Quidway系列路由交換機問答

在Quidway系列路由交換機命令行狀態(tài)，執(zhí)行“display stp”命令，觀察指定交換端口的Stp/Rstp狀態(tài)時，發(fā)現(xiàn)目標(biāo)工作端口狀態(tài)顯示不正常，這時該怎樣才能恢復(fù)指定端口的工作狀態(tài)呢？

答：指定交換端口的工作狀態(tài)不正常，主要表現(xiàn)在兩個方面，一是交換端口的forwarding狀態(tài)變成了discarding狀態(tài)，二是交換端口的discarding狀態(tài)變成了forwarding狀態(tài)。對于第一種情況，只要重點檢查目標(biāo)端口的優(yōu)先級參數(shù)、STP的cost值參數(shù)是否正常，在這些參數(shù)都正常的情況下，再觀察一下指定端口下面是否存在網(wǎng)絡(luò)環(huán)路現(xiàn)象，一旦發(fā)現(xiàn)存在網(wǎng)絡(luò)環(huán)路時，應(yīng)該及時排除環(huán)路故障，就能將交換端口工作狀態(tài)恢復(fù)正常。對于第二種情況，主要是觀察交換端口STP數(shù)據(jù)報文是否收發(fā)正常。

Quidway系列路由交換機中的很多型號都支持回路監(jiān)測功能，通過該功能能高效發(fā)現(xiàn)網(wǎng)絡(luò)中的回路現(xiàn)象，不過該功能往往不能輕易使用，這是什么原因？

答：如果隨意使用該功能，可能會影響其他工作子網(wǎng)的工作狀態(tài)。比方說，如果交換機的某端口處于Trunk工作模式，那么對應(yīng)端口下面一旦包含了多個工作子網(wǎng)，此時要是輕易地啟用回路監(jiān)測受控功能，那么其他工作子網(wǎng)的工作狀態(tài)就會同時受到影響。通常情況下，匯聚層交換機某端口下面連接的交換機支持并啟用回路監(jiān)測功能時，那么我們可以將這個交換端口設(shè)置成Trunk模式，同時啟用運行回路監(jiān)測功能，但需要關(guān)閉回路監(jiān)測受控功能。要是下連的交換機不支持回路監(jiān)測功能，那么我們可以啟用運行該交換端口的回路監(jiān)測功能，回路監(jiān)測受控功能也可以同時啟用運行。某單位局域網(wǎng)接入到Quidway S8500核心交換機的g0/1/13端口上，通過路由交換系統(tǒng)訪問Internet，平時該局域網(wǎng)中的每臺客戶機上網(wǎng)都很正常，而且速度也很不錯。最近，上網(wǎng)時發(fā)現(xiàn)速度沒有以前那樣順暢了，起初還以為是客戶機自身問題，于是查殺病毒、優(yōu)化系統(tǒng)，然而再上網(wǎng)測試時，速度還是很慢，嚴(yán)重時還經(jīng)常發(fā)生掉線現(xiàn)象，請問如何快速排除這種故障？

答：首先檢查局域網(wǎng)接入交換機與核心交換機之間的連接是否牢靠，在連接牢靠的情況下，查看兩個端口的工作模式是否匹配，要是不匹配的話，可能會要頻繁協(xié)商、糾錯，造成網(wǎng)絡(luò)傳輸發(fā)生丟包現(xiàn)象。如果上面的因素被排除后仍然無法解決問題，多半是交換端口發(fā)生了損壞，例如交換端口頻繁遭遇大流量沖擊發(fā)生性能老化現(xiàn)象，或者是用戶使用端口的方法不當(dāng)，從而造成了上網(wǎng)數(shù)據(jù)嚴(yán)重丟包故障，此時只有更換新的端口才能解決問題。

單位局域網(wǎng)經(jīng)常會受到ARP病毒的攻擊，每次遭遇病毒攻擊后，Quidway系列路由交換機幾乎都能將病毒引起的地址沖突記錄記憶下來，那么根據(jù)沖突記錄，能找出具體感染病毒的主機系統(tǒng)嗎？

