某高端路由器配置及维护实践(个人总结)全解.doc
-
资源ID:4034765
资源大小:125KB
全文页数:18页
- 资源格式: DOC
下载积分:16金币
|
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
某高端路由器配置及维护实践(个人总结)全解.doc
目 录1、硬件系统41.1、NE40E、NE80E、NE5000E的满配功率是多少?41.2、如何正确热插拔NE5000E/80E/40E产品主控板?41.3、拔出正常运行NE80E主控板与其它单板的差别?41.5、NE5000ENE80E由于系统结构复杂,导致单板的组成较为复杂,本FAQ详细说明这两款产品单板的组合。41.6、是否可以使用并联电流给NE设备供电?51.8、如何查看设备中的Netstream板?51.9、NE5000系统上电时是否电源功率等于或稍大于所有单板的功率和,整机即可正常完成注册?62、系统管理62.1、telnet用户的最大数是多少?62.2、NE40E、NE80E 是否支持ETH-Trunk?62.3、NE40E、NE80E、NE5000E VRP5.30版本支持多少个Eth-trunk?72.4、NE40E、NE80E、NE5000E VRP 5.30一个trunk接口下最多可以有多少个成员端口?73、系统管理:telnet、SNMP、日志采集、SSH等73.1、如何修改设备的时区?73.2、如何转换命令行的语言模式?73.3、如何把telnet用户强制下线?73.4、如何取消分屏显示?83.5、如何能够使NE40E level0能够查看logbuffer?83.6、怎样配置NE40E的登录用户先radius认证再本地认证?83.7、华为有哪些产品支持TACACS?83.8、使用TELNET登录NE80E/40E/80/40是否支持TACACS方式认证?93.9、怎样修改NE40E的日志文件记录路径93.10、如何正确的配置NE40ENE80ENE5000E的防病毒访问控制列表?94、网络协议104.4、什么是NE80E的ping保护机制呢?105、路由协议115.1、如何进行OSPF外部路由的聚合?115.2、反射器反射路由时对路由属性的处理原则是什么?115.3、如何修改邦定VPN实例OSPF进程的Router id115.5、为什么在OSPF路由中不建议引入直连路由?115.6、如何部署OSPF的内部路由聚合?125.8、在IGP是ISIS的网络中如何查找设备?125.9、如何设置NE80E只启用MBGP而不启用普通BGP?125.11、在8090产品中,通过命令display ip routing-table verbose能看到NextHop、RelyNextHop,他们的区别是什么?135.12、BGP协议的故障诊断命令有哪些?136、VPN应用146.1、华为路由器是否支持VPN下安全套接层?146.2、如何排查VPLS隧道连接建立不起来的故障?156.3、同一台设备上面不同vpn(绑定在不同loopback地址)如何实现互访156.4、如何在NE40E上配置VLAN-MAP功能167、其他(组播、QOS、VRRP等)177.1、承载网中如何保证VRRP快速切换177.3、目前NE80E是否支持MPLS TE HOT-STANDBY指定显示路径?187.4、在TE隧道重优化(reoptimization)时判断重优化更优路径的标准是什么?187.5、如何实现相同域内PIM-SM组播的负载分担和冗余备份?187.7、在NE80E QOS实现中各队列对应何种队列调度算法?187.8、路由器发送ICMP重定向报文的条件181、硬件系统1.1、NE40E、NE80E、NE5000E的满配功率是多少?NE40E的满配功率是2400WNE80E的满配功率是5000WNE5000E的满配功率是5000W1.2、如何正确热插拔NE5000E/80E/40E产品主控板? 对于 NE5000E/80E 产品 的主用主控板或NE40E的主用主控板 1、 在拔出主用主控板前请先主备倒换。 2、请在命令行执行power off slot <ID>。 3、等待单板下电,拔出单板。对于NE80E和NE5000E如果不是主用主控板,对于NE40E,如果不是主用SRU板 1、请在命令行执行power off slot <ID>。 2、等待单板下电,拔出单板。 1.3、拔出正常运行NE80E主控板与其它单板的差别?其它单板:在单板拔出前按下OFL按钮,提出拔板申请,大约需要连续按钮3秒钟,直至OFL指示灯点亮时,单板才可安全拔出。主控单板:备用主控板拔出操作与其它单板操作一致,主用主控板在单板拔出前必须先执行主备倒换后方可按下OFL按钮,提出拔板申请,大约需要连续按钮3秒钟,直至OFL指示灯点亮时,单板才可安全拔出。1.5、NE5000ENE80E由于系统结构复杂,导致单板的组成较为复杂,本FAQ详细说明这两款产品单板的组合。NE5000ENE80E的单板一般由两部分组成:LPU,主要负责转发;FAD,主要负责LPU和网板的适配及QOS处理。NE80E和NE5000E支持以下组合:NE80E:LPUA+FADB LPUA为使用2800网络处理器单板,FADB主要完成LPUA和NE80E网板适配。LPUA+FADD LPUA为使用2800网络处理器单板,FADD主要完成LPUA和NE80E网板适配。LPUX+FADA LPUX为原NE80NE40支持单板,FADA主要完成LPUX和NE80E网板适配。NE5000E:LPUB+FADC LPUB为使用华为的588ASIC转发引擎,FADC主要完成LPUB和NE5000E网板适配。LPUC LPUC为大板,没有FAD板,已经集成了QOS及和NE5000E网板适配的功能。LPUX+FADF LPUX为原NE80NE40支持单板,FADF主要完成LPUX和NE5000E网板适配。1.6、是否可以使用并联电流给NE设备供电?某局点因不能给NE40E-8提供100A的直流电,希望使用一个53A和47A的电流并联起来给设备供电,问这种方式是否可以,咨询了电源的工程师,不可以使用这种方法供电,给我们设备供电前级必须要有100A的配电。1.8、如何查看设备中的Netstream板?从以下device信息中可以看到单板类型为spu的就为Netstream板:display device NE5000E's Device status: Slot # Type Online Register Status Primary - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 LPU Present Registered Normal NA 16 SPU Present Registered Normal NA %netstream板%17 MPU Present NA Normal Master 18 MPU Present Registered Normal Slave 19 SFU Present Registered Normal NA 20 SFU Present Registered Normal NA 21 SFU Present Registered Normal NA 22 SFU Present Registered Normal NA 23 CLK Present Registered Normal Master 24 CLK Present Registered Normal Slave 25 PWR Present NA Normal NA 26 PWR Present