概述
- 适用设备 本命令手册主要适用于华为 NE 路由器系列型号设备及 5700 交换机系列型号设备。
- 命令格式
| 序号 | 格式 | 意义 |
|---|---|---|
| 1 | 粗体 | 命令关键字,在命令中保持不变,原样照输,采用加粗字体表示 |
| 2 | 斜体 | 命令参数,在命令中以实际值进行替代,采用斜体字体表示 |
| 3 | <> | 命令必选参数,在输入命令时必须配置该参数 |
| 4 | [] | 命令可选参数,在输入命令时根据需要配置该参数 |
| 5 | x | y | … | 表示从两个或多个选项中选取 1 个 |
路由器
名称
# 采用「X_Y_Z」的形式,路由器 X 为战区名称简写,Y 为节点名称简写,Z 为设备型号,如果
存在同型号的多台设备,按 A、B、C、D 的顺序进行编号,在型号后增加编号序列
<R>sys
[R]sys DB_HJ_NE20-X3
接口
(1)环回接口( Lookback ) 配置
# 配置 OSPF 协议、BGP 协议、MPLS 的 LDP 协议时必须配置相关协议的路由器 ID,且统一
采用最小环回口地址作为路由器 ID
[R]int loo0
[R-loo0]ip add 1.1.1.1 32
(2)GE 网口
# 主要配置包括介质类型、接口自协商、接口速率、流控、单 / 双工模式等基本功能
# 接口缺省开启自协商功能,采用电口互连时,一般采用自协商方式互通
[R]int g0/0/0
[R-g0/0/0]port-type copper
[R-g0/0/0]ip add 10.0.0.1 24
# 采用光口互连时,一般要求关闭接口自协商功能,配置固定速率互通
[R]int g0/0/1
[R-g0/0/1]port-type fiber-1000
[R-g0/0/1]undo negotiation auto
[R-g0/0/1]speed 1000
[R-g0/0/1]ip add 10.0.0.2 24
(3)10GE 网口
# 10GE 以太网接口可配置为广域网模式或局域网模式
[R]int g5/0/0
[R-g5/0/0]ip add 10.1.1.1 24
[R-g5/0/0]set transfer-mode wan
(4)E1 接口
AR 系列路由器 E1-F 接口配置方式
E1-F 接口有两种工作方式,非成帧方式和成帧方式(建议使用非成帧方式)
- 当 E1-F 接口工作于非成帧方式时,它相当于一个不分时隙、数据带宽为 2048Kbit/s 的接口,其逻辑特性与同步串口相同,支持 PPP、HDLC 和 FR 数据链路层协议,支持 IP 网络协议
- 当 E1-F 接口工作于成帧方式时,线路分为 32 个时隙,对应编号为 0-31。其中 0 时隙用于传输同步信息,其余时隙可以被任意捆绑成一个通道。E1-F 接口的带宽为 n*64Kbit/s (n是指捆绑的时隙数,最大取值为 31),其逻辑特性与同步串口相同,支持 PPP、HDLC 和 FR 数据链路层协议,支持 IP 网络协议。
E1-F 接口支持的时钟模式有两种:
- 主时钟模式(内部时钟模式):接口工作在主时钟模式时,使用芯片内部产生的时钟作为参考。
- 从时钟模式(线路时钟模式):接口工作在从时钟模式时,使用线路上恢复出的时钟作为参考。 两个相连的端口必须为一主一从,时钟由主设备来提供,从设备使用线路上恢复出来时钟,保证能正确识别接收到的数据。
# AR 系列路由器基本配置 [R]display device //查看 E1T1 接口卡的槽位号,是否在位以及状态是否正常 [R]display workmode [slot 槽位 id |all] //查看 E1T1 接口卡的工作模式 [R]set workmode slot <slot-id> e1-f //配置 E1T1 接口卡工作在 E1-F 模式,默认 就是该模式 [R]int s2/0/0 [R-s2/0/0]fe1 unframed //配置为非成帧方式,默认成帧方式(要配) [R-s2/0/0]fe1 line-termination [75-ohm | 120-ohm] //配置E1-F 接口所连接的 线缆类型,默认 120-ohm(不要配) [R-s2/0/0]fe1 clock [master | slave | system] //配置 E1-F 接口的时钟方式, 默认为 slave(要配) [R-s2/0/0]crc [16 | 32 | none ] 配置接口的 CRC 校验模式,默认 16 位 CRC 校验, 建议修改为 32 位(要配) # 多个 E1 接口捆绑 [R]interface mp-group0/0/0 [R-mp-group0/0/0]ip add 1.1.13.1 24 [R-mp-group0/0/0]interface serial 2/0/0 [R-serial2/0/0]ppp mp-group 0/0/0 [R-serial2/0/0]interface serial 2/0/1 [R-serial2/0/1]ppp mp-group 0/0/0NE 系列路由器 CPOS 接口和 E1 接口配置方式
# NE20E 路由器 CPOS 接口配置 # 将 CPOS 接口和其通道化出来的 E1 接口配置为主时钟模式 <NE210E>system-view [NE210E]controller cpos 1/0/0 [NE210E-Cpos1/0/0]clock master [NE210E-Cpos1/0/0]e1 1 unframed [NE210E-Cpos1/0/0]e1 1 set clock master [NE210E-Cpos1/0/0]e1 2 unframed [NE210E-Cpos1/0/0]e1 2 set clock master # 创建 Mp-group 接口,配置 IP 地址 [NE210E]interface mp-group 0/0/0 [NE210E-Mp-group0/0/0]ip address 10.1.1.1 30 [NE210E-Mp-group0/0/0]quit # 将串口 Serial1/0/0/1:0 加入 Mp-group 接口 [NE210E]interface serial1/0/0/1:0 [NE210E-Serial1/0/0/1:0]link-protocol ppp [NE210E-Serial1/0/0/1:0]ppp mp mp-group0/0/0 [NE210E-Serial1/0/0/1:0]quit # 将串口 Serial1/0/0/2:0 加入 Mp-group 接口 [NE210E]interface serial1/0/0/2:0 [NE210E-Serial1/0/0/2:0]link-protocol ppp [NE210E-Serial1/0/0/2:0]ppp mp mp-group0/0/0 [NE210E-Serial1/0/0/2:0]quit# NE20 路由器 E1 接口配置 # 配置 E1 接口的工作模式 <NE20>system-view [NE20]controller e1 1/0/0 [NE20-E1 1/0/0]using e1 [NE20-E1 1/0/0]quit [NE20]controller e1 1/0/1 [NE20-E1 1/0/1]using e1 [NE20-E1 1/0/1]quit # 创建 Mp-group 接口,配置相应的 IP 地址 [NE20]interface mp-group 0/0/0 [NE20-mp-group0/0/0]ip address 10.1.1.2 30 [NE20-mp-group0/0/0]quit # 配置 E1 接口通道化出来的 Serial 接口 # 配置串口 Serial1/0/0:0 [NE20]interface serial1/0/0:0 [NE20-Serial1/0/0:0]link-protocol ppp [NE20-Serial1/0/0:0]ppp mp mp-group0/0/0 [NE20-Serial1/0/0:0]quit [NE20]interface serial1/0/1:0 [NE20-Serial1/0/1:0]link-protocol ppp [NE20-Serial1/0/1:0]ppp mp mp-group0/0/0 [NE20-Serial1/0/1:0]quit # 验证配置 [NE20E]dis interface serial 1/0/0/1:0 [NE20E]dis interface mp-group 0/0/0 [NE20E]dis ppp mp
(5)Pos 口
[R]int pos2/0/0
[R-pos2/0/0]link-protocol [ppp | hdlc | fr] // 默认 ppp
[R-pos2/0/0]crc [16 | 32] // 默认 32
[R-pos2/0/0]clock [slave | master] // 默认 master,一般不需要更改
[R-pos2/0/0]frame-format [sdh | sonet] // 默认 sdh,一般不需要更改
[R-pos2/0/0]scramble // 默认加扰,可以使用 undo scramble 命令取消
认证
(1)串口登录密码认证
# 控制口登录密码认证
[R]user-interface con 0
[R-ui-console0]authentication-mode password
[R-ui-console0]set authentication password cipher huawei@123
(2)aaa 认证
# 控制口登录 aaa 认证
[R]user-interface con 0
[R-ui-con0]authentication-mode aaa
[R]aaa
[R-aaa]local-user admin123 password cipher huawei@123
[R-aaa]local-user admin123 service-type terminal
[R-aaa]local-user admin123 privilege level 15
# 配置用户在 10 分钟内错误连接次数为 3 次,3 次输入错误密码,锁定用户并在 10 分钟后
解锁
[R-aaa]user-block failed-times 3 period 10
# 虚拟终端登录 aaa 认证
[R]user-interface vty 0 4
[R-ui-vty0-4]authentication-mode aaa
[R-ui-vty0-4]protocol inbound all ( 允许 telnet 和 ssh 登录)
[R]aaa
# telnet 用户
[R-aaa]local-user tel123 password cipher huawei@123
[R-aaa]local-user tel123 privilege level 15
[R-aaa]local-user tel123 service-type telnet
# ftp 用户
[R-aaa]local-user ftp123 password cipher huawei@123
[R-aaa]local-user ftp123 privilege level 15
[R-aaa]local-user ftp123 service-type ftp
[R-aaa]local-user ftp123 ftp-directory flash:
# stelnet 和 sftp 用户
[R-aaa]local-user ssh123 password cipher huawei@123
[R-aaa]local-user ssh123 privilege level 15
[R-aaa]local-user ssh123 service-type ssh
[R]ssh user ssh123 authentication-mode password
[R]ssh user ssh123 service-type stelent sftp
[R]ssh user ssh123 sftp-directory sftp
# 开启相应服务器
[R]telnet server enable