答：答案是肯定的！首先在交換機后臺系統(tǒng)，使用dis logbuff”命令，查看后臺系統(tǒng)日志信息，找到具體的地址沖突記錄，從中記下感染ARP病毒的主機MAC地址，以及該主機系統(tǒng)所處的VLAN信息；其次根據(jù)VLAN信息，查找單位的組網(wǎng)資料，獲得病毒主機所連交換機的IP地址；第三遠程登錄進目標(biāo)交換機后臺系統(tǒng)，使用“disp mac-address”命令，來查看該交換機的端口與MAC地址的映射記錄；第四根據(jù)病毒主機MAC地址信息，判斷出病毒主機究竟連接在目標(biāo)交換機的那個交換端口上；第五進入病毒主機所連交換端口視圖模式狀態(tài)，執(zhí)行shutdown”命令，切斷病毒主機與單位局域網(wǎng)的連接，以免ARP病毒繼續(xù)攻擊網(wǎng)絡(luò)中的其他主機；第六趕到病毒主機與交換機所連端口現(xiàn)場，檢查端口線纜上是否有標(biāo)簽說明，或者直接順著網(wǎng)絡(luò)線纜，找出病毒主機的具體位置；最后使用專業(yè)工具查殺干凈ARP病毒，再將病毒主機接入網(wǎng)絡(luò)，同時在對應(yīng)交換端口視圖模式狀態(tài)下執(zhí)行“undo shutdown”命令，恢復(fù)病毒主機的上網(wǎng)連接狀態(tài)。

在遠程管理網(wǎng)絡(luò)時，網(wǎng)管員往往會先用ping命令，測試一下Quidway系列路由交換機的連通性，如果發(fā)現(xiàn)該類型交換機無法被ping通時，請問如何解決呢？

答：遇到這種故障，可以先判斷本地客戶端系統(tǒng)的上網(wǎng)狀態(tài)是否正常，其次到交換機現(xiàn)場觀察設(shè)備的信號燈狀態(tài)，判斷交換機工作狀態(tài)是否正常，第三測試本地系統(tǒng)到交換機之間的物理連接是否正常，第四查看交換機的網(wǎng)絡(luò)配置是否正常。

在Quidway系列路由交換機后臺系統(tǒng)中嘗試建立BGP鄰居關(guān)系時，有時無法切換到Established狀態(tài)，這樣就不能成功建立鄰居關(guān)系，這是什么原因呢？

答：一般來說，要成功建立BGP鄰居關(guān)系，需要路由交換機能正確交換open數(shù)據(jù)報文，以及開通179端口創(chuàng)建TCP會話。為此，需要進行下面幾項排查操作：一是借助ping命令測試tcp連接狀態(tài)是否正常，考慮到一臺路由器可能有若干接口可以達到對端，可以通過拓展的“ping -a ip地址”命令指定發(fā)送ping測試包的源IP地址；二是檢查peer ebgp-max-hop功能是否配置啟用，確認物理連接上是否有直接連接的EBGP鄰居；三是通過display ip routing-table命令判斷本地路由表中有沒有到鄰居的可用路由；四是檢查鄰居的IP地址、AS號等參數(shù)配置是否正確；五是檢查ACL中有沒有對TCP179端口進行限制，如果限制存在的話，必須及時予以解除。

