幻灯片 0

Similar documents
目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas


active phisical rp address: backup phisical rp address: 截取部分 TOPO 图说明到 不通的问题 : internet internet tengige 0/0/0/0 tengige

产品画册 S2700系列企业交换机 2

命令总索引

Chapter #

命令总索引

SERVERIRON ADX

产 品 特 点 丰 富 的 安 全 策 略 H3C S2600 系 列 交 换 机 支 持 特 有 的 ARP 入 侵 检 测 功 能, 可 有 效 防 止 黑 客 或 攻 击 者 通 过 ARP 报 文 实 施 日 趋 盛 行 的 ARP 欺 骗 攻 击 支 持 IP Source Guard 特

EX2300 以太网交换机

功 能 和 优 势 业 界 知 名 的 保 修 服 务 - MLD 侦 听 : 将 IPv6 组 播 流 量 转 发 到 合 适 的 接 口 ; 避 免 IPv6 组 播 流 量 泛 洪 网 络 - IPv6 ACL/QoS: 支 持 ACL 和 IPv6 网 络 流 量 QoS - IPv6 就

RUCKUS ICX / RJ-45 USB USB G 24 10/100/1000 Mbps RJ GbE EPS /100/1000 Mbps RJ GbE / 10 GbE P 24 1


IP505SM_manual_cn.doc

01-特性差异化列表

R3105+ ADSL

SL2511 SR Plus 操作手冊_單面.doc

桐乡市皮肤病防治院新大楼数通和数据库审计

目录 1 IPv6 PIM Snooping 配置命令 IPv6 PIM Snooping 配置命令 display pim-snooping ipv6 neighbor display pim-snooping ipv6 routing-ta

ch08.PDF

D E 答 案 :C 3. 工 作 站 A 配 置 的 IP 地 址 为 /28. 工 作 站 B 配 置 的 IP 地 址 为 /28. 两 个 工 作 站 之 间 有 直 通 线 连 接, 两 台

目 录(目录名)

1 1 2 OSPF RIP 2

一、选择题

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP #

RUCKUS ICX / RJ-45 mini USB USB G 24 10/100/1000 Mbps RJ GbE EPS Layer /100/1000 Mbps RJ GbE / 10 GbE 72

BYOD Http Redirect convergence Client (1) 2008R2 NLB( ) (2) NLB Unicast mode switch flooding (arp ) NLB DNS Redirect 1. Round-Robin DNS DNS IP/DNS Cli

PowerPoint 演示文稿

SAPIDO GR-1733 無線寬頻分享器

(UTM???U_935_938_955_958_959 V )

C3_ppt.PDF


Chapter 1 — Introduction

政府采购招标文件

通过动态路由协议实现链路备份

实施生成树

AL-M200 Series

M-LAG 技术白皮书

Master Thesis_專門用來製作目錄.doc

RG-NBS5816XS交换机RGOS 10.4(3)版本WEB管理手册

幻灯片 0

ebook140-11

目录 1 IP 地址配置命令 IP 地址配置命令 display ip interface display ip interface brief ip address i

H3C ISATAP 隧道和 6to4 隧道相结合使用的典型配置举例 Copyright 2017 新华三技术有限公司版权所有, 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不得以任何形式传播 本文档中的信息可能变动, 恕不另行通知

¶C¶L§§¬_™¨ A.PDF

Symantec™ Sygate Enterprise Protection 防护代理安装使用指南

Microsoft Word T-REC-Y C.doc

Dell SonicWALL Network Security Appliance Dell SonicWALL Network Security Appliance (NSA) (Reassembly-Free Deep Packet Inspection, RFDPI) NSA NSA RFDP

飞鱼星多WAN防火墙路由器用户手册

湖北省政府采购中心

第3章

网 络 分 析 仪 网 络 分 析 仪 软 件 使 网 络 技 术 人 员 可 以 快 速 维 护 和 优 化 下 一 代 网 络 的 话 音 业 务 和 数 据 业 务 此 外, 任 何 人 通 过 这 些 软 件 都 可 随 时 随 地 访 问 几 乎 任 何 网 络, 运 行 任 何 协 议,


IC-900W Wireless Pan & Tilt Wireless Pan & Tilt Remote Control / Night Vision FCC ID:RUJ-LR802UWG

智能弹性架构 H3C S5120- 系列交换机支持 IRF2( 第二代智能弹性架构 ) 技术, 就是把多台物理设备互相连接起来, 使其虚拟为一台逻辑设备, 也就是说, 用户可以将这多台设备看成一台单一设备进行管理和使用 IRF 可以为用户带来以下好处 : 简化管理 IRF 架构形成之后, 可以连接到

路由器基本配置

工程师培训

untitled

OSPF over IPSec及路由冗余

bingdian001.com

Simulator By SunLingxi 2003

1 QoS... 1 QoS... 1 QoS QoS... 5 Class DSCP... 7 CoS... 7 IP QoS... 8 IP / /... 9 Cl

peer ttl-security hops (IPv6 address family view) portal nas-id-profile portal redirect-url peer ignore-origin

S5820X 系列是全球业内最高性能的交换机之一, 同时提供最多 24 个全线速万兆接口, 使万兆服务器高密度接入和园区网高密度万兆汇聚成为可能 包括以下型号 : S5820X-28S:24 个 1/10G SFP+ 端口,4 个 10/100/1000Base-T 以太网端口 ; S5820X-2

计算机网络概论

S5820X 系列是全球业内最高性能的交换机之一, 同时提供最多 24 个全线速万兆接口, 使万兆服务器高密度接入和园区网高密度万兆汇聚成为可能 包括以下型号 : S5820X-28S:24 个 1/10G SFP+ 端口,4 个 10/100/1000Base-T 以太网端口 ; S5820X-2

IP Access Lists IP Access Lists IP Access Lists

目录 1 sflow 配置命令 sflow 配置命令 display sflow sflow agent sflow collector sflow counter inte

QL1880new2.PDF

KL DSC DEMO 使用说明

<4D F736F F F696E74202D FC2B2B3F85FA44AAB49B0BBB4FABB50B977A8BEA874B2CEC2B2A4B6BB50C0B3A5CE2E707074>

FabricPath The IT challenge : Is My Network Ready? (Cloud Computing) Big Data BYOD ( ) APPs Facebook Google+ Gmail Dropbox Google drive YouTube Linked

ARP ICMP

財金資訊-80期.indd

H3C S5500-HI系列交换机彩页_ _.doc

專業式報告

第 7 章 下 一 代 网 际 协 议 IPv6 141 足 的 措 施 只 能 是 权 宜 之 计 (3) 路 由 表 膨 胀 早 期 IPv4 的 地 址 结 构 也 造 成 了 路 由 表 的 容 量 过 大 IPv4 地 址 早 期 为 网 络 号 + 主 机 号 结 构, 后 来 引 入

User ID 150 Password - User ID 150 Password Mon- Cam-- Invalid Terminal Mode No User Terminal Mode No User Mon- Cam-- 2

S5700-EI 系 列 全 千 兆 企 业 交 换 机 产 品 概 述 S5700-EI 增 强 型 千 兆 以 太 网 交 换 机 系 列 ( 以 下 简 称 S5700-EI), 是 华 为 公 司 自 主 研 发 的 千 兆 以 太 网 交 换 机, 提 供 灵 活 的 全 千 兆 接 入

Microsoft PowerPoint CN 19

目录 1 IP 地址 IP 地址配置命令 display ip interface display ip interface brief ip address 1-5 i

ext-web-auth-wlc.pdf

NAT环境下采用飞塔NGFW

备故障, 系统会迅速自动选举新的 Master, 以保证通过系统的业务不中断, 从而实现了设备级的 1:N 备份 ;IRF 系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备, 从而实现 1:N 的协议可靠性 高性能对于高端交换机来说, 性能和端口密度的提升会受到硬件结构的限制

一.NETGEAR VPN防火墙产品介绍

untitled

TCP/IP TCP/IP OSI IP TCP IP IP TCP/IP TCP/IP

版权声明

总 目 录 第 一 章 投 标 邀 请 第 二 章 招 标 项 目 需 求 第 三 章 投 标 人 须 知 第 四 章 合 同 格 式 第 五 章 投 标 文 件 格 式 招 标 编 号 :JXBJ2016-G

第 11 章 互聯網技術 11.1 互聯 網 和 萬 維 網 的 發 展 歷 史 A. 互聯網的發展 互聯網是由 ARPANET 開 始發展的 1969 年 美國國防部高級研究計劃署 (ARPA) 把部分軍事研究所和大 的電腦連接起來 建造了㆒個實驗性的電腦網絡 稱為 ARPANET 並 列 的功能

TP-LINK

XX交换产品培训

H3C 盒式 NGFW 设备出口网关双主模式典型配置举例 Copyright 2016 杭州华三通信技术有限公司版权所有, 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不得以任何形式传播 本文档中的信息可能变动, 恕不另行通知 1

專業式報告

目录 1 VLAN 映射配置 VLAN 映射简介 :1 和 N:1 VLAN 映射的应用 :2 VLAN 映射的应用 VLAN 映射的基本概念 VLAN 映射实现方式..

