交换机产品维护宝典

目 录

第1章 以太网产品常见问题1.1 华为自研产品vlan的端口默认类型配置1.2 交换机限速大全1.3 交换机镜像大全1.4 S9300端口聚合配置注意事项1.5 S23&S33&S53流量统计配置（定位故障使用）1.6 S93流量统计配置1.7 S23&S33&S53的环路检测功能1.8 S9300的环路检测功能1.9 S23&S33&S53采集上送设备cpu报文的命令1.10 S93采集上送设备cpu报文的命令1.11 自研产品聚合后链路流量不均匀1.12 S23&S33&S53某端口只能有限数量的mac配置1.13 S23&S33&S53是否支持查看光模块型号及收发光功率1.14 S9300是否支持查看光模块型号及收发光功率1.15 S23&S33&S53是否支持查看设备电子标签1.16 S9300是否支持查看设备电子标签1.17 S9300的单板哪些是增强性单板，哪些是标准性单板？1.18 S5300的插卡是否支持热插拔？1.19 S9300是否支持MPLS VPN1.20 S9300是否支持NAT功能？1.21 S9300是否支持Netstream功能？1.22 S23&S33S53是否支持NAT功能？1.23 S8500和S6500流统计操作1.24 S6500业务板CPU高处理1.25 S6500 主控板CPU高处理1.26 S8500 业务板CPU高处理1.27 S9300ARP攻击处理方式1.28 S9300故障定位

第1章 以太网产品常见问题

1.1 华为自研产品vlan的端口默认类型配置

低端自研产品默认端口类型为hybrid，H3C是access

1.2 交换机限速大全1.3 交换机镜像大全

1.4 S9300端口聚合配置注意事项

接口加入Eth-Trunk之前，该接口上必须没有任何配置；9300支持跨板聚合，但FE口和GE口不能加入同一个Eth-Trunk接口；

Eth-Trunk接口不能嵌套，即，成员接口不能是Eth-Trunk。删除eth-trunk端口前，必须删除汇聚组内的所有成员接口。

1.5 S23&S33&S53流量统计配置（定位故障使

用）

假设要统计1端口，源ip为10.1.1.0/24网段的所有ping报文，配置如下：

acl number 3333

rule 5 permit icmp source 10.1.1.0 0.0.0.255

traffic classifier test

if-match acl 3333

traffic behavior test

count

traffic policy test

classifier test behavior test

interface Ethernet0/0/1

traffic-policy test inbound

查看的命令：

dis traffic policy interface Ethernet 0/0/1

清空原有统计数据的命令：

用户视图：reset traffic policy statistics interface Ethernet 0/0/1【注意】

S23&S33设备只支持入方向的流量统计

S53设备支持入方向和出方向的流量统计；但设备cpu始发的报文出方向流量统计中无法统计到。

1.6 S93流量统计配置

统计0/0/1端口下的所有icmp报文

acl number 3333 traffic classifier c1if-match acl 3333traffic behavior b1statistic enabletraffic policy p1classifier c1 behavior b1interface ethernet 0/0/1

traffic-policy p1 inbound

rule 5 permit icmp source 10.1.1.0 0.0.0.255

查看：display traffic policy statistics interfaceGigabitEthernet 0/0/1

清除：reset traffic policy statistics interface

GigabitEthernet 0/0/1【注意】

S9300支持入、出方向的流量统计，并可以统计由9300设备自身cpu始发的报文

1.7 S23&S33&S53的环路检测功能

A、配置命令：

[Quidway]loopback-detect enable

[Quidway]loopback-detect interval 40 %报文检测的周期40S，默认为30秒%

sys

[Quidway]interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1]loopback-detect enable

[Quidway-Ethernet0/0/1]loopback-detect action shutdown

检测到环路，端口动作，默认为阻塞

B、检查环路状态：

[Quidway]dis loopback-detect

1.8 S9300的环路检测功能

A、配置命令

1) 开启全局的LDT功能 system-view

[Quidway] loop-detection enable2) 使能VLAN的LDT功能

[Quidway] loop-detection enable vlan 2003) 开启端口LDT受控功能

[Quidway] interface GigabitEthernet 1/0/0[Quidway-GigabitEthernet1/0/0] stp disable

[Quidway-GigabitEthernet1/0/0] port hybrid pvid vlan

100

[Quidway-GigabitEthernet1/0/0] port hybrid untaggedvlan 200 （tag也可以）4) 配置端口LDT的时间间隔