在正確配置好OSPF協(xié)議后，Quidway系列路由交換機路由交換機OSPF卻無法正常工作，請問這該如何解決？

答：首先看看兩臺相互直連的路由交換機之間協(xié)議工作狀態(tài)是否正常，我們可以通 過“display ospf peer”命令，檢查一下路由交換機之間peer狀態(tài)是否達到了full狀態(tài)；如果沒有達到full狀態(tài)的話，那就要認真檢查物理連接和下層協(xié)議的工作狀態(tài)是否正常，我們可以利用ping命令進行測試，如果本地路由交換機ping不通對方設(shè)備的話，那就意味著物理連接或下層協(xié)議存在故障；在物理連接以及下層協(xié)議工作狀態(tài)正常的情況下，檢查對應(yīng)連接接口的OSPF參數(shù)是否配置正常，我們必須要確保本地接口與對端接口的相關(guān)參數(shù)一致，例如工作子網(wǎng)與掩碼一定要相同，區(qū)域號也要相同等。

有些惡意程序常常會向局域網(wǎng)中發(fā)送虛假的TC-BPDU報文，對核心交換機實施欺騙攻擊，如果Quidway系列路由交換機在短時間內(nèi)接受到太多的TC-BPDU報文，那么系統(tǒng)就會頻繁刪除MAC地址列表或ARP列表操作，這樣的操作很容易造成交換機反應(yīng)遲鈍現(xiàn)象，請問如何預(yù)防這種欺騙攻擊？

答：不妨配置啟用核心交換機自帶的預(yù)防TC-BPDU報文攻擊保護功能，一旦配置了這項功能后，交換機日后接受到TC-BPDU報文，默認每隔10秒鐘刪除一次MAC地址列表或ARP列表，避免了頻繁刪除操作消耗太多的系統(tǒng)資源，同時在這段時間內(nèi)，預(yù)防TC-BPDU報文攻擊保護功能還會同時監(jiān)控交換機是否接受到其他TC-BPDU報文，要是接受到的話，就會強制后臺系統(tǒng)在指定時間段后，再刪除一次ARP列表記錄和MAC地址列表記錄，確保刪除操作不會太頻繁。在配置這項功能時，可以在系統(tǒng)全局模式狀態(tài)下，執(zhí)行字符串命令“stp tcprotection enable”即可。

Quidway系列核心路由交換機可以同時插入若干塊板卡，每塊板卡能夠負載24個光端口，每個端口的狀態(tài)都會影響板卡工作狀態(tài)，要是光端口輸入、輸出請求比較多，板卡就要耗費更多CPU資源應(yīng)付這些請求，倘若CPU資源消耗嚴(yán)重時，整塊板卡都不能正常工作。請問，怎樣判斷這類交換機板卡的工作狀態(tài)是否正常？

答：為了能在第一時間知曉板卡工作狀態(tài)，只要對它們的CPU資源使用情況進行監(jiān)控，如果發(fā)現(xiàn)CPU消耗率在50%以上時，就要排查板卡上每個光端口的流量狀態(tài)是否正常了，直到找出不正常的端口，同時執(zhí)行“shutdown”命令關(guān)閉端口工作狀態(tài)。在查看板卡CPU資源消耗情況時，可以先將交換機系統(tǒng)切換到全局視圖模式狀態(tài)，通過“display cpu”命令，就能發(fā)現(xiàn)板卡最近五秒鐘、最近一分鐘、最近五分鐘的CPU資源消耗情況了。

除了CPU消耗情況會影響板卡狀態(tài)，板卡溫度也會對其工作狀態(tài)產(chǎn)生影響，要是交換機散熱不良的話，那么板卡溫度將會持續(xù)上升，同時溫度的不斷攀升，會影響路由交換機的響應(yīng)能力，嚴(yán)重時能造成交換機發(fā)生死機現(xiàn)象。所以，通過“display en”命令查看板卡溫度，也能判斷網(wǎng)卡的工作狀態(tài)是否正常。

有時，Quidway系列路由交換機明明可以正常轉(zhuǎn)發(fā)IP報文，不過在該狀態(tài)下，UDP、TCP等協(xié)議卻不能正常工作，不知道是怎么回事？