[R]ftp server enable
[R]stelnet server enable
[R]sftp server enable
# ssh 用户(包括 stelnet 和 sftp ) 生成本地密钥对
[R]rsa local-key-pair create
(3)链路认证(只有 PPP 协议需要配置)
- PAP 认证(此为单项认证配置,双项认证要求路由器再添加对端的配置命令即可)
# 路由器 1
[R1] aaa
[R1-aaa]local-user admin1 password cipher huawei@123
[R1-aaa]local-user admin1 service-type ppp
[R1-aaa]quit
[R1]int serial 1/0/0:0
[R1-Serial1/0/0:0]ppp authentication-mode pap
[R1-Serial1/0/0:0]quit
# 路由器 2
[R2]int serial1/0/1:0
[R2-Serial1/0/1:0]ppp pap local-user admin1 password cipher huawei@123
- CHAP 认证
# 路由器 1
[R1]aaa
[R1-aaa]local-user admin1 password cipher huawei@123
[R1-aaa]local-user admin1 service-type ppp
[R1-aaa]quit
[R1]int pos2/0/1
[R1-pos2/0/1]ppp authentication-mode chap
[R1-pos2/0/1]q
# 路由器 2
[R2]int pos2/0/1
[R2-pos2/0/1]ppp chap user admin1
[R2-pos2/0/1]ppp chap password cipher huawei@123
[R2-pos2/0/1]q
OSPF
# 基本配置
[R]ospf 1 router-id 1.1.1.1
# 修改 OSPF 优先级(此参数建议谨慎修改,会影响全局路由)
[R-ospf-1]preference 30
# 修改 OSPF ASE 优先级(此参数建议谨慎修改,会影响全局路由)
[R-ospf-1]preference ase 30
# 修改 OSPF 协议计算路由参考带宽 10000Mbit/s
[R-ospf-1]bandwidth-reference 10000
# OSPF 区域配置
[R-ospf-1]area 0
# 配置OSPF 区域认证
[R-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei
# 宣告路由
[R-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[R-ospf-1-area-0.0.0.0]network 5.1.2.4 0.0.0.3
[R-ospf-1-area-0.0.0.0]area 1
[R-ospf-1-area-0.0.0.1]nssa //配置 OSPF nssa 区域
# 在区域 1 中配置区域间路由聚合
[R-ospf-1-area-0.0.0.1]network 20.0.1.0 0.0.0.255
[R-ospf-1-area-0.0.0.1]network 20.0.2.0 0.0.0.255
[R-ospf-1-area-0.0.0.1]network 20.0.3.0 0.0.0.255
[R-ospf-1-area-0.0.0.1]abr-summary 20.0.0.0 255.255.252.0
# 通过路由策略引入路由
[R]acl 2000
[R-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R-acl-basic-2000]route-policy rp1 permit node 1
[R-route-policy]if-match acl 2000
[R-route-policy]ospf 1
[R-ospf-1]import-route direct route-policy rp1
# OSPF 设置接口参数
[R]int g0/0/0
[R-g0/0/0]ospf authentication-mode md5 1 huawei //配置 OSPF 接口认证
[R-g0/0/0]ospf cost 20000 //配置 OSPF 接口开销
BGP
(1)BGP 基本配置
[R]bgp 100
# 修改 bgp 优先级,三个参数依次为 ebgp 外部路由协议优先级,ibgp 内部路由协议优先级
以及 bgp 本地路由协议优先级——本地路由是指通过聚合命令(summary automatic 自动聚合
和 aggregate 手动聚合)所聚合的路由
[R-bgp]perference 10 100 255 // 此参数建议谨慎修改,会影响全局路由
[R-bgp]undo synchronization // 关闭 bgp 同步
[R-bgp]undo summary automatic // 关闭自动归纳功能(默认关闭)
[R-bgp]router-id 6.0.0.11
[R-bgp]compare-different-as-med // 只有在比较不同 AS 邻居路由器的 MED 属性时才
开启
[R-bgp]peer 1.1.1.5 as-number 1 // 指向 EBGP 邻居
[R-bgp]peer 1.1.1.5 password cipher huawei@123 // 邻居认证
[R-bgp]peer 5.192.0.12 as-number 11 // 指向 IBGP 邻居
[R-bgp]peer 5.192.0.12 connect-interface loopback 0 // 指定用环回口建立
IBGP 邻居
[R-bgp]peer 5.192.0.12 next-hop-local // 更改 IBGP 邻居获得的路由下一跳指向
自己
<R>reset bgp all // 重启 bgp 进程
(2)BGP 业务路由引入
