控制台 - 网络管理之华为交换机经典问题汇总

精选转载

cinnarnia 2014-03-22 12:24:45 博主文章分类：硅谷区

华为交换机经典问题

1.如何清除设备当前配置文件的用户配置信息

在用户视图下使用reset saved-configuration命令，可删除交换机当前配置文件中的用户信息。

当配置文件的文件内容被擦除后，将创建相同名字的空配置文件，并加载HGMP初始配置文件。保存配置信息，当Switch重新启动之后，加载的为HGMP缺省的使能配置。

reset saved-configuration一般在以下情况下使用：将一台已经配置过的交换机用于新的应用环境，原有的配置文件不能适应新环境的需求时，需要对交换机重新配置，这时使用reset saved-configuration可以清除配置文件的用户配置信息后，重新配置交换机。

说明：在配置reset saved-configuration命令后，重启设备时请选择不保存当前配置文件。

清除和重新配置的信息只能在设备重新启动后生效，当前配置不变。

2. 如何清空用户当前工作路径中被删除到回收站的文件

使用reset recycle-bin [ filename ]命令，可彻底删除回收站中的文件。回收站中的文件被彻底删除后，将不可恢复

3.交换机缺省的bootrom密码是什么

交换机系统启动bootrom时，在2秒内按下“CTRL＋B”，此处需要输入密码才能进入BOOTROM菜单。默认密码为“huawei”。

4.查看Flash中的默认文件时，除了默认的启动软件和配置文件，其他的分别是什么文件

设备上电时，默认从Flash存储器中读取配置文件进行初始化。在用户视图下执行dir flash:时，显示信息如下：

<Quidway> dir flash:

Directory of flash:/

IdxAttrSize(Byte)DateTimeFileName

0-rw-812Jan 01 2008 00:00:56private-data.txt

1-rw-948Jan 01 2008 07:16:55vrpcfg.zip

2-rw-90,602Jan 03 2008 03:58:15v100r005sph001.pat

3-rw-6,418,980Jan 19 2008 20:19:42s2300-v100r005c01.cc

4-rw-12,240Jan 03 2008 04:52:43$_patchstate_reboot

14,632 KB total (8,228 KB free)显示信息中：

private-data.txt：用来保存业务初始化数据的文件。部分任务的初始化数据与配置无关（比如设备的重启次数），无法记录在配置文件中，使用该文件记录。

$_patchstate_reboot：补丁状态文件。设备运行过补丁时，该状态文件将会产生。该文件生成以后，受系统保护，不允许删除，将记录以后所有的补丁的状态（active，run等）。

某些情况下，Flash中还会存在一个notilogindex.txt的文件。系统启动后，若设备上配置了Inform方式告警的目标主机，会将该文件中的数值作为初始流水号，作为报文的request ID字段值。SNMP任务启动后，开始计时，每12小时刷新一次该文件。

5. 如何将S2300的配置清空

在S2300交换机上使用reset save-configuration命令重启设备，设备启动后配置不为空。例如，端口下会存在bpdu enable等。

要完全清空S2300的配置必须要删除flash中的vrpcfg.cfg文件后重启才能实现。在运行状态中，无法用命令删除vrpcfg.cfg文件，该文件被视作系统文件而禁止删除，如果要强制删除，需要在bootroom菜单下操作，具体步骤如下：

重启交换机，按ctrl+b进入bootroom菜单，输入默认密码huawei。

按ctrl+z进入隐含菜单，选择2可删除flash中文件。

选择删除vrpcfg.cfg文件后重启设备，操作完成。

6.交换机通过console口登录的低权限用户能否有默认的super密码

默认配置下，交换机使用console登录后的权限为最高。

如果用户通过console登录后，又配置了本地认证，且用户级别低，在没有配置super密码的情况下，可以通过执行super命令可获取最高权限。如果已经配置了super密码，那么以上操作将不再生效。

