El color del enlace es gris cuando el estado del Router está en línea en eSight.

Pubilicado 2019-1-20 15:48:44 67 0 0 0

Preguntas Frecuentes [Todos Sobre Switches]

 

1. ¿Por qué no se puede configurar el control de tormentas en una interfaz de capa 3? El tráfico reenviado en la capa 3 no se transmitirá. Por lo tanto, las interfaces de Capa 3 no requieren ni soportan el control de tormentas.

 

2. ¿Por qué falla la autenticación 802.1x cuando uso una conexión de escritorio remoto para acceder a una PC con un sistema operativo Windows?

Cuando utiliza una conexión de escritorio remoto para acceder a una PC que ejecuta un sistema operativo Windows que ha pasado la autenticación 802.1x con éxito, la conexión se pierde después de 2 minutos. La causa es que el modo de autenticación de identidad de la autenticación 802.1x en la PC es la autenticación de usuario. Debe cambiar el modo de autenticación de identidad a "Autenticación de usuario o equipo" o "Autenticación de equipo". Seleccione Panel de control> Redes e Internet> Conexiones de red. Haga clic derecho en la conexión de red en uso y elija Propiedades. Se muestra el cuadro de diálogo Propiedades. Seleccione Autenticar> Otras configuraciones, y configure Especificar el modo de autenticación en Autenticación de usuario o computadora o Autenticación de computadora.

 

3. ¿Cuánto tiempo hace que un usuario inalámbrico de roaming se conecte?

Si un usuario inalámbrico está en roaming, no puede conectarse en línea inmediatamente después de cambiar la VLAN y la interfaz de acceso. El motivo es que la entrada del usuario caduca después de un período de tiempo. Para las versiones anteriores a V200R010, la autenticación se inicia nuevamente después de que la entrada del usuario caduque. Por lo tanto, el usuario debe esperar varios minutos. Para permitir que el usuario se conecte inmediatamente, puede actualizar el software del sistema del dispositi**** V200R010 y configurar la función de migración de la dirección MAC.

 

4. ¿Por qué el tráfico no se equilibra en la carga entre las interfaces de los miembros de Eth-Trunk? Los Switches solo admiten el equilibrio de carga basado en el flujo. Si un Switch recibe demasiado tráfico, la interfaz de un miembro de Eth-Trunk enviará una gran cantidad de tráfico. En este caso, el Eth-Trunk no puede lograr equilibrio de carga.

5. ¿Por qué las entradas de direcciones MAC no pueden caducar? Las interfaces en un Switch con frecuencia suben y bajan y el temporizador de antigüedad para las entradas de direcciones MAC globales se actualiza continuamente. Como resultado, las entradas de direcciones MAC no pueden ser caducadas.

6. Cuando una regla de autenticación libre y una política de tráfico están configuradas en la vista de interfaz, ¿por qué no puede tener efecto la política de tráfico? La regla de autenticación libre configurada en la vista de interfaz tiene una prioridad más alta que la política de tráfico. Por lo tanto, la regla de autenticación libre tiene efecto, mientras que la política de tráfico no lo hace.

7.¿Por qué la asignación de VLAN N: 1 no se recomienda para el S3328 que ejecuta V100R005? La creación de la asignación de VLAN N: 1 en el S3328 que ejecuta V100R005 causará un alto uso de la CPU, lo que afectará a los servicios. Por lo tanto, no se recomienda la asignación de VLAN N: 1.

8. ¿Cómo desactivo el S9300 que ejecuta V100R002 desde la visualización frecuente de registros que indican que los paquetes se eliminan porque la tasa supera la CPCAR? En el Switch, ejecute el comando del canal de visualización para verificar el canal a través del cual se notifican los registros al NMS y luego se ejecuta el comando del estado del centro de información QOSE canal channelid log off para desactivar el cambio de mostrar registros que indica que los paquetes se eliminan porque la tasa supera el CPCAR.

9. ¿Por qué se produce un aleteo de la dirección MAC después de que se reemplaza un chasis? Las alarmas de aleteo de la dirección MAC se muestran con frecuencia en el Switch una vez que se usan todas las tarjetas de servicio de V100R002 en el chasis que ejecuta el V200R008 y no se reemplazan las MPU. la orden de deshacer la prioridad de aprendizaje de mac 0 el comando allow-flapping se configura en V100R002 para evitar que la dirección MAC entre las interfaces con la misma prioridad. Sin embargo, este comando no está configurado en las MPU de V200R008. Por lo tanto, el cambio de la dirección MAC no se produce antes de la sustitución, sino que se produce después de la sustitución.

10. ¿Por qué algunas interfaces tardan 30 segundos en cambiar al estado de reenvío después de que cambia el estado del MSTP? Cuando una interfaz perimetral pasa de abajo a arriba, el proceso de cambiar el estado de la interfaz de aprendizaje a reenvío se realiza dentro de 1 segundo para prevenir bucles Esto es normal. Cuando una interfaz sin borde pasa de Abajo a Arriba, los paquetes normalmente se pueden reenviar solo después de 30 segundos.

11. ¿Cómo configuro una política de tráfico para que coincida con las ACL tanto IPv4 como IPv6? Si las ACL tanto IPv4 como IPv6 deben configurarse en la misma política de tráfico, debe configurar dos clasificadores de tráfico para que coincidan con las ACL IPv4 e IPv6 respectivamente. es un ejemplo de configuración.

 

<HUAWEI> system-view[HUAWEI] acl name test1
[HUAWEI-acl-adv-test1] 
rule 1 deny ip source 86.108.150.48 0 
[HUAWEI-acl-adv-test1]
 quit
[HUAWEI] 
traffic classifier c1
[HUAWEI-classifier-c1] 
if-match acl test1
[HUAWEI-classifier-c1] 
quit
[HUAWEI] 
traffic behavior b1
[HUAWEI-behavior-b1] 
permit
[HUAWEI-behavior-b1] 
quit
[HUAWEI] 
acl ipv6 name test2
[HUAWEI-acl6-adv-test2] 
rule 2 deny ipv6 source fc00:1::1/64 
[HUAWEI-acl6-adv-test2] 
quit
[HUAWEI] 
traffic classifier c2
[HUAWEI-classifier-c2] 
if-match ipv6 acl test2
[HUAWEI-classifier-c2] 
quit
[HUAWEI] 
traffic behavior b2
[HUAWEI-behavior-b2] 
permit
[HUAWEI-behavior-b2] 
quit
[HUAWEI] 
traffic policy p1
[HUAWEI-trafficpolicy-p1] 
classifier c1 behavior b1
[HUAWEI-trafficpolicy-p1] 
classifier c2 behavior b2
[HUAWEI-trafficpolicy-p1] quit

 

12. ¿Cuáles son los escenarios de aplicación de aislamiento de puerto y MFF en el S3300? No se recomienda configurar el aislamiento de puerto y el MFF al mismo tiempo en el S3300. Los escenarios de aplicación de aislamiento de puertos y MFF son los siguientes: Aislamiento de puertos Para implementar el aislamiento de Capa 2 entre interfaces, puede agregar diferentes interfaces a diferentes VLAN. Esto desperdicia recursos de VLAN. El aislamiento de puertos puede aislar interfaces en la misma VLAN. Es decir, solo necesita agregar interfaces a un grupo de aislamiento de puertos para implementar el aislamiento de Capa 2 entre estas interfaces. El aislamiento de puertos proporciona esquemas de red seguros y flexibles para los clientes. Para aislar los paquetes de difusión en la misma VLAN pero permitir que los usuarios que se conectan a diferentes interfaces se comuniquen en la Capa 3, puede configurar el modo de aislamiento de puertos para el aislamiento de Capa 2 y el interfuncionamiento de Capa 3. Para evitar que las interfaces en la misma VLAN se comuniquen tanto en la Capa 2 como en la Capa 3, puede configurar el modo de aislamiento del puerto en la Capa 2 y la capa 3. El ejemplo de aislamiento de puerto de la Figura 1-1 muestra el método de aislamiento del puerto y el escenario de la aplicación. PC1, PC2 y PC3 pertenecen a VLAN 10. Después de que GE1 / 0/1 se conecte a PC1 y GE1 / 0/2 que se conecten a PC2 se agreguen a un grupo de aislamiento de puertos, PC1 y PC2 no pueden comunicarse entre sí en la VLAN 10, pero pueden comunicarse con PC3.Figure 1-1 Ejemplo de aislamiento de Puerto:

 

054716vb4fdh0lf5r00dl6.png?image.png

 

 

La MFF aísla los dispositivos de usuario en un dominio de difusión en la Capa 2 y les permite conectarse a la Capa 3. La MFF usa el ARP proxy para capturar los paquetes de solicitud ARP y regresa al paquete de respuesta ARP con la dirección MAC de la puerta de enlace como la dirección MAC de origen para los usuarios. Todo el tráfico de los usuarios se reenvía a la puerta de enlace en la puerta de enlace con el tráfico del monitor y evita los ataques. Como se muestra en la Figura 1-2, el aislamiento de la capa 2 por MFF, el tráfico del usuario se envía a la puerta de enlace, pero no el nodo de agregación de la capa 2. Los usuarios están aislados en la Capa 2. Figura 1-2 Aislamiento de la Capa 2 por MFF.