[R]bgp 100
[R-bgp]network 10.1.4.4 24
# network 发布的路由,需要在路由表中有一条完全匹配的路由,否则无法发布,若无匹配路由,
则需手动配置一条静态路由指向 null 0,如
[R-bgp]network 6.0.0.0 8
[R-bgp]ip route-static 6.0.0.0 255.0.0.0 null 0
VPN(MPLS VPN)
(1) MPLS 基本配置
[R]mpls lsr-id loopback 0
[R]mpls
[R-mpls]mpls ldp
[R-mpls-ldp]int pos 1/0/1
[R-pos1/0/1]mpls
[R-pos1/0/1]mpls ldp
[R-pos1/0/1]mtu 1500 // 可选配
[R-pos1/0/1]mpls mtu 1520 // 可选配
(2)创建 VPN 实例并与接口进行绑定
[R]ip vpn-instance vpna
[R-vpn-instance-vpna]ipv4-family
[R-vpn-instance-vpna-af-ipv4]route-distinguisher 300:1
[R-vpn-instance-vpna-af-ipv4]vpn-target 100:1
[R]int g2/0/0
[R-g2/0/0]ip binding vpn-instance vpna
[R-g2/0/0]ip add 192.168.31.1 24
(3)配置路由协议实现 VPN 实例内路由互通
# OSPF 协议
[R]ospf 2 vpn-instance vpna
[R-ospf-2]area 0
[R-ospf-2-area-0.0.0.0]network 192.168.31.0 0.0.0.255
[R-ospf-2-area-0.0.0.0]import-route bgp //如果bgp路由太大,请使用路由策略过滤
想要引入的路由
# 静态路由协议
[R]ip route-static vpn-instance vpna 172.16.6.0 24
192.168.52.5
(4)配置 MP-BGP
[R]bgp 100
[R-bgp]ipv4-family vpnv4
[R-bgp-af-vpnv4]peer 12.0.0.2 enable
[R-bgp-af-vpnv4]peer 12.0.0.2 advertise-community
[R-bgp-af-vpnv4]quit
[R-bgp]ipv4-family vpn-instance vpna
[R-bgp-vpna]network 172.16.5.0 24 //宣告路由,用 network 和 import-route
命令都可以
组播
# 全局开启组播
[R]multicast routing-enable
# 接口加入组播
[R-g0/0/0]int loo0
[R-lo0]pim sm
[R]int g0/0/0
[R-g0/0/0]pim sm
# 下游有接收组播组成员的接口还需开启 igmp
[R-g0/0/0]igmp enable
# 配置 rp(静态 rp 需在每台启用组播的设备上配置,动态 rp 配置一次即可)
[R]acl number 2000
[R-acl-basic-2000]rule permit source 225.0.0.0 0.255.255.255
[R-acl-basic-2000]rule permit source 226.0.0.0 0.255.255.255
[R-acl-basic-2000]rule permit source 227.0.0.0 0.255.255.255
[R-acl-basic-2000]rule deny source any
[R]pim
[R]c-bsr lo0 priority 100// 动态 rp 需配置候选 bsr,优先级越大越优先,默认为0
# 使用 group-policy <acl 编号 > 命令配置 RP 允许接受的组播地址范围
[R]c-rp lo0 group-policy 2000 priority 100 // 动态 rp 需配置候选 rp,优先级
越小越优先,默认为 0
# 在 AS 边界路由器上配置阻断 Bootstrap 报文传递到对端 AS 中
[R]int g0/0/0
[R-g0/0/0]pim bsr-boundary
# 配置各 AS 域内 rp 之间的 msdp(组播源发现协议)互通
[R]msdp
[R-msdp]peer 12.0.0.2 connect-interface g0/0/0
# 缺省情况下,RP 收到的所有 SA 消息都转发给 MSDP 邻居,但对于那些只用于本自治系统
使用的组播地址信息,可以使用 SA 过滤器对发送给 MSDP 邻居的 SA 消息进行过滤
# 假设 AS 内部的组播地址为 231.0.0.0-238.0.0.0,则需对这些组播地址进行限制,而对
全网范围的组播地址则不加限制
[R]acl number 3000
[R-acl-adv-3000]rule deny ip source any destination 231.0.0.0 0.255.255.255
[R-acl-adv-3000]rule deny ip source any destination 232.0.0.0 0.255.255.255
[R-acl-adv-3000]rule deny ip source any destination 233.0.0.0 0.255.255.255
[R-acl-adv-3000]rule deny ip source any destination 234.0.0.0 0.255.255.255
[R-acl-adv-3000]rule deny ip source any destination 235.0.0.0 0.255.255.255
[R-acl-adv-3000]rule deny ip source any destination 236.0.0.0 0.255.255.255