7.交换机正常工作溫度应该为多少

S2300温度范围：

长期工作温度-5°C～50°C

短期工作温度-5°C～55°C

存储温度-40°C～70°C

S3300温度范围：

长期工作温度0°C～50°C

短期工作温度-5°C～55°C

存储温度-40°C～70°C

S5300温度范围：

长期工作温度0°C～50°C

短期工作温度-5°C～55°C

存储温度-40°C～70°C

通过命令行display environment看到的当前温度是监控温度（监控温度并非实际的环境温度，而是设备内部的高温点）。

只要没有告警，设备是属于正常工作，没有超出工作温度范围。

说明：

可以通过temperature threshold命令设置设备的告警温度门限值。可以通过display environment命令查看设备的告警温度门限值及当前温度。

8.S2300/S3300/S5300如何配置限制接口学习MAC地址的数量

背景信息

配置限制接口学习MAC地址的数量时，请注意如下几点：

V100R005之前的版本，在配置限制接口学习MAC地址的数量前，必须先在系统视图下配置mac-address restrict命令使能设备的MAC地址学习限制功能，V100R005版本没有此要求。

V100R005版本接口安全功能与基于接口的MAC地址学习限制功能相冲突。配置接口安全功能后，不能在该接口下配置MAC地址学习限制。

V100R005之前的版本，在配置接口安全功能前，必须先完成如下配置：

在系统视图下使用mac-address restrict命令使能设备的MAC地址学习限制功能。

9.如何配置链路聚合的负载分担方式

链路聚合的负载分担方式的配置方法：

V100R001版本

在Eth-Trunk接口视图下使用load-balance { dmac | smac | smacxordmac } 命令配置链路的负载分担方式。

缺省情况下，Eth-Trunk接口的负载分担模式为smacxordmac。

V100R002、V100R003版本

在Eth-Trunk接口视图下使用load-balance { dmac | smac | smacxordmac | sip | dip | sipxordip } 命令配置链路的负载分担方式。

缺省情况下，Eth-Trunk接口的负载分担模式为smacxordmac。

V100R005版本

在Eth-Trunk接口视图下使用load-balance { dst-ip | dst-mac | src-ip | src-mac | src-dst-ip |src-dst-mac } 命令配置链路的负载分担方式。

缺省情况下，Eth-Trunk接口的负载分担模式为src-dst-mac。

在接口视图下使用mac-table limit命令配置限制接口学习MAC地址的数量。

下面的操作步骤和举例以V100R005版本的实现进行说明。

操作步骤

执行命令system-view，进入系统视图。

执行命令interface interface-type interface-number，进入接口视图。

执行命令mac-limit maximum max-num，限制接口的MAC地址学习数量。

缺省情况下，不限制MAC地址学习数量。当学习到的MAC地址数达到接口限制数时，接口将丢弃源地址在MAC表以外的报文，同时发出trap告警。

如果需要更改接口在学习到的MAC地址数达到接口限制数时，对源地址在MAC表以外的报文的处理动作，可以执行port-security enable命令使能接口的安全保护功能，然后执行port-security protect-action { protect | restrict | shutdown }命令设置当MAC地址数量达到限制后接口采取的安全保护动作。接口安全功能的保护动作有如下三种：

protect

当学习到的MAC地址数达到接口限制数时，接口将丢弃源地址在MAC表以外的报文。

restrict

当学习到的MAC地址数达到接口限制数时，接口将丢弃源地址在MAC表以外的报文，同时发出trap告警。

shutdown

当学习到的MAC地址数达到接口限制数时，接口将执行shutdown操作。

举例：配置接口只能学习一个MAC地址，接口学习超过一个MAC地址后，对源地址在MAC表以外的报文采用protect的处理动作。

<Quidway> system-view[Quidway]interface ethernet0/0/1[Quidway-Ethernet0/0/1] port-securityenable[Quidway-Ethernet0/0/1] port-security protect-action protect