054723avll0c39vt6s6bv0.png?image.png

 

 

 

13. ¿Qué puedo hacer si los paquetes de informes IGMP no pueden reenviarse cuando un Switch no tiene puerto de enrutador? Como se muestra en la Figura 1-1 Descripción del puerto del enrutador, el enrutador del dispositivo de capa 3 recibe datos de la fuente de multidifusión y los reenvía hacia abajo dispositivos La indagación IGMP se configura en los dispositivos de multidifusión de capa 2 SwitchA y SwitchB. HostA, HostB y HostC son hosts receptores (miembros de grupo de multidifusión) .Figure 1-1 Descripción del puerto del router.

 

054735ddwvyynww0cywwjy.png?image.png

 

Si un Switch no tiene un puerto de enrutador, los paquetes de informes IGMP no se pueden reenviar. Puede ejecutar el comando igmp-snooping static-router-port vlan {vlan-id1 [to vlan-id2]} & <1-10> en la vista de la interfaz para configurar la interfaz como un puerto de enrutador estático en una VLAN especificada.

 

14. Cuando se asocian el estado de la sesión BFD y el estado de la interfaz, después de que una sesión BFD se desactiva, la interfaz se apaga. Después de que se ejecuta el comando de deshacer apagado, ¿por qué la interfaz aún no puede subir?

Como se muestra en la siguiente figura, la asociación entre el estado de la sesión BFD y el estado de la interfaz se configura tanto en el SwitchA como en el SwitchB. Sin embargo, la asociación entre el estado de la sesión BFD y el estado de la interfaz se elimina de SwitchB debido a ciertas razones. Cuando una sesión BFD se desactiva, la interfaz GE1 / 0/1 se apaga.

Después de que se ejecute el comando de deshacer apagado en la interfaz GE1 / 0/1, la interfaz aún está abajo. En este caso, debe deshabilitar la asociación entre el estado de la sesión BFD y el estado de la interfaz (oam-bind ingress bfd-session bfd-session trigger if-down egress interface gigabitethernet 1/0/1) desde la interfaz. Una vez eliminada la configuración, la interfaz se activa.

054741advctwycrapscwjv.png?image.png

 

15. ¿Por qué un Switch puede hacer ping a un servidor pero el servidor no puede hacer ping al Switch después de que están conectados?

Cuando el servidor hace ping al switch, si la dirección MAC de destino de los paquetes ICMP es la del switch, la operación de ping se realiza correctamente; de lo contrario, la operación de ping falla. La falla del servidor para hacer ping al Switch se debe al cambio de la dirección MAC de destino de los paquetes ICMP.

 

16. ¿Por qué no se puede hacer ping al Gateway de servicio cuando un usuario de WLAN se desplaza en la red S12700 + ACU2 mientras que el acceso a la red de ubicación fija es normal en el escenario del aeropuerto?

La STA no se desconecta de la red WLAN durante el roaming. El servicio se interrumpe porque la puerta de enlace responde a los paquetes de solicitud ARP de la STA lentamente o se pierden los paquetes de respuesta ARP. El AP recibe una gran cantidad de paquetes de difusión y multidifusión, lo que provoca un alto uso de la CPU. Para resolver este problema, el aislamiento del puerto debe configurarse en el Switch conectado al AP y en todos los demás Switch en la ruta al Switch de puerta de enlace (incluido).

 

17. ¿Por qué el comando 8021p de la observación no vuelve a marcar la prioridad 802.1p en la etiqueta de VLAN interna en los paquetes QinQ?

El comando de observación 8021p puede volver a marcar solo la prioridad 802.1p en la etiqueta VLAN externa, pero no puede volver a marcar la prioridad 802.1p en la etiqueta VLAN interna.

 

18. ¿Por qué la función IPSG configurada no tiene efecto después de configurar una interfaz como una interfaz de confianza?

Después de que una interfaz se configura como una interfaz confiable, todos los paquetes se reenvían directamente sin ser revisados. Como resultado, la función IPSG configurada no tiene efecto.

19. ¿Se puede configurar VRRP en la Super VLAN o MUX VLAN en un Switch?

El Switch admite la configuración VRRP en la super VLAN. Puede ejecutar el comando vrrp advertise send-mode para determinar la sub-VLAN en la que se envían los paquetes de latido VRRP.

El Switch no admite la configuración VRRP en la VLAN MUX, y no se recomienda que el VRRP y la VLAN MUX se usen juntos. La VLAN MUX se usa generalmente en escenarios de comunicación de Capa 2.

20. ¿Por qué la política de tráfico no tiene efecto cuando se configuran dos pares de clasificadores de tráfico y comportamientos de tráfico en una política de tráfico y un par de clasificador de tráfico y comportamiento de tráfico coincide con una ACL definida por el usuario?

Si un par del clasificador de tráfico y el comportamiento del tráfico coinciden con una ACL definida por el usuario y el orden de coincidencia en una política de tráfico se establece en config, la política de tráfico no tendrá efecto. Para que la política de tráfico entre en vigencia, establezca el orden de coincidencia en auto mediante el comando automático de orden de coincidencia de nombre de política de tráfico.

21. ¿Por qué la Interfaz de enlace descendente está bloqueada por los paquetes STP y el Servicio interrumpido cuando la Interfaz de enlace descendente de un Switch está conectada al S5700 o S5300 ejecutando V100R005C01?

La interfaz de enlace descendente está bloqueada porque la interfaz especificada recibe paquetes STP. El comando bpdu enable no está habilitado en el S5700 o S5300 que ejecuta V100R005C01 de manera predeterminada, por lo que el S5700 o S5300 no reenvía los paquetes BPDU recibidos de otros switches. El S5700 o S5300 se considera a sí mismo como el Switch raíz y continúa enviando paquetes BDPU a otros Switches.

Para los Switches modulares que ejecutan V100R001, y S3300, S5300, S3700, S5700 que ejecutan V100R003 y V100R005, el comando bpdu enable debe configurarse en las interfaces que participan en el cálculo de STP. De lo contrario, los switches no procesan los paquetes STP recibidos. (La transmisión de paquetes STP no se ve afectada.) La configuración implementada con el comando bpdu enable puede ignorarse fácilmente en el Eth-Trunk del S3300 & S5300S3700 & S5700.

Para los switches modulares que ejecutan V100R002 y versiones posteriores, el comando bpdu enable no necesita configurarse en las interfaces que participan en el cálculo de STP. El comando bpdu disable o bpdu bridge disable está configurado de forma predeterminada.

Para los switches fijos que ejecutan V100R006 y versiones posteriores, el comando bpdu enable está configurado en una interfaz de manera predeterminada.

22. ¿Por qué los paquetes reenviados en la Capa 3 no se pueden redirigir al Firewall?

En la figura siguiente, la redirección está configurada en GE1 / 8/10, los paquetes se envían al firewall a través de Eth-Trunk19 y luego se envían a SwitchA a través de Eth-Trunk20.

PC y el servidor se implementan en diferentes segmentos de red. Los paquetes se reenvían a la Capa 3 desde el SwitchA, y las direcciones MAC de los paquetes se reemplazan con la dirección MAC de VLANIF 3 (GE1 / 8/12 se agrega a la VLAN 3), por lo que las direcciones MAC de origen de los paquetes se reenvían a SwitchA a través de Eth -Trunk 20 es la dirección MAC de VLANIF 3. SwitchA descarta paquetes que la dirección MAC de origen es la dirección MAC de VLANIF, por lo que la PC no puede recibir paquetes y no puede hacer ping al servidor.

 

 

¿Causas del alto uso de la CPU en el S3300?

 

 

De forma predeterminada, una interfaz envía todos los BPDU recibidos a la CPU. Es decir, la interfaz envía los BPDU recibidos de cualquier protocolo a la CPU incluso si el protocolo correspondiente está deshabilitado. Por ejemplo, incluso si STP está deshabilitado, las BPDU de STP también se envían a la CPU. Como resultado, el uso de la CPU es alto. En la red en vivo, se recomienda que el comando bpdu disable se ejecute en las interfaces que no utilizan los protocolos de Capa 2, como STP, para evitar que las interfaces envíen BPDU a la CPU.

En versiones anteriores a V100R006C05, el S3300 envía paquetes de multidifusión reservados a la CPU de forma predeterminada, lo que provoca un alto uso de la CPU. Puede ejecutar el comando de rechazo reservado de tipo de paquete de multidifusión en la vista de políticas de defensa de ataques para descartar los paquetes de multidifusión reservados enviados a la CPU.