智能弹性架构 H3C CE3000 系列交换机支持 IRF2( 第二代智能弹性架构 ) 技术, 就是把多台物理设备互相连接起来, 使其虚拟为一台逻辑设备, 也就是说, 用户可以将这多台设备看成一台单一设备进行管理和使用 IRF 可以为用户带来以下好处 : 简化管理 IRF 架构形成之后, 可以连接到

《计算机网络》实验指导书

幻灯片 0

6112 http / /mops.tse.com.tw http / /

Transcription:

H3C CE3000 系列交换机产品介绍 ISSUE 1.0 日期 : 杭州华三通信技术有限公司版权所有, 未经授权不得使用与传播

课程目标 学习完本课程, 您应该能够 : 熟悉 CE3000 交换机的产品形态 熟悉 CE3000 交换机的软硬件特性 熟悉 CE3000 交换机的基本维护操作 掌握基本的故障定位和排查能力 掌握基本的故障信息采集方法

目录 第一章 第二章 第三章 第四章 CE3000 产品概述 CE3000 软 硬件特性 CE3000 典型应用 CE3000 基本维护

产品概述 CE3000 是面向电信以太网接入 汇聚而设计的多业务千兆交换机 CE3000-32F-EI CE3000 以太网交换机为用户提供以下丰富的业务服务特性 : 支持 Internet 宽带接入 主要支持城域网用户的接入 支持 VOD 等多媒体服务 支持 VOIP 等时延敏感的语音业务 提供强组播功能, 同时支持 IPv4/IPv6 组播的音频和视频的服务功能 www.h3c.com 3

产品形态 型号 CE3000-32F-EI 端口配置 :24* SFP+4* SFP+ 扩展插槽 :4*SFP+/2*SFP+/16SFP/16GE 供电方式 : 双模块化电源,AC/DC 可混插 交换容量 :208Gbps 转发性能 :155Mpps 管理串口和 USB 隐藏设计 www.h3c.com 4

产品形态 可插拔电源和风扇 CE3000-32F-EI 的电源和风扇可插拔 PSR150-A/PSR150-D 两款电源 单电源可以满足整机供电 建议配置双电源实现 1+1 备份 LSW1BFAN 涡轮风扇 ( 侧进风后出风 ) PSR150-A/PSR150-D LSW1BFAN www.h3c.com 5

产品形态 可插拔电源按照 电源安装上电流程如下 安装电源模块连接电源线打开电源开关 电源断电拆卸流程如下 关闭电源开关拆除电源线拆卸电源模块 www.h3c.com 6

产品形态 接口模块扩展卡 CE3000-32F-EI 提供 4 种可选接口模块扩展卡 LSW1GT16P:16 端口 GE LSW1GP16P0:16 端口 SFP LSW1SP2P0:2 端口 SFP+ LSW1SP4P0:4 端口 SFP+ LSW1GT16P LSW1GP16P0 LSW1SP2P0 LSW1SP4P0 www.h3c.com 7

本章总结 CE3000 系列交换机设备形态 CE3000 系列交换机配件

目录 第一章 第二章 第三章 第四章 CE3000 产品概述 CE3000 软 硬件特性 CE3000 典型应用 CE3000 基本维护

第二章 CE3000 软 硬件特性 第一节硬件特性 第二节软件特性 www.h3c.com 10

硬件特性概述 双核多线程 CPU 控制系统 大 Buffer 大表项 大存储空间 4M Buffer 32K MAC 8K Ingress ACL,2K egress ACL 512M 内存,512M Flash SFP+ 插槽支持 SFP/SFP+ 模块混插 IRF2 堆叠, 可远程堆叠, 带宽可配置 电源 风扇 板卡支持热插拔 支持 USB 口, 带外网管口 www.h3c.com 11

强健的 芯 NetStream BFD OAM 路由组播生成树 业内第一款采用双核多线程设计的盒式交换机产品 关键业务有专用线程处理,N 倍提升处理性能和可靠性 盒内预置了 512M 内存和 512M FLASH, 能够满足未来 5 年的业务增长需求 www.h3c.com 12

下一代万兆接口 SFP+ 低功耗 SFP+ 模块的典型功耗是 1W,X2 模块 (4W) 的 25%, 是 XFP 模块 (2.5W) 的 40%, 是 XENPAK 模块 (6W) 的 17% 高密度 CE3000 系列可以 24 个万兆 SFP+ 端口线速 (1U 机箱 ) 低成本 与 XFP 模块相比,SFP+ 模块成本是对应 XFP 模块的 50%- 80% 兼容性 SFP+ 接口既支持万兆 SFP+ 模块, 也可以前向兼容千兆 SFP 模块 (CE3000/CE3000 支持 ) www.h3c.com 13

IRF2 第二代弹性智能堆叠 堆叠口灵活可配置, 和不同 10GE 口可以相互切换 堆叠带宽灵活可配, 从 40GE~160GE 不等 堆叠模式灵活多样, 支持链堆, 环堆 提供三种规格的堆叠电缆,0.65m,1.2m,3m, 满足用户各种组网需求 支持通过光模块对接完成远程堆叠的方案 跨设备链路聚合, 分布式二 三层转发, 自动升级版本, 自动配置下发 www.h3c.com 14

绿色节能 H3C CE30 系列交换机的设计和制造, 都严格遵循欧盟颁布的 RoHS 指令以及工信部 ( 原信产部 ) 联合发改委 质检总局 环保总局等发布 电子信息产品污染控制管理办法, 并通过相应认证, 在生产 使用和回收处理过程中, 不会对环境造成污染 关闭没有应用的端口, 节省能源 根据端口 LINK 状态, 调节能源 根据端口速率模式, 调整能源 增加温度传感器, 自动调整风扇转速 基于时间段的 POE 供电控制 www.h3c.com 15

第二章 CE3000 软 硬件特性 第一节硬件特性 第二节软件特性 www.h3c.com 16

软件特性概述 L3 RIP 和 RIPng OSPF 和 OSPFv3 BGP4 和 BGP4+ ISIS 和 ISISv6 策略路由 ECMP MPLS/MCE 组播和组播路由 IGMP Snooping 和 MLD Snooping IGMP v1/v2/v3 和 MLD v1/v2 MVR+ PIM 和 PIM-SSM MSDP 安全 Port Security 802.1x 和 MAC 认证 EAD 快速部署 Radius Tacacs+ 和 SSHv2 Https IP source guard CPU 防 DOS 攻击 L2 QACL 管理 MSTP 多生成树协议 链路聚合 基本和灵活 QinQ GVRP 动态注册 VLAN RRPP DLDP 出 入双方向 ACL 基于 VLAN 下发 ACL SFlow Netstream SPAN/RSPAN/ERSPAN 支持 Web 网管 支持 imc 支持 Cluster 支持端口批量配置 www.h3c.com 17

端口基本特性 Port Types:1000Base-T,SFP,SFP+ SFP+ 端口可以直接插 SFP 模块, 即可工作在 1G 速率电口支持 AUTO Power Down, 降低功耗 SFP 端口支持 100/1000M 模块 Jumbo Frame:9216 包括 VLAN-TAG,CRC Speed/Duplex auto-negotiation /Auto MDI MDIX/Flow Control/VCT 流控可单独支持 Receive 流控 storm-constrain 区分单播 广播 组播 broadcast-suppression/multicast-suppression/unicast-suppression 支持百分比 Kbps pps 被端口镜像后的报文, 不能被上述抑制丢弃 端口镜像 重定向 多达支持 4 个 Monitor 端口不支持跨 VLAN 重定向 www.h3c.com 18

支持 4 个镜像观察口 镜像观察点 2 镜像观察点 4 镜像观察点 1 原数据流 镜像观察点 3 不同的流可分别镜像到不同的目的端口, 相互之间不干扰 同一条流可以最多被镜像到 4 个端口, 可以同时在多个地方对于该流进行不同应用的分析处理 www.h3c.com 19