10.交换机如何设置接口的流量统计时间间隔

通过使用set flow-stat interval命令设置接口的流量统计时间间隔，用户可以对感兴趣的报文进行统计与分析。同时，通过预先查看接口的流量统计，及时采取流量控制的措施，可以避免网络拥塞和业务中断。

当用户发现网络有拥塞加剧的情况时，将接口的流量统计时间间隔设置为小于300秒（情况紧急时，设置为30秒），观察接口在短时间内的流量分布情况。对于导致拥塞的数据报文，采取流量控制措施。

当网络带宽充裕，业务运行正常时，可以将接口的流量统计时间间隔设置为大于300秒。一旦发现有流量参数异常的情况，及时修改流量统计时间间隔，便于更实时的观察该流量参数的趋势。

说明：

在系统视图下配置的接口流量统计时间间隔对接口下的时间间隔为缺省值的所有接口都生效。

在接口视图下配置的接口流量统计时间间隔只对本接口生效，不影响其他接口。

在接口视图下配置的时间间隔的优先级高于在系统视图下配置的时间间隔。

11.清除端口的报文统计，为什么会影响流量计费的结果

流量计费的依据就是各个端口的报文统计，使用reset counters interface清除端口的报文统计，会对流量计费的结果产生影响。因此，在正常的应用环境中，请不要随意进行清除端口报文统计的操作。

12.为什么用于复杂流分类匹配的ACL，使用displayacl命令没有计数

对于流策略而言，可以通过在其流行为中增加一个count动作来对匹配该ACL的报文进行计数。display acl中的matched显示的是对主控cpu匹配的报文进行统计，而不是流策略的统计计数。因此在有大量匹配了该ACL的报文通过时，使用命令display acl统计计数一直是0

13.配置交换机限速时，cir和cbs的关系是什么

配置交换机限速时，cir和cbs的关系如下：

cbs要大于报文的最大长度。

在连续流量的情况下对于cbs没有特殊的要求，保证平均速率是cir的速率。

在突发流量需要保证的情况下，如果cbs换算成kbit小于cir，那么cbs也无法保证突发流量。否则cbs可以配置大一些。

在对FTP业务进行限速时，由于FTP属于TCP业务，TCP协议有其特殊的传输机制导致流量无法达到所应该达到的限速速率，推荐配置：

CBS = 200 * CIR

PBS = 2 * CBS

说明：

不配置PIR，只配置CIR、CBS、PBS。

CIR单位为Kbps，CBS、PBS单位为Byte。

例如：配置CIR带宽为2M=2048Kbps，则：

CBS = 200 * CIR = 200 * 2048 = 409600

PBS = 2 * CBS = 2 * 409600 = 819200

配置如下：

[Quidway-behavior-b1] car cir 2048 pir 2048cbs 409600 pbs 8192000 green pass remark-8021p 5 yellow pass red discard

14.S2300&S3300&S5300如何配置限速

在配置限速时，推荐：

不配置PIR，只配置CIR、CBS、PBS。

CBS = 200 * CIR。

PBS = 2 * CBS = 2 * 200 * CIR = 400 * CIR。

其中，CIR单位为Kbps，CBS、PBS单位为Byte。

配置出方向端口限速，限速10M

在V100R003C01以前的版本，配置如下：

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] qos lr cir 10240cbs 2048000在V100R003C01及以后的版本，配置如下：

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] qos lr outbound cir10240 cbs 2048000配置入方向限速，限速10M

在V100R003C01以前的版本，配置如下：

[Quidway] traffic classifier c1

[Quidway-classifier-c1] if-match any

[Quidway-classifier-c1] quit

[Quidway] traffic behavior b1

[Quidway-behavior-b1] permit

[Quidway-behavior-b1] car cir 10240 cbs2048000 pbs 4096000

[Quidway-behavior-b1] quit

[Quidway] traffic policy c1

[Quidway-trafficpolicy-c1] classifier c1behavior b1

[Quidway-trafficpolicy-c1] quit

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] traffic-policy c1inbound在V100R003C01及以后的版本，配置如下：