 

24. ¿Por qué el uso de la CPU sigue siendo alto cuando el Switch no recibe ninguna solicitud de servicio y todas las interfaces están inactivas? La dirección IP 192.168.1.1/172 está configurada en el Switch, pero 192.168.1.1/172 se especifica como la dirección IP del servidor DNS en muchos hosts. Como resultado, el Switch recibe una gran cantidad de paquetes de DNS y TCP, lo que lleva a un alto uso de la CPU. Después de cambiar la dirección IP del Switch, el uso de la CPU se vuelve normal.

25. Cuando el S7700 está conectado al S5700 y el S5700 está conectado al OceanStor S2600T, el OceanStor S2600T se desconecta con frecuencia. ¿Cómo determinar si la falla ocurre en un switch o en el OceanStor S2600T? Configure la función de recolección de estadísticas de tráfico en el S7700 y S5700 respectivamente. Después del análisis de estadísticas de tráfico, se encuentra que la falla es causada por OceanStor S2600T, en lugar de los Switches. A continuación se describe cómo configurar la recopilación de estadísticas de tráfico ICMP en el S7700 como ejemplo:

 

Configure la recopilación de estadísticas de tráfico para los paquetes recibidos por el S7700.1.Configure una regla ACL. <SwitchA> sistema-view [SwitchA] número acl 3000 [SwitchA-acl-adv-3000] regla autorizada icmp fuente 192.168.2.21 0 destino 192.168. 2.20 0 [SwitchA-acl-adv-3000] quit2.Configure un clasificador de tráfico. [SwitchA] traffic classifier 3000 [SwitchA-classifier-3000] if-match acl 3000 [SwitchA-classifier-3000] quit3.Configure un comportamiento de tráfico. [SwitchA] traffic behavior 3000 [SwitchA-behavior-3000] statistic enable [SwitchA-behavior-3000] quit4.Configure una política de tráfico. [SwitchA] política de tráfico 3000 [SwitchA-trafficpolicy-3000] clasifier 3000 behavior 3000 [SwitchA-trafficpolicy -3000] quit5.Aplique la política de tráfico a una interfaz. [SwitchA] interfaz gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1 / 0/1] traffic-policy 3000 entrante [SwitchA-GigabitEthernet1 / 0/1] quit # Configurar tráfico recopilación de estadísticas para los paquetes enviados por el S7700.1.Configure una regla de ACL. <SwitchA> system-view [Swit chA] acl número 3001 [SwitchA-acl-adv-3001] regla de permiso icmp fuente 192.168.2.20 0 destino 192.168.2.21 0 [SwitchA-acl-adv-3001] quit2.Configure un clasificador de tráfico. [SwitchA] clasificador de tráfico 3001 [ SwitchA-classifier-3001] if-match acl 3001 [SwitchA-classifier-3001] quit3.Configure un comportamiento de tráfico. [SwitchA] comportamiento del tráfico 3001 [SwitchA-behavior-3001] estadística habilita [SwitchA-behavior-3001] quit4.Configure una política de tráfico. [SwitchA] política de tráfico 3001 [SwitchA-trafficpolicy-3001] clasificador 3001 comportamiento 3001 [SwitchA-trafficpolicy-3001] quit5.Aplicar la política de tráfico a una interfaz. [SwitchA] interfaz gigabitethernet 1/0/1 [SwitchA -GigabitEthernet1 / 0/1] política de tráfico 3001 saliente [SwitchA-GigabitEthernet1 / 0/1] salirUna vez completada la configuración.

 

27. ¿Cuáles son las diferencias entre un módulo óptico y un módulo de cobre? ¿Qué es un módulo óptico? En una red óptica, el remitente debe convertir las señales eléctricas en señales ópticas antes de enviarlas al receptor, y el receptor debe convertir las señales ópticas recibidas en señales eléctricas . Un módulo óptico es un componente que completa la conversión eléctrica / óptica en una red óptica. La siguiente figura muestra la estructura de un módulo óptico. Figura 1-1 Estructura de un módulo óptico

 

054754bq8brvthb32qo3oq.png?image.png

 

La siguiente figura muestra la apariencia de un módulo óptico SFP / e SFP. Figura 1-2 Módulo óptico SFP + / eSFP.

054803e7g87sges2eh9u8e.png?image.png

 

Llamado un módulo eléctrico) A diferencia de los módulos ópticos, los módulos de cobre no realizan conversión eléctrica-óptica. Cuando se instalan dos interfaces ópticas, los módulos se pueden conectar mediante un cable de cobre. Actualmente, Huawei ofrece solo módulos de cobre GE con interfaces RJ45. Los coppermódulos de GE funcionan con cables de red de Categoría 5, cumplen con 1000BASE-T (IEEE802.3ab) y admiten una distancia de transmisión máxima de 100 m. La siguiente figura muestra el aspecto de un módulo de cobre GE.Figura1-3 Aspecto de un módulo de cobre GE

 

054814hooojnlynz1gyz7l.png?image.png

 

Los módulos ópticos y los módulos de cobre están instalados en interfaces ópticas. Los módulos ópticos se utilizan con fibras ópticas y los módulos de cobre con cables de red. No todas las interfaces ópticas admiten módulos de cobre. Puede usar la Herramienta de consulta de hardware para verificar si un dispositivo específico o una tarjeta es compatible con módulos de cobre.28.¿Por qué no se determina la frecuencia del reloj a pesar de que la información de estado NTP en un Switch modular muestra que el reloj se ha configurado?

Ejecute el comando de visualización ntp-service status en el switch para ver el estado NTP.

[HUAWEI] display ntp-service status 
clock status: synchronized  
clock stratum: 5  
reference clock ID: 192.168.30.1 
nominal frequency: 100.0000 Hz  
actual frequency: 100.0000 Hz  
clock precision: 2^18 
clock offset: 1.5096 ms  
root delay: 109.93 ms  
root dispersion: 5.94 ms  
peer dispersion: 178.51 ms  
reference time: 08:03:54.402 UTC May 5 2017(DCB6B06A.6713AD5B) 
synchronization state: clock set butfrequency not determined

 

El estado de sincronización del reloj local muestra que el reloj se ha configurado pero la frecuencia del reloj no está determinada. Después de verificar los registros de operación relacionados con la configuración de la hora en el Switch , se sospecha que la zona horaria ha cambiado, lo que desencadena nuevamente la sincronización NTP.

 

Si el servidor NTP es estable, el tiempo de finalización de la sincronización de frecuencia de NTPv3 generalmente es de ocho periodos de calibración de sincronización, es decir, que varía de 8 x 64 segundos a 8 x 1024 segundos. Después de que el servidor se ejecuta de forma estable durante un período de tiempo (dos horas más tarde), ejecute nuevamente el comando de estado ntp-service. Se ha encontrado que la sincronización del reloj está completa.

 

29. Cuando un Switch de la serie S está conectado a un servidor de voz, ¿el puerto en el Switch para conectarse al servidor puede configurarse como un puerto de observación en la función de duplicación?

Esta configuración no es recomendable. Si el puerto duplicado y el puerto de observación pertenecen a la misma VLAN, cuando el puerto duplicado envía un paquete, el servidor de voz recibe dos copias del paquete, que afectan a los servicios.

 

30. ¿Cuáles son las soluciones a la respuesta lenta de un Switch SSeries al SNMP NMS?

Solución 1: Múltiples terminales pueden acceder al Switch de la serie S al mismo tiempo. El módulo SNMP del Switch debe responder simultáneamente a varios usuarios de terminales, lo que provoca un retraso. En este caso, puede ejecutar el comando snmp-agent para configurar una ACL de SNMP para restringir el acceso de otros usuarios.

 

Por ejemplo, realice la siguiente configuración:

 

# Permita que solo el NMS que coincida con ACL 2000 acceda al Switch a través de SNMP.

 

<HUAWEI> vista del sistema

[HUAWEI] acl 2000

[HUAWEI-basic-2000] fuente de permiso de regla192.168.10.10 0

[HUAWEI-basic-2000] dejar

[HUAWEI] snmp-agent acl 2000

 

 

Solución 2: En SNMP NMS, cambie el intervalo de envío de solicitudes SNMP a 1 minuto o cambie el intervalo de reenvío (actualmente 0,5 s).

 

 

Solución 3: Actualice el Switch a la última versión y verifique si la falla está solucionada.

 

31. ¿Por qué la velocidad de acceso a Internet es lenta después de que el S5700-10P-LI se cambia de un dispositivo de reenvío de capa 2 a una puerta de enlace de capa 3?

 

En general, el S5700-10P-LI se planifica como un dispositivo de Capa 2 en la red. Cuando el S5700-10P-LI funciona como un dispositivo de reenvío de capa 3, el reenvío de software se realiza de forma predeterminada y el rendimiento es deficiente. En este caso, la configuración debe modificarse para permitir el reenvío de hardware. Es decir, debe ejecutar el comando de hardware asignar ipv4-forward-mode y reiniciar el Switch para que la configuración tenga efecto. Además, hay algunas restricciones en el Switch después de que se habilite el modo de reenvío de hardware. Por lo tanto, no se recomienda utilizar el S5700-10P-LI como puerta de enlace de Capa 3.