端口聚合 支持 128 个聚合组 每个聚合组最大支持 8 个 GE 口或 8 个万兆端口 支持聚合本地优先转发 命令行可控 本地优先转发只对已知单播报文起作用 支持基于聚合组配置 HASH 算法 : SRC_MAC DST_MAC SRC_MAC+DST_MAC SRC_IP DST_IP SRC_IP + DST_IP 支持基于全局配置聚合 HASH 算法, 基于全局配置的主要作用是在基聚合 组的基础上, 是否让 Ingress Port 和 TCP 端口号参与 HASH 运算 www.h3c.com 20

Port Bridge 功能 : 允许报文从进来的端口再转发出去 命令 :port bridge enable ( 端口视图下 ) 应用 :Thin Wireless 环境下,MAC_A,MAC_B, MAC_C 可以相互通信 www.h3c.com 21

VLAN 特性 支持基于 VFP 标记 VLAN, 基于子网的 VLAN, 基于 MAC 地址的 VLAN, 基于协议 VLAN 和基于端口划分 VLAN 报文分派 VLAN 按照优先级排列如下 : VFP>IP subnet Based VLAN /Mac Based >Protocol Based> Port Based IP subnet Based VLAN 和 Mac Based 的优先级可以通过命令行配置 基于 MAC 地址的 VLAN 支持掩码方式和非掩码方式 (32 位掩码 ) 下发, - 掩码采用 ACL(VFP) 来实现, 支持 32 条 - 非掩码采用硬件实现, 最大 8K 个表项 基于 IP 子网的 VLAN, 芯片支持配置全局 VLAN, 然后在端口下使能, 不能按端口配置子网 VLAN www.h3c.com 22

基本 QinQ 和灵活 QinQ QinQ 报文结构如下 : 6bytes DA 6bytes SA 带单层 VLAN Tag 的报文 4bytes User VLAN Tag 2bytes 46~1500bytes 4bytes Etype DATA FCS 6bytes 6bytes 4bytes 4bytes 2bytes 46~1500bytes 4bytes DA SA Nested VLAN Tag User VLAN Tag Etype DATA FCS 带双层 VLAN Tag 的报文 外层 VLAN Tag 内层 VLAN Tag CE3000 交换机支持灵活 QinQ 功能, 可以根据入报文的 vlan ID, 选择性的增加 Nest 层指定的 vlan tag 其中入报文的 vlan ID 可以是单独的一个 vlan ID 或若干个 vlan ID, 也可以是连续的 vlan 段 CE3000 交换机支持基于流的灵活 QinQ, 即可以匹配入报文的 SIP DIP SMAC DMAC 等特征, 进行增加 vlan tag 的处理 www.h3c.com 23

RRPP(1) A A D B D B C A-D 断路 C E F G E F G 支持多达 8 个实例, 根据 VLAN 把多条冗余链路备份的同时实现链路的 负载分担 以太环网 50ms 自愈保护, 全面提升可靠性 www.h3c.com 24

RRPP(2) RRPP 功能使用限制如下 : 如果同时配置 QinQ, 则 RRPP 功能失效 RRPP 端口配置 QINQ 后, 在控制 vlan 内传播的协议报文会被打上 PVID 的 TAG, 导致协议报文不能匹配 QACL, 引起协议中断 如果必须要同时配置, 可以通过下发 1:1 vlan mapping, 使协议报文不产生变化, 这样 RRPP 和 QinQ 协议就能同时正常工作了 www.h3c.com 25

802.1X 3. 交换机到 Radius Server 完成认证 Radius Server DHCP Server Core Network 5. 用户获取 IP 地址后可以正常访问网络 2. 在认证以前用户不能获取 IP, 不能访问任何地方 1. 用户发起认证 CE3000 4. 认证完成后用户从 DHCP server 获取 IP 地址 扩展的 802.1x 认证功能 : 基于端口 /MAC 认证 支持 EAP relay 功 能和支持 802.1x EAP 认证 www.h3c.com 26

EAD EAD 及 EAD 快速部署 : 基于 802.1x 的 EAD 基于 Portal 的 EAD CE3000 由安全联动交换机完成基于 802.1x/Portal 的接入控制, 进行用户网络访问的通断控制, 由 CAMS 进行认证 计费以及 EAD 准入策略控制和安全状态检测 通过第三方服务器与安全客户端的联动实现客户端的自动升级管理, 以增强企业内部用户终端系统的安全性 www.h3c.com 27

IP source guard IP source guard 功能 基于 DHCP snooping 获取的绑定数据 基于手工配置的源 IP 绑定 DHCP snooping 创建 IP+MAC+PORT 或 IP+PORT 绑定表项 DHCP server IP1+MAC1+PORT1 IP2+MAC2+PORT2 IP3+MAC3+PORT3 PC1 用假 IP, 不是 IP1, 交换机丢弃报文 DHCP 获取 IP1 DHCP 获取 IP2 DHCP 获取 IP3 PC-1 PC-2 PC-3 www.h3c.com 28

urpf urpf 技术可以应用在如下环境中, 阻止基于源地址欺骗的攻击 : 在 Router A 上伪造源地址为 2.2.2.1/8 的报文, 向服务器 Router B 发起请求 ; Router B 响应请求时将向真正的 2.2.2.1/8 发送报文 这种非法报文对 Router B 和 Router C 都造成了攻击 1.1.1.8/8 2.2.2.1/8 源 IP 地址 :2.2.2.1/8 Router A Router B Router C 在 CE3000 上 urpf 检查是交换芯片实现的 打开 URPF 检查后, 芯片 使用一半路由表进行转发, 另一半路由表对源 IP 进行路由查找, 实现 URPF 检查 所以, 使用 URPF 检查功能, 路由表规格会减半 www.h3c.com 29

CPU 防攻击 CE3000 防攻击是通过如下两种措施来保证 : 在协议报文的入端口设置硬件带宽限制 ; 软件对上 CPU 的协议报文设置软件带宽限制, 即每秒允许 的上 CPU 报文数目 Protocol Packet Protocol ACL Protocol Packet Protocol ACL.... CPU COS Protocol Packet Protocol ACL 硬件限速 软件限速 www.h3c.com 30

MAC-Forced Forwarding Switch A 和 Switch B 作为以太网接入节点, 提供了客户端主机与汇聚节点 (Switch C) 之间的连接 在以太网接入节点上配置 MFF 功能, 可以使客户端的数据报文交互全部通过网关转发, 实现了客户端之间的三层互通, 又保证了二层数据的隔离 www.h3c.com 31

BFD BFD(Bidirectional Forwarding Detection, 双向转发检测 ) 是一套全网统一的检测机制, 用于快速检测 监控网络中链路连通状况 为了提升现有网络性能, 相邻协议之间必须能快速检测到通信故障, 从而更快的建立起备用通道恢复通信 BFD 建立过程 : 步骤 1: 上层协议发现邻居后并建立连接 ; 步骤 2: 上层协议在建立了新的邻居关系时, 将邻居的参数及检测参数到 ( 包括目的地址和源地址等 ) 通告给 BFD; 步骤 3:BFD 根据收到的参数进行计算并建立邻居 当网络出现故障时 : 步骤 1:BFD 检测到链路 / 网络故障 ; 步骤 2: 拆除 BFD 邻居会话 ; 步骤 3:BFD 通知本地上层协议进程 BFD 邻居不可达 ; 步骤 4: 本地上层协议中止上层协议邻居关系 ; 步骤 5: 如果网络中存在备用路径, 路由器将选择备用路径 www.h3c.com 32

MCE MCE 是 Multi-CE 的简称,MCE 交换机可以在 BGP/MPLS VPN 组网应用中承担多个 VPN 实例的 CE 功能, 减少用户网络设备的投入 MCE 的核心思想是通过 Multi-VRP 和 VPN 捆绑实现路由隔离 VPN 1 Site 1 P VPN 2 Site 1 VLAN-int2 PE1 PE2 CE VLAN-int3 MCE P VPN 2 Site 2 PE CE Site 2 VPN 1 www.h3c.com 33

MPLS MPLS 是多协议标签转发技术, 目前主要用于构建各种类型的 VPN 网络 作为 PE 设备可以接入多个 VPN 的站点到骨干网络或者 ISP 网络中, 在骨干网按照标签转发, 形成天然的 VPN 隧道 CE3000 可以支持 L3VPN,L2VPN 以及 VPLS VPN A VPN B PE PE VPN B Backbone or ISP VPN A www.h3c.com 34

