华为高端路由器配置及维护实践个人总结全解Word格式.docx
《华为高端路由器配置及维护实践个人总结全解Word格式.docx》由会员分享,可在线阅读,更多相关《华为高端路由器配置及维护实践个人总结全解Word格式.docx(17页珍藏版)》请在冰豆网上搜索。
NE80E和NE5000E支持以下组合:
NE80E:
LPUA+FADBLPUA为使用2800网络处理器单板,FADB主要完成LPUA和NE80E网板适配。
LPUA+FADDLPUA为使用2800网络处理器单板,FADD主要完成LPUA和NE80E网板适配。
LPUX+FADALPUX为原NE80NE40支持单板,FADA主要完成LPUX和NE80E网板适配。
NE5000E:
LPUB+FADCLPUB为使用华为的588ASIC转发引擎,FADC主要完成LPUB和NE5000E网板适配。
LPUCLPUC为大板,没有FAD板,已经集成了QOS及和NE5000E网板适配的功能。
LPUX+FADFLPUX为原NE80NE40支持单板,FADF主要完成LPUX和NE5000E网板适配。
1.6、是否可以使用并联电流给NE设备供电?
某局点因不能给NE40E-8提供100A的直流电,希望使用一个53A和47A的电流并联起来给设备供电,
问这种方式是否可以,咨询了电源的工程师,不可以使用这种方法供电,给我们设备供电前级必须要有100A的配电。
1.8、如何查看设备中的Netstream板?
从以下device信息中可以看到单板类型为spu的就为Netstream板:
displaydevice
NE5000E'
sDevicestatus:
Slot#TypeOnlineRegisterStatusPrimary
--------------------------------------
1LPUPresentRegisteredNormalNA
16SPUPresentRegisteredNormalNA%netstream板%
17MPUPresentNANormalMaster
18MPUPresentRegisteredNormalSlave
19SFUPresentRegisteredNormalNA
20SFUPresentRegisteredNormalNA
21SFUPresentRegisteredNormalNA
22SFUPresentRegisteredNormalNA
23CLKPresentRegisteredNormalMaster
24CLKPresentRegisteredNormalSlave
25PWRPresentNANormalNA
26PWRPresentNANormalNA
27FANPresentRegisteredNormalNA
28FANPresentRegisteredNormalNA
29LCDPresentRegisteredNormalNA
可以查看到16号槽位板没有业务端口:
displaydevicepic-status
Pic-statusinformationofalllpuboards:
LPU1:
Online
PIC#OnlineTypePort_countInit_resultLogicdown
0PresentPOS-4X2.5G4SUCCESSSUCCESS
LPU5:
0PresentETH-10X-GE10SUCCESSSUCCESS
LPU6:
LPU16:
--------------------------------------%没有端口信息%
1.9、NE5000系统上电时是否电源功率等于或稍大于所有单板的功率和,整机即可正常完成注册?
不可以。
因为整机加电时启动瞬间电流要比所有单板功率和大数倍,如果供电电源功率仅仅比所有单板的功率和
稍大,是不能满足启动瞬间电流需求的。
目前NE5000E的额定功率为5000W、额定电流为131A,推荐使用额定电流
为200A以上的空气开关。
2、系统管理
2.1、telnet用户的最大数是多少?
NE40E、NE80E、NE5000E的最大telnet用户数为15个。
2.2、NE40E、NE80E是否支持ETH-Trunk?
VRP5.10版本不支持Eth-Trunk,VRP5.3-版本支持Eth-Trunk
2.3、NE40E、NE80E、NE5000EVRP5.30版本支持多少个Eth-trunk?
64个
2.4、NE40E、NE80E、NE5000EVRP5.30一个trunk接口下最多可以有多少个成员端口?
16个
3、系统管理:
telnet、SNMP、日志采集、SSH等
3.1、如何修改设备的时区?
在用户视图下clocktimezonetime-zone-name{add|minus}offset
undoclocktimezone
time-zone-name:
时区名称,字符长度范围1~32。
add:
与UTC(UniversalTimeCoordinated,通用协调时间)时间比较增加。
minus:
与UTC时间比较减少。
offset:
与UTC的时间差,格式是:
HH:
MM:
SS,HH范围为0~23,MM和SS范围为0~59。
3.2、如何转换命令行的语言模式?
在用户视图下执行language-mode{chinese|english}可以在英文与中文之间切换。
3.3、如何把telnet用户强制下线?
在用户视图下执行freeuser-interface{ui-number|ui-typeui-number1}可以强制telnet用户下线。
ui-number:
用户界面绝对编号。
最小值为0,最大值是系统支持的用户界面总数。
不同设备用户界面取值范围不同。
ui-type:
用户界面类型。
ui-number1:
用户界面的相对编号。
3.4、如何取消分屏显示?