32. ¿Por qué los archivos se cargan lentamente después de que el modo de negociación se cambia a negociación automática en la interfaz de un Switch conectado al servidor? Cuando el Switch está conectado al servidor, lleva mucho tiempo cargar los archivos del cliente al servidor. La carga de un archivo de 50 KB toma incluso varios minutos. Ningún paquete se pierde y el retraso no es largo.

 

Actualmente, la interfaz en los Switches funciona en modo de negociación automática, y la velocidad negociada es de solo 10 Mbit / s. Puede ejecutar el comando automático de negociación de deshacer para configurar la interfaz para que funcione en modo de no negociación automática, y luego ejecutar el comando de velocidad 1000 para establecer la velocidad a 1000 Mbit / s. Si el problema persiste, póngase en contacto con el personal técnico del servidor homólogo.

 

 

 

33. ¿Por qué se produce un solapamiento de la dirección MAC en un ModularSwitch al utilizar una MPU de la nueva versión? Un switch modular utiliza originalmente una MPU del V100R003. Una vez que se reemplaza la MPU con una MPU de V200R008 y las conexiones del cable permanecen sin cambios, se produce un aleteo de la dirección MAC. En este caso, debe comparar las diferencias de línea de comando entre las dos versiones. Después de la comparación, se encuentra que el comando allow-flapping con prioridad de aprendizaje undomac está configurado en la MPU de V100R003 pero no está configurado en la MPU de V200R008. Después de ejecutar el comando en la MPU de V200R008, se resuelve el problema. Este comando se usa para evitar que la dirección de MAC se agite entre las interfaces con la misma prioridad.

 

Aunque después de que se ejecute este comando, no se produce el aleteo de la dirección MAC, se recomienda que verifique la topología de la red para eliminar los bucles.

 

 

 

34. ¿Por qué el NMS obtiene información lentamente a través de SNMP después de configurar una pila?

 

 

El tiempo que tarda el NMS en obtener información a través de SNMP aumenta con el número de Switches fijos que constituyen una pila. Esto se debe a que el tiempo que se tarda en obtener la información del puerto es proporcional al número de nodos a atravesar.

 

 

 

35.Los usuarios pueden modificar el archivo de configuración manualmente y especificarlo como el archivo de configuración para el próximo inicio

 

 

El comando startupsaved-configuration especifica el archivo de configuración del sistema para el siguiente inicio.

 

No cambie la configuración de forma filemanual y especifique el archivo de configuración para el próximo inicio. De lo contrario, es posible que el dispositivo no se inicie normalmente. Por ejemplo, si los usuarios modifican las configuraciones relacionadas con BGP en el archivo de configuración sin permiso, el archivo de configuración se puede entregar de manera anormal porque no hay espacio después de la tecla de número (#).

 

36.¿Cómo puedo determinar si un ID de enrutador ConflictOccurs

 

 

Ejecute el comando display logbuff en cualquier vista para verificar si el registro OSPF / 4 / CONFLICT_ROUTERID_INTF se genera en un dispositivo.

 

<Quidway>  displaylogbuffer  
 ... ... 
May  4 2017 00:17:57+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[311]:OSPF Router id conflict is detectedon interface. (ProcessId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21) 
May  4 2017 00:15:57+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[312]:OSPF Router id conflict is detectedon interface. (ProcessId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21) 
May  4 2017 00:13:56+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[313]:OSPF Router id conflict is detectedon interface.
(ProcessId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21)

 

Si se genera la alarma anterior, se produce un conflicto de ID de usuario. En la mayoría de los casos, puede ejecutar el comando ospf router-id router-id para cambiar la ID del router.

 

En casos especiales, si la dirección IP de origen (PacketSrcIp = 41.48.16.21) en el registro de conflictos de ID del enrutador es la dirección IP del dispositivo, el dispositivo ha recibido el paquete enviado desde la interfaz. Debe comprobar si existe un bucle en la red, obtener la dirección MAC en el paquete OSPF y localizar el dispositivo que envía el paquete.

 

37. El filtro de Switch PPPoE y MPLS en función de los números de puerto de AUDD

Cuando un Switch filtra paquetes como los paquetes de PPPoE, MPLS, túnel y CAPWAP que utilizan la ACL, el Switch no puede analizar la dirección IP interna de los paquetes.

 

Por ejemplo, el usuario intenta obtener paquetes específicos mediante el filtrado de flujos a través de la ACL en el Switch.

 

Cuando se configura una política de tráfico en la interfaz de entrada para reenviar el tráfico al puerto duplicado, solo se pueden recibir los paquetes del puerto UDP 53

 

<HUAWEI> system-view 
[HUAWEI] observe-port 1 interfaceGigabitEthernet 0/0/14  
[HUAWEI] acl number 3001 
[HUAWEI--acl-adv-3001] rule 5 permit udpdestination-port eq 53 
[HUAWEI--acl-adv-3001] quit 
[HUAWEI] traffic classifier a1 operatorand 
[HUAWEI-classifier-a1] if-match  acl 3001 
[HUAWEI-classifier-a1] quit 
[HUAWEI] traffic behavior  b1                
[HUAWEI-behavior-b1] permit       
[HUAWEI-behavior-b1] mirroring toobserve-port 1   
[HUAWEI-behavior-b1]quit 
[HUAWEI]traffic policy yagoo    
[HUAWEI-trafficpolicy-yagoo]classifier a1 behavior  b1    
[HUAWEI-trafficpolicy-yagoo]quit   
[HUAWEI]interface  GigabitEthernet  0/0/4   
[HUAWEI-GigabitEthernet0/0/4]traffic-policy yagoo inbound   

 

El resultado muestra que el cliente puede obtener los paquetes de Ethernet desde el puerto de destino 53, pero no puede obtener los paquetes de PPP del puerto de destino 53. El motivo es que un Switch de la serie S no puede obtener las direcciones IP internas de los paquetes de PPPoE cuando el Switch utiliza la ACL para filtrar los paquetes

38. ¿Por qué está encendido el indicador de interfaz mientras no hay ningún cable conectado a una interfaz?

Las posibles causas son las siguientes:

 

Causa 1: el comando interno de bucle invertido se ejecuta en la interfaz para habilitar la función inloop.

 

Puede ejecutar el comando de visualización de esta interfaz en la vista de interfaz para verificar la información de la interfaz.

 

Compruebe el campo Loopback. Si el valor es INTERNO, la función inloop está habilitada. En este caso, ejecute el comando undo loopback para deshabilitar esta función.

 

Causa 2: si el valor del campo Loopback en el paso anterior es NINGUNO, la función de inloop se desactiva en el Switch. Si el cable de red no se ha conectado, es posible que el hardware esté defectuoso. En este caso, contacte con el personal de soporte técnico.

 

39. ¿Cuáles son los estados predeterminados de las funciones de inicio de sesión de usuario y gestión de archivos?

 

 

El inicio de sesión del usuario y las funciones de administración de archivos incluyen FTP / SFTP, Telnet / STelnet y HTTP / HTTPS. El estado predeterminado de cada versión y los comandos de configuración relacionados son los siguientes:

 

FTP:

 

El comando ftpserver enable habilita la función del servidor FTP para permitir a los usuarios de FTP iniciar sesión en el servidor FTP.

 

El comando del servidor Unoftp desactiva la función del servidor FTP para que los usuarios de FTP no puedan iniciar sesión en el servidor FTP.

 

Por defecto, la función FTP está deshabilitada.

 

SFTP:

 

El comando sftpserver enable habilita el servicio SFTP en el servidor SSH.

 

El comando undosftp server enable deshabilita el servicio SFTP en el servidor SSH.

 

De forma predeterminada, el servicio SFTP está deshabilitado en el servidor SSH.

 

Telnet:

 

El comando habilitar telnetserver habilita el servicio Telnet.

 

El comando de activación del servidor undotelnet desactiva el servicio Telnet.

 

De forma predeterminada, el servicio Telnet está habilitado en V200R003 y versiones anteriores. En V200R005 y versiones posteriores, el servicio de Telnet está deshabilitado.

 

STELNET:

 

El comando stelnetserver enable habilita el servicio STelnet en un servidor SSH.

 

El comando de activación del servidor undostelnet desactiva el servicio STelnet en un servidor SSH.

 

De forma predeterminada, el servicio STelnet está deshabilitado en los servidores SSH.

 

HTTP:

 

El comando httpserver enable habilita la función del servidor HTTP.

 

El comando undohttp server enable deshabilita la función del servidor HTTP.

 

Por defecto, la función del servidor HTTP está habilitada.

 

HTTPS:

 

El comando httpsecure-server enable habilita la función de servicio HTTPS.

 

El comando undohttp secure-server enable desactiva la función de servicio HTTPS.

 

 

Por defecto, la función de servicio HTTPS está habilitada.

 

 

40. ¿Cómo se puede actualizar un usuario a un usuario de nivel superior?