[Quidway] loop-detection interval-time 505) 配置阻塞端口的恢复时间

[Quidway] interface GigabitEthernet 1/0/0[Quidway-GigabitEthernet1/0/0] recovery-time 20

loop-detection

1.9 S23&S33&S53采集上送设备cpu报文的命

令

[Quidway] cpu cache packet

reset cpu cache //将原有的cpu捕获报文清空一段时间后捕获由清空到最近的上送cpu报文[Quidway] display cpu cache

1.10 S93采集上送设备cpu报文的命令

抓取CPU发送和接收报文过程是一样的，以抓取CPU接收报文为例。抓取CPU接收报文分抓取报文的原内容和统计抓取到报文的个数但不显示报文内容两种。可根据dest-ip、dest-mac、eth-type、ip-type、src-ip、 src-mac或vlan进行抓包。V100R002C00SPC001没有cpu catch的命令，目前主流的V100R001C02B125版本和V100R002C00SPC002版本有cpu catch的命令。#清除抓包记录

[Quidway-hidecmd]catch clear#抓取cpu接收的报文的原内容

[Quidway-hidecmd]catch receive dump#统计cpu接收的报文个数

[Quidway-hidecmd]catch receive statistic

#抓取cpu发送的报文的原内容[Quidway-hidecmd]catch send dump#统计cpu发送的报文个数

[Quidway-hidecmd]catch send statistic#停止抓包

[Quidway-hidecmd]catch stop

#抓取上送CPU报文的原内容，根据原IP地址抓取CPU接收报文的原内容，配置抓包个数为60个（最大只能为60个）[Quidway-hidecmd]catch receive 192.168.12.40 packet-num 60#查看抓包结果

[Quidway-hidecmd]display catch receive dump 统计抓取上送CPU报文的个数

[DRV-33-hidecmd]display catch receive dump

The packet content direction to display is RECEIVE,packet num is 452!

Packet from slot 3 port 1 !

Source Ip=192.168.12.40 packet dump here!Number 1!

01 00 5e 01 12 a9 00 00 c1 02 02 02 81 00 00 0e08 00 45 00 00 56 00 00 00 00 40 11 ba 1c c0 a80c 28 e1 01 12 a9 00 00 00 00 00 42 00 00 00 0102 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10 1112 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 2122 23 24 25 00 01 00 0f c2 e1 ef 1c 00 16 98 b1

dump src-ip

#根据目的mac对上送CPU的报文进行统计

[Quidway-hidecmd]catch receive statistic dest-mac #查看统计结果

[Quidway-hidecmd]display catch receive statistic

Source IP address information list here!Ip = 192.168.6.2 ---- num = 3049

1.11 自研产品聚合后链路流量不均匀

交换机配置链路汇聚后，发现汇聚链路出方向的流量严重不均衡。

低端自研交换机

可以通过命令调整汇聚的流分担模式，命令如下：Eth-Trunk接口视图下

load-balance { dmac | smac | smacxordmac | sip | dip |sipxordip }

缺省情况下：以太网Trunk的流分担模式为smacxordmacS9300交换机

可以通过命令调整汇聚的流分担模式，命令如下：Eth-Trunk接口视图下

load-balance { dip | dmac | sip | sipxordip | smac |smacxordmac | enhanced profile profile-name }缺省情况下：V1R1版本Trunk的流分担模式为smacxordmac，V1R2版本Trunk的流分担模式为sipxordip

1.12 S23&S33&S53某端口只能有限数量

的mac配置

[Quidway] mac-address restrict

[Quidway-Ethernet0/0/1] mac-table limit 1[Quidway-Ethernet0/0/1] port-security enable

[Quidway-Ethernet0/0/1] port-security protect-actionshutdown |protect |restrict

端口下只允许动态学到1个mac地址，如果有多个mac，会采取动作shutdown |protect |restrict。此配置对mac地址是什么没有，只数量

【注意】

1、如果端口做了静态mac地址绑定，那么绑定的mac不在范围内

2、如果还想端口最开始接入的mac才能生效，那么端口下还要配置：

port-security mac-address sticky enable（此命令只在V1R3的版本以后支持）

这样最开始接入的动态mac地址会转换为sticky的mac不会老化。且设备的配置中没有命令。

冷重启或热重启，sticky的表项都不会清除，只能手动用undomac-address H-H-H删除。

1.13 S23&S33&S53是否支持查看光模块型号

及收发光功率

S23&S33&S53支持使用命令查看光模块型号及收发光功率。使用命令display interface GigabitEthernet ×××查看光口插入的光模块的信息；