答：多半是IP性能配置發(fā)生了錯誤，此時可以考慮啟用交換機TCP調(diào)試開關(guān)功能，查看具體的調(diào)試信息。首先確認用于調(diào)試的客戶機工作狀態(tài)正常，之后遠程登錄進入交換機后臺系統(tǒng)，通過display命令查看一下對應(yīng)系統(tǒng)的IP運行狀態(tài)；接著通過“terminal debugging”命令，強制后臺系統(tǒng)將調(diào)試信息輸出到控制臺上，再執(zhí)行debugging udp packet”命令啟用udp調(diào)試開關(guān)，執(zhí)行debugging tcp packet”命令tcp調(diào)試開關(guān)，跟蹤相關(guān)數(shù)據(jù)包。

Quidway系列路由交換機和Cisco系列交換機之間如何配置鏈路聚合？

答：如果要在Quidway系列路由交換機和Cisco系列交換機之間配置鏈路聚合，必須要使用LACP協(xié)議來進行配置，而且兩端交換機都要同時支持LACP協(xié)議。

在物理線路連接正常的情況下，Quidway系列路由交換機不能接受到對端設(shè)備的RIP數(shù)據(jù)更新報文，請問怎樣排除這種故障現(xiàn)象？

答：出現(xiàn)這種問題，多半是對端設(shè)備的相應(yīng)端口上沒有啟用運行RIP功能，也有可能是該端口沒有通過network使能命令。此外，對端路由交換機中如果配置啟用了組播方式，而本地路由交換機中沒有啟用對應(yīng)的組播方式時，也能出現(xiàn)上述問題。因此，在排除這類問題時，必須確保兩端的通信端口上運行RIP功能，必須通過network使能命令，一定要配置相同的組播方式。

如果Quidway系列路由交換機級聯(lián)端口的位置發(fā)生了調(diào)整，那么對應(yīng)該交換機上的其他VLAN工作狀態(tài)可能會受到影響，請問如何保證在級聯(lián)端口位置變化時，其他VLAN還能正常工作呢？

答：只要進入目標(biāo)交換機后臺系統(tǒng)，修改級聯(lián)端口的工作模式，讓其允許所有VLAN訪問通過就可以了。比方說，SSS交換機從Vlan2中轉(zhuǎn)移到Vlan4中時，我們可以先通過interface命令進入新的級聯(lián)端口視圖模式狀態(tài)，之后依次通過“port link-type trunk”、“port trunk permit vlan all”命令，來確保其他VLAN工作狀態(tài)不受級聯(lián)端口位置變化的影響。機的IP地址，也可以是備份組所在子網(wǎng)中處于閑置狀態(tài)的IP地址，還可以是分配給交換機自己使用的IP地址，那么如何為備份組設(shè)置虛擬IP地址呢？如何從虛擬地址列表中添加或刪除虛擬IP地址呢？

答：很簡單！可以先進入后臺系統(tǒng)全局視圖模式，輸入“vrrp vrid xx virtual-ip ip-address”命令，其中“xx”為備份組組號，取值范圍在1-255 之間，“ip-address”分配給備份組的特定虛擬IP地址，要是配置虛擬IP地址為交換機自身地址時，那么該交換機就是“IP地址擁有者”。

當(dāng)為備份組分配了第一個虛擬IP地址，那么對應(yīng)備份組就會自動創(chuàng)建，日后再為其配置IP地址時，只是將IP地址添加到虛擬地址列表中。在刪除備份組虛擬地址列表中的某個IP地址時，可以在全局視圖模式下輸入“undo vrrp vrid xx virtual-ip ip-address”命令即可，當(dāng)將備份組中的最后一個IP地址刪除時，該備份組也會被系統(tǒng)自動刪除。

VRRP備份組的虛擬IP地址，可以是備份組中某臺交換

有時，嘗試從Quidway S8500路由交換機后臺系統(tǒng)，通過ping命令測試網(wǎng)絡(luò)中指定主機是否在線時，發(fā)現(xiàn)目標(biāo)IP地址一直不能ping通，不知道是什么原因？

