MQC配置,需要配置流量類型、流量行為和QoS策略;2>

注意流量類型和流量行為的對應(yīng)關(guān)系;3>

在同一個QoS策略中,所有流量行為的隊列帶寬統(tǒng)一使用固定值或百分比。MSR系列路由器教育網(wǎng)雙出口NAT服務(wù)器的典型配置

一、組網(wǎng)需求：MSR的G0/0連接某學(xué)校內(nèi)網(wǎng),G5/0連接電信出口,G5/1連接教育網(wǎng)出口,路由配置：訪問教育網(wǎng)地址通過G5/1出去,其余通過默認(rèn)路由通過G5/0出去。電信網(wǎng)絡(luò)訪問教育網(wǎng)地址都是通過電信和教育網(wǎng)的專用連接互通的,因此電信主機(jī)訪問該校都是從G5/1進(jìn)來,如果以教育網(wǎng)源地址〔/24從G5/0訪問電信網(wǎng)絡(luò),會被電信過濾。該校內(nèi)網(wǎng)服務(wù)器5需要對外提供訪問,其域名是,對應(yīng)DNS解析結(jié)果是。先要求電信主機(jī)和校園網(wǎng)內(nèi)部主機(jī)都可以通過域名或正常訪問,且要求校園網(wǎng)內(nèi)部可以通過NAT任意訪問電信網(wǎng)絡(luò)或教育網(wǎng)絡(luò)。設(shè)備清單：MSR一臺二、組網(wǎng)圖：三、配置步驟：適用設(shè)備和版本：MSR系列、Version5.20,Release1205P01后所有版本。MSR關(guān)鍵配置<路由部分配置略>#

//地址池0用于訪問電信的NAT

//地址池1用于訪問教育網(wǎng)的NAT

//靜態(tài)NAT用于外部訪問內(nèi)部服務(wù)器#//ACL2000用于內(nèi)網(wǎng)訪問教育網(wǎng)和電信的NAT,允許的源aclnumber2000

description"NAT"http://ACL2222用于策略路由的允許節(jié)點,即內(nèi)部服務(wù)器往外發(fā)的從G5/1出去aclnumber2222

description"policy-based-routepermitnode"

rule0permitsource50#//用于內(nèi)部主機(jī)訪問的NAT映射aclnumber3000

description"/24access"

rule0permitipsource55destination50//ACL3333用于策略路由拒絕節(jié)點,即內(nèi)部服務(wù)器返回內(nèi)部主機(jī)的不需要被策略aclnumber3333

description"policy-based-routedenynode"

#interfaceGigabitEthernet0/0

portlink-moderoute

//內(nèi)部主機(jī)訪問時,將替換成

natoutboundstatic

//內(nèi)部主機(jī)訪問時,將內(nèi)部主機(jī)地址轉(zhuǎn)換成

natoutbound3000

descriptiontoneibu-Lan

//策略路由,內(nèi)部服務(wù)器返回內(nèi)部的不被策略,返回外部的從G5/1出去

ippolicy-based-routeaaa#interfaceGigabitEthernet5/0

portlink-moderoute

//內(nèi)部訪問電信時需要NAT

natoutbound2000address-group0

descriptionconnecttoChinaNet

tcpmss1420#interfaceGigabitEthernet5/1

portlink-moderoute

//外部訪問內(nèi)部服務(wù)器時靜態(tài)轉(zhuǎn)換成

natoutboundstatic

//內(nèi)部訪問教育網(wǎng)時需要NAT

natoutbound2000address-group1

descriptionconnecttoCernet

tcpmss1420#//策略路由aaa拒絕節(jié)點序號3policy-based-routeaaadenynode3

//匹配條件ACL3333,即內(nèi)部服務(wù)器返回內(nèi)部的流量不需要被策略

if-matchacl3333//策略路由aaa允許節(jié)點5policy-based-routeaaapermitnode5

//匹配ACL2222,即內(nèi)部服務(wù)器發(fā)出的流量

if-matchacl2222

//應(yīng)用下一跳,即從G5/1出去#

四、配置關(guān)鍵點：1>

此案例所實現(xiàn)之功能只在MSR上驗證過,不同設(shè)備由于內(nèi)部處理機(jī)制差異不能保證能夠?qū)崿F(xiàn)；2>

策略路由是保證內(nèi)部服務(wù)器返回外網(wǎng)的流量從G5/1出去,如果不使用策略路由會按照普通路由轉(zhuǎn)發(fā)從G5/0出去,這樣轉(zhuǎn)換后的源地址會被電信給過濾掉,因此必須使用策略路由從G5/1出去；3>

策略路由的拒絕節(jié)點的作用是只要匹配ACL就變成普通路由轉(zhuǎn)發(fā),而不被策略；4>

在G0/0應(yīng)用2個NAT的作用是使內(nèi)網(wǎng)可以通過訪問訪問內(nèi)部服務(wù)器,如果只使用NATOutboundStatic,那么內(nèi)部主機(jī)發(fā)送請求的源、目的地址對<99,>會變成<99,5>然后發(fā)送給內(nèi)部服務(wù)器,那么內(nèi)部服務(wù)器會把響應(yīng)以源、目的地址對<5,99>直接返回給內(nèi)部主機(jī)〔可以經(jīng)過內(nèi)部路由不需要經(jīng)過MSR到達(dá)因此對于內(nèi)部主機(jī)來說始終沒有接收到返回的響應(yīng),因此打開網(wǎng)頁失敗。解決問題的辦法就是讓內(nèi)部服務(wù)器返回時經(jīng)過MSR路由器,讓MSR把響應(yīng)<5,99>變成<,99>,方法就是再做一次NAT,通過NATOutboundACL3000使請求變成MSR發(fā)送的<,5>,這樣響應(yīng)就會變成<5,>發(fā)送到MSR,MSR再變成<,99>返回給內(nèi)部主機(jī)。H3C低端交換機(jī)EAD快速部署特性的典型配置

一、

組網(wǎng)需求：我司支持EAD快速部署的交換機(jī)設(shè)備一臺一臺web服務(wù)器,多臺PC客戶端二、

組網(wǎng)圖：三、

配置步驟：1.

配置全局dot1x

[h3c]dot1x2.

配置重定向URL3.