使用命令display transceiver diagnosis interface 查看所有光口的收发光功率信息；

使用命令display transceiver diagnosis interfaceGigabitEthernet ×××查看某光口的收发光功率信息。例：

V1R2版本使用命令display transceiver diagnosisinterface GigabitEthernet 0/0/4查看到的信息如下：Port GigabitEthernet0/0/4 transceiver diagnostic information:

Temp(C) Voltage(V) Bias(mA) RX power(dBM) TX power(dBM)

52 3.27 23.88 -32.12 2.81

Current diagnostic parameters:

V1R3版本使用命令display transceiver diagnosisinterface GigabitEthernet 0/0/1查看到的信息如下：

Port GigabitEthernet0/0/1 transceiver diagnostic information:

Parameter Current Low Alarm High Alarm Type Value Threshold Threshold Status

------------- --------- --------- ---------- --------

TxPower(dBm) -4.83 -11.02 -2.00 normal

RxPower(dBm) NA -18.01 -1.00 NA

Current(mA) 6.38 2.00 14.00 normal

Temp.(C) 44.00 -20.00 90.00 normal

Voltage(V) 3.31 2.90 3.70 normal

1.14 S9300是否支持查看光模块型号及收发光

功率

S9300支持使用命令查看光模块型号及收发光功率。

使用命令display transceiver查看所有光口的光模块信息，使用命令display transceiver interface ×××查看具体某光口的光模块信息。

例：

dispaly transceiver interface GigabitEthernet 1/0/0 Gigabitethernet1/0/0 transceiver information: -------------------------------------------------------------

Common information: Transceiver Type :1000_BASE_LX_SFPConnector Type :LC Wavelength(nm) :1310

Transfer Distance(m) :10000(90um)

Digital Diagnostic Monitoring :YES

Vendor Name :HG GENUINE Ordering Name :

-------------------------------------------------------------

Manufacture information:

Manu. Serial Number :MA09140180968 Manufacturing Date :2009-04-09 Vendor Name :HG GENUINE

-------------------------------------------------------------

Alarm information:

-------------------------------------------------------------

如果要查询端口光模块的收发光功率信息:

display transceiver interface G 7/0/5 verboseGigabitEthernet7/0/5 transceiver information:

-------------------------------------------------------------Common information:

Transceiver Type :1000_BASE_SX_SFP Connector Type :LC Wavelength(nm) :850

Transfer Distance(m) :500(50um),300(62.5um)

Digital Diagnostic Monitoring :YES

Vendor Name :FINISAR CORP. Ordering Name :

-------------------------------------------------------------Manufacture information:

Manu. Serial Number :PEB06YB Manufacturing Date :2008-09-08 Vendor Name :FINISAR CORP.

-------------------------------------------------------------

Alarm information:

-------------------------------------------------------------Diagnostic information:

Temperature(°C) :37 Voltage(V) :3.33 Bias Current(mA) :8.10 Bias High Threshold(mA) :26.33 Bias Low Threshold(mA) :2.04 RX Power(dBM) :-7.26 RX Power High Threshold(dBM) :0.00 RX Power Low Threshold(dBM) :-16.99 TX Power(dBM) :-4.47 TX Power High Threshold(dBM) :0.00 TX Power Low Threshold(dBM) :-9.50

-------------------------------------------------------------

1.15 S23&S33&S53是否支持查看设备电子标

签

S23&S33&S53支持用命令查看设备编码。display elabel可以看到bom,看到生产日期。[Board Properties] BoardType=CX22EMFF BarCode=21023514201091000095 -----电子标签Item=02351420 Description=Quidway S3352P-EI-48S,CX6Z152DM,S3352P-EI-48S Mainframe(48 100 BASE-X ports and 2 100/1000 BASE-X ports and 2 SFP GE (1000 BASE-X) ports (SFP Req.) and DC -48V)