基于端口的组播 VLAN Multicast packets VLAN 10 (Multicast VLAN) VLAN 2 Receiver Host A GE1/0/2 VLAN 3 GE1/0/1 GE1/0/3 Receiver Host B Source Router A IGMP querier Switch A GE1/0/4 VLAN 4 Receiver Host C 接收者主机 Host A Host B 和 Host C 分属不同的用户 VLAN,Switch A 上的所有用户端口 ( 即连接主机的端口 ) 均为 Hybrid 类型 在 Switch A 上配置 VLAN 10 为组播 VLAN, 将所有用户端口都添加到该组播 VLAN 内, 并在组播 VLAN 和所有用户 VLAN 内都使能 IGMP Snooping 当 Switch A 上的用户端口收到来自主机的 IGMP 报文时, 会为其打上组播 VLAN 的 Tag 并上送给 IGMP 查询器, 于是 IGMP Snooping 就可以在组播 VLAN 中对路由器端口和成员端口进行统一的维护 这样,Router A 只需把组播数据在组播 VLAN 内复制一份发送给 Switch A 即可,Switch A 会将其分发给该组播 VLAN 内的所有成员端口 www.h3c.com 35

基于 VLAN 的组播 VLAN Multicast packets VLAN 10 (Multicast VLAN) VLAN 2 VLAN 3 VLAN 4 VLAN 2 Receiver Host A VLAN 3 Receiver Host B Source Router A IGMP querier Switch A VLAN 4 Receiver Host C 基于子 VLAN 的组播 VLAN 也称为组播 VLAN+, 只需要创建组播 VLAN 与子 VLAN 的对应关系, 设备即可将从组播 VLAN 接收的数据自动分发到所有子 VLAN 内的接收者, 配置更为简便 接收者主机 Host A Host B 和 Host C 分属不同的用户 VLAN 在 Switch A 上配置 VLAN 10 为组播 VLAN, 将所有的用户 VLAN 都配置为该组播 VLAN 的子 VLAN, 并在组播 VLAN 内使能 IGMP Snooping IGMP Snooping 将在组播 VLAN 中对路由器端口进行维护, 而在各子 VLAN 中对成员端口进行维护 这样,Router A 只需把组播数据在组播 VLAN 内复制一份发送给 Switch A 即可,Switch A 会将其分发给该组播 VLAN 内那些有接收者的子 VLAN www.h3c.com 36

IPv6 Tunnel IPv6 隧道机制是将 IPv6 数据报文前封装上 IPv4 的报文头, 通过隧道 (Tunnel) 使 IPv6 报文穿越 IPv4 网络, 实现隔离的 IPv6 网络的互通 CE3000 支持下面的隧道类型 : GRE Tunnel, manual Tunnel 6to4 Tunnel ISATAP Tunnel www.h3c.com 37

手动隧道 点到点之间的链路, 一条链路就是一个单独的隧道 ; 用 于边缘路由器 - 边缘路由器或主机 - 边缘路由器之间定期安 全通信的稳定连接, 可实现与远端 IPv6 网络的连接 [h3c] interface Tunnel 0 [h3c-tunnel0] ipv6 address 3001::1/64 [h3c-tunnel0] source Vlan-interface 100 [h3c-tunnel0] destination 192.168.30.1 [h3c-tunnel0] tunnel-protocol ipv6-ipv4 [h3c] interface Tunnel 0 [h3c-tunnel0] ipv6 address 3001::2/64 [h3c-tunnel0] source Vlan-interface 100 [h3c-tunnel0] destination 192.168.99.1 [h3c-tunnel0] tunnel-protocol ipv6-ipv4 IPv6 Host IPv6 网络 CE3000 IPv4 网络 CE3000 Vlan 100 Vlan 100 IPv6 网络 IPv6 Host IPv4:192.168.99.1 IPv6:3001::1/64 IPv4:192.168.30.1 IPv6:3001::2/64 www.h3c.com 38

6to4 隧道 通过 IPv6 报文的目的地址中嵌入的 IPv4 地址, 可以自动获取隧道的终点 ;6to4 地址, 其格式为 :2002:abcd:efgh: 子网号 :: 接口 ID/64, 其中 2002 表示固定的 IPv6 地址前缀,abcd:efgh 表示该 6to4 隧道对应的 32 位 IPv4 源地址 ;64 位地址前缀中的 16 位子网号可以由用户自定义, 前 48 位已由固定数值 隧道起点或终点设备的 IPv4 地址确定, 使 IPv6 报文通过隧道进行转发成为可能 [h3c] interface Tunnel 0 [h3c-tunnel0] ipv6 address 2002:c0a8:6301::/64 [h3c-tunnel0] source Vlan-interface 100 [h3c-tunnel0] tunnel-protocol ipv6-ipv4 6to4 [h3c] interface Tunnel 0 [h3c-tunnel0] ipv6 address 2002:c0a8:1e01::/64 [h3c-tunnel0] source Vlan-interface 100 [h3c-tunnel0] tunnel-protocol ipv6-ipv4 6to4 IPv6 Host IPv6 网络 CE3000 IPv4 网络 CE3000 Vlan 100 Vlan 100 IPv6 网络 IPv6 Host IPv6 报文中嵌入了隧道的目的 IPv4 地址 IPv4:192.168.99.1 IPv6: 网络前缀 2002:c0a8:6301::/48 IPv4:192.168.30.1 IPv6: 网络前缀 2002:c0a8:1e01::/48 www.h3c.com 39

ISATAP 隧道 ISATAP 隧道是点到多点的自动隧道技术 IPv6 报文的目的地址和隧道接口的 IPv6 地址都要采用特殊的地址, 其格式为 :Prefix(64bit)::5EFE:IPv4-Address ISATAP 隧道主要用于在 IPv4 网络中,IPv6 路由器之间及主机到 IPv6 路由器的连接 [h3c] interface Tunnel 0 [h3c-tunnel0] ipv6 address 2001::!/64 eui-64 [h3c-tunnel0] source Vlan-interface 101 [h3c-tunnel0] tunnel-protocol ipv6-ipv4 isatap IPv6 网络 CE3000 IPv4 网络 192.168.2.1 fe80::5efe:192.168.2.1 2001::5efe:192.168.2.1 192.168.4.1 fe80::5efe:192.168.4.1 2001::5efe:192.168.4.1 192.168.3.1 fe80::5efe:192.168.3.1 2001::5efe:192.168.3.1 www.h3c.com 40

基于策略的路由 ISP-1 ISP-2 配置策略路由到 ISP-1, 备份路由是 ISP-2 CE3000 配置策略路由, 让语音和 FTP 业务到 ISP-2, 备份路由是 ISP-1 基于源 IP 的策略路由 基于 TCP/UDP 端口范围的策略路由 基于目的 IP 的策略路由 www.h3c.com 41

VACL 核心交换机 Internet VLAN 100 VLAN 200 VLAN 300 财务部 总裁 研发 同一个 VLAN 下的用户往往具有相同的权限, 通过 VLAN ACL 可以简便的进行限制, 而不用对于 VLAN 内的每一个用户单独控制 在 VLAN 中添加用户不用再重新配置策略, 直接继承了之前的配置 对于 VLAN 下用户的总体带宽限制得以方便的实现 需要注意的是, 当 ACL 下发在 VLAN 视图下时,ACL 中所定义的规则将对二 三层流量都启作用 ; 而当 ACL 下发下 VLAN 虚接口视图下时,ACL 中所定义的规则只对三层流量启作用 www.h3c.com 42

多播管理 IPv4/IPv6 多播管理 CE3000 支持 igmp-snooping 和 MLD-snooping CE3000 支持 igmp PIM-DM/SM PIM-SSM MSDP 最大支持 4K IGMP 多播组支持 IGMP group policy 支持 IGMP group limit 不支持组播 VLAN+ 的组播报文转发支持组播 VLAN+ 支持组播 VLAN+ 的组播报文转发 S7500-EI S7500-EI Video stream Video stream TV1 stream in vlan-10 CE3000 VOD Server CE3000 VOD Server TV1 stream in vlan-20 TV1 stream in vlan-30 TV1 stream in vlan-100 VLAN10 VLAN20 VLAN30 VLAN10 VLAN20 VLAN30 www.h3c.com 43