[R-acl-adv-3000]rule deny ip source any destination 237.0.0.0 0.255.255.255
[R-acl-adv-3000]rule deny ip source any destination 238.0.0.0 0.255.255.255
[R-acl-adv-3000]rule permit ip source any destination any
[R]msdp
[R-msdp]peer 12.0.0.2 sa-policy export acl 3000
配置文件备份
(1)复制粘贴方式 (2)ftp 导出方式 (3)sftp 导出方式
交换机
名称
# 采用「X_Y_Z」的形式,交换机 X 为节点或指挥所名称简写,Y 为网络业务区名称简写,Z 为
设备型号
<S>sys
[S]sys 401GC_CSFW_S5700 (401 工程传输服务区 S5700 交换机)
接口
(1)Vlanif 接口
[S]int vlanif 1
[S-vlanif1]ip add 10.1.1.1 255.255.255.0
(2) Eth-trunk 接口
[S]int eth-trunk 1
[S-eth-trunk1]mode manual load-balance //默认即为手工负载分担模式,此条命令可以
不配
[S-eth-trunk1]trunkport g 0/0/1 to 0/0/3 //加入成员接口
[S-eth-trunk1]quit
# 或者在接口视图下加入 eth-trunk
[S]interface g0/0/1
[S-g0/0/1]eth-trunk 1
认证
参考路由器配置
STP
(1)mstp
[S]stp mode mstp
# 生成树域配置
[S]stp region-configuration
[S-mst-region]region-name huawei
[S-mst-region]revision-level 1
# 配置实例绑定 vlan
[S-mst-region]instance 1 vlan 10
[S-mst-region]instance 2 vlan 20
[S-mst-region]active region-configuration
# 配置根桥和备份根桥
# 方法一(推荐配置)
[S]stp instance 1 root primary
[S]stp instance 2 root secondary
# 方法二
[S]stp instance 1 priority 0
[S]stp instance 2 priority 4096
⚠️ 交换机配置路由协议互通的三层 vlanif 接口所属 vlan 下的二层接口请关闭 STP 功能,以免端口被阻塞影响路由协议邻居建立 ⚠️
[S]int g0/0/3
[S-g0/0/3]undo stp enable | stp disable //两条命令都可以,任选其一
VLAN
# 创建 vlan
[S]vlan batch 100 200 1000
TRUNK
# 配置 trunk 口
[S]int g0/0/1
[S-g0/0/1]port link-type trunk
[S-g0/0/1]port trunk allow-pass vlan all
[S-g0/0/1]int g0/0/2
[S-g0/0/2]port link-type trunk
[S-g0/0/2]port trunk allow-pass vlan all
# 配置 access 口
[S-g0/0/2]int g0/0/3
[S-g0/0/3]port link-type access
[S-g0/0/3]port default vlan 10
[S-g0/0/3]int g0/0/4
[S-g0/0/4]port link-type access
[S-g0/0/4]port default vlan 20
VRRP
# 在 vlanif 接口下配置
[S]int vlanif 10
[S-vlanif10]vrrp vrid 1 virtual-ip 192.168.1 254
[S-vlanif10]vrrp vrid 1 priority 120 //设置 vrrp 优先级(默认 100,越高越优先)
[S-vlanif10]vrrp vrid 1 preempt-mode timer delay 20 // 主虚拟路由器设置抢占
延时为 20s
OSPF
三层交换机参考路由器配置
组播
(1)三层交换机参考路由器配置 (2)二层交换机需启用 igmp-snooping
# 全局启用 igmp-snooping
[S]igmp-snooping enable
# vlan 下启用 igmp-snooping
[S]vlan 10
[S-vlan10]igmp-snooping enable
[S-vlan10]vlan 20
[S-vlan20]igmp-snooping enable
配置文件备份
参考路由器配置
访问控制
VLAN 的隔离
(1)端口隔离
# 配置接口 g1/0/1 和 g1/0/2 的端口隔离功能,实现两个接口之间的二层数据隔离,
三层数据互通
[S]port-isolate mode l2
[S]int g1/0/1
[S-g1/0/1]port-isolate enable group 1
[S-g1/0/1]int g1/0/2
[S-g1/0/2]port-isolate enable group 1
(2)Mux VLAN
# 创建 vlan
[S]vlan batch 2 3 4
[S]vlan 2
# 配置该 vlan 为 mux vlan,即 principal vlan
[S-vlan2]mux-vlan
# 互通型 vlan
[S-vlan2]subordinate group 3
# 隔离型 vlan
[S-vlan2]subordinate separate 4
# 使能接口的 mux vlan 功能
[S]int g0/0/1
[S-g0/0/1]port link-type access
[S-g0/0/1]port default vlan 3