Manufactured=2009-01-24 ----生成日期

VendorName=Huawei IssueNumber=00 CLEICode= BOM=02351420 ------Bom编码

1.16 S9300是否支持查看设备电子标签

S9300支持用命令查看设备编码信息。

display elabel用来查看设备的电子标签信息。

display elabel slot-id表示查看指定槽位单板的电子标签信息。

display elabel backplane表示查看背板的电子标签信息。

1.17 S9300的单板哪些是增强性单板，哪些是

标准性单板？

除G24CA，G24SA和X12SA是标准型单板外，其他单板都是增强性单板。

标准型单板不支持MPLS，MPLS VPN，Netstream等业务

1.18 S5300的插卡是否支持热插拔？

S5300的前插卡和后插卡都不支持热插拔。

1.19 S9300是否支持MPLS VPN

S9300支持MPLS VPN，但只有增强性单板支持mpls ，并且如果要配置mpls 需要申请license。

1.20 S9300是否支持NAT功能？

S9300从V1R3的版本开始支持NAT功能。

1.21 S9300是否支持Netstream功能？

S9300从V1R3的版本开始支持Netstream功能。

1.22 S23&S33S53是否支持NAT功能？

低端自研交换机不支持NAT功能。

1.23 S8500和S6500流统计操作

适用于丢包定位。

1.24 S6500业务板CPU高处理

业务单板CPU高时ARP攻击几率为99.999通过命令查看攻击源。

MAC攻击：【同一个MAC攻击次数】[LHQ_S6506]en_

[LHQ_S6506-testdiag]catch rxtx by sa sl 2 开始抓MAC记录Slot 2: infomation of Module RxTx

[LHQ_S6506-testdiag]catch rxtx end slot 2 停止抓MAC记录Slot 2: infomation of Module RxTxThe Catch Result of SA is : e0fc08714b -------- 49 ea60b344c -------- 7 e0fc3026c3 -------- 1 5254ab4fb6 -------- 1 aeb59d0ef -------- 259 feace534f -------- 4 fe2014971 -------- 3

dis mac-address 000a-eb59-d0ef

MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

000a-eb59-d0ef 1115 Learned Ethernet2/0/11 299

通过端口、vlan查找下面dslam，在Dslam上show location查看实际端口，关闭；

1.25 S6500 主控板CPU高处理

IP攻击－IP报文目的IP是S6500三层VLAN接口IP。

远程登陆时，debug ip packet＋ACL（干掉telnet干扰报文）查看报文具体内容。

如果现场console操作，直接debug ip packet查看报文具体内容。

TTL＝1的报文送上CPU，命令undo ip ttl 禁止ttl＝1的报文送上CPU，大多路由自环造成。

1.26 S8500 业务板CPU高处理

先display cpu查看那个槽位高： [DG-S8512-hongfu-1-testdiag]_txerr display slot 1 clear

Rec discard statistics:

0 0 100 0

0 0 0 0 2队列有明显的丢包，是ARP队列。抓取上送CPU报文分析

[DG-S8512-hongfu-1-testdiag]_rxpkt slot 1 length 1000numbers 200

t dt m

设备会打印出很多报文，根据报文的目的mac地址和源mac地址查是发出的。

00 e0 fc 12 34 80 00 0a eb 2b f4 fc 81 00 00 08 06 00 01 08 00 06 04 00 02 00 e0 fc 12 34 800a 0b 71 00 0a eb 2b f4 fc 0a 0b 71 7f

是mac地址为000a－eb2b－f4fc发出的大量ARP报文导致。接下来和S6500一样查mac地址的端口等。

1.27 S9300ARP攻击处理方式

S9300主要有三种防攻击功能，保护设备本身不受攻击。ARP-MISS速率抑制。

如果S9300的路由表中存在某个报文的目的IP对应的路有表项，但设备上没有该下一跳对应的ARP表项，则该报文会引发一次ARP-MISS，引发ARP-MISS的报文需要上送主控板进行处理。如果这样的报文过多，则会占用大量CPU资源，严重时会影响正常数据业务的转发。S9300能够针对每一个源IP引发的ARP-MISS的速率进行，此功能默认打开，默认速率是500个每秒。配置命令：

[Quidway] arp-miss speed-limit source-ip maximum 100

如果配置为0则表明不使能ARP-MISS的速率抑制的防攻击。ARP速率抑制防攻击。

如果同一时间内收到大量的同一源MAC地址发送的ARP请求报文，会影响设备正常的ARP学习。S9300能够针对每一个源IP地址发送的ARP报文速率进行，此功能默认打开。配置命令：

[Quidway] arp speed-limit source-ip maximum 100对上送主控板的协议报文进行速率。

如果同一时间内收到大量协议报文并上送主控板进行处理，会占用大量CPU资源，严重时会导致设备正常业务不通。S9300能够对各种上送主控板的协议报文分别做CAR，这些报文上送主控板CPU的速率。配置命令：

在S9300V100R001版本上系统视图配置某个报文类型的cpcar命令：cpcar packet-type [ slot slot-number ]

在S9300V100R002和S9300V100R003版本上防攻击策略视图配置针对该报文类型的CAR值：car packet-type packet-type cir cir-value [ cbs cbs-value ]

1.28 S9300简单故障定位思路