在相应用户界面下执行screen-length0。
3.5、如何能够使NE40Elevel0能够查看logbuffer?
在系统模式下,按照如下配置便可以实现0级别的用户也可以查看logbuffer的功能。
command-privilegelevel0viewuser-interfacedisplay
command-privilegelevel0viewuser-interfacedisplaylogbuffer
3.6、怎样配置NE40E的登录用户先radius认证再本地认证?
#
radius-servertemplatelogin
radius-servershared-keyih1361nc
radius-serverauthentication218.77.*.*1645sourceLoopBack0
radius-serverauthentication218.77.*.*1812sourceLoopBack0secondary
undoradius-serveruser-namedomain-included
aaa
local-userhidxhkpasswordcipherXG$;
SH2;
NS"
`\]B'
Q%*T%
local-userhidxhkservice-typetelnet
local-userhidxhklevel1
local-userbasenetpasswordcipher^KUSDJ9B_>
FDF'
K"
\HNT=
local-userbasenetservice-typetelnet
local-userbasenetlevel1
authentication-schemedefault
authentication-moderadiuslocal
authorization-schemedefault
accounting-schemedefault
domaindefault
radius-serverlogin
user-interfacevty04
authentication-modeaaa
userprivilegelevel1
idle-timeout50
3.7、华为有哪些产品支持TACACS?
NE40E/NE80E/NE5000E产品支持HWTACACS
NE40/NE80/S8016V5版本支持HWTACACSV3版本不支持HWTACACS
NE20/20EV3与V5均支持HWTCACS
NE16E/08E/05不支持HWTCACS
S6500release1000不支持HWTCACSrelease2000/3000支持HWTACACS
8500支持HWTACACS
3.8、使用TELNET登录NE80E/40E/80/40是否支持TACACS方式认证?
NE80E/40E/80/40设备支持的名称叫HWTACACS,可以和标准的TACACS正常对接使用,NE80E/40E/80/40
的基于VRP5平台的软件版本都可以支持该认证方式。
3.9、怎样修改NE40E的日志文件记录路径
当主控板只配置了一块CFcard时,可通过隐含命令修改NE40E的日志文件记录路径,将日志记录到主控板内部的CFcard中。
1、进入隐含模式:
[NE40E]_h
[NE40E-hidecmd]
2、在隐含模式下执行下面的命令修改日志文件路径到主控板内部的CFcard。
[NE40E-hidecmd]setlogfile-pathcfcard
3.10、如何正确的配置NE40ENE80ENE5000E的防病毒访问控制列表?
aclnumber3000
descriptionANTI-VIRUS
rule1denytcpdestination-porteq135
rule2denytcpdestination-porteq137
rule3denytcpdestination-porteq138
rule4denytcpdestination-porteq139
rule5denytcpdestination-porteq445
rule6denytcpdestination-porteq5554
rule7denytcpdestination-porteq901
rule8denytcpdestination-porteq2745
rule9denytcpdestination-porteq3127
rule10denytcpdestination-porteq3128
rule11denytcpdestination-porteq6129
rule12denytcpdestination-porteq6667
rule13denytcpdestination-porteq4444
rule14denytcpdestination-porteq1025
rule15denytcpdestination-porteq593
rule16denyudpdestination-porteq135
rule17denyudpdestination-porteqnetbios-ns
rule18denyudpdestination-porteqnetbios-dgm
rule19denyudpdestination-porteqnetbios-ssn
rule20denyudpdestination-porteq445
rule21denyudpdestination-porteq9995
rule22denyudpdestination-porteq9996
rule23denyudpdestination-porteq1434
rule40permitip%此条需做,permit其它的数据报文%
trafficclassifieranti_virusoperatorand
if-matchacl3000
trafficbehavioranti_virus%此默认的动作为permit%
trafficpolicyanti
classifieranti_virusbehavioranti_virus
interfaceGigabitEthernet2/0/0
traffic-policyantiinbound
4、网络协议
4.4、什么是NE80E的ping保护机制呢?
NE80E接收cisco等设备的ping包机制:
C设备--------->
NE80E
NE80E的接口收到报文之后,首先处理二层头,发现DMAC是本端口的MAC地址,那么剥掉二层头上送,再根据DIP发现是本机的IP报文,那么通过NP发给CP(在NP和CP之间还要经过CAR处理),CP收到报文后进入ip协议栈,
对于icmpecho报文直接发送icmpechoreply。
此处的CAR缺省值是4M,为了防止主机上送icmp报文的大量攻击,因为通常ping报文大都用来故障诊断,不会大量发送。
这样做可以有效避免icmp的报文攻击,保护设备稳定运行;
CAR的值可以修改,通过下面的命令
[NE80E-6]cpcarslot1ipv4-icmp
[NE80E-6-cpcar-ipv4-icmp-slot-1]?