[S-g0/0/1]port mux-vlan enable vlan 3
ACL 访问控制
做流量过滤时,基本 ACL 离目的近,高级 ACL 离源进 (1)traffice-filter 做流量过滤
# VLAN 下做 traffic-filter
[S]acl 3000
[S-acl-adv-3000]rule permit tcp destination 192.168.2.1 0
destination-port eq 21
[S-acl-adv-3000]rule deny ip destination 192.168.2.0
0.0.0.255
[S-acl-adv-3000]quit
[S]traffic-filter vlan 10 inbound acl 3000
# 接口视图下做 traffic-filter
[S]acl 3001
[S-acl-adv-3001]rule deny tcp source 192.168.1.1 0
destination 192.168.3.1 0 destination-port eq 21
[S-acl-adv-30001]quit
[S]int g0/0/3
[S-g0/0/3]traffic-filter inbound acl 3001
(2)traffic-policy 流策略做流量过滤(作为没有 traffic-filter 命令的备份)
接入控制
交换机上 IP、MAC、端口绑定
# 首先查看终端 mac 地址并复制
[S]dis mac-address
# 然后配置绑定
[S] user-bind static ip-address 192.168.100.1 mac-address 5489-9885-723a
interface g0/0/1
# 最后在端口激活检查
[s]int g0/0/1
[S-g0/0/1]ip source check user-bind enable
流量采集
交换机镜像 Wireshark 采集
(1)本地镜像配置
# 配置观察口
[S]observe-port 1 int g0/0/24
# 配置一个镜像口
[S]interface g0/0/1
[S-g0/0/1]port-mirroring to observe-port 1 [inbound(入向)| outbound(出向)
| both(双向)]
# 配置多个镜像口
[S]interface range g0/0/1 to 0/0/23
[S-range0/0/1-0/0/23]port-mirroring to observe-port 1 [inbound | outbound
| both]
(2) Wireshark 采集
维护与排障
- 配置之前先检查设备各硬件及板卡指示灯是否正常,有无告警;再确认路由器主管理板是哪块,防止插错管理口;线缆连接完毕后请检查相应端口指示灯是否点亮。
- NE20 系列路由器在用户视图下键入 sys 命令进入系统视图后,配置命令并不立即生效,如需生效需键入 commit 命令;如要在用户视图下进入系统配置立即生效模式,请键入
system-view immediately
<R>sys
[~R]sysna huawei //此条命令并不立即生效
[~R]commit //执行 commit 才会生效
<R>sys im //进入立即生效模式
[R]sysna huawei //命令在键入后即生效
配置信息查看
[R]dis cur con [aaa | bgp | ...] //某项配置信息查看 [R]dis cur | include <关键字> //按关键字查看配置信息接口信息查看
(1)接口状态概要信息查看
[R]dis interface brief(2)三层接口概要信息查看
[R]dis ip interface brief(3)二层接口所属 VLAN 信息查看
[R]dis port vlan(4)E1-F 接口
[R]display fe1 serial 2/0/0 //查看 E1-F 接口的基本配置信息和告警情况 [R]dis interface serial 2/0/0 //查看 E1-F 接口的状态及统计信息 # 配置环回检测功能 [R]int serial 2/0/0 [R-serial2/0/0]fe1 loopback [local | payload | remote] //配置检测方式为本端、 载荷和远端 [R]display interface serial 2/0/0 //查看本端/对端设备的 Serial 接口的物理状态 (current state)是否为 UP <R>reset counters interface serial 2/0/0 //清除 E1-F 接口生成的串口上的统计 信息(5)Pos 接口物理层不 up
- 检查对接的两侧设备接口上的光纤模块是否匹配
- 检查故障端口做环回测试后是否 up
- 做该环回的目的是
检查本端单板是否正常,如果 loopback local 后仍然无法 up,则可以确定是本端接收单板的故障导致,尝试更换子卡。
[HUAWEI-Pos0/1/0] loopback local [HUAWEI-Pos0/1/0] dlisplay this interface Pos0/1/0 current state: UP 备注:物理状态的显示结果 Line protocol current state: DOWN Link quality grade:-- Description:HUAWEI, Pos0/1/0 Interface Route Port, The Maximum Transmit Unit is 4470, Hold time Internet protocol processing: disabled Link layer protocol is PPP LCP initial The Vendor PN is FTLF8519P2BNL-HW The Vendor Name is FINISAR CORP. Port Bw: 2.5G, Transceiver max Bw:2.5G, Transceiver Mo WaveLength: 850nm, Transmission Distance: 500m Physical layer is Packet Over SDH Scramble enabled, clock master, CRC-32, loopback: local Flag J0 "NetEngine " Flag J1 "NetEngine " Flag C2 22(0x16) Last physical up time: 2016-01-24 11:10:05 Last physical down time: 2016-01-24 10:47:00 Current System time: 2016-01-24 11:10:14检查接口上是否有联动 down 的告警