配置free-ip

[h3c]dot1xfree-ip0244.

配置端口dot1x

[h3c]interfaceg1/0/1

[h3c-GigabitEthernet1/0/1]dot1x5.

配置支持EAD快速部署ACL定時器超時時間,單位為分鐘

[h3c]dot1xtimeracl-timeout100四、

配置關(guān)鍵點：1．必須先配置重定向URL,再配置free-ip,URL只能配置一條,且必須以://開頭.2．Free-ip最多配置兩個不同網(wǎng)段,配置free-ip時,不能使能堆疊,也不能使能802.1x特性的dhcp-launch.3．使用域名進(jìn)行重定向時會出現(xiàn)失敗的情況,這與PC操作系統(tǒng)有關(guān),如果域名解析不成功會訪問某個特定的網(wǎng)站,通常這個地址不是x.x.x.x形式的,這樣PC發(fā)出的ARP請求就不會收到回應(yīng),也就不能進(jìn)行重定向.4．使用域名重定向時需要將DNS服務(wù)器加入為Free-IP,即能夠通過DNS解析出域名,否則無法成功重定向.5．DHCPServer包含在Free-IP中時,客戶端可以動態(tài)獲取到IP地址.6．目前支持EAD快速部署功能的交換機(jī)版本如下:<1>

H3C5600

CMW310-F1600L01以后版本<2>

H3C5100EI

CMW310-E2200以后版本<3>

H3C3600-SI_E328_E352CMW310-F1600L01以后版本<4>

H3C3600-EI

CMW310-F1600L01以后版本<5>

H3CS3100EI_E126ACMW310-R2104以后版本<6>

H3C3100-52P_E152CMW310-F1600L01以后版本

S7506E與S6503通過專線互聯(lián)丟包故障排除過程分析一、

組網(wǎng)：

S7506E與S6503分別作為兩個園區(qū)網(wǎng)的核心,中間通過運營商專線三層互聯(lián)。為解決問題,臨時接入到核心上兩臺pc,地址分別為1和,三層互通,用于測試,定位問題。

二、

問題描述：

客戶反映兩個園區(qū)互訪丟包嚴(yán)重,尢其是監(jiān)控業(yè)務(wù),出現(xiàn)明顯卡頓。兩臺設(shè)備上的測試PC互ping,經(jīng)過聯(lián)通線路會有7%以上的丟包率。三、

過程分析：1、檢查是否配置問題？檢查配置,發(fā)現(xiàn)兩臺設(shè)備之間既有靜態(tài)路由又起了RIP協(xié)議,兩端設(shè)備上網(wǎng)段并不多,沒必要用RIP。跟客戶說明情況后,優(yōu)化修改配置,把RIP去掉,只用靜態(tài)路由,其他配置沒問題。2、鏈路上流量是否擁擠？客戶告知中間鏈路帶寬為100Mbps,專線互聯(lián)端口為100Mbps。在接口上發(fā)現(xiàn)數(shù)據(jù)速率在20Mbps以內(nèi),并且接口上沒有錯誤包,廣播報文也不多,據(jù)此臨時判斷非帶寬問題。3、確定數(shù)據(jù)包丟棄位置1在7506E交換機(jī)上做QOS策略,應(yīng)用在與6503互聯(lián)接口的入和出方向上。具體操作如下：//定義測試的數(shù)據(jù)流aclnumber3900

rule10permit

icmpsource0destination10

rule20permit

icmpsource10destination0

#//定義QOS策略trafficclassifiertjoperatorand

if-matchacl3900#trafficbehaviortj

accounting#qospolicytj

classifiertjbehaviortj#

//把策略應(yīng)用在互聯(lián)接口G2/0/2的入出方向上：

interfaceg2/0/2

qosapplypolicytjinbound

qosapplypolcytjoutbound

//顯示數(shù)據(jù)包統(tǒng)計結(jié)果,通過查看QOS,會顯示出入出方向的數(shù)據(jù)報文,

disqospolicyinterfaceg2/0/2

從發(fā)出4個icmprequest報文,但只返回3個,截圖如下：2>同時在6503交換機(jī)連接PC接口的入方向上做qos流量統(tǒng)計,用來統(tǒng)計返回的icmpreply報文。在6503上互聯(lián)接口上做qos流量統(tǒng)計//定義測試的數(shù)據(jù)流aclnumber3900rule10permit

icmpsource0destination10rule20permit

icmpsource10destination0

#interfaceg1/0/2//連PC1的接口,統(tǒng)計REPLY報文qostraffic-statistic

inboundip-group

3900interfaceg3/0/47//與7506E的互聯(lián)接口,統(tǒng)計由7506E發(fā)過來的REQUEST報文qostraffic-statistic

inboundip-group

3900//查看統(tǒng)計的命令,具體統(tǒng)計結(jié)果看下面截圖displayqos-interfaceg1/0/2traffic-statisticdisplayqos-interfaceg3/0/47traffic-statistic

從以上截圖中我們看到S6503交換機(jī)g1/0/2端口兩次報文統(tǒng)計數(shù)量差別為4,說明此次收到了從PC1返回的reply報文。在S6503交換機(jī)互聯(lián)端口上流量統(tǒng)計只能用在入方向,為了確定REPLY報文是否發(fā)出,在出方向上做端口鏡像,通過電腦抓包,看出方向的報文。抓包截圖如下：從上圖可以看出,S6503交換機(jī)從與S7506E交換機(jī)互聯(lián)端口G3/0/47已經(jīng)發(fā)出了4個reply報文。3>以上處理過程分析總結(jié)：A、此測試用ICMP報文測試,數(shù)據(jù)源為7506E端的,目的為6503端的1,Ping了4個報文,丟掉1個。B、S7506E發(fā)送了4個報文為REQUEST,數(shù)量正?！矃⒄涨懊娼貓D。C、連接目標(biāo)主機(jī)1的端口,接收了目標(biāo)主機(jī)發(fā)出的4個REPLY報文,數(shù)量正?！矃⒄涨懊娼貓DD、S6503與S7506E的互聯(lián)接口,通過出方向端口鏡像抓包,有4個REPLY報文,說明報文正常發(fā)出。E、7506E上入方向REPLY報文只收到3個,少收1個〔參照前面截圖。通過以上測試,分析報文的轉(zhuǎn)發(fā)過程,由此判斷出包丟在鏈路上了。為保證分析結(jié)果正確,進(jìn)行了多次測試,結(jié)果一致4>鏈路詳細(xì)測試拋開設(shè)備,鏈路兩端直連PC,ping字節(jié)為30000的報文,發(fā)現(xiàn)有少量丟包