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] qos lr inbound cir10240 cbs 2048000 说明：

流策略可以应用在物理接口视图、Eth-Trunk视图、VLAN视图（端口共享带宽）。

S5300中，物理接口为GigabitEthernet接口。

15.S2300&S3300&S5300如何配置流量统计

假设需要统计接口Ethernet0/0/1上源IP地址为10.1.1.0/24网段的Ping报文，配置如下：

# 配置ACL规则。

[Quidway] acl number 3333

[Quidway-acl-adv-3333] rule 5 permit icmpsource 10.1.1.0 0.0.0.255

[Quidway-acl-adv-3333] quit

# 配置流分类。

[Quidway] traffic classifier test

[Quidway-classifier-test] if-match acl 3333

[Quidway-classifier-test] quit

# 配置流行为。

S2300&S3300&S5300 V100R005以前版本

[Quidway] traffic behavior test

[Quidway-behavior-test] count

[Quidway-behavior-test]quitS2300&S3300&S5300 V100R005以后版本

[Quidway] traffic behavior test

[Quidway-behavior-test] statistic enable

[Quidway-behavior-test] quit# 配置流策略。

[Quidway] traffic policy test

[Quidway-trafficpolicy-test] classifiertest behavior test

[Quidway-trafficpolicy-test] quit应用流策略。

# S2300&S3300上应用流策略test。

[Quidway] interface ethernet0/0/1

[Quidway-Ethernet0/0/1] traffic-policy testinbound# S5300上应用流策略test。

[Quidway] interface gigabitethernet0/0/1

[Quidway-GigabitEthernet0/0/1]traffic-policy test inbound配置完成后，可执行命令display traffic policy statistics interface interface-typeinterface-number查看流量统计信息。如果需要重新进行流量统计，可执行命令reset traffic policy statistics interface interface-typeinterface-number清除原有流量统计信息。

说明：

S2300&S3300只支持入方向的流量统计。

S5300支持入方向和出方向的流量统计，但不能统计由S5300设备自身CPU始发的报文。

16.为什么配置了DHCPSnooping之后，设备下挂用户无法获取IP地址

在使能DHCP Snooping之后，Switch所有接口状态缺省都是非信任状态。这时要把与DHCP Server相连的接口配置成信任状态，否则DHCP Server回应的DHCP Reply报文都会被丢弃，这样Switch下挂用户无法获取DHCP Server分配的IP地址。

17.如何通过配置来实现IP+MAC+端口绑定功能

S-swich通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能。

配置思想是先在VLAN下配置的静态绑定表，静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。

例如配置IP地址10.1.1.1，MAC地址0002-0002-0002和接口Ethernet0/0/1绑定。

在V100R002的版本配置如下：

[HUAWEI] dhcp enable

[HUAWEI] dhcp snooping enable

[HUAWEI] vlan 100

[HUAWEI-vlan100] quit

[HUAWEI] interface Ethernet 0/0/1

[HUAWEI-Ethernet0/0/1] port default vlan100

[HUAWEI-Ethernet0/0/1] dhcp snooping checkuser-bind enable

[HUAWEI-Ethernet0/0/1] quit

[HUAWEI] vlan 100

[HUAWEI-vlan100] dhcp snooping enable

[HUAWEI-vlan100] user-bind staticip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1

在V100R003及以后的版本配置如下：

[HUAWEI] dhcp enable

[HUAWEI] dhcp snooping enable

[HUAWEI] vlan 100

[HUAWEI-vlan100] quit

[HUAWEI] interface Ethernet 0/0/1

[HUAWEI-Ethernet0/0/1] port default vlan100

[HUAWEI-Ethernet0/0/1] ip source checkuser-bind enable

[HUAWEI-Ethernet0/0/1] quit

[HUAWEI] vlan 100

[HUAWEI-vlan100] dhcp snooping enable

[HUAWEI-vlan100] quit

[HUAWEI] user-bind static ip-address10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1