检查接口上的 SDH 告警
<HUAWEl> display pos interface pos0/1/0 Pos0/1/0 current state:DOWN Line protocol current state:DOWN Physical layer is Packet Over SDH Scramble enabled, clock master, CRC-32, loopback: none Flag J0 "NetEngine" Flag J1 "NetEngine" Flag C2 22(0x16) SDH alarm: //备注:下面3行表示sdh告警,当前有LOS告警 section layer: LOS line layer: none path layer: none SDH error: //备注:下面3行表示sdh误码 section layer: B1 0 line layer: B2 0 REI 0 path layer: B3 0 REI 0 # POS接口默认联动down的SDH告警是LOS/LOF/LAIS,很多设备还有再配置LRDI/PRDI联动down, 可以通过查看接口上的配置确认。 <HUAWEI> display current-configuration interface pos0/1/1 # interface Pos0/1/1 link-protocol hdlc undo shutdown transmission-alarm down lais lof los lrdi pais prdi # return按照以上步骤中命令行回显的 SDH 告警,分别进行检查。 LOS告警可能的故障原因:
- 排查路由器至传输设备间的链路,可以用光功率计测量光功率,必要时可以进行更换或使用正常的链路进行交叉测试。
- 路由器与传输设备之间的尾纤错联,使不同速率级别的光口互连。
- 传输设备上游无光,且传输设备配置了激光器关断,导致未向路由器发光,需要检查传输设备。
- 可以排查一下传输设备上有无LOS,LOF等告警。
LOF告警可能的故障原因:
- 排查路由器至传输设备间的链路质量。
- 排查传输设备上的告警,传输网络中有线路故障或单板故障,导致传输波分设备与路由器连接的单板收上游无光或收上游有LOF告警,从而向下游的路由器设备发送带有LOF告警的信号。
LAIS/PAIS告警可能的故障原因:
- 路由器POS口因为LOS、OOF或LOF告警,而产生LAIS/PAIS,这种情况不用关注LAIS和PAIS告警。
- 单独的LAIS/PAIS告警,一般是传输设备发送过来的,需要排查传输设备。
LRDI/PRID告警可能的故障原因:
- 对端路由器连接传输设备的端口,上报了LOS、 LOF、或LAIS/PAIS告警,并且由传输设备发向路由器的单方向尾纤链路良好的情况下,回告给本端路由器POS口LRDI/PRID告警指示。也就是说这是一种远端设备故障指示的告警,需要检查对端路由器不up的原因。
在故障端口光模块上做尾纤自环测试后检查是否 up
- 采取使用尾纤加固定光衰(保证输入光功率不超过POS口上限,光模块传输距离在10KM及以下的无需光衰)对POS口进行端口内环回操作。环回前,应先测量本POS端口的输出功率,选择合适的固定光衰。 环回后,先观察端口上的接收光功率是否在正常范围内,然后查看SDH告警是否消失,物理状态是否up。如果up,则说明是传输问题,如果不up,说明是本端故障,可以尝试更换光模块。 查询接口光模块传输距离,光功率及光功率门限的命令:
<HUAWEl> display interface Pos 0/1/0 Pos0/1/0 current state: DOWN //备注:物理状态的显示 Line protocol current state : DOWN Link quality grade :-- Description:HUAWEl, Pos0/1/0 Interface Route Port,The Maximum Transmit Unit is 4470, Hold time Internet protocol processing : disabled Link layer protocol is PPP LCP initial The Vendor PN is FTLF8519P2BNL-HW The Vendor Name is FINISAR CORP. Port BW: 2.5G, Transceiver max BW: 1G, Transceiver Moc WaveLength: 850nm, Transmission Distance: 500m Rx Power: -29.59dBm, Warning range:[-16.99, 0.00ldBm Tx Power: -5.44dBm, Warning range: [-9.50, 0.00]dBm Physical layer is Packet Over SDH # 说明: # 前面那个Rx Power是当前的接收功率,后面那个中括号 # 内的范围是正常的功率范围,在范围之外的都不正常。 # TX Power是当前的发送光功率,后面括号中的范围是正 # 常的发送光功率范围。收集信息寻求技术支持
(6)Pos 接口检查光模块工作状态是否正常