Los usuarios pueden cambiar su nivel de las siguientes maneras:

 

1. El administrador establece la contraseña utilizada para cambiar el nivel de usuario al nivel 15.

 

<HUAWEI> vista del sistema

[HUAWEI] super contraseña nivel 15 cipherHuawei @ 5678

 

2. Un usuario común inicia sesión en el Switch a través de Telnet y cambia el nivel de usuario en línea.

 

<HUAWEI> super 15

Contraseña: // Ingrese Huawei @ 5678.

Ahora el privilegio de usuario es de 15 niveles, y solo aquellos comandos cuyo nivel también es igual

Puede usarse menos de este nivel.

Nota de privilegio: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE // El nivel de usuario se ha actualizado correctamente.

 

 

41. ¿Cómo puedo consultar la información del parche sobre un SwitchThrough un objeto MIB?

 

 

El OID del objeto MIB utilizado para consultar la información del parche sobre un Switch es 1.3.6.1.4.1.2011.5.25.19.1.8.5.1.1.4.

 

Por ejemplo, ejecute el siguiente comando en el NMS para verificar la información del parche:

 

[DISPOSITIVO] $ snmpwalk -v 2c -c Nombre de host de comunidad1.3.6.1.4.1.2011.5.25.19.1.8.5.1.1.4

SNMPv2-SMI :: enterprises.2011.5.25.19.1.8.5.1.1.4.0.50 = STRING: "V200R007SPH001"

SNMPv2-SMI :: enterprises.2011.5.25.19.1.8.5.1.1.4.1.50 = STRING: "V200R007SPH001"

 

 

El resultado del comando muestra que la versión del parche es V200R007SPH001. En [0.50] y [1.50] en el comando de comando anterior, 0 y 1 indican la ID de pila de un Switch miembro en la pila, y 50 indica que el parche contiene 50 unidades de parche.

 

42. ¿Deberían configurarse las reglas de ACL para el usuario de VTY?

 

 

Para evitar ataques y garantizar la seguridad de la red y los datos, se recomienda que las reglas de ACL se configuren para VTLchannels para evitar que todos los canales de VTL se ocupen debido al ataque de los paquetes de Tnet. En este caso, no hay un canal VTY disponible para usuarios normales, por lo que no pueden iniciar sesión en el dispositivo. Las siguientes reglas pueden configurarse:

 

 

<HUAWEI> muestra la interfaz de usuario maximum-vty

Máximo de usuarios VTY: 15

<HUAWEI> displaycurrent-configuration | comenzar la interfaz de usuario

interfaz de usuario maximum-vty 15

interfaz de usuario con 0

modo de autenticación aaa

tiempo de inactividad 0 0

longitud de la pantalla 25

interfaz de usuario vty 0 14

ACL 2000 entrante

modo de autenticación aaa

privilegio de usuario nivel 3

tiempo de inactividad 0 0

longitud de la pantalla 25

protocolo de entrada telnet

#

<9312> mostrar acl 2000

Basic ACL 2000, 3 reglas

El paso de acl es 5

Regla 1 fuente de permiso 10.0.5.0 0.0.0.255

Regla 2 fuente de permiso 10.0.9.0 0.0.0.255

la regla 10 niega

 

43 ¿Por qué hay un gran número de paquetes de error en la dirección de entrada del S2700 cuando el S2700 está conectado al S5700 y los paquetes se envían y reciben correctamente en el S5700?

 

 

En el escenario en el que el S5700 y el S2700 están conectados, ejecute el comando interface-interface-type interface-numbercommand para verificar las estadísticas de paquetes en las interfaces. La salida del comando muestra que el número de paquetes recibidos en la dirección de entrada en el S2700 sigue aumentando, pero el S5700 no tiene estadísticas de paquetes de errores. El análisis muestra que la longitud máxima de trama permitida por el S5700 es 9.216 bytes, que puede ajustarse mediante la ejecución del comando de valor jumboframeenable. Sin embargo, la longitud máxima de trama permitida por el S2700 es de 1.600 bytes, y no hay una línea de comandos disponible para ajustarlo. Por lo tanto, cuando hay paquetes más grandes que 1.600 bytes pero menos de 9.216 bytes en el enlace, el S2700 los cuenta como paquetes de error, pero el S5700 los cuenta como paquetes normales.

 

 

 

44. ¿Los paquetes en el plano de reenvío y en el plano de control están fragmentados en los switches de la serie S?

 

 

La unidad de transmisión máxima (MTU) de una interfaz se puede configurar para controlar el número máximo de bytes que pueden enviarse a la vez. Si el valor de MTU tiene efecto y la longitud del paquete transmitido es mayor que el valor de MTU, el paquete se fragmenta. De lo contrario, el paquete no se fragmenta incluso si la longitud del paquete es grande. Por lo tanto, para verificar si los paquetes en el plano de reenvío y el plano de control están fragmentados, primero debe verificar si el valor de MTU tiene efecto.

 

l Para Switches modulares:

 

Configure el valor de MTU para llevar a efecto los paquetes de datos en el plano de control. Para las tarjetas de las series LE1D2S04SEC0, LE1D2X32SEC0, LE1D2H02QEC0 y X en los switches que ejecutan V200R010 y laterversion, el valor de MTU configurado tiene efecto en los paquetes de datos en el plano de reenvío después de ejecutar el comando ipv4fragment habilitador para habilitar la fragmentación de paquetes. Para otras tarjetas, configure el valor de MTU para que no tenga efecto en los paquetes de datos en el plano de reenvío.

 

Para tarjetas en switches que ejecutan V200R009 y versiones anteriores, configure el valor de MTU para que tenga efecto solo en paquetes de datos en el plano de control. Es decir, los paquetes en el plano de reenvío no están fragmentados.

 

l Para Switches fijos:

 

Configure el valor de MTU para llevar a efecto los paquetes de datos en el plano de control. Para los Switch  S5320HI y S5720HI que ejecutan V200R010 y versiones posteriores, el valor de MTU configurado tiene efecto en los paquetes de datos en el plano de reenvío después de ejecutar el comando ipv4 fragment enable para habilitar la fragmentación de paquetes. Para otros Switches, configure el valor de MTU para que no tenga efecto en los paquetes de datos en el plano de reenvío.

 

 

Para los switches que ejecutan V200R009 y versiones anteriores, configure el valor de MTU para que tenga efecto solo en los paquetes de datos en el plano de control. Es decir, los paquetes en el plano de reenvío no están fragmentados.

 

45. ¿Por qué se pierde el archivo de configuración después de que un miembro de la pila abandone la pila y luego vuelva a unirse a la pila?

 

 

Se apilan dos Switches S5700 usando apilables, y el Switch de espera se apaga inesperadamente y luego se reinicia. Después del reinicio, el Switch de espera vuelve a unirse a la pila, pero su archivo de configuración se pierde. Puede verificar los registros de operación del usuario para localizar el fallo.

 

26 de mayo de 2017 09:29:39 CDGT-HUAWEI-5720FSP / 4 / STACKMEMBER_LEAVE: OID 1.3.6.1.4.1.2011.5.25.183.1.22.7 La ranura 2 sale del montón.

26 de mayo de 2017 09:33:01 CDGT-HUAWEI-5720% SHELL / 6 / CMDCONFIRM_UNIFORMRECORD (s) [743844]: Registre la información del comando. (Tarea = VT0, IP = 113.215.2.220, VpnName =, User = admin, Command = "sa", PromptInfo = "La configuración actual se escribirá en el dispositivo. ¿Está seguro de continuar? [S / N]", UserInput = Y)

26 de mayo de 2017 09:33:01 CDGT-HUAWEI-5720/4 / GUARDAR (s) [743845]: El usuario eligió Y al decidir si guardar la configuración en el dispositivo.

26 de mayo de 2017 14:38:30 CDGT-HUAWEI-5720% LOAD / 6 / SLOTJOINED (l) [751557]: La ranura 2 se unió a la pila.

 

Los registros de operaciones anteriores muestran que el comando de guardar se ejecuta para guardar el archivo de configuración después de que el Switch de espera se apaga y luego se enciende. Luego, el Switch de espera vuelve a unirse a la pila. Después de analizar el proceso de configuración de la pila, los ingenieros de I + D confirman que si se guarda el archivo de configuración después de que el Switch en espera salga de la pila, su configuración de pila original se perderá después de que vuelva a unirse a la pila.

 

 

Por lo tanto, no se recomienda ejecutar el comando de guardar para guardar el archivo de configuración después de que un Switch se apague inesperadamente y luego se encienda.

 

46. ¿Qué debo comprobar primero si se produce una pérdida de paquetes cuando un Switch toca la dirección IP de la puerta de enlace?