用專IxChariot軟件測試鏈路帶寬發(fā)現(xiàn)不到10Mbps

結(jié)論：運營商提供的鏈路帶寬遠(yuǎn)遠(yuǎn)小于承諾的100Mbps,帶寬過窄,鏈路擁塞導(dǎo)致丟包。四、

解決方法：通過以上步聚分析,問題已經(jīng)定位清楚,包丟在運營商線路上。讓客戶聯(lián)系運營商排除線路,經(jīng)過運營商調(diào)整線路后,網(wǎng)絡(luò)正常,不再丟包。S5024P-EI+S1626

的酒店解決方案典型配置

一、

組網(wǎng)需求：出于網(wǎng)絡(luò)安全性考慮,某酒店需要使用監(jiān)控服務(wù)器對每間客房的上行流量進(jìn)行監(jiān)控,且酒店每間客房的客戶均可以通過出口路由器上網(wǎng),互不干擾。為滿足需求,提供以下組網(wǎng)方案：1、

H3CS5024P-EI交換機(jī)作為核心交換機(jī),H3CS1626作為接入交換機(jī)；2、

將交換機(jī)上與路由器相連的端口鏡像到與監(jiān)控服務(wù)器相連的端口；3、

在S1626上運用Isolate-user-vlan功能；4、

為避免下行流量產(chǎn)生廣播〔因交換機(jī)的MAC表中不存在上行VLAN所對應(yīng)的客戶的MAC地址,使用交換機(jī)的MAC地址同步功能。二、

組網(wǎng)圖：三、

配置步驟：S5024P-EI上的配置〔1單擊"設(shè)備管理→VLAN

設(shè)置→802.1QVLAN",進(jìn)入VLAN

設(shè)置頁面,單擊<新建>按鈕,創(chuàng)建所有客房所對應(yīng)的VLAN〔此處為：VLAN201、VLAN202、VLAN301、VLAN302及VLAN1000?！?單擊"設(shè)備管理→VLAN

設(shè)置→Hybrid

端口",進(jìn)入Hybrid

端口設(shè)置頁面,單擊<新建>按鈕,將端口1設(shè)置為Hybrid

端口,PVID

為1000,且出端口時報文不帶VLANTag。3單擊"設(shè)備管理→VLAN

設(shè)置→Trunk

端口",進(jìn)Trunk

端口設(shè)置頁面,單擊<新建>按鈕,將端口2-端口4設(shè)置為Trunk

端口,且允許所有的VLAN

通過?！?單擊"端口管理→端口設(shè)置→端口鏡像",進(jìn)入端口鏡像設(shè)置頁,設(shè)置端口2

為監(jiān)控端口,設(shè)置端口1為被鏡像端口〔監(jiān)控其入端口和出端口數(shù)據(jù)?！?單擊"設(shè)備管理→VLAN

設(shè)置→MAC

地址同步",進(jìn)入MAC

地址同步設(shè)置頁面；將下行VLAN〔VLAN201、202、301、302同步到上行VLAN〔VLAN1000；單擊"保存配置→保存配置",進(jìn)入相應(yīng)的設(shè)置頁面,單擊<保存…>按鈕完成設(shè)置。S1626上的配置〔1設(shè)置VLAN1000

為IsolateUserVLAN,〔2IsolateUserVLAN1000包含與交換機(jī)相連的上行端口和兩個SecondaryVLAN：VLAN201〔對應(yīng)201房間和VLAN202〔對應(yīng)202房間?！?設(shè)置SecondaryVLAN

的報文通過IsolateUserVLAN

的上行端口時帶VLANTag。

通過如上配置,可以實現(xiàn)酒店通過交換機(jī)的1端口監(jiān)控出入客房的總流量,使用MAC地址的同步功能避免了下行流量產(chǎn)生廣播,實現(xiàn)了酒店每間客房的客戶均可以通過出口路由器上網(wǎng),且互不干擾。四、

配置關(guān)鍵點：S5024P-EI的mac地址同步設(shè)置S1626的Isolate-user-vlan設(shè)置

S3600系列產(chǎn)品Qos流量監(jiān)管和端口限速的配置

一、組網(wǎng)需求：公司企業(yè)網(wǎng)通過以太網(wǎng)交換機(jī)的端口實現(xiàn)各部門之間的互連。財務(wù)部門的工資查詢服務(wù)器由Ethernet1/0/1端口接入〔IP地址。組網(wǎng)需求為限制工資服務(wù)器向外發(fā)送流量的平均速率不能超過640Kbps,超出規(guī)格的報文將報文優(yōu)先級為4。二、組網(wǎng)圖：三、配置步驟：S3628P-EI的配置：1．進(jìn)入3000號的高級訪問控制列表視圖。<Quidway>system-view[Quidway]aclnumber30002．定義3000號高級訪問控制列表的規(guī)則。[Quidway-acl-adv-3000]rule1permitipsourcedestinationany[Quidway-acl-adv-3000]quit3．對工資服務(wù)器對外發(fā)送的流量進(jìn)行流量限制限制工資服務(wù)器向外發(fā)送報文的平均速率為640kbps,對超出規(guī)格的報文設(shè)置優(yōu)先級為4。[Quidway]interfaceEthernet1/0/1[Quidway-Ethernet1/0/1]traffic-limitinboundip-group3000640exceedremark-dscp4四、配置關(guān)鍵點：該配置的關(guān)鍵就是對工資服務(wù)器對外發(fā)送的流量進(jìn)行流量限制,[Quidway-Ethernet1/0/1]traffic-limitinboundip-group3000640exceedremark-dscp4。H3CS9500交換機(jī)ARP表項的老化時間及防止老化機(jī)制

ARP表項的老化時間默認(rèn)20分鐘,命令arptimeraging可以修改ARP的老化時間。當(dāng)ARP老化到系統(tǒng)設(shè)置的老化時間的一半時,即默認(rèn)情況下在10分鐘時,會發(fā)送ARP請求,確定對端是否在線,若收到ARP應(yīng)答,則重新更新ARP的老化時間；否則,繼續(xù)老化,老化到0時,再次發(fā)送ARP請求,若沒有收到應(yīng)答,則老化該表項,在系統(tǒng)中刪除。在運行過程中,H3CS9500交換機(jī)收到ARP請求或者免費ARP報文后,會自動對該ARP的老化時間進(jìn)行更新。AIX系統(tǒng)下如何查看主機(jī)系統(tǒng)配置1.