答：首先查看指定主機有沒有關(guān)閉ping命令測試功能，要是對應(yīng)系統(tǒng)運行了防火墻或者進行了包過濾，那么核心交換機就可能不能ping通對應(yīng)系統(tǒng)的IP地址。

在排除上述因素后，再查看交換機的參數(shù)配置是否正確，如果網(wǎng)絡(luò)配置正確，查看指定主機與相連交換端口位于哪個VLAN，該VLAN是否正確配置了接口參數(shù)，特別是接口IP地址與特定主機的IP地址有沒有被劃分到同一個網(wǎng)段中。

最后，可以考慮啟用核心交換機的ARP調(diào)試開關(guān)，判斷交換機是否正常發(fā)送、接收ARP報文，一旦看到交換機只能對外發(fā)送，而不能接收ARP報文時，那多半是以太網(wǎng)物理層存在問題。

有時，無法查看到Quidway系列路由交換機ospf的鄰接狀態(tài)，不知道是什么原因？

答：要是命令的輸出中看不到鄰接狀態(tài)，那么就證明連接有問題或ACL配置不當(dāng)。此時，可以使用display interface命令，確認交換端口是否up，line protocol是否up，如果不正確的話，那就證明網(wǎng)絡(luò)鏈路有問題。使用ping命令檢查能否ping通鄰居路由交換機的接口；要是能ping通的話，需要使用display ospf interface命令檢查是否所有的鄰居路由器對應(yīng)接口上的ospf功能是否都啟用了，檢查端口有沒有被設(shè)置成passive接口，因為在ospf passive接口上不會發(fā)送hello包。當(dāng)然，還要對路由交換機的ACL配置進行檢查。

在Quidway S8500路由交換機開啟了DHCP中繼功能的情況下，局域網(wǎng)的DHCP服務(wù)器與普通客戶端系統(tǒng)位于相同的工作網(wǎng)段，但是普通客戶端系統(tǒng)始終不能獲取有效的上網(wǎng)地址，不知道該怎么解決？

答：出現(xiàn)上述故障，多半是網(wǎng)絡(luò)連接不通暢、DHCP服務(wù)未開啟、DHCP服務(wù)器沒有對地址池參數(shù)進行正確配置等因素引起的。此時，可以借助專業(yè)線纜測試工具判斷網(wǎng)絡(luò)線纜的連通性是否正常，在網(wǎng)絡(luò)通暢的情況下，進入交換機后臺系統(tǒng)視圖界面，在該狀態(tài)下執(zhí)行“dhcp enable”命令，開啟DHCP服務(wù)。之后，正確配置包含或與接收接口IP地址在相同網(wǎng)段的地址池，以及正確配置與接口IP地址網(wǎng)段相同的地址池網(wǎng)段。

如果上述配置都正常的情況下，可以使用“display dhcp server expired all”命令判斷地址有沒有存在過期租約現(xiàn)象，要是存在的話，可以執(zhí)行“reset dhcp server ip-in-use”命令，將那些過期租約成功刪除掉。要是還無法解決問題時，可以嘗試擴大配置的地址池網(wǎng)段，確保有足夠的地址可以分配利用。

當(dāng)VRRP備份組中的Quidway系列活動交換機無法正常工作時，該組中的其他備份交換機是怎么知道這一變化的，又是怎樣自動替代活動交換機的呢？

答：主要是借助不斷接受VRRP報文，來識別VRRP備份組中活動交換機工作狀態(tài)的。根據(jù)VRRP協(xié)議缺省規(guī)定，VRRP報文TTL值為255，同時備份交換機會自動查看VRRP報文，一旦看到對應(yīng)數(shù)據(jù)報文的TTL值不是255，它就會自動丟棄該數(shù)據(jù)報文。在H3C S8500系列交換機中，要是希望備份交換機不查看VRRP報文時，可以在系統(tǒng)全局視圖模式下輸入“vrrp un-check ttl”命令即可，執(zhí)行“undo vrrp un-check ttl”命令的話，又能自動查看VRRP報文了。