 

 

Primero debe verificar si el Switch ha aprendido la entrada ARP correspondiente a la dirección IP de la puerta de enlace. Es decir, ejecute el comando display arp network net-number para verificar si la dirección MAC correspondiente a la dirección IP de la puerta de enlace en la entrada ARP es la misma que la dirección MAC de la puerta de enlace real. Si no, puede ocurrir un conflicto de direcciones IP en la red. La dirección IP de otro dispositivo de red está configurada incorrectamente para que sea la misma que la dirección IP de la puerta de enlace. Como resultado, la pérdida de paquetes ocurre cuando hace ping a la dirección IP de la puerta de enlace en el switch.

 

 

47. ¿Cuáles son las posibles causas para el reinicio de un Switch con módulos de alimentación dual?

 

 

Dos Switches S6720-30C-EI configuran una pila y están conectados al mismo zócalo en la sala de equipos. Sólo un Switch se reinicia inesperadamente. Dado que el Switch se alimenta mediante módulos de alimentación dual, se puede excluir la posibilidad de que ambos módulos de alimentación estén defectuosos. La falla puede ser causada por una excepción de la fuente de alimentación externa.

 

 

 

48. ¿Por qué falla un ping con paquetes de ping grandes cuando un Switch SSeries está conectado a un enrutador NE?

 

 

Cuando un Switch de la serie S está conectado a un enrutador NE, el comando Ping -s 1555 192.168.1.3 (la dirección IP es la dirección IP del Switch) no se puede ejecutar para hacer ping al Switch de la serie S. Sin embargo, el comando Ping-s 1554 192.168.1.3 se puede ejecutar para hacer ping al Switch.

 

Puede iniciar sesión en el Switch de la serie S, acceder a la vista de la interfaz que conecta el Switch al enrutador NE, y ejecutar la pantalla de este comando de interfaz para ver las estadísticas de los paquetes. La salida del comando muestra que el valor del campo Gigantes en la interfaz es 90, es decir, el número de paquetes recibidos en la interfaz excede la longitud máxima de la trama gigante. Por lo tanto, el tamaño de los paquetes de ping grandes puede exceder la longitud máxima de trama permitida por la interfaz. Puede ejecutar el comando jumboframe enable value para establecer la longitud máxima de trama permitida por una interfaz de Internet.

 

 

<SwitchC> vista del sistema

[SwitchC] interfaz GigabitEthernet 0/0/2

[SwitchC-GigabitEthernet0 / 0/2] muestra esta interfaz

GigabitEthernet0 / 0/2 estado actual: UP

Estado actual del protocolo de línea: UP

Descripción: HUAWEI, Quidway Series, GigabitEthernet0 / 0/2 Interface

Puerto del Switch, TPID: 8100 (hex.), La longitud máxima de marco es 1600

El formato de las tramas de envío de IP es PKTFMT_ETHNT_2, la dirección del hardware es 2cab-0083-3880

Modo puerto: FIBRA COMÚN

Velocidad: 1000, Loopback: NINGUNO

Duplex: FULL, Negociación: DISABLE.

Tasa de entrada de los últimos 300 segundos 184 bits / seg, 0 paquetes / seg.

Tasa de salida de los últimos 300 segundos 376 bits / seg, 0 paquetes / seg.

Velocidad pico de entrada 78224 bits / s, Tiempo de grabación: 2007-12-31 11:21

Velocidad máxima de salida 93152 bits / s, tiempo de grabación: 2007-12-31 11:21

Entrada: 31511 paquetes, 2595452 bytes.

Unicast: 29140, Multicast: 2249

Emisión: 0, Jumbo: 32

CRC: 0, Gigantes: 90

Jabbers: 0, Fragmentos: 0

Runts: 0, DropEvents: 0

Alineamientos: 0, Símbolos: 0

Ignorados: 0, Marcos: 0

Descartar: 0,

 

49. ¿Cuáles son las precauciones para la interfaz de origen y la dirección de la fuente cuando se ejecuta el comando peer connect-interface?

 

 

Para establecer una conexión de igual a BGP entre dos interfaces físicas conectadas indirectamente, el comando de conexión de igual se debe ejecutar en ambos lados.

 

Para establecer una conexión de igual BGP entre una interfaz local de bucle de retorno y una interfaz remota, la interfaz de bucle de retorno debe especificarse como la interfaz de origen en el comando. Para establecer una conexión de BGP entre una interfaz física local y una interfaz remota, la interfaz física debe especificarse como la interfaz de origen en el comando.

 

Para permitir que un dispositivo envíe paquetes BGP incluso si su interfaz física falla, se recomienda configurar el dispositivo para que use una interfaz de bucle de retorno como la interfaz de origen de los paquetes BGP. Cuando se utiliza la interfaz theloopback como la interfaz de origen de los paquetes BGP, asegúrese de que se pueda acceder a la dirección de la interfaz loopback del interlocutor BGP.

 

Por ejemplo, al configurar una conexión de BGP entre SwitchA y SwitchB, ejecute el comando peer connect-interface de la siguiente manera:

 

Configuración de SwitchA:

 

<SwitchA> vista del sistema

[SwitchA] bgp 100

[SwitchA-bgp] peer 10.16.6.6 como número 100

[SwitchA-bgp] peer 10.16.6.6 connect-interface loopback0 10.18.8.8

 

Configuración de SwitchB:

 

 

<SwitchB> vista del sistema

[SwitchB] bgp 100

[SwitchB-bgp] peer 10.18.8.8 como número 100

[SwitchA-bgp] peer 10.18.8.8 connect-interface loopback0 10.16.6.6

 

 

 

50. ¿Cuáles son las diferencias entre SSH1.X y SSH2.0?

 

 

SSH2.0 y SSH1.X indican las versiones admitidas por el servidor y el cliente de SSH.

 

El servidor SSH compara su propia versión de SSH con la enviada por el cliente de SSH y determina si puede trabajar con el cliente en función de la configuración del comando ssh servercompatible-ssh1x enable. Si se ha vuelto a ejecutar el comando para permitir que el servidor SSH sea compatible con versiones anteriores, se utiliza la siguiente lógica de procesamiento:

 

l Si la versión del protocolo en el cliente es anterior a 1.3 o posterior a 2.0, la negociación de la versión falla y el servidor se desconecta del cliente.

 

l Si la versión del protocolo en el cliente es posterior o igual a 1.3 y anterior a 1.99, se invoca el módulo de servidor SSH1.5 y se realiza el proceso SSH1.X cuando se configura el modo compatible con SSH1.X. Cuando se configura el modo incompatible con SSH1.X, la negociación de la versión falla y el servidor se desconecta del cliente.

 

l Si la versión del protocolo en el cliente es 1.99 o 2.0, se invoca el módulo de servidor SSH2.0 y se realiza el proceso SSH2.0.

 

En los switches de la serie S que ejecutan V200R006 o una versión anterior, el servidor SSH está habilitado para ser compatible con versiones anteriores de forma predeterminada. En V200R007 y versiones posteriores, el servidor SSH está deshabilitado por ser compatible con versiones anteriores de forma predeterminada para la seguridad de la red. Si se actualiza un Switch de una versión anterior a V200R007 o una versión posterior (el servidor SSH está habilitado para ser compatible con versiones anteriores de forma predeterminada antes de la actualización), el servidor SSH todavía está habilitado para ser compatible con versiones anteriores después de la actualización.

 

 

SSH2.0 tiene una estructura extendida y admite más modos de autenticación y métodos de intercambio de claves que SSH1.X. SSH2.0 puede eliminar los riesgos de seguridad que SSH1.X tiene. SSH2.0 es más seguro y por lo tanto se recomienda. Después de la actualización, se recomienda ejecutar el comando deshacer ssh server compatible-ssh1x enablecommand para deshabilitar el servidor SSH para que sea compatible con versiones anteriores para mejorar la seguridad.

 

51. ¿Cómo puedo garantizar la confiabilidad de las conexiones de pila para los puertos de servicio en los Switches modulares?

 

 

Los puertos de servicio están conectados de dos maneras según la distribución de enlaces:

 

l Conexión en red 1 + 0: cada miembro tiene un puerto lógico de CSS y se conecta al otro miembro mediante puertos físicos en una tarjeta de servicio.

 

l Conexión en red 1 + 1: cada miembro tiene dos puertos lógicos de CSS, y los puertos físicos de los puertos de CSS lógicos se encuentran en dos tarjetas de servicio. Los enlaces de clúster en las dos tarjetas de servicio complementan la redundancia de enlace.

 

Nota:

 

Al conectar cables de racimo, preste atención a los siguientes puntos:

 

Puertos miembros físicos de un Switch lógico de CSS: un Switch debe conectarse a los puertos físicos de un puerto lógico CSS en el otro Switch.

 

En redes 1 + 1, se recomienda que dos tarjetas de servicio tengan la misma cantidad de enlaces de clúster.

 

Para garantizar la confiabilidad, preste atención a los siguientes puntos cuando utilice las dos redes de agrupación de puertos de servicio anteriores:

 

l Se recomienda utilizar la red 1 + 1 y configurar la detección multiactiva (MAD) para garantizar una alta confiabilidad.