查看CPU信息#lsattr-Elproc0frequency

1498500000

ProcessorSpeed

Falsesmt_enabled

true

ProcessorSMTenabledFalsesmt_threads

2

ProcessorSMTthreadsFalsestate

enable

Processorstate

Falsetype

PowerPC_POWER5

Processortype

False根據(jù)返回的信息可以看出,CPU的主頻是1.5G,超線程已經(jīng)打開,CPU的類型是POWER52.

查看CPU個數(shù)#lsdev-C|grepprocproc0

Available00-00

Processorproc2

Available00-02

ProcessorCPU有兩個proc0和proc23.#lsattr-Elmem0

查看內(nèi)存goodsize3744AmountofusablephysicalmemoryinMbytesFalsesize

3744TotalamountofphysicalmemoryinMbytes

False內(nèi)存是4G的,這里顯示為3744,是因為有一些損耗。S3600系列交換機(jī)ACL資源占用的使用說明針對S3600系列交換機(jī)而言,ACL占用的資源分為占用mask資源與占用rule資源兩種,mask資源即下發(fā)的rule中網(wǎng)段掩碼對應(yīng)的資源數(shù)量,rule資源即acl中總的rule條目數(shù)。不同設(shè)備對應(yīng)的可用的mask資源與rule資源數(shù)量不同,其中還包括系統(tǒng)占用的一些資源。只有當(dāng)mask剩余資源與rule剩余資源同時滿足的情況下,acl才能下發(fā)成功。對于acl的資源使用情況,可以使用命令displaydrvqacl_resource

來查看,以S3600-52P-EI為例,結(jié)果如下：<H3C>disdrvqacl_resource

block

used-maskused-rulespare-mask

spare-rule

0

4

19

12

237

1

4

19

12

237

2

4

19

12

237

3

4

19

12

237

4

4

19

12

237

5

4

19

12

237

6

4

5

12

123

7

4

5

12

123

8

4

5

12

123

9

4

5

12

123

上面信息顯示共有10個block,針對我們的3600而言,每8個百兆口或者每個千兆口共享一個block,比如Ethernet1/0/1~Ethernet1/0/8共享block0,而Ethernet1/0/33屬于block4。以上信息顯示,在空配置的情況下,該配置系統(tǒng)占用了一定數(shù)量的mask〔即used-mask與rule〔used-rule資源,該資源無法使用。以下針對S3600兩種不同方式的下發(fā)acl來對資源占用情況進(jìn)行說明。一、

端口應(yīng)用acl

1、入方向下發(fā)acl時,只有端口所在的block占用該acl資源

2、出方向下發(fā)acl時,相當(dāng)于全局下發(fā)acl,會占用所有block的資源。二、Vlan應(yīng)用acl

當(dāng)基于vlan下發(fā)acl時,該vlan下所有端口所在的block均會占用該acl的資源。以下針對S3600下發(fā)acl對mask與rule資源占用情況分別進(jìn)行說明。mask資源的占用mask資源的占用情況是根據(jù)源地址掩碼和目的地址掩碼的不同長度的數(shù)目而定。比如對于兩條rule,只有在源地址掩碼和目的地址掩碼長度均一致的情況下才占用同一個mask資源。rule資源的占用rule資源的占用情況是根據(jù)rule的條目數(shù)而定。需要注意的是,若在同一個block中的不同端口下發(fā)同一個acl,mask資源不會重復(fù)占用,但是rule資源會重復(fù)占用。另外,除了直接通過packet-filter在S3600上下發(fā)acl會占用acl的資源之外,AM綁定,802.1X等均會占用acl的資源。AM綁定：若綁定攜帶端口號,則占用該端口所在block的3個mask,4個rule；若不攜帶端口號,則占用所有block的3個mask,3個rule。802.1X：端口使能dot1x,則占用該端口所在block的2個mask,4個rule。S9500交換機(jī)端口統(tǒng)計中INPUT和OUTPUT中各錯包字段的含義1、INPUT中各類錯報的含義：runts：超短幀,即端口收到幀長小于64字節(jié),且沒有CRC校驗錯誤的幀；giants：超長幀,即端口收到幀長大于允許通過的最大長度,且沒有CRC校驗錯誤的幀；throttles：不完整的幀,即端口收到的幀不是整數(shù)字節(jié),而是多1～7bit,因此不對齊,或亂序或空幀,而且CRC校驗錯誤,但是不計入CRC錯誤；CRC：校驗和錯誤,即端口收到的幀CRC校驗和錯誤；frame：錯誤幀,即端口收到未知錯誤的幀；overruns：overrun幀,由于端口輸入速率超過接受方處理能力,導(dǎo)致丟包,在網(wǎng)絡(luò)出現(xiàn)擁塞時會導(dǎo)致overrun的出現(xiàn)；aborts：輸入描述符錯誤,S9500交換機(jī)不存在該錯誤幀；ignored：幀丟失,由于端口輸入速率超過接受方處理能力,導(dǎo)致丟包,在網(wǎng)絡(luò)出現(xiàn)擁塞時會導(dǎo)致ignore的出現(xiàn)；parityerrors：奇偶校驗錯,S9500交換機(jī)不存在該錯誤幀；