18.如何通过配置来实现MAC+端口绑定功能

Switch通过流策略与DHCP Snooping两个功能相互结合来实现MAC和端口绑定，即实现某个端口只绑定某个特定mac地址（某个端口只允许在绑定表内的和某特定mac地址的报文通过），不绑定ip。

例如，配置端口Ethernet0/0/1只允许绑定表内的和源mac地址为0-02-02的报文通过，其他报文都丢弃。

# 全局使能dhcp snooping

[Quidway] dhcp snooping enable# 创建ACL，只允许MAC地址为0-02-02的报文

[Quidway] acl 4000

[Quidway-acl-L2-4000] rule permitsource-mac 0-02-02 ffff-ffff-ffff

[Quidway-acl-L2-4000] rule deny# 创建流分类，匹配ACL4000

[Quidway] traffic classifier c1

[Quidwayclassifier-c1] if-match acl 4000# 创建流行为和流策略

[Quidway] traffic behavior b1

[Quidway-behavior-b1] permit

[Quidway] traffic policy p1

[Quidway-trafficpolicy-p1] classifier c1behavior b1# 端口下应用流策略，使该端口只允许绑定表内的和源mac地址为0-02-02的报文通过。

在V001C00R002的版本配置如下：

[Quidway] interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1] port default vlan4094

[Quidway-Ethernet0/0/1] dhcp snooping checkuser-bind enable

[Quidway-Ethernet0/0/1] traffic-policy p1inbound在V001C00R003及以后的版本配置如下：

[Quidway] interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1] port default vlan4094

[Quidway-Ethernet0/0/1] ip source checkuser-bind enable

[Quidway-Ethernet0/0/1] traffic-policy p1inbound

19.如何通过配置实现IP+端口绑定

Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定，即实现某个端口只绑定某个特定源ip地址（只允许在绑定表内的和某个特定源ip地址的报文通过），不绑定mac。

例如，配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过，丢弃其他IP报文。

# 全局使能dhcp snoopying

[Quidway] dhcp snooping enable# 定义高级ACL，匹配IP地址192.168.130.50

[Quidway] acl 3000

[Quidway-acl-adv-3000] rule 5 permit ipsource 192.168.130.50 0

[Quidway-acl-adv-3000] rule 10 deny ipsource any

[Quidway-acl-adv-3000] rule 15 deny ipdestination any# 创建流分类，匹配ACL

[Quidway] traffic classifier c1

[Quidwayclassifier-c1] if-match acl 3000# 创建流行为和流策略

[Quidway] traffic behavior b1

[Quidway-behavior-b1] permit

[Quidway] traffic policy p1

[Quidway-trafficpolicy-p1] classifier c1behavior b1# 端口下应用流策略，只允许绑定表内的和源IP地址为192.168.130.50的报文通过

在V100R002C00的版本配置如下：

[Quidway] interface Ethernet 0/0/8

[Quidway-Ethernet0/0/8] port default vlan4094

[Quidway-Ethernet0/0/8] dhcp snooping checkuser-bind enable

[Quidway-Ethernet0/0/8] traffic-policy p1inbound在V100R003C00及以后的版本配置如下：

[Quidway] interface Ethernet 0/0/8

[Quidway-Ethernet0/0/8] port default vlan4094

[Quidway-Ethernet0/0/8] ip source checkuser-bind enable

[Quidway-Ethernet0/0/8] traffic-policy p1inbound

20.S2300/3300/5300系列交换机如何防止用户私设静态IP地址

防止用户私设静态IP地址，可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过，其它用户数据不能通过。

S2300/3300/5300系列交换机虽然没有H3C交换机的amuser-bind命令，但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如，若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外，其它所有静态IP用户都不能上网。配置如下：