SPAN/RSPAN/ERSPAN 远程镜像 RSPAN 局域网 / 广域网 增强远程镜像 ERSPAN 本地镜像 SPAN 源端口 SPAN: 普通端口镜像只能实现在交换机本地实现端口的镜像和监控 RSPAN: 远程端口镜像可以实现跨交换机的端口镜像和监控 ( 二层 ) ERSPAN: 增强型远程端口镜像可以通过 GRE 隧道的方式实现跨广域网的端口镜像 ( 三层 ) www.h3c.com 44

分层 CAR 假设系统的总体出口带宽为限制为 100M, 其中 A,B,C,D 四个子系统分别限速 10M/20M/30M/40M SINGLE_OR: 当且仅当子系统的限速带宽超过了其限速值同时系统总体带宽超过了总的带宽限制, 才丢弃报文 单条流最大可以达到系统的总体带宽限制 SINGLE_AND: 只要子系统带宽或者总体带宽限制超过了限速值, 就丢弃报文 www.h3c.com 45

sflow/netstream 比较 Packet CE3000 系列 网络设备 NetStream/sFlow NTA 网络流量分析服务器 流量分析图表 sflow: 对于指定报文进行采样, 采样报文上送设备的 CPU, 提取信息后送给 NTA 网络流量分析服务器 NetStream: 对于指定的报文进行七元组精确统计,CPU 定期把统计信息上报给 NTA 络流量分析服务器, 相比 sflow 而言,NetStream 统计更准确, 其对于 CPU 的消耗更小, 是更精细化的流量统计方式 www.h3c.com 46

sflow/netstream 特点 支持聚合功能 NetStream 支持聚合功能, 聚合就是把流按照某几种信息进行归类统计 聚合的最大好处是可以减少对网络带宽的占用 老化的流在输出前先按照一定的规则进行分类, 生成聚合的信息后再发送出 支持 Netstream filter 功能 通过配置 NetStream 过滤, 可以使得 NetStream 只统计符合 ACL 流分类的特定报文, 减少进入 NetStream 统计的报文数量, 更能满足用户的统计要求 在 NetStream 中通过引用 ACL 的方式来配置过滤 www.h3c.com 47

IRF2 演进背景 普通组网 IRF1 IRF2 普通组网向智能弹性架构的演进, 就是将分散的网络设备通过 IRF 技术将不同层次的网络设备形成统一的逻辑整体, 并实现简 化业务, 统一管理, 多重可靠, 弹性扩展等多方面的功能 www.h3c.com 48

IRF2 5 大突破 突破了背板带宽的限制 突破了专业板卡和接口的限制 突破了设备形态的限制 突破了区域的限制 突破了业务的限制 www.h3c.com 49

IRF2 特点 (1) 简化网络业务 传统方案二层环路 VRRP+MSTP 导致设计复杂 链路交织, 路由设计相对复杂 节点 链路的故障均引发路由动荡 端到端堆叠虚拟化灵活支持二层在汇聚 核心终结 多个网络节点虚拟化为一个节点 链路交织被捆绑成单条逻辑链路 消除复杂 VLAN+MSTP/VRRP 单个物理节点 链路的故障不影响上层路由 www.h3c.com 50

IRF2 特点 (2) 1:N 高可靠性 Master Slave 1 Master 1:N 的设备级热备可靠 Slave 3 IRF Slave 2 Slave 3 IRF Slave 2 RIP OSPF RIP OSPF Master Slave 1 备用信息 Master 1:N 的协议级热备可靠 Slave 3 IRF Slave 2 Slave 3 IRF Slave 2 IRF IRF 1:N 的链路级热备可靠 www.h3c.com 51

IRF2 基本概念 IRF 堆叠中所有的单台设备称为成员设备, 成员设备按照功能不同, 分为两种角色 : Master 设备 : 由角色选举产生, 它负责管理整个堆叠 一个堆叠中同一时刻只能有一台成员设备成为 Master 设备 Slave 设备 : 它隶属于 Master 设备, 作为此设备的备份设备运行 堆叠中除了 Master 设备, 其它设备都是 Slave 设备 堆叠中可能存在多台 Slave 设备 Master 设备选举优先级 当前 Master 优于非 Master 成员 ( 新设备加入, 不发生 Merge 操作 ); 优先级大的优于优先级小的 ; 系统启动时间长的一方优先级高 ( 最小粒度是 10 分钟 ); 桥 MAC 地址小的优先级高 www.h3c.com 52

IRF2 组网与端口配置 IRF 的拓扑结构可以分为链型拓扑和环形拓扑 可以 10GE 光纤远程堆叠 可以多个端口聚合堆叠, 提高堆叠带宽 支持查看堆叠口流量统计 Master Slave Master Slave IRF Slave IRF Slave Slave Slave 链形连接 环形连接 www.h3c.com 53

IRF2 推荐建立堆叠的方法 新堆叠环境的推荐操作步骤 : Step 1: 单机启动每台设备, 配置每台设备的 slot 号 - 说明 : 更改 slot 号后, 以前的部分配置会丢失 Step 2: 仍然单机重起每台设备, 正确配置堆叠口 - 说明 : 配置堆叠口的时候, 需要先 shut down 端口, 然后配置堆叠口 Step 3: 堆叠口配置 OK 后, 再 undo shut down 堆叠口, 之后 SAVE 操作 Step 4: 所有设备下电, 正确连接堆叠线缆或者光纤 Step 5: 给所有设备上电 新设备加入堆叠的推荐操作步骤 : Step 1: 单机启动新设备, 修改 slot 号 ( 必须是原来堆叠中没有的 slot 号 ) Step 2: 仍然单机重起新设备, 正确配置堆叠口 Step 3: 堆叠口配置 OK 后, 再 undo shut down 堆叠口, 之后 SAVE 操作 Step 4: 给新设备下电, 正确连接堆叠口上的堆叠线缆或者光纤 Step 5: 给新设备上电, 设备会自动加入堆叠, 如果版本不一致会自动升级 www.h3c.com 54

堆叠分裂 (Split) 和合并 (Merge) 堆叠合并 : 堆叠合并 (merge) 指两组正常运行的堆叠或单台设备通过堆叠口连接形成一组堆叠 堆叠合并按照堆叠系统实现要求必然伴随其中一组堆叠重启 如果需要避免一组堆叠不发生重启, 可以通过设置该堆叠 Master 堆叠优先级高于另外一组堆叠 Master, 再连接两组堆叠的堆叠口 ; 或者主动断电重启设备, 连接两组堆叠的堆叠口后, 再重新上电 注意 : 配置完堆叠口后必须配置 irf-port-configuration active 命令激活堆叠口, 堆叠口才能真正起作用 堆叠分裂 : 堆叠分裂 (split) 指一组正常运行的堆叠, 因为软件原因 ( 软件缺陷 ) 或硬件原因 ( 堆叠扩展板或电缆故障 拔出, 或者拓扑中间的设备断电 ) 造成连接线路不连通, 而自动形成多组堆叠 www.h3c.com 55

IRF2 BFD MAD BFD MAD 采用 BFD 协议在堆叠成员间维护 BFD 回话来实现堆叠分裂检测 配置 BFD MAD 的虚接口 IP 地址需要专用 堆叠分裂后成员号大的堆叠组端口 shutdown, 设备处于 recover 状态 Merge 时处于 recover 的设备会优先重启 G1/0/1 G2/0/1 G3/0/1 CE3000 IRF www.h3c.com 56

IRF2 LACP MAD LACP MAD 通过 LACP 报文的保留字段携带 堆叠信息来实现堆叠分裂检测 必须与中间设备采用动态聚合组连接 中间设备必须支持 LACP 保留字段 中间设备 LACP Aggregation CE3000 IRF www.h3c.com 57

IRF2 ARP MAD ARP MAD 通过发送独特的免费 ARP 来实现堆叠分裂检测 Master 发送免费 ARP 报文并携带 Active ID 应用于 STP 组网双上行环境 www.h3c.com 58

本章总结 CE3000 系列交换机硬件特性 CE3000 系列交换机软件特性

目录 第一章 第二章 第三章 第四章 CE3000 产品概述 CE3000 软 硬件特性 CE3000 典型应用 CE3000 基本维护

电信级城域以太网应用 www.h3c.com 61

大型园区网汇聚层应用 CAMS NMS Server Farm S9500E GE S9500E Firewall 10 GE 10 GE CE3000 CE3000 CE3000 CE3000 CE3000 CE3000 GE GE GE GE S3600 S3600 S3600 S3600 GE GE GE GE S3600 S3600 S3600 S3600 GE GE GE GE S3600 S3600 S3600 S3600 www.h3c.com 62