 

l Se recomienda agregar al menos dos puertos miembros físicos a un puerto CSS lógico en una tarjeta de servicio, y los puertos miembros físicos agregados al puerto CSS lógico deben conectarse al Switch miembro. Todos estos enlaces tienen un mecanismo de detección de latidos de pila, que puede monitorear mejor el estado de la pila.

 

52. ¿Por qué las estadísticas del paquete de errores de interfaz mostradas en el NMS no coinciden con las que se muestran en el Switch?

Para borrar las estadísticas de tráfico de la interfaz en el NMS, debe ejecutar el comando resetcounters if-mib interface en la vista del usuario en el Switch de la serie S. Para borrar las estadísticas de tráfico de una interfaz, debe ejecutar el comando reset counters interface en la vista del usuario en El Switch de la serie S.

 

 

Los comandos anteriores son independientes entre sí, es decir, ejecutar el comando resetcounters if-mib interface no afecta a las estadísticas de tráfico que se muestran después de que se ejecute la interfaz interfacecommand. Puede ejecutar el comando resetcounters interface para borrar las estadísticas de tráfico que se muestran después de que se ejecute el comando de interfaz de pantalla. De manera similar, ejecutar el comando de reinicio de la interfaz de los contadores no afecta las estadísticas de paquetes en el NMS. Puede ejecutar el comando resetcounters if-mib interface para borrar las estadísticas sobre la interfaz que se muestra en el NMS.

 

53. ¿Cuáles son los otros impactos después del reinicio arp staticCommand ¿Se ejecuta para borrar las entradas de ARP?

Cuando ejecuta el comando reset arp static para borrar las entradas ARP estáticas, el comando para configurar las entradas ARP estáticas también se elimina.

 

Ejemplo:

 

 

[Quidway] arp static 1.1.1.1 0efc-0505-86e3

[Quidway] displaycurrent-configuration | incluir arpstatic

arp static 1.1.1.1 0efc-0505-86e3

[Quidway] quit

<Quidway> restablece arp static

Advertencia: esta operación restablecerá todas las entradas ARP estáticas y borrará las configuraciones de todas las ARP estáticas, continuar? [S / N]: y

<Quidway> displaycurrent-configuration | include arpstatic // El arp static 1.1.1.1 0efc-0505-86e3command ha sido eliminado.

<Quidway>

 

 

 

54. ¿Cómo puedo calcular los recursos de la tarjeta ocupados por la observación de puertos en la configuración de reflejo?

 

Cuando se configura un puerto de observación en la tarjeta A y los paquetes en un puerto duplicado en la tarjeta B se copian en el puerto de observación en la tarjeta A, la cantidad de puertos de observación restantes a los paquetes en todos los puertos reflejados en la tarjeta B se reduce en consecuencia.

 

Por ejemplo, se pueden configurar un máximo de seis puertos de observación para una tarjeta de la serie E en la ranura 1. Los paquetes entrantes en todos los puertos duplicados se pueden copiar a un máximo de cuatro puertos de observación, y los paquetes salientes se pueden copiar a un máximo de dos puertos de observación. Si los paquetes entrantes y salientes en un puerto duplicado se copian al mismo puerto de observación en la tarjeta en la ranura 2, los números de puertos de observación restantes para los paquetes entrantes y salientes son 3 y 1 respectivamente. Por lo tanto, el número total de puertos de observación restantes es 4 (igual a 3 más 1) pero no 5 (igual a 6 menos 1).

 

 

<HUAWEI> vista del sistema

[HUAWEI] observe-puerto 1 interfacegigabitethernet 2/0/2

[HUAWEI] interfaz gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1 / 0/1] duplicación de puertos para observar-puerto 1 tanto

 

 

55. ¿Qué es el mecanismo de implementación de la supresión de registros?

Para habilitar la supresión de estadísticas sobre registros repetidos consecutivos, puede ejecutar el comando info-centertatistic -pression enable en la vista del sistema.

 

Cuando ocurre un ataque de ARP o falla de enlace de ruta, se genera una gran cantidad de registros repetidos en poco tiempo después de que ARP y VRRP están habilitados. Esto desperdicia tanto el espacio de almacenamiento como los recursos de la CPU, y los usuarios no quieren ver estos registros repetidos. Puede ejecutar el comando de habilitación de supresión estadística del centro de información para habilitar la supresión de estadísticas sobre registros repetidos consecutivos de modo que el sistema aún pueda registrar otros registros.

 

Los registros que se generan consecutivamente y con el ID de registro y los parámetros idénticos se pueden considerar como registros generados repetidamente.

 

Las estadísticas sobre los logs generados repetidamente son la primera salida a los 30 segundos desde el momento en que se genera el primer log, y luego las estadísticas sobre los logs generados repetidamente se emiten a los 120 segundos. Después de emitirse dos veces, las estadísticas sobre los logs generados repetidamente se emiten cada 600 segundos.

 

De forma predeterminada, una vez que se recibe un registro, el centro de información genera el registro. Si el centro de información recibe los registros generados repetidamente dentro de un período, genera el número de estos registros y los registros de salida solo cuando recibe un nuevo registro (un registro con un ID de registro diferente). Por ejemplo, un módulo envía registros al centro de información en estas secuencias de A1 (T1) A2 (T2) A3 (T2) B1 (T3) B2 (T4) B3 (T4) C1 (T5) C2 (T6) A4 (T7) B4 (T8) B5 (T8) B5 (T8) B7 (T9) A5 (T9) B8 (T10) D1 (T11) A6 (T11) A7 (T12) A8 (T12) A9 (T13) A10 (T14) A11 ( T15) A12 (T16) A13 (T17) A14 (T18) B9 (T18). A1 a A14 son los mismos; B1 a B9 son iguales; C1, C2 y D1 son diferentes de los demás; T1 a T18 son números de secuencia. La información de registro de salida por el centro de información es como sigue:

 

T1: A1

T3 (1): último mensaje repetido 2 veces

T3: B1

T5: último mensaje repetido 2 veces

T5: C1

T6: C2

T7: A4

T8: B4

T9 (1): último mensaje repetido 3 veces

T9: A5

T10: B8

T11: D1

T11: A6

T13 (2): último mensaje repetido 3 veces

T18 (2): la

 

Los registros del módulo de servicio recibido por el centro de información muestran que:

 

l Las estadísticas sobre los registros generados repetidamente se generan cuando se cumple alguna de las siguientes condiciones:

 

El siguiente registro es un registro diferente, como se muestra en (1).

 

segundo. El período de tiempo (cada 30 segundos, 120 segundos y 600 segundos) para generar estadísticas de registro caduca, como se muestra en (2).

 

l Cada vez que la salida de estadísticas, el módulo de servicio restablece el recuento. Por ejemplo, durante el período de T11 a T18, el registro A se genera 9 (1 + 3 + 5) veces.

 

l Los registros de salida del centro de información, en la misma secuencia en que se generan los registros, facilitan el seguimiento de la información y el escenario.

 

Nota:

 

Los registros que siguen a la secuencia de A B A B A B A B son registros que se generan repetidamente, por lo que las estadísticas sobre estos registros no se pueden eliminar con el comando de habilitación de supresión estadística del centro de información.

 

Ejemplo 1: si un puerto alterna con frecuencia entre Arriba y Abajo, los registros no se pueden suprimir.

 

18 de noviembre de 2017 10: 12: 15 + 08: 00HNSY-WGX-ZXJ-SW1-S9306% IFNET / 4 / IF_STATE (l) [4059453]: InterfaceGigabitEthernet6 / 0/45 se ha convertido en estado UP.

18 de noviembre de 2017 10: 12: 18 + 08: 00 HNSY-WGX-ZXJ-SW1-S9306% IFNET / 4 / IF_STATE (l) [4059454]: Interfaz GigabitEthernet6 / 0/45 ha pasado al estado DOWN.

18 de noviembre de 2017 10: 12: 20 + 08: 00 HNSY-WGX-ZXJ-SW1-S9306% IFNET / 4 / IF_STATE (l) [4059455]: Interfaz GigabitEthernet6 / 0/45 se ha activado.

18 de noviembre de 2017 10: 12: 29 + 08: 00 HNSY-WGX-ZXJ-SW1-S9306% IFNET / 4 / IF_STATE (l) [4059456]: Interfaz GigabitEthernet6 / 0/45 ha pasado al estado DOWN.

18 de noviembre de 2017 10: 12: 31 + 08: 00 HNSY-WGX-ZXJ-SW1-S9306% IFNET / 4 / IF_STATE (l) [4059457]: Interfaz GigabitEthernet6 / 0/45 se ha activado.

 

 

 

 

Ejemplo 2: Si se generan otros registros cuando se imprimen los registros generados repetidamente, la función de supresión se interrumpirá.