Cpcarviewcommands:
carSpecifyCAR(CommittedAccessRate)feature
displayDisplaycurrentsysteminformation
dropimmediacydrop
passdon'
tusecar
pingSendechomessages
quitExitfromcurrentcommandview
resetResetoperation
returnExittouserview
tracertTraceroutetohost
traffic-policySpecifyQoSpolicy
undoCancelcurrentsetting
[NE80E-6-cpcar-ipv4-icmp-slot-1]car?
cirCommittedinformationrate
[NE80E-6-cpcar-ipv4-icmp-slot-1]carcir?
INTEGER<
8-10000000>
ValueofCIR(Unit:
Kbps)
[NE80E-6-cpcar-ipv4-icmp-slot-1]carcir
但是如果把CAR值改大后,可能会造成CPU上升,不建议修改;
如果测试时可以把CAR先放开,测完后关掉。
5、路由协议
5.1、如何进行OSPF外部路由的聚合?
因为OSPF的type5LSA产生在ASBR上,所以对type5的路由聚合必须在该ASBR上进行设置。
当设置聚合后
仅仅对聚合信息产生type5LSA,同时抑制了明细的type5LSA。
5.2、反射器反射路由时对路由属性的处理原则是什么?
反射器反射路由的属性是经过入口策略后的属性,不受出口策略影响。
5.3、如何修改邦定VPN实例OSPF进程的Routerid?
此案例适合VRP5.10和VRP5.30版本。
修改邦定VPN实例的OSPF各进程的Routerid请使用如下命令:
[Quidway]ospfXrouter-idX.X.X.X
其中x为进程号,x.x.x.x为Router id。
注意:
命令routeridx.x.x.x只能修改未邦定VPN实例的OSPF进程的Routerid,修改Routerid后请重启OSPF的相关进程。
5.5、为什么在OSPF路由中不建议引入直连路由?
1)、在OSPF中,尽量避免引入直连路由,直连路由应采用network+silent方式直接发布。
2)、产生LSA类型不同,import方式产生type5类型LSA在整个AS内传播,network方式产生type1LSA,将在区域内传播。
3)、产生路由表优先级不同,import方式产生的是150,network方式产生的是10。
4)、引入直连生成的OSPF外部路由很难实施基于区域路由聚合。
5.6、如何部署OSPF的内部路由聚合?
OSPF的路由聚合分为OSPF域内的路由聚合和OSPF的域外路由聚合。
这里主要讨论OSPF的域内路由聚合。
OSPF的域内路由聚合是通过在ABR上手动配置聚合命令来实现的。
即聚合只能发生在ABR上,根据配置的聚合命令OSPF产生相关聚合路由信息的type3LSA,并将该LSA进行区域泛洪。
在配置了聚合命令的ABR上不再针对匹配的明细路由产生type3LSA报文。
5.8、在IGP是ISIS的网络中如何查找设备?
1、在大型城域网中,设备较多,包括huawei和c厂家的,一般每个设备都使用一个管理地址,管理地址一般都
是使用loopback0的地址。
2、为了更好的维护好网络,huawei工程师需要统计一个管理地址的表格(包括c厂家设备)。
3、如果网络中使用的是isis做为IGP协议,因为isis设备的net部分的systemid基本上都是根据loopback0地址扩展而来,如果知道了systemid,那么设备的管理地址也就知道了。
8090产品提供了一条命令,dispisisname,包括2个显示,即systemid和systemname,并且能够显示AS内配置了isis协议的所有设备的相关信息,通过这条命令,就能在设备上查询还不熟悉的设备的管理地址,方便维护工程师建立一张所有设备的管理地址的表格。
在网络有故障时,根据管理地址的表格,查询相应的管理
地址,迅速登到设备上定位故障。
平时就通过这条命令,查询所有配置了ISIS协议的设备的管理地址,建立一张所有设备的管理地址的表格。
5.9、如何设置NE80E只启用MBGP而不启用普通BGP?
bgp65350
groupVPN-PEinternal
peerVPN-PEconnect-interfaceLoopBack0
peerx.x.x.xas-number65350
peerx.x.x.xgroupVPN-PE
ipv4-familyunicast
undopeerVPN-PEenable\\把VPN-PE组的bgp邻居禁用
undosynchronization
maximumload-balancing8
undopeerx.x.x.xenable\\把x.x.x.x这个bgp邻居禁用
ipv4-familyvpnv4
undopolicyvpn-target
peerVPN-PEenable
peerVPN-PEreflect-client
peerVPN-PEnext-hop-local
peerx.x.x.xenable
peer