<HUAWEI> display transceiver interface GigabitEthernet 2/0/3 verbose GigabitEthernet2/0/3 transceiver information: ------------------------------------------------------------- Common information: Transceiver Type:1000_BASE_SX_SFP Connector Type:LC Wavelength(nm):850 Transfer Distance(m):500(50um),300(62.5um) Digital Diagnostic Monitoring:YES Vendor Name:HUAWEI Vendor Part Number:02315204 Ordering Name: ------------------------------------------------------------- Manufacture information: Manu. Serial Number:NSK1NNV Manufacturing Date:2014-11-09 Vendor Name:HUAWEI ------------------------------------------------------------- Alarm information: ------------------------------------------------------------- Diagnostic information: Temperature(°C):39 Voltage(V):3.32 Bias Current(mA):6.91 //电流值 Bias High Threshold(mA):33.34 Bias LowThreshold(mA):1.67 Current Rx Power(dBM):-4.59 //接口收光功率 Default Rx Power High Threshold(dBM):0.00 Default Rx Power LowThreshold(dBM):-16.99 Current Tx Power(dBM):-5.10 //接口发光功率 Default Tx Power High Threshold(dBM):0.00 Default Tx Power LowThreshold(dBM):-12.50 User Set Rx Power High Threshold(dBM) :0.00 Jser Set Rx Power Low Threshold(dBM):-16.99 User Set Tx Power High Threshold(dBM) :0.00 User Set Tx Power Low Threshold(dBM):-12.50(7)网口检查对接网线是否正常
- 对于 GE 电口,如果使用低于五类线的网线将不能够使 GE 电口以 1000M 速率 Up,所有电口对接,均推荐使用五类线以上规格的网线对接
<HUAWEI> system-view [HUAWEll interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] virtual-cable-test Pair A length: 1meter(s) Pair B Iength: 1meter(s) Pair C length: 1meter(s) Pair D length: 1meter(s) Pair A state: Ok //回显中“Pair state”为“OK”表示正常;如果为其他状态,建议更换网线测试 Pair B state: Ok Pair C state: Ok Pair D state: OkVLAN 信息查看
[R]dis vlan summarySTP 信息查看
[R]dis stp region-configuration //生成树域查看 [R]dis stp instance 1//生成树信息查看 [R]dis stp instance 1 brief //生成树概要信息查看VRRP 信息查看
[R]dis vrrp briefOSPF 信息查看
[R]dis ospf interface [R]dis ospf peer bri [R]dis ospf lsdb [router | network | summary | asbr | ase | nssa] //查看 相应类型的 LSA 的详细信息 [R]dis ospf routing-tableBGP 信息查看
[R]dis bgp peer [R]dis bgp routing-table组播信息查看
# 三层设备 [R]dis multicast routing-table [R]dis pim routing-table [R]dis pim interface [R]dis pim neighbor [R]dis pim bsr-info [R]dis pim rp-info < 组播地址 > [R]dis igmp group [R]dis igmp interface # 二层设备 [S]dis igmp-snooping router-port vlan <vlan-id> [S]dis igmp-snooping port-info vlan <vlan-id> [S]dis l2-multicast forwarding-table vlan <vlan-id>VPN 信息查看
# 查看 LDP 会话建立情况 [R]dis mpls ldp session [R]dis mpls lsp # 查看本地 VPN 实例路由 [R]dis ip routing-table vpn-instance vpna # 查看 MP-BGP 路由 [R]dis bgp vpnv4 vpn-instance vpna routing-table
附录
华为路由协议优先级
理解华为 BGP 路由表
BGP 路由协议 13 条选路原则
IP 协议号列表
TCP/UDP 端口列表
Windows.MSC命令
Windows7 防火墙设置