 

 

18 de noviembre de 2017 12: 32: 02 + 08: 00 HNSY-WGX-ZXJ-SW1-S9306% INFO / 6 / SUPPRESS_LOG (l) [4059459]: El último mensaje se repitió 1 veces. (InfoID = 5246983, ModuleName = IFNET, InfoAlias = IF_STATE)

18 de noviembre de 2017 12: 46: 05 + 08: 00 HNSY-WGX-ZXJ-SW1-S9306% INFO / 6 / SUPPRESS_LOG (l) [4059460]: El último mensaje se repitió 4 veces. (InfoID = 5246983, ModuleName = IFNET, InfoAlias = IF_STATE)

18 de noviembre de 2017 14: 26: 25 + 08: 00 HNSY-WGX-ZXJ-SW1-S9306D / 4 / CPCAR_DROP_LPU (l) [4059461]: algunos paquetes se descargan de cpcar en el LPU en la ranura 3. (Protocolo = arp-respuesta , Drop-Count = 0123) // Si se generan diferentes registros, la función de supresión se interrumpirá y el registro se reiniciará.

18 de noviembre de 2017 17: 56: 25 + 08: 00 HNSY-WGX-ZXJ-SW1-S9306% INFO / 6 / SUPPRESS_LOG (l) [4059462]: el último mensaje se repitió 2 veces (InfoID = 4280946691, ModuleName = DEFD, InfoAlias = CPCAR_DROP_LPU)

18 de noviembre de 2017 18: 06: 25 + 08: 00 HNSY-WGX-ZXJ-SW1-S9306% INFO / 6 / SUPPRESS_LOG (l) [4059463]: Último mensaje repetido 1 vez (InfoID = 4280946691, ModuleName = DEFD, InfoAlias = CPCAR_DROP_LPU)

18 de noviembre de 2017 18: 30: 00 + 08: 00 HNSY-WGX-ZXJ-SW1-S9306% IFNET / 4 / IF_STATE (l) [4059464]: Interfaz GigabitEthernet6 / 0/45 ha pasado al estado DOWN.

18 de noviembre de 2017 18: 31: 22 + 08: 00 HNSY-WGX-ZXJ-SW1-S9306% IFNET / 4 / IF_STATE (l) [4059465]: Interfaz GigabitEthernet6 / 0/45 se ha activado.

 

 

56. ¿Por qué el ancho de banda de la interfaz VLANIF en un Switch se muestra como 1 Gbit / s en el U2000?

 

 

La interfaz VLANIF es la interfaz lógica y no existe físicamente, y el Switch no proporciona información sobre el uso del ancho de banda de la interfaz VLANIF. Para la información de ancho de banda obtenida del NMS, el valor predeterminado de 1 Gbit / s se configura para la interfaz VLANIF según la regla RFC.

 

 

 

57. ¿Por qué un Switch recibe un paquete de respuesta después de enviar una ID de red (dirección de red)?

SwitchA y SwitchB se conectan directamente a través de interfaces de administración. Después de que la ID de red 192.168.16.0 se haga ping en SwitchA, SwitchA recibe un paquete de respuesta.

 

 

Cuando el SwitchA hace ping al ID de la red, la dirección MAC del destino del paquete ICMP enviado por el SwitchA es FFF-FFFF-FFFF. Si la interfaz de servicio del SwitchB recibe el paquete ICMP, el paquete no se envía a la CPU porque solo los paquetes de solicitud de unidifusión ICMP destinados a SwitchB se envían a la CPU. Sin embargo, si el paquete ICMP enviado desde SwitchA es recibido por la interfaz de administración de SwitchB, el paquete se envía a la CPU. Por lo tanto, SwitchA puede recibir un paquete de respuesta ICMP de SwitchB.

 

 

 

58. ¿Qué es el mecanismo de inicio de sesión de VTY cuando una ACL se configura para controlar los derechos de inicio de sesión de algunos usuarios de VTY?

 

 

El número máximo de usuarios que inician sesión en aswitch es 15. Una ACL está configurada en VTY 0 a VTY 4 en lugar de VTY 5 a VTY14. Cuando solo VTY 0 está ocupado actualmente, un usuario puede iniciar sesión en el Switch a través de una dirección IP excluida por la ACL, y el inicio de sesión ocupa VTY 5.

 

<HUAWEI> display user-interface maximum-vty  
Maximum of VTY user:15 
<HUAWEI> displaycurrent-configuration | begin user-interface 
user-interface maximum-vty 15 
user-interface con 0 
authentication-mode aaa 
idle-timeout 0 0 
screen-length 25 
user-interface vty 0 4 
acl 2000 inbound 
authentication-mode aaa 
user privilege level 3 
idle-timeout 0 0 
screen-length 25 
protocol inbound telnet 
user-interface vty 5 14 
authentication-mode aaa 
user privilege level 3 
idle-timeout 0 0 
screen-length 25 
protocol inbound telnet 
user-interface vty 16 20 

<9312> display acl 2000 
Basic ACL 2000, 3 rules 
Acl's step is 5 
rule 1 permit source 10.0.5.0 0.0.0.255  
rule 2 permit source 10.0.9.0 0.0.0.255  
rule 10 deny  
<9312> display users 
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 
0 CON 0 24:49:10 pass no Username : admin 
+ 34 VTY 0 00:00:00 TEL 10.0.9.10 pass no Username : admin

Cuando se utiliza otro terminal con la dirección IP 10.1.18.213 para iniciar sesión en el Switch, el inicio de sesión también es exitoso. La siguiente información de usuario se muestra después de ejecutar el comando de visualización de usuarios:

 

59. ¿Por qué un usuario no puede autenticarse debido a la contraseña larga cuando el usuario realiza la autenticación HWTACACS o RADIUS para iniciar sesión en el dispositi**** través de Telnet?

Si el Switch de la serie S es V200R003 o una versión anterior, el Switch puede identificar un máximo de 16 caracteres. Por lo tanto, si la longitud de la contraseña es demasiado larga, se produce un error de inicio de sesión porque la interacción de la contraseña es anormal cuando un usuario inicia sesión en el switch e ingresa una contraseña (más de 16 caracteres). Se recomienda cambiar la longitud de la contraseña (menos de 16 caracteres) o actualizar el Switch de la serie S a V200R005 o una versión posterior.

 

 

60. ¿Por qué la velocidad de descarga es lenta en una prueba de descarga de archivos compartidos en la WLAN?

Versiones y modelos aplicables: todos los modelos y versiones de WLAN AC

Cuanto mayor sea la velocidad de configuración del enlace, mayor será la velocidad de descarga de la STA. La velocidad de configuración del enlace depende de factores tales como el ancho de banda de radio frecuencia y el modo de intervalo de guarda (GI).

Para lograr una velocidad más alta, configure un ancho de banda de trabajo más alto, por ejemplo, 40 MHz (no recomendado en la banda de frecuencia de 2.4 GHz), y configure el modo GI en corto. Si se usan AP y STA que no son 802.1111ac, reemplácelos con AP y STA 802.11ac (como MacBook), configure el ancho de banda de trabajo a 80 MHz y configure el modo GI en corto.

Además, si el modo de reenvío de datos de servicio actual es el reenvío de túnel, puede cambiar el modo de reenvío para reenviar directamente y configurar solo un VAP para que se genere en el AP bajo la prueba de velocidad de descarga.

Sin embargo, el modo de prueba de la descarga de archivos compartidos está limitado por el rendimiento de lectura / escritura de las STA. Si el rendimiento de lectura / escritura de las STA alcanza el cuello de botella, no se puede mejorar la velocidad del enlace inalámbrico. El software SpeedTest se puede utilizar en la prueba de velocidad de descarga.

 

61. ¿Por qué los usuarios de WLAN se desconectan con frecuencia?

Versiones y modelos aplicables: todos los modelos WLAN AC en las versiones V200R005C00, V200R006C00, V200R007C00 y V200R008C00

Respuesta: Si varios conjuntos de servicios vinculados a un AP tienen el mismo SSID pero VLAN de servicio diferente, los usuarios de WLAN pueden desconectarse con frecuencia. Por ejemplo, la siguiente configuración es incorrecta:

 

service-set name ser-employee id 1
 forward-mode tunnel

 wlan-ess 1
 ssid chinamoney-2F
 traffic-profile id 1
 security-profile id 1
 service-vlan 207
service-set name ser-guest id 2
 forward-mode tunnel
 wlan-ess 2
 ssid chinamoney-2F-guest
 traffic-profile id 1
 security-profile id 2
 service-vlan 208
service-set name ser-employee-vlan209 id 3
 forward-mode tunnel
 wlan-ess 1
 ssid chinamoney-2F
 traffic-profile id 1
 security-profile id 1
 service-vlan 209
service-set name peixun id 4
 forward-mode tunnel
 wlan-ess 4
 ssid peixun
 traffic-profile id 1
 security-profile id 0
 service-vlan 206
ap 0 radio 0
 radio-profile id 0
 service-set id 1 wlan 1
 service-set id 2 wlan 2
 service-set id 3 wlan 3
 service-set id 4 wlan 4
ap 0 radio 1
 radio-profile id 0
 service-set id 1 wlan 1
 service-set id 2 wlan 2
 service-set id 3 wlan 3
 service-set id 4 wlan 4


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba