首页、卧龙娱乐注册、首页熟悉了中低端交换机的基本原理和配置 已经能够熟练操作交换机 精通各种交换机的设备特性
限于Vlan 1; 2、对于三层交换机任何一个Vlan接口地址都可以作为管理地址使用;
1、对于二层交换机只能配置一个Vlan接口地址作为管理地址使用,但是不仅仅
文件系统的主要功能为管理存储设备,把文件保存在存储设备 中。路由器目前支持的存储设备是FLASH。
文件系统是指对存储设备中的文件、目录的管理,包括创建文 件系统,创建、删除、修改、更名文件和目录,以及显示文件 的内容。这些操作,请在用户视图下执行。请注意文件全名最 多支持48字节,超长文件名将导致您不能正常进行操作。
选择指定的以太口 在配置电脑上运行TFTP服务器程序 指定应用程序所在的路径 运行超级终端
1、一定要搞清楚版本的配套关系; 2、不要轻易进行Bootrom的升级; 3、对于分布式产品的Bootrom升级一定要搞清楚版本是主控板 还是业务板;
4、如果错误升级了Bootrom版本一定不要轻易重起; 5、对于升级方式建议使用FTP。
LINK灯灭表示线路没有连通,灯亮表示线路已经连通 ACTIVE灯灭表示没有数据收发,灯闪烁表示有数据收发
接口或者设备硬件损坏; 接口Bootrom或者VRP软件版本不正确或者不配套; 光模块接口类型不正确; 用户PC网卡故障或者配置不正确。
中间传输设备(光电转换器,线路转换器等)故障或者工作不正常; 接口线缆所支持的最大传输长度、最大速率等超出使用范围。
由于10M/2M设备不支持VLAN导致能Ping通外网但 是无法打开网页
用户信息透传给S8016。在S8016上配置多个VLAN的 三层虚接口地址作为用户网关,并做NAT转换后上外网。
故障现象:MA5100下面的用户能够Ping通外网的地址 和域名(比如,但是打开相应的网页时提示 “Internet Explorer 无法连接到您请求的页,可能该页
由于10M/2M设备不支持VLAN导致能Ping通外网但 是无法打开网页
将计算机直接接在S3526下面,用户上网正常。说明 S3526到外网这一段没有问题。
在S3526上配置VLAN 1的虚接口地址,MA5100使用 缺省VLAN 1的用户可以正常上网。
由于10M/2M设备不支持VLAN导致能Ping通外网但 是无法打开网页
MA5100下VLAN 1的用户可以正常上网,但其他的7个 VLAN却不能正常上网,重点需要分析VLAN 1用户的数据
这有两种可能:1、某台交换机不允许其他VLAN通过,也 就是VLAN互通有可能有问题。但根据用户可以ping通外 网,排除了这种可能性;2、小包可以通过,大包不能通 过。正常IP包的最大长度是1518,含VLAN ID的是1522。
由于10M/2M设备不支持VLAN导致能Ping通外网但 是无法打开网页
第一步:从MA5100下面的PC Ping 1468大小的包,能通, 但是丢包严重;Ping 1469的包,无法通过。
第二步:将S3526的接口改为ACCESS模式,直接把计算 机接在10M/2M设备连接MA5100的出口上,能够上网, 也能Ping通1469的报文。
第三步:连接另外一台PC在10M/2M设备连接S3526的出 口,两台PC互Ping 3000的包,能通。
处理方法:1、将两端的设备更换为支持VLAN的10M/2M 设备;2、将10M/2M设备更换为光电转换器。
由于10M/2M设备不支持VLAN导致能Ping通外网但 是无法打开网页
所谓10M/2M设备不支持VLAN,是指这种设备最长只能接收 1518字节长度的报文,当报文长度超过1518的时候,设备 就丢弃报文。
在我们Ping 1468的时候,1468是IP层的净负荷,加上20个 字节的IP报文头和8个字节的ICMP报文头,整个IP层的报文 长度为1496个字节,再加上18个字节的以太网帧封装和4个
字节的VLAN信息,整个以太网帧的长度刚好为1518的字节, 这个时候10M/2M的设备能够接收,所以能够Ping通。
按接口类型有:电接口,光接口(多模,单模10Km,单模中距 40Km,单模长距70Km),堆叠模块。
大多数端口都支持工作参数自动协商功能; 有时候由于设备之间协商能力不强或两端设备默认的参数配置不相
百兆以太网电端口支持10Mbit/s、100Mbit/s或自协商工作速率,可以 根据需要对其设置。
百兆以太网光端口支持100Mbit/s速率,可以设置为100(100Mbit/s) 和auto(自协商)。
千兆以太网端口可以设置为1000(1000Mbit/s)和auto(自协商)。 1000Base-T以太网端口支持10Mbit/s、100Mbit/s、1000Mbit/s三种 速率,可以根据需要选择合适的端口速率。但当双工状态设置为半双 工模式后,就不能设置为1000Mbit/s速率。
组网如图所示,用户反映上网速度慢,有时打开网页时没有响应。 从外网Ping网络中的某台S3026管理IP地址,发现有如下奇怪Ping包:
因为S3026的新版本增加端口loopback-detection功能,当检测到端口 所连接的网络有环路时将该端口处于受控状态,如环路解除,还能自 动打开端口。可以使用该功能用来检测环路。
查到某个线路问题后,到用户家检查MODEM配置发现配置了两条相 同的PVC,导致形成环路。在该网络中最后查出有四个同样故障的 MODEM。修改配置后Ping包恢复正常。
组网:MA5203通过百兆光纤连接S3026百兆多模光模块,S3026 下面接入上网用户。
物理线路问题。调换光纤、改变光纤收发操作,发现指示灯还是不 亮。用一个带光模块的S2403F进行替换,连接到光纤发现S2403F
设备或者光模块问题。因光路没问题故怀疑S3026的光模块或者 SLOT 1插槽有故障,通过替换另一台正常的S3026连接光纤,发 现光模块LINK指示灯还是不亮,排除了设备和光模块问题。
设备间接口参数协商问题或者接口工作参数不匹配。使用display interface命令详细查看接口参数,并进行对比。
通过查询发现MA5200端口速率为100M,并工作在自协商模式。 通过查询发现S3026光模块端口参数如下Auto-duplex, Auto-speed, 100_BASE_FX_MMF ,说明接口速率协商正常,但双工/半双工 协商不通过。
均为自协商时,由于不同厂家的设备接口参数不同,或者同一厂家 不同设备由于采用的硬件芯片不同而自协商不通过,导致不能正常 通讯。通常采用替换法可以快速定位故障。
故障现象:S3526E与 S3026之间的两条链路都不连接或 者只接其中一条链路时,S2016下的PC可以正常PING通 网关和上层接口地址。
重新启动S2016与S3526E之间的接口时,S2016下PC可 PING通网关20左右个包,后中断;多次操作现象相同。
不论S3526E与 S3026之间的两条链路怎样连接,网管都 与远端的服务器连接正常;S3526E与NE16E之间的接口 也工作正常。
由于S3526E与 S3026之间的两条链路形成环路,与S3026相连的两 个端口之间存在大量的无用报文,被同时转发到端口属性为TRUNK
方案一:把S3526E上与S3026相连的两个端口分别划分在不同的 VLAN内,但不能满足设备之间的两条链路成主备份关系的要求。
方案二:在S3526E上启动STP协议,问题得到解决。 方案三:在S3526E和S3026之间配置链路聚合(link-aggregation), 这样既可以增加带宽,实现负载分担,又可以实现链路备份的功能。
用于隔离网络风暴,增加网络安全性 早期用路由器进行隔离,但成本高,效率低,应用复杂 增加了4个字节的特殊标注域,用于区别不同用户发送的数据帧,其 中VLAN ID占用12个bit
ACCESS端口:这种端口只能属于一个VLAN,并且从该端口进来的 数据包都不包含TAG标记,数据包进入之后 ,会被加上该端口的 VLAN ID(加上TAG标记)。如果有数据需要从这种接口发送出去, 数据帧中的TAG标记将被删除。这种端口一般用于连接用户主机或路 由器。
TRUNK端口:这种端口可以属于多个VLAN,或者说这种端口可以 传送多个VLAN的数据帧。从这种端口发送出去的数据帧都包含有
文,如果已经有TAG标记,则直接转发;如果没有TAG标记,则加 上带有缺省VLAN ID的TAG标记。这种端口一般用于连接交换机或 路由器。
HYBRID端口:这种端口可以属于多个VLAN。但是与TRUNK端口 不同的是它所传送的数据帧,可以包含TAG标记也可以不包含TAG 标记;而TRUNK端口则必须包含TAG标记。其发送数据帧时根据配
PVLAN技术解决VLAN ID不足的问题。 采用VLAN ID屏蔽的办法,将接入层的用户VLAN ID对汇聚层设 备屏蔽起来,在接入层使用VLAN的方法进行用户二层隔离。
VLAN路由技术模拟路由器的三层接口,在以太网上创建出虚拟局 域网三层接口。
这些接口具有三层报文转发的功能。将二层不能转发的数据帧进 行数据帧头的剥离,然后根据IP报文头信息进行转发。
分析数据帧的转发过程,特别是数据包携带的VLAN ID的变化。看 看在整个数据帧转发的过程中何时删除TAG标签,何时增加TAG标 签,在删除和增加的过程中是否变化过VLAN ID,特别是PVLAN
千兆光口连接,网络正在运行突然中断,用户能ping通S6506网关, S6506到交换机C不能ping通,ADSL用户不能正常上网。
使用命令(display interface)查看S6506和交换机C的千兆接口状态, 双方物理接口和链路层都正常UP。
查看S6506路由表,发现接口路由和直连路由正常,也有C交换机的 路由信息。查看C的路由表,发现路由信息也正常。 53
双方之间互通已经一个多月,可以排除兼容性问题。 物理接口UP,可以初步排除物理层问题。 接口协议层UP,同时双方都能学到对端MAC地址,双方接口统计信 息上都显示有报文收发,也可以排除二层互通问题。
双方是通过三层接口互通,可以判断是三层上出了问题,至于哪一方 设备有问题,需要进一步定位。
从C发的ICMP报文到S6506之后,S6506给出回应报文,C收到但没 有处理。
在C上直接连PC机,该接口属于和S6506互通的VLAN,发现PC机 PING自己的网关竟然不通,可以肯定C上这个VLAN接口已经不工作 了,有吊死的嫌疑。
更改C上相应的VLAN接口,问题解决,问题都是由于这个三层接口吊 死导致。
级联交换机时,上层交换机不能传递下面交换机的VLAN信息,从而 导致下面的交换机用户业务不正常。
在S3026A手工增加空的VLAN 5,6,7,网络正常。 另外一种方法是启用动态VLAN配置,在两台交换机上启动GVRP, 便可以避免产生类似故障。
Quidway低端交换机如S20XX、S30XX系列,在启用GVRP的时候, 将接收GVRP协议发送的所有VLAN信息,并在本交换机上创建相应 的VLAN。当发送的VLAN数量超过32,将只能够在本地创建序号低 的前面32个VLAN。如果交换机上需要其他VLAN ID更高的VLAN, 将无法实现。
这是由于低端Quidway交换机如S20XX、S30XX系列,最多只支持 32个VLAN。其启用GVRP时,只能够接收低的前32个VLAN ID。如 果客户端交换机上需要其他VLAN ID更高的VLAN,而不需要VLAN ID较低的那些VLAN,即使总的VLAN数量不超过32,也不能够实现。
只需要在交换机上,首先创建所需的、VLAN ID较高的那些VLAN, 然后再启用GVRP即可。
这个问题是由于低端交换机所支持的VLAN数量规格所限,而GVRP 在动态通告VLAN信息的时,是不管对端交换机所支持的VLAN 规格 的,当遇到如上问题时,可以使用这个规避措施。
网络组成部分众多,故障原因复杂,我们把除开上述问题引起 的故障都称为其他故障。
检查PC1(WIN98)是否安装防火墙或做了访问限制,结果没有; 查看R2631E配置,是否做了PC2到PC1的访问控制,结果没有; 查看NE16的配置,是否做了PC2到PC1的访问控制,结果没有; 从PC2 PING自己的网关,正常; 检查PC2(WIN2000)配置,没安装防火墙,没有设置访问控制; 检查发现PC2配置了两个IP地址和两个网关,NE16对应的以太网口 上只配了一个IP地址(PC2的一个网关),因此PING PC1的时候 PC2请求另外一个地址的网关肯定是无法获取得,就无法PING通; 而在回应PC1的PING报文时是可以正确的请求对应网关地址的;
所以查看CPU占用率,结果CPU占用率高达100%。 使用display ipfdb all 查看到大量的连续目的IP地址的访问。
从CPU的占用率可以看出,有大量报文涌向交换机 从IPFDB表可以看出有用户故意发起不同连接访问,可能为黑客 行为或病毒所致
打开IP报文调试输出开关,查看IP报文收发状况 从收发的IP报文得知,几乎100%的报文都是UDP报文 进一步打开UDP报文调试开关,查看报文收发状况
网络连接如上图所示: 所 有 用户 通过二 层 设备 连接到 三 层交 换机后 通 过上行口 连接 Internet
可能是网络上存在大量广播包,占用了CPU所有资源; 可能是网络中有非法用户进行拒绝性服务等类的攻击。
经过检查排除了DHCP服务器故障的可能性 检查Internet连接排除了3526E连接的Internet故障的可能性
在S3526E上Ping上行对接设备地址以及下挂用户地址失败,Ping自己的
查看3526E的CPU占用率,几乎达到100% 捕获网络报文,未见异常广播流量 通过Display ipfdb all查看,发现硬件转发表项已经超过设备极限,且有 许多异常可疑地址(公网地址),而网络内部采用私有地址。所以怀疑 设备受到攻击。
检查该主机,发现存在一未设置口令的完全共享目录,且目录下存在 NIMDA 病毒。