IPV6 组网方案 IPv6 Internet IPv6 Island CE3000 IPv4 Network Dual-Stack Access IPv4 Internet IPv6 Over IPv4 Tunnel CE3000 IPv6 Access IPv6 Link CE3000 6to4 Relay IPv6 Network IPv6 IDC Network Manager IPv6 Access Mobile Network IPv4 Access CE3000 Dual-Stack Access WLAN IPv4 User IPv6 Users IPv6 Enterprise Users IPv6 Mobile Terminal www.h3c.com 63

常见组网应用 本章总结

目录 第一章 第二章 第三章 第四章 CE3000 产品概述 CE3000 软 硬件特性 CE3000 典型应用 CE3000 基本维护

第四章 CE3000 基本维护 第一节常用维护命令 第二节 QACL 第三节典型案例 www.h3c.com 66

常用维护命令 (1) 查看 CPU 内存利用率 display memory slot 1 display cpu-usage 查看端口统计 ( 也适用于堆叠口 ) display interface GigabitEthernet 1/0/1 display counters inbound interface display counters outbound interface - Interface Total(pkts) Broadcast(pkts) Multicast(pkts) Err(pkts) - GE10/0/1 0 0 0 0 - GE10/0/2 0 0 0 0 display counters rate inbound interface display counters rate outbound interface - Interface Total(pkts/sec) Broadcast(pkts/sec) Multicast(pkts/sec) - GE10/0/7 0 修改端口统计间隔时间 flow-interval X -Under Port View www.h3c.com 67

常用维护命令 (2) 配置镜像 抓包 丢包问题常用定位方法 从端口 G1/0/1 进入的 SRC_IP 是 192.168.0.1 的报文镜像到端口 G1/0/2: - acl number 2000 - [H3C-acl-basic-2000]rule permit source 192.168.0.1 0 - traffic classifier mirr - [H3C-classifier-mirr]if-match acl 2000 - [H3C]traffic behavior mirr - [H3C-behavior-mirr]mirror-to interface GigabitEthernet 1/0/2 - [H3C]qos policy mirr - [H3C-qospolicy-mirr]classifier mirr behavior mirr - [H3C-GigabitEthernet1/0/1]qos apply policy mirr inbound 说明 : 流镜像在定位问题时候比较常用, 抓包也方便,CE3000 支也持端口镜像 RSPAN ERSPAN, 具体配置请参考操作手册 www.h3c.com 68

常用维护命令 (3) 配置流统计 - 丢包 可疑转发错误问题的常用定位方法 对从 G1/0/3 进入的报文,SRC_MAC 是 00-00-11 的报文进行流统计 : - [H3C]traffic behavior acc - [H3C-behavior-acc]accounting packet - traffic classifier acc - [H3C-classifier-acc]if-match source-mac 00-00-11 - qos policy acc - [H3C-qospolicy-acc]classifier acc behavior acc - [H3C-GigabitEthernet1/0/3]qos apply policy acc inbound - 通过下面命令可以查看是否有报文进入 : - dis qos policy interface GigabitEthernet 1/0/3 inbound 说明 : 流镜像可以 GLOBAL 配置, 也可以配置 OUTBOUND, 即用出方向 ACL 模块做统计 www.h3c.com 69

第四章 CE3000 基本维护 第一节常用维护命令 第二节 QACL 第三节典型案例 www.h3c.com 70

QACL 硬件结构 使用 key 的组合进行报文内容匹配 单个 SLICE 匹配能力不足时, 可以使用奇偶数 SLICE 进行 DOUBLE 匹配 每个 SLICE(DOUBLE) 内仅能按照 INDEX 从小到大命中一条 ENTRY 可以命中不同 SLICE(DOUBLE) 内的不同 ENTRY 出现冲突动作时, 以 SLICE INDEX 大的 ENTRY 为准 www.h3c.com 71

QACL FP 匹配顺序 系统中存在多种类型规则, 优先级顺序如右 同颜色规则类型可共用 slice, 就是可存在覆盖关系 ; 不同颜色规则类型不存在覆盖关系 相同类型内部按照先下发先生效排序 ; 不同端口下发相同内容 POLICY, 可以共享一条硬件 ENTRY 资源, 带有 CAR ACCOUNT 动作的 POLICY 除外 协议收包端口下发 MAC 的 packet-filter 端口下发 IP 的 packet-filter 三层接口下发 IP 的 packet-filter 三层接口下发 MAC 的 packet-filter 端口下发 MQC VLAN 下发 MQC 全局下发 MQC VOICE VLAN 等 EAD PORTAL 端口绑定低优先级协议收包 右图所示, 由上到下优先级由高到低 www.h3c.com 72

QACL FP 动作汇总 VFP 硬件动作 IFP 硬件动作 EFP 硬件动作 修改或增加 TAG ( 外 层 ) 修改报文入队列 CoS 修改报文内 CoS DSCP 修改 TAG( 内层 外层 ) 修改报文入队列 CoS 流镜像 ( 端口或 CPU) 重定向策略路由修改各色报文丢弃优先级 设置各色报文动作 ( 丢弃 镜像上 CPU 修改 DSCP) 设置各色报文动作 ( 丢 弃 修改 DSCP CoS) CAR Counter CAR Counter www.h3c.com 73

第四章 CE3000 基本维护 第一节常用维护命令 第二节 QACL 第三节典型案例 www.h3c.com 74

直连 PING 不通问题定位思路 以设备 1 ping 设备 2 为例, 可能遇到的问题如下 : ARP 请求报文处理问题 ARP 回应报文处理问题 IMCP 请求报文处理问题 ICMP 回应报文处理问题 ARP 请求报文处理问题, 定位思路如下 设备 1 是否正确发送 ARP 请求?( 入镜像 ) 是否在非 dhcp-snooping 环境设备 2 配置了 ARP detection? 设备 1 发送的 ARP 请求报文是否上送设备 2 的 CPU? 这时需要确认报文是否正确? 是否被收包函数丢弃? 端口是否被 STP block? 端口 tag/untag 状态是否正确? VLAN tag 是否正确?MAC 是否学习到正确的端口? ICMP 请求报文处理问题, 定位思路如下 设备 1 的 ICMP 报文是否正确发送? ( 入镜像 ) ICMP 请求报文是否上送设备 2 的 CPU?(DA/SA/DIP/SIP/PORT/URPF) 设备 1 设备 2 ARP 请求 ARP 回应 ICMP 请求 ICMP 回应 只要确认设备 1 已经正确发送 ICMP 报文, 就可以在设备 1 上加大流量打入 ICMP 报文到设备 2 确认报文是否在进入设备 2 的那个端口丢弃? 是否上送 CPU 这时需要确认报文是否正确? www.h3c.com 75

组播问题定位思路 察看入端口流量, 在本地或上游进行镜像或流统计 数据流是否到本地? No 检查组网及上游转发表项 Yes 命令察看 display multicast forwardingtable 等 是否建立转发项? No 本地配置是否完整, 组播入接口是否正确, 入端口是否 STP discard Yes display pim routingtable 或 display igmp group 查看用户或下游设备点播生效 出接口 出端口是否正确? Yes No 检查出接口配置及协议状态 报文有效性分析 报文是否有效, 如 TTL 等? No 检查组播源报文有效性, 并进行调整 Yes 可能与产品有关, 请结合维护手册进一步定位和收集信息 www.h3c.com 76

设备重启问题定位思路 (1) STEP 1: 确认重启原因 display reboot-type slot X - The rebooting type this time is: Warm/Cold _display drv sysmboot (Under Hidden View) - Last reboot reason is: USER or SOFT REBOOT /COLD REBOOT/SWT REBOOT - 其中 SWT reboot 是硬件狗叫引起的, 不是软件主动重启 注意事项 : - _display drv sysmboot 命令不支持堆叠, 查看 Slave 设备上的重启原因 : (1)irf switch-to X 进入 Slave 的本地模式 (2)_display drv sysmboot www.h3c.com 77

设备重启问题定位思路 (2) STEP 2: 查看重启调用栈 display reboot-information slot 1 verbose from-device (Under Hidden View) - ======== Reboot info ======== - nreboot Task: WORK (TID: 68) - nreboot Time: 2000-04-26 13:49:41 - nreboot Tick: 0xe(CPU Tick High) 0xcb7a9dac(CPU Tick Low) - nreboot Type: WARM - - Call Stack: - StackBase ReturnIns FuncEntry - 83FD4098 81CF73E4 FFFFFFFF UnKnown! - 83FD40F0 80535EAC FFFFFFFF UnKnown! - 83FD4138 81D67578 FFFFFFFF UnKnown! - 83FD41A8 81D6E600 FFFFFFFF UnKnown! - 83FD41D0 81D8F1FC FFFFFFFF UnKnown! - - 83FD4098: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00-83FD40A8: 00 00 00 00 00 00 00 00 CB 7A 9D AC 00 00 00 0E - 83FD40B8: 1A 04 07 D0 00 00 00 00 29 31 00 0D 00 00 00 00 注意事项 :from-device 表示从高端内存中获取信息, 如果设备掉电, 重启信息会 丢失 重启的任务,WORK 是一个通用的任务, 在命令行重起 slave 设备, 会记录到 WORK 任务里边 重启的调用栈, 有助于分析重起原因 重启任务的堆栈信息, 有助于分析重起原因 www.h3c.com 78

设备重启问题定位思路 (3) STEP 3: 查看异常信息 display exception 10 verbose slot 1 from-device (Under Hidden View) - ================= exception info (no: 0) ================= - Exception Number: 0x20 - Exception Name: NMI - Exception Instruction: 0x80B06A94 - Exception Slot: 2 - Exception Task: brx1 (TID: 30) - Exception Stack Base: 0x803cffa8 - Exception Time: 2000-04-26 12:01:59 产生异常的任务,NMI 表示狗叫 - Exception Tick: 0x1(CPU Tick High) 0xe5faa415(CPU Tick Low) - Register contents: - Reg: reserve0, Val = 0x803cfb80 ; Reg: reserve1, Val = 0x8097a710 ; - Reg: reserve2, Val = 0x2caab604 ; Reg: reserve3, Val = 0x2e114a68 ; - Print layers of stack when exception: - Stack Top = 0x803cfc30, Return Address = 0x80b06a94 注意事项 :from-device 表示从高端内存中获取信息, 如果设备掉电, 异常信息会丢失 Verbose 表示获取详细信息, 在搜集信息时一定要加上 www.h3c.com 79

设备重启问题定位思路 (4) STEP 4: 死循环信息 display deadloop 20 verbose slot 1 from-device (Under Hidden View) - 死循环信息和异常信息类似, 出现重起时候, 可以搜集看是否有记录 说明 : 如何清除异常 重启信息和死循环记录 - 这些信息都记录在高端内存里边, 设备调电后, 这些信息自动清除 - 执行下面命令可清除 (ALL Under Hidden View) reset reboot-information record slot 1 from-device reset exception record slot 1 from-device reset deadloop record slot 1 from-device 重启问题总结 : 一般情况下, 通过搜集上面信息, 可以大概确定重启的原因并初步定位问题, 但是在某些情况下, 重启问题比较复杂, 如果上面的内容都没有记录, 需要寻找其它诱发重启的有用信息 www.h3c.com 80

CPU 高问题定位思路 (1) STEP 1 : 确认哪个任务占用 CPU 时间长 display cpu-usage task slot 1 (Under Hidden View) - ===== Current CPU usage info ===== - CPU Usage Stat. Cycle: 9 (Second) - CPU Usage : 62% - CPU Usage Stat. Time : 2000-04-26 14:07:55 - CPU Usage Stat. Tick : 0x77(CPU Tick High) 0x395fbdec(CPU Tick Low) - Actual Stat. Cycle : 0x0(CPU Tick High) 0x26b3bf13(CPU Tick Low) - - TaskName CPU Runtime(CPU Tick High/CPU Tick Low) - VIDL 38% 0/ f0ab5a4 - L2X0 8% 0/ 375bed9 - blk0 4% 0/ 1e56eae - L2X1 8% 0/ 37b7e68 - FMCK 1% 0/ 6c62b6 - T_ST 0% 0/ 79cb5 - brx1 0% 0/ 1444ca CPU 利用率,VIDL 任务占用率高是正常的, 是空任务 常见的 : FMCK: 实时检测是哪种光模块插入 Brx1 : CPU 收包的 L2X1: 从硬件地址表里边读取地址的 www.h3c.com 81

CPU 高问题定位思路 (2) STEP 2: 根据任务进一步确认诱发 CPU 高的原因 方法 1: 结合其他手段 查看交换机上非正常的信息 - 常见的情况 : (1)CPU 报文非常多, 可能有攻击报文的情况 (2) 配置超规格 (3) 其他 方法 2: 查看占用 CPU 时间长任务的调用栈反馈给开发 ( 最后采用的方法 ) - display task 124 slot 1 Task name : RDS Task PLAT Index : 124 Task OS Index : 0x803c0800 Task priority : 100 Task Status : eventblock Last run time(cpu Tick) : 0x0(high) 0x2276(low) Stack Information: 0x80231948 0x80236450 0x8023850c www.h3c.com 82

查看上 CPU 报文的方法 (1) STEP 1: 设定过滤报文 [H3C-diagnose]display rxtx dest_mac 0180-c200-0000 说明 : 可以设定很多过滤条件, 命令行里边有帮助, 例如 :Broadcast, cos, dest_mac, dip, etype, iptype, port, reason, receive, sip,send, source_mac, vlan... STEP 2: 查看报文内容 [H3C-diagnose]debug rxtx -c 100 -s 100 pkt 1 说明 : - Debug RxTx packet is on! - [H3C-diagnose] - *Apr 27 09:00:47:870 2000 H3C RXTX/7/pkt: - From board 1: received packet from chip0,port17,reason=0x1000,cos=3,smod=0,sport=17,len=216, Matched=53 - *Apr 27 09:00:48:46 2000 H3C RXTX/7/pkt: - ----------------------------------------------------- - 0000 01 80 c2 00 00 0e 00 0f e2 5b 18 c9 81 00 00 01 - [H3C-diagnose]debug rxtx [-c <num>] [-s <length>] pkt <slot_num> 其中 : - -c <num>: 显示报文的个数, 缺省 10 个 ; - -s <length>: 显示报文的长度, 缺省 64 字节 ; - pkt <slot_num>: 具体的 slot 号 www.h3c.com 83

查看上 CPU 报文的方法 (2) STEP 3: 查看上 CPU 报文统计数据 [H3C-diagnose]debug rxtx show 1 0 - RxDv: Dv=4,Dvhead=0x163d2308,Dvtail=0x163d3748,token=0,Pps=0 - TxDv: Dv=0,Dvactive=0x0,Dvfree=0x17b1bb98,Dvfreecnt=1 - Intr: Desc=989890,Chain=330224,Tx=33,Rx=1320769 - Cos[0]=0 Cos[1]=0 Cos[2]=0 Cos[3]=0 - Cos[4]=0 Cos[5]=0 Cos[6]=0 Cos[7]=1320226 - P01_rx=0 P02_rx=0 P03_rx=0 P04_rx=0 - P05_rx=86 P06_rx=0 P07_rx=432 P08_rx=0 - P09_rx=0 P10_rx=0 P11_rx=0 P12_rx=0 - P13_rx=0 P14_rx=0 P15_rx=0 P16_rx=0 - P17_rx=0 P18_rx=0 P19_rx=25 P20_rx=0 - P21_rx=0 P22_rx=0 P23_rx=0 P24_rx=0 - P25_rx=0 P26_rx=0 P27_rx=325973 P28_rx=645689 - P29_rx=348564 P30_rx=0 P31_rx=0 P32_rx=0 - P33_rx=0 P38_rx=0 P39_rx=0 P40_rx=0 - P41_rx=0 P42_rx=0 P43_rx=0 P44_rx=0 - P45_rx=0 P50_rx=0 P51_rx=0 P52_rx=0 说明 : 其中 P01_rx----P52_rx 中的端口信息是芯片端口号, 可以通过 debug port map 1 查看芯片端口对应的面板端口号 www.h3c.com 84

查看驱动 ACL 信息 (1) STEP 1 : 查看系统支持的 ACL 类型 [H3C-diagnose]debug qacl show acl-type 1 - ------------------Qacl Type Info------------------ - MQC Vlan 0 MQC Global 1 - MQC Port 2 MQC UserProfile 3 - MQC COPP 4 MQC_PORT Low 5 - RX IPv4 High 6 RX IPv4 Middle High 7 - RX IPv4 Middle 8 RX IPv6 High 9 - RX IPv6 Middle_High 10 RX IPv6 Middle 11 - RX IPv4 High Shadow 12 RX IPv4 Mid/High Shadow 13 - RX IPv4 Middle Shadow 14 RX IPv6 High Shadow 15 - RX IPv6 Middle/High Shadow 16 RX IPv6 Middle Shadow 17 - RX Low 18 RX Low Shadow 19 - Voice-Vlan 20 PortBind Default 21 - PortBind Bind 22 Portal 1 23 - Portal 2 24 Portal 3 25 -... www.h3c.com 85

查看驱动 ACL 信息 (2) STEP 2 : 根据类型查看驱动 ACL [H3C-diagnose]debug qacl show 1 0 verbose 0 acl-type 2 - ======== - Acl-Type MQC Port, Stage IFP, GroupPri 13, EntryID 414, Active - Health 1, PoolFree 0, PoolID 0, Prio_Mjr 519, Prio_Sub 14,Slice 2,SliceIdx 0 - Policy mirr, Classifier mirr, Behavior mirr - Rule Match -------- - Ports: 0x000000008, 0x7c3fc3ffffffff - Source IP: 192.168.0.1, 255.255.255.255 - IP Type: Any IPv4 packet - Actions -------- - Mirror to intf mod 4, port 2 - ======== www.h3c.com 86

查看是否有协议攻击报文 硬件带宽 命令如下 : [H3C-diagnose]debug qacl show 1 0 verbose 0 acl-type 2 [H3C-diagnose]debug rxtx rxacl info all - Row Info: - Global : the index of ToCPUMode, details of the Mode at the end - Vlan : the number of Vlan Interface for the Protocol enabled - Tunnel : the number of Tunnel Interface for the Protocol enabled - Port : the index of ToCPUMode Setted on a certain port - Shadow : the State of Shadow Acl on some logical port - Attack : the Attacked state of the Protocol Packet - ---------------------------------------------------------------------------- - Index AclType Global Vlan Tunnel Port Shadow Attack - ---------------------------------------------------------------------------- - 13 IPV4_UC_OSPF 7 0 0 7 0 0-15 IPV4_UC_PIM 7 0 0 7 0 1 // 表示有攻击 - 29 ARP 1 0 0 1 0 0 -...... www.h3c.com 87

查看是否有协议攻击报文 软件带宽 命令如下 : [H3C-diagnose]debug rxtx softcar show 1 - Index Type Number Pps Switch HashMode - 0 ROOT 0 200 On SMAC - 1 ISIS 0 200 On SMAC - 2 ESIS 0 100 On SMAC - 3 CLNP 0 100 On SMAC - 4 VRRP 0 300 On SMAC - 5 UNKNOWN_IPV4MC 0 100 On SMAC - 6 UNKNOWN_IPV6MC 0 100 On SMAC - 7 IPV4_MC_RIP 0 150 On SMAC - 8 IPV4_BC_RIP 500( 有攻击 ) 150 On SMAC - 9 MCAST_NTP 0 100 On SMAC - 10 BCAST_NTP 0 100 On SMAC 说明 : 软件带宽限制导致报文丢弃, 可以通过以下命令清零 [H3C-testdiag] undo debug rxtx softcar show (slot) www.h3c.com 88

串口不响应问题处理方法 Mini shell 显示如下 : 1 display cpu 2 display task 3 display task(taskid) 4 display memory 5 _display memory 6 _display memory raw all 7 _display memory SIZE group(size) 8 _display memory SIZE Mid(size mid) 9 _display memory SIZE (size from) 10 _display memory raw Mid(mid) 11 _display memory history 12 display memory(start-address len) 13 set memory(start-address len val val..) 14 bcm command(chipid command) 15 show ddrb 0 exit Step 1: 尝试 telnet 是否可以进入 Step 2: 如果 telnet 可以进入, 则在 telnet 中查看设备信息 Step 3: 如果 telnet 无法进入, 则可以通过 ctrl+minimini 命令进入 minishell, 在此 shell 下, 可以查看 CPU, 内存, 任务, 交换芯片表项, 驱动 LOG 记录等信息 Step 4: 如果是堆叠的 slave 无法进入, 可以参考堆叠相关问题处理 Step 5: 可以考虑联系开发进一步定位, 并结合实际看有什么诱发因素 input: www.h3c.com 89

堆叠相关问题处理方法 (1) 堆叠前准备工作 选择堆叠线缆或者光模块 + 光纤 :CE3000 支持远程堆叠, 如果距离远, 可以选择光模块 + 光纤方式 正确配置每台设备的 slot 号,CE3000 不支持堆叠成员自动编号, 如果有相同 slot 号的设备在堆叠中, 则设备可能无法正常启动 CE3000 不支持垮芯片配置堆叠口, 在配置中会产生错误信息 无法配置的情况 正确连接堆叠口, 堆叠口的连接不应该出现堆叠口 1-- 连接 -- 堆叠口 1 的情况 错误的连接 错误配置 : 相同的 slot 号 www.h3c.com 90

堆叠相关问题处理方法 (2) irf-port-configuration active 命令 该命令起到激活堆叠口的作用 : 在配置堆叠口前, 需要先 shut down 堆叠口, 配置堆叠口之后, 需要 undo shut down 随后 SAVE 操作, 但是这时候如果设备不重起, 如果插上堆叠线缆或者光纤, 虽然堆叠口 UP 了, 但是堆叠口没有被激活, 就需要 irf-port-configuration active 命令激活堆叠口, 设备之间才会发送 STM 报文, 产生 MERGE 操作 www.h3c.com 91

堆叠相关问题处理方法 (3) 配置文件 从哪里来? 每台设备的堆叠口 堆叠优先级都是从 FLASH 中 SAVE 的配置文件中获取的 Maser 启动时从 FLASH 中获取 SAVE 的配置文件, 这个配置文件后续保留在内存中, 修改任何配置, 也是修改这个内存中的配置内容 只要 MASTER 不是重起中选举产生的,FLASH 中 SAVE 的配置文件就不会用到 新设备加入堆叠, 如果原来堆叠中没有这个设备, 则新设备相当于空配置加入堆叠 display current 就是显示内存中的配置 执行 SAVE 操组, 会同步当前内存中的配置到 FLASH 中 www.h3c.com 92

堆叠相关问题处理方法 (4) 堆叠环境中设备无法启动如何处理? 需要从 Master 的 log 信息中确定 Slave 设备启动哪个阶段了, 步骤描述如下 : %Apr 27 08:49:26:326 2000 H3C DEV/4/BOARD STATE FAULT: Board state changes to FAULT on Chassis 0 Slot 1, type is unknown. - 设备的堆叠选举, 角色通告已经完成, 如果到这里不往下走, 典型情况可能是 IPC 不通, 可以通过下面命令查看 IPC 是否 UP, 如果是 DOWN 的, 就需要进一步定位 IPC 不通的原因 - display ipc link self-node %Apr 27 08:50:41:725 2000 H3C DEV/4/BOARD STATE NORMAL: Board state changes to NORMAL on Chassis 0 Slot 1, type is XXX. - 如果设备已经变为 NORMAL, 紧接着会进行接口创建, 配置恢复操作 %Apr 27 08:50:42:043 2000 H3C HTTPD/4/Log:Slot=1;Start HTTP server. - 如果到这里不往下走, 很可能是接口创建 配置恢复无法完成, 可以使用下面命令搜集信息 : - H3C-hidecmd]ifdia 35 %Apr 27 08:51:07:969 2000 H3C HA/4/HA_LOG:Batch backup(s) of slave board(s) in slot 1 started. - 这里会开始批备, 如果不往下走, 可以用下面命令搜集信息 : - [H3C-hidecmd]_dis switchover register %Apr 27 08:52:02:895 2000 H3C HA/4/HA_LOG:Batch backup of slave board in slot 1 is finished. - 这里说明批备已经完成,Slave 设备串口应该可以进入了 www.h3c.com 93

堆叠相关问题处理方法 (5) 堆叠中常见搜集信息的命令 display logbuffer [H3C-hidecmd]_dis irf msg [H3C-diagnose]debug stack show record 1 slot 1 - 说明 : 这个命令一次只显示 30 条, 查看后面的, 可以更改起始号 [H3C-hidecmd]_display state [H3C-hidecmd]display switchover state display irf display irf topology 堆叠相关问题总结 这里主要列举了堆的过程中的问题, 在实际中, 可能主要问题集中在硬件转发 软件协议处理相关的内容上, 需要具体问题具体处理, 在处理那些问题时, 首先要确认堆叠 OK, 然后确认协议处理 硬件转发是否 OK www.h3c.com 94

本章总结 常用维护命令 QACL 的匹配顺序和规则 常见问题的定位思路

杭州华三通信技术有限公司 www.h3c.com