2、OUTPUT中各類錯報的含義：underruns：幀下溢錯誤,S9500交換機(jī)不存在該錯誤幀；bufferfailures：緩沖失敗,S9500交換機(jī)不存在該錯誤幀；aborts：幀丟失,當(dāng)網(wǎng)絡(luò)存在擁塞時,導(dǎo)致報文不能從MAC層轉(zhuǎn)發(fā),會出現(xiàn)aborts錯誤；deferred：幀延時,半雙工模式下,在以太網(wǎng)幀數(shù)據(jù)部分的前64字節(jié)進(jìn)入線路后,由于檢測到?jīng)_突,當(dāng)時沒有發(fā)出的包；collisions：幀沖突,S9500交換機(jī)不存在該錯誤幀；latecollisions：滯后沖突幀,幀在MAC層中緩存,被滯后發(fā)送lostcarrier：滯后發(fā)送幀,S9500交換機(jī)不存在該錯誤幀；nocarrier：載波丟失幀,S9500交換機(jī)不存在該錯誤幀；outputerror的情況很少會碰到。大部分問題都是inputerror,用戶需要給出解釋,如果S9500收到runts,giants,throttles,CRC,frame等錯幀,需要檢查對端設(shè)備或者中間的傳輸鏈路是否存在問題；如果S9500收到overruns,ignored等錯幀,需要確定本端的鏈路帶寬是否足夠。關(guān)于長距離光模塊使用注意事項的通知在近期的一些項目中,連續(xù)發(fā)生長距離光模塊〔40KM及以上故障的情況,由于長距離光模塊對接收光功率要求高,使用不當(dāng)容易導(dǎo)致?lián)p壞,為減少使用不當(dāng)導(dǎo)致長距離光模塊的故障,使用中有如下注意事項。[涉及產(chǎn)品]光模塊-SFP-GE-單模模塊-<1550nm,100km,LC>〔BOM編碼0231A321光模塊-SFP-GE-單模模塊-<1550nm,70km,LC>〔BOM編碼02312173光模塊-SFP-GE-單模模塊-<1550nm,40km,LC>〔BOM編碼02312172光模塊-SFP-GE-單模模塊-<1310nm,40km,LC>〔BOM編碼02312170光模塊-SFP100M/155M單模長距模塊-<1550nm,80km,LC>〔BOM編碼0231A090光模塊-SFP100M/155M單模模塊-〔1310nm,40km,LC>〔BOM編碼0231A089光模塊-SFP-GE-單模模塊-CWDM-<1550nm,70km,LC>〔BOM編碼0231A449光模塊-SFP-GE-單模模塊-CWDM-<1570nm,70km,LC>

〔BOM編碼0231A450光模塊-SFP-GE-單模模塊-CWDM-<1590nm,70km,LC>

〔BOM編碼0231A451光模塊-SFP-GE-單模模塊-CWDM-<1610nm,70km,LC>

〔BOM編碼0231A452光模塊-SFP-GE-單模模塊-CWDM-<1470nm,70km,LC>

〔BOM編碼0231A453光模塊-SFP-GE-單模模塊-CWDM-<1490nm,70km,LC>

〔BOM編碼0231A454光模塊-SFP-GE-單模模塊-CWDM-<1510nm,70km,LC>

〔BOM編碼0231A455光模塊-SFP-GE-單模模塊-CWDM-<1530nm,70km,LC>

〔BOM編碼0231A456光模塊-XFP-10G-單模模塊-<1550nm,80km,LC>〔BOM編碼0231A41G；XFP萬兆光模塊<1550nm,40km,LC>〔BOM編碼0231A72X；XFP光模塊-<1560.61nm,80km,LC>

〔BOM編碼0231A0JDXFP光模塊-<1559.79nm,80km,LC>

〔BOM編碼0231A0JEXFP光模塊-<1558.98nm,80km,LC>

〔BOM編碼0231A0JJXFP光模塊-<1542.94nm,80km,LC>

〔BOM編碼0231A0JMXFP光模塊-<1542.14nm,80km,LC>

〔BOM編碼0231A0JKXFP光模塊-<1540.56nm,80km,LC>

〔BOM編碼0231A0JLXFP光模塊-<1539.77nm,80km,LC>

〔BOM編碼0231A0JGXFP光模塊-<1538.98nm,80km,LC>

〔BOM編碼0231A0JF光模塊-XENPAK-10G-單模模塊-<1550nm,40km,SC>

〔BOM編碼0231A324光模塊-XENPAK-10G-單模模塊-<1550nm,80km,SC>

〔BOM編碼0231A08H光模塊-SFP-2.5G-單模模塊-<1310nm,40km,LC>〔BOM編碼0231A04A光模塊-SFP-2.5G-單模模塊-<1550nm,80km,LC>

〔BOM編碼0231A04B622MSFP光模塊-<1550nm,80km,LC>

〔BOM編碼0231A04C622MSFP光模塊-<1310nm,40km,LC>

〔BOM編碼0231A04D[使用注意事項說明]長距離光模塊對接收光功率范圍要求嚴(yán)格,如果超出接收靈敏度,就會導(dǎo)致光模塊故障,使用方法及注意事項如下：1、安裝上述長距離光模塊到設(shè)備后不要立刻連接光纖,先用命令行displaytransceiverdiagnosisinterface讀取光模塊收發(fā)光功率,查看發(fā)光功率是否在正常范圍內(nèi),收光功率不是+1dB等異常值,沒連接光纖情況下軟件通常顯示接收光功率可能為-40dB或比較低的值。命令舉例如下：<Sysname>displaytransceiverdiagnosisinterfaceGigabitethernet3/0/1GigabitEthernet3/0/1transceiverdiagnosticinformation:

Currentdiagnosticparameters:

Temp<°C>

Voltage<V>

Bias<mA>

RXpower<dBM>

TXpower<dBM>

36

3.31

6.13

-40.00

-1.002、有條件情況下建議使用光功率計測試收發(fā)光功率在正常接收范圍內(nèi)才能連接光纖至上述長距光模塊。3、任何情況下不能使用光纖直接打環(huán)對上述長距光模塊進(jìn)行測試,如果需要必須連接光衰減器使接收光功率在接收范圍內(nèi)方可進(jìn)行環(huán)回測試。4、使用長距光模塊,接收功率必須有一定余量,實際接收功率相比接收靈敏度預(yù)留3dB以上,如果不滿足需要增加衰減器。附錄：1、萬兆長距XFP光模塊參數(shù)表對外型號編碼波長輸出功率輸入功率接口類型距離對外描述XFPXFP-LH40-SM1550-F10231A72X1550-1.0to2.0-11.3to-1.0LC40kmXFP萬兆光模塊<1550nm,40km,LC>XFP-LH80-SM15500231A41G15500to4.0-24.0to-7.0LC80kmXFP-10GXFP光模塊<1550nm,80km,LC>XFP-LX-SM1560.610231A0JD1560.61-1to3.0-24.0to-7.0LC80kmXFP光模塊-<1560.61nm,80km,LC>XFP-LX-SM1559.790231A0JE1559.79LC80kmXFP光模塊-<1559.79nm,80km,LC>XFP-LX-SM1558.980231A0JJ1558.98LC80kmXFP光模塊-<1558.98nm,80km,LC>XFP-LX-SM1542.940231A0JM1542.94LC80kmXFP光模塊-<1542.94nm,80km,LC>XFP-LX-SM1542.140231A0JK1542.14LC80kmXFP光模塊-<1542.14nm,80km,LC>XFP-LX-SM1540.560231A0JL1540.56LC80kmXFP光模塊-<1540.56nm,80km,LC>XFP-LX-SM1539.770231A0JG1539.77LC80kmXFP光模塊-<1539.77nm,80km,LC>XFP-LX-SM1538.980231A0JF1538.98LC80kmXFP光模塊-<1538.98nm,80km,LC>2、千兆長距光模塊參數(shù)表對外型號編碼波長輸出功率輸入功率接口類型距離對外描述SFPSFP-GE-LH40-SM1310023121701310-2.0to5.0-22.0to-3.0LC40kmSFP千兆模塊-<1310nm,40km,LC>SFP-GE-LH40-SM1550023121721550-4.0to1.0-21.0to-3.0LC40kmSFP千兆模塊-<1550nm,40km,LC>SFP-GE-LH70-SM1550023121731550-4.0to5.0-22.0to-3.0LC70kmSFP千兆模塊-<1550nm,70km,LC>SFP-GE-LH100-SM15500231A32115500to5.0-30.0to-9.0LC100kmSFP千兆模塊-<1550nm,100km,LC>SFP-GE-LH70-SM1470-CW0231A45314700to5.0-23.0to-3.0LC70kmSFP千兆模塊-<1470nm,70km,LC>SFP-GE-LH70-SM1490-CW0231A45414900to5.0-23.0to-3.0LC70kmSFP千兆模塊-<1490nm,70km,LC>SFP-GE-LH70-SM1510-CW0231A45515100to5.0-23.0to-3.0LC70kmSFP千兆模塊-<1510nm,70km,LC>SFP-GE-LH70-SM1530-CW0231A45615300to5.0-23.0to-3.0LC70kmSFP千兆模塊-<1530nm,70km,LC>SFP-GE-LH70-SM1550-CW0231A44915500to5.0-23.0to-3.0LC70kmSFP千兆模塊-<1550nm,70km,LC>SFP-GE-LH70-SM1570-CW0231A45015700to5.0-23.0to-3.0LC70kmSFP千兆模塊-<1570nm,70km,LC>SFP-GE-LH70-SM1590-CW0231A45115900to5.0-23.0to-3.0LC70kmSFP千兆模塊-<1590nm,70km,LC>SFP-GE-LH70-SM1610-CW0231A45216100to5.0-23.0to-3.0LC70kmSFP千兆模塊-<1610nm,70km,LC>3、100M/155M長距光模塊參數(shù)表對外型號編碼波長輸出功率輸入功率接口類型距離對外描述100M/155MSFP-FE-LH40-SM13100231A0891310-5.0to0-34.0to-9.0LC40km光模塊-SFP100M/155M單模模塊-〔1310nm,40km,LC>SFP-FE-LH80-SM15500231A0901550-5.0to0-34.0to-10.0LC80km光模塊-SFP100M/155M單模長距模塊-<1550nm,80km,LC>4、622M長距光模塊參數(shù)表對外型號編碼波長輸出功率輸入功率接口類型距離對外描述622MSFP-622M-LH80-SM15500231A40C1550nm-3.0to2-28.0to-7.0LC80km622MSFP光模塊-<1550nm,80km,LC>SFP-622M-LH40-SM13100231A40D1310nm-3.0to2-28.0to-7.0LC40km622MSFP光模塊-<1310nm,40km,LC>5、2.5G長距光模塊參數(shù)表對外型號編碼波長輸出功率輸入功率接口類型距離對外描述2.5GSFP-2.5G-LH40-SM13100231A04A1310nm-2.0to3-27.0to-9.0LC40km光模塊-SFP2.5GPOS單模中距模塊-<1310nm,40km,LC>SFP-2.5G-LH80-SM15500231A04B1550nm-2.0to3-28.0to-8.0LC80km光模塊-SFP2.5GPOS單模長距模塊-<1550nm,80km,LC>6、10GXENPAK光模塊參數(shù)表對外型號編碼波長輸出功率輸入功率接口類型距離對外描述10GXENPAKXENPAK-LH40-SM15500231A3241550nm-4.7to4-11.3to-1.0SC40km光模塊-XENPAK-10G-單模模塊-<1550nm,40km,SC>XENPAK-LH80-SM15500231A08H1550nm0to4.0-22.0to-7.0SC80km光模塊-SFP2.5GPOS單模長距模塊-<1550nm,80km,LC>如有問題,請聯(lián)系XX華三通信技術(shù)服務(wù)熱線：4008100504/8008100504H3CS9500交換機(jī)千兆光口和百兆光口能否對接

Q：H3CS9500交換機(jī)千兆光口和百兆光口能否對接？

A：S9500交換機(jī)千兆光口只能支持1000M全雙工,百兆光口只能支持100M全雙工,二者無法對接成功的。H3C萬兆核心路由器SR8800以太網(wǎng)子接口的典型配置

一、一、組網(wǎng)需求：1.RouterA和SwitchA通過以太網(wǎng)鏈路互連二、二、組網(wǎng)圖：以太網(wǎng)子接口配置舉例組網(wǎng)圖三、三、配置步驟：1.設(shè)備RouterA的配置1.1創(chuàng)建子接口<RouterA>system-view[RouterA]interfaceGigabitEthernet3/1/20.101.2在子接口下配置IP地址2.設(shè)備SwitchA的配置2.1進(jìn)入互連接口配置Trunk<SwitchA>system-view[SwitchA]interfaceEthernet1/1/32[SwitchA-Ethernet1/1/32]portlink-typetrunk[SwitchA-Ethernet1/1/32]porttrunkpermitvlanall2.2創(chuàng)建VLAN[SwitchA]vlan10[SwitchA-VLAN10]quit[SwitchA]2.3配置相應(yīng)VLANInterface和IP地址[SwitchA]interfaceVlan-interface10[SwitchA-Vlan-interface10]

3.驗證結(jié)果

PING

:56

databytes,pressCTRL_Ctobreak

Replyfrom:bytes=56Sequence=1ttl=255time=3ms

Replyfrom:bytes=56Sequence=2ttl=255time=3ms

Replyfrom:bytes=56Sequence=3ttl=255time=3ms

Replyfrom:bytes=56Sequence=4ttl=255time=3ms

Replyfrom:bytes=56Sequence=5ttl=255time=3ms

---pingstatistics---

5packet<s>transmitted

5packet<s>received

0.00%packetloss

round-tripmin/avg/max=

3/3/3

ms

四、四、配置關(guān)鍵點：無需在子接口下配置dot1q命令,子接口的編號直接對應(yīng)VLANID。S7500系列交換機(jī)查看各進(jìn)程CPU占用率的命令說明使用"_displaytask0"命令可顯示當(dāng)前系統(tǒng)各進(jìn)程占用CPU資源的情況,舉例說明如下。<S7500>_displaytask0

ID

Name

Status

ChangeTimes

MaxTime

TotalTime

TaskRate1

WEIL

Ready

1457284

11

5603945

63.3%2

SYST

Ready

863980

1

86705

0.9%3

XMON

EventSem

1

0

0

0.0%4

IPCQ

Delay

87264

2

18535

0.2%

5

RPCQ

Delay

861817

1

74695

0.8%6

VP

Delay

147

1

10

0.0%

7

SYHA

Sem

8743

1

1183

0.0%

8

RECV

Sem

286949

24

74905

0.8%9

GMTH

Sem

7

0

0

0.0%

10

aDPC

Ready

1

0

0

0.0%11

bL2X

Ready

53365

14

230401

2.6%12

cCNT

Ready

113993

5

48510

0.5%13

dTX

Ready

1

0

0

0.0%

14

eLIN

Ready

231067

1

35822

0.4%15

fL2X

Ready

53383

14

230519

2.6%16

gCNT

Ready

97227

7

60722

0.6%17

hLIN

Ready

226498

1

37244

0.4%18

iL2X

Ready

53104

14

230186

2.6%19

jCNT

Ready

120796

6

49649

0.5%20

kLIN

Ready

213109

1

35708

0.4%21

lL2X

Ready

53026

14

230069

2.6%

修改SQLServer數(shù)據(jù)庫sa密碼后iMC出現(xiàn)異常問題的解決方法

iMC平臺部署過程中,將會使用SQLServer數(shù)據(jù)庫的sa賬戶連接數(shù)據(jù)庫,同時將密碼記錄下來。在iMC平臺部署完成之后,如果修改了SQLServer數(shù)據(jù)庫的sa賬戶密碼,則需要將新密碼也同步記錄到iMC軟件中,否則可能導(dǎo)致iMC部署新組件失敗、數(shù)據(jù)庫自動備份或自動同步任務(wù)執(zhí)行失敗以及新組件安裝完成后登陸iMC配置臺時出現(xiàn)報錯信息等問題。解決上述問題的方法是：修改了SQLServer數(shù)據(jù)庫的sa賬戶密碼之后,打開iMC部署監(jiān)控代理,選擇[運行環(huán)境]選項卡,點擊右下角的[修改密碼],在彈出窗口中輸入sa賬戶的新密碼即可。H3CS5600系列交換機(jī)IRF堆疊的配置

一、組網(wǎng)需求：配置4臺交換機(jī)的UnitID、Unitname、Fabricname,使它們相互連接可以構(gòu)成Fabric。具體需求如下：1.

4臺交換機(jī)SwitchA、B、C、D的UnitID依次分別為1、2、3、4；2.

4臺交換機(jī)SwitchA、B、C、D的Unitname分別是Unit1、Unit2、Unit3、Unit4；Fabricname為hello。二、組網(wǎng)圖:三、配置步驟：SwitchA上的配置：1.

配置UnitID為1<Switch>system-view[Switch]changeunit-id1to12.

配置Unitname為Unit1[Switch]setunit1nameUnit13.

配置Fabricname為hello[Switch]sysnamehello

SwitchB上的配置：4.

配置UnitID為2<Switch>system-view[Switch]changeunit-id1to25.

配置Unitname為Unit2[Switch]setunit

2nameUnit26.

配置Fabricname為hello[Switch]sysnamehelloSwitchC和SwitchD上的配置與上述配置相似,這里不再贅述。四、配置關(guān)鍵點：1.堆疊的成員交換機(jī)需要保證具有相同的軟件版本。在堆疊連接時,必須保證線纜連接正確。2.該配置在堆疊進(jìn)行前進(jìn)行,如果在同一個Fabric內(nèi)存在相同的UnitID,FTM模塊將對相同編號的設(shè)備進(jìn)行自動編號操作。3.在Fabric正常工作時,用戶可以將Fabric視作一臺獨立設(shè)備進(jìn)行配置。由于Fabric是由多臺設(shè)備組成,會存在因設(shè)備間數(shù)據(jù)傳輸或同步執(zhí)行程序造成的繁忙狀態(tài)。如果用戶在進(jìn)行配置時收到Fabric繁忙的提示"Fabricsystemisbusy,pleasetrylater...",表示Fabric沒有正常執(zhí)行用戶的操作,這時需要用戶對之前操作的結(jié)果進(jìn)行驗證或重新進(jìn)行配置。4.該案例還適用于H3CS3600系列交換機(jī)。H3C3600采用自定義ACL實現(xiàn)ARP欺騙防攻擊的配置一

組網(wǎng)需求：配置自定義ACL,通過匹配報文對應(yīng)的協(xié)議號、MAC地址及IP地址等字段,過濾攻擊主機(jī)發(fā)出的冒充網(wǎng)關(guān)的ARP報文。二

組網(wǎng)圖：略三

配置步驟：1．定義5000的ACL[Switch]aclnumber50002．把arpReply協(xié)議報文中Sender

ipaddress為端口所在VLAN網(wǎng)關(guān)的ARP報文過濾掉〔16和32分別是協(xié)議字段和Senderipaddress字段的偏移量[Switch-acl-user-5000]rule0deny0806ffff16c0a80001ffffffff323．在除連接網(wǎng)關(guān)之外的所有端口下下發(fā)自定義ACL對入方向的ARP欺騙報文進(jìn)行過濾[Switch]interfaceEthernet1/0/1[Switch-Ethernet1/0/1]packet-filterinbounduser-group5000四

配置關(guān)鍵點：1.