在組網(wǎng)規(guī)模稍大一點的網(wǎng)絡(luò)環(huán)境中，很多管理員會將Quidway系列路由交換機的DHCP中繼代理功能配置啟用起來，同時結(jié)合DHCP服務(wù)器，為客戶機提供IP地址分配服務(wù)。然而，Quidway系列路由交換機的DHCP中繼代理狀態(tài)，會對客戶機的網(wǎng)絡(luò)連接狀態(tài)造成影響；不少客戶機不能獲取動態(tài)IP地址，都是因為DHCP中繼代理狀態(tài)不正常造成的。那么日后當(dāng)再次遇到客戶機無法上網(wǎng)現(xiàn)象時，該怎樣來判斷核心交換機的中繼狀態(tài)正常呢？

答：先進入交換機后臺系統(tǒng)全局視圖模式狀態(tài)，輸入字符串命令“display dhcpserver GroupNo”，檢查指定的DHCP服務(wù)器是否有效，也就是說，這里指向的DHCP服務(wù)器地址與局域網(wǎng)中真實有效的DHCP服務(wù)器地址是否相同，要是不相同的話，一定要重新修改過來。而且，從該命令返回的結(jié)果中，我們還能識別交換端口接收報文的狀態(tài)；一旦看到交換機只能接收discover報文，而無法接收響應(yīng)報文，那就說明局域網(wǎng)中的指定DHCP服務(wù)器不能正常向交換機發(fā)送報文，此時應(yīng)該認真檢查DHCP服務(wù)器的工作狀態(tài)是否正常。

在DHCP服務(wù)器狀態(tài)正常時，嘗試在其中通過ping命令測試無法上網(wǎng)客戶機所在Vlan的IP地址，以便識別DHCP服務(wù)器能否找到指定客戶機所在網(wǎng)段的路由，要是無法找到的話，那可能是DHCP服務(wù)器的網(wǎng)關(guān)地址沒有配置好，此時只要將該網(wǎng)關(guān)地址配置為客戶機所在Vlan接口的IP地址就能解決問題了。

在鏈路層協(xié)議狀態(tài)、特定交換端口物理狀態(tài)都正常時，連接到Quidway系列路由交換機特定端口上的客戶機，向核心交換機發(fā)送IP報文時，為什么該交換機卻不能正常轉(zhuǎn)發(fā)？

答：首先判斷Quidway系列路由交換機有沒有配置動態(tài)路由，如果沒有配置該功能，那基本就能判斷交換機靜態(tài)路由工作不正常。此時，可以在交換機后臺系統(tǒng)全局視圖模式狀態(tài)下，通過“display ip routing-table protocol static”命令，檢查它的靜態(tài)路由配置情況；要是發(fā)現(xiàn)其配置正確，再通過“display ip routing-table”命令，檢查靜態(tài)路由是否處于工作狀態(tài)。一般來說，啟用了靜態(tài)路由，同時其他配置都正確的情況下，核心交換機應(yīng)該能正常轉(zhuǎn)發(fā)數(shù)據(jù)報文。

當(dāng)某個路由交換端口配置啟用了回路監(jiān)測功能后，該功能缺省會每隔30秒對所有網(wǎng)絡(luò)交換端口掃描、監(jiān)測一次，不過如此頻繁地掃描網(wǎng)絡(luò)，會嚴(yán)重消耗Quidway系列路由交換機的系統(tǒng)資源，請問有沒有辦法調(diào)整該功能的掃描監(jiān)測時間？

答：答案是肯定的！只要先切換到路由交換系統(tǒng)全局模式狀態(tài)，在指定端口視圖模式狀態(tài)下，執(zhí)行“l(fā)oopbackdetection interval-time n”字符串命令（其中“n”為掃描的時間間隔數(shù)值，單位為秒鐘），就能實現(xiàn)調(diào)整掃描、監(jiān)測時間間隔的目的了。