如果開啟了QinQ功能后,不建議應(yīng)用用戶自定義acl。2.一定要除連接網(wǎng)關(guān)之外的所有端口下下發(fā)該ACL,否則沒有下發(fā)ACL的端口將繼續(xù)收到ARP欺騙報文,從而無法達(dá)到防欺騙的效果。3.對于H3C5600arp報文協(xié)議號〔0806、SenderIP的偏移量將分別為20、36。S5500系列交換機(jī)同時啟用MAC地址認(rèn)證與dot1x認(rèn)證的配置一

組網(wǎng)需求：1．PCA與PCB通過二層交換機(jī)接在S5500-SI交換機(jī)的同一個口上,對PCA啟用MAC地址認(rèn)證,對PCB進(jìn)行dot1x認(rèn)證,兩者帳號密碼均設(shè)置在本地交換機(jī)。2．PCA無須開啟802.1X認(rèn)證客戶端即可上網(wǎng)。二

組網(wǎng)圖：三

配置步驟：1

H3CS3100、S3600、S5100、S5500、S5600系列交換機(jī)MAC地址認(rèn)證與dot1x認(rèn)證配合配置。802.1X認(rèn)證配置1．全局使能dot1x認(rèn)證功能<Quidway>system-view[Quidway]dot1xenable2．端口下使能dot1x認(rèn)證功能[Quidway]interfaceGigabitEthernet1/0/1[Quidway-GigabitEthernet1/0/1]dot1x3．配置端口dot1x認(rèn)證方式為基于MAC方式[Quidway-GigabitEthernet1/0/1]dot1xport-methodmacbased[Quidway-GigabitEthernet1/0/1]quit4．配置本地802.1X認(rèn)證用戶名密碼以及服務(wù)類型[Quidway]local-userhuawei

[Quidway-luser-huawei]passwordsimpleadmin

[Quidway-luser-huawei]service-typelan-accessMAC地址認(rèn)證配置1．全局使能MAC地址認(rèn)證功能[Quidway]mac-authentication2．設(shè)置集中式MAC地址認(rèn)證方式為MAC地址方式,賬號密碼不帶連字號。[Quidway]mac-authenticationauthmodeusernameasmacaddressusernameformatwithout-hyphen3．端口下使能MAC地址認(rèn)證功能[Quidway]interfaceGigabitEthernet1/0/1[Quidway-GigabitEthernet1/0/1]mac-authentication[Quidway-GigabitEthernet1/0/1]quit4．配置本地MAC地址認(rèn)證用戶名密碼以及服務(wù)類型[Quidway]local-user0015c50d4d4f

[Quidway-luser-0015c50d4d4f]passwordsimple0015c50d4d4f

[Quidway-luser-0015c50d4d4f]service-typelan-access四

配置關(guān)鍵點：1．MAC地址認(rèn)證用戶名密碼需要用小寫

交換機(jī)上displyaipstatistics、displaytcpstatistics等類似命令統(tǒng)計的信息指的是上CPU的報文統(tǒng)計,對于硬件轉(zhuǎn)發(fā)的報文無法統(tǒng)計,只能使用流量統(tǒng)計功能在物理端口下發(fā)來實現(xiàn)。交換機(jī)內(nèi)存的利用率,與設(shè)備運行的實際環(huán)境有關(guān)系,交換機(jī)上啟用的協(xié)議、下連用戶數(shù)目、路由表大小、ARP表大小等等,都會影響內(nèi)存的占用率,而且這些因素的變化也會導(dǎo)致內(nèi)存占用率的變化。而設(shè)備緩存是配合設(shè)備轉(zhuǎn)發(fā)報文過程中用于臨時緩存報文的存儲單元,其大小直接關(guān)系到產(chǎn)品存儲突發(fā)流量的能力H3CS9500交換機(jī)的802.1X和DOT1X一樣如何查看S7500系列交換機(jī)板卡的內(nèi)存容量S7500系列交換機(jī)的每塊業(yè)務(wù)板上都可以配置一定容量的內(nèi)存。通過displayversion命令,我們可以查看S7500系列交換機(jī)每塊業(yè)務(wù)板上配置的內(nèi)存大小。下面以S7506R為例:

<S7506R>displayversion

SRPU0:

uptimeis97weeks,2days,6hours,50minutes

//0號槽位QuidwayS7500with1MPC8260Processor256M

bytesSDRAM

//內(nèi)存容量16384K

bytesFlashMemory0K

bytesNVRAMMemoryPCBVersion

:

REV.0BootROMVersion

:

402CPLDVersion

:

004SoftwareVersion:

7506R-3132

LPU1:

uptimeis97weeks,2days,6hours,51minutes

//1號槽位QuidwayS7500LPUwith1MPC850Processor64M

bytesSDRAM

//內(nèi)存容量0K

bytesFlashMemory0K

bytesNVRAMMemoryPCBVersion

:

REV.BBootROMVersion

:

402CPLDVersion

:

004SoftwareVersion:

7506R-3132

。WX5002的用戶流量限速CAR功能的典型配置適用WX5002版本：ComwareSoftware,Version5.20,Release1106P01

一、組網(wǎng)需求WX5002、WA2110、H3CPOE交換機(jī)、便攜機(jī)〔安裝有11b/g無線網(wǎng)卡二、組網(wǎng)圖WX5002的IP地址為。交換機(jī)為三層交換機(jī),WX5002和WA2110在VLAN1,服務(wù)器在VLAN100。VLAN1和VLAN100的接口地址分別是和。本例中WA2110的序列號為210235A22W0077000088。使用的SSID的名稱為H3C-Car。無線客戶端MAC地址為0019-d221-a8d6,限制此客戶端的上行流量為500K。三、WX交換機(jī)的典型配置#

version5.20,Release1106P01

#

sysnameH3C

#