NA Normal NA 27 FAN Present Registered Normal NA 28 FAN Present Registered Normal NA 29 LCD Present Registered Normal NA 可以查看到16号槽位板没有业务端口:display device pic-statusPic-status information of all lpu boards: LPU 1: Online - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - PIC # Online Type Port_count Init_result Logic down 0 Present POS-4X2.5G 4 SUCCESS SUCCESS - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - LPU 5: Online - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - PIC # Online Type Port_count Init_result Logic down 0 Present ETH-10X-GE 10 SUCCESS SUCCESS - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - LPU 6: Online - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - PIC # Online Type Port_count Init_result Logic down 0 Present ETH-10X-GE 10 SUCCESS SUCCESS - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - LPU 16: Online - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - %没有端口信息%1.9、NE5000系统上电时是否电源功率等于或稍大于所有单板的功率和,整机即可正常完成注册? 不可以。因为整机加电时启动瞬间电流要比所有单板功率和大数倍,如果供电电源功率仅仅比所有单板的功率和稍大,是不能满足启动瞬间电流需求的。目前NE5000E的额定功率为5000W、额定电流为131A,推荐使用额定电流为200A以上的空气开关。2、系统管理2.1、telnet用户的最大数是多少?NE40E、NE80E、NE5000E的最大telnet用户数为15个。2.2、NE40E、NE80E 是否支持ETH-Trunk?VRP 5.10版本不支持Eth-Trunk,VRP 5.3-版本支持Eth-Trunk2.3、NE40E、NE80E、NE5000E VRP5.30版本支持多少个Eth-trunk?64个2.4、NE40E、NE80E、NE5000E VRP 5.30一个trunk接口下最多可以有多少个成员端口?16个3、系统管理:telnet、SNMP、日志采集、SSH等3.1、如何修改设备的时区?在用户视图下clock timezone time-zone-name add | minus offsetundo clock timezonetime-zone-name:时区名称,字符长度范围132。add:与UTC(Universal Time Coordinated,通用协调时间)时间比较增加。minus:与UTC时间比较减少。offset:与UTC的时间差,格式是:HH:MM:SS,HH范围为023,MM和SS范围为059。3.2、如何转换命令行的语言模式?在用户视图下执行language-mode chinese | english 可以在英文与中文之间切换。3.3、如何把telnet用户强制下线?在用户视图下执行free user-interface ui-number | ui-type ui-number1 可以强制telnet用户下线。ui-number:用户界面绝对编号。最小值为0,最大值是系统支持的用户界面总数。不同设备用户界面取值范围不同。ui-type:用户界面类型。ui-number1:用户界面的相对编号。3.4、如何取消分屏显示?在相应用户界面下执行 screen-length 0。3.5、如何能够使NE40E level0能够查看logbuffer?在系统模式下,按照如下配置便可以实现0级别的用户也可以查看logbuffer的功能。command-privilege level 0 view user-interface displaycommand-privilege level 0 view user-interface display logbuffer3.6、怎样配置NE40E的登录用户先radius认证再本地认证?# radius-server template login radius-server shared-key ih1361nc radius-server authentication 218.77.*.* 1645 source LoopBack 0 radius-server authentication 218.77.*.* 1812 source LoopBack 0 secondary undo radius-server user-name domain-included aaa local-user hidxhk password cipher XG$;SH2;NS"B'Q%*T%! local-user hidxhk service-type telnet local-user hidxhk level 1 local-user basenet password cipher KUSDJ9B_>FDF'K"HNT=! local-user basenet service-type telnet local-user basenet level 1 authentication-scheme default authentication-mode radius local authorization-scheme default accounting-scheme default domain default radius-server login authentication-scheme default user-interface vty 0 4 authentication-mode aaa user privilege level 1 idle-timeout 5 0 3.7、华为有哪些产品支持TACACS?NE40E / NE80E / NE5000E产品支持HWTACACSNE40 / NE80 / S8016 V5版本支持HWTACACS V3版本不支持HWTACACSNE20 / 20E V3与V5均支持HWTCACSNE16E / 08E / 05不支持HWTCACSS6500 release 1000不支持HWTCACS release 2000/3000支持 HWTACACS8500支持HWTACACS3.8、使用TELNET登录NE80E/40E/80/40是否支持TACACS方式认证?NE80E/40E/80/40设备支持的名称叫HWTACACS,可以和标准的TACACS正常对接使用,NE80E/40E/80/40的基于VRP5平台的软件版本都可以支持该认证方式。3.9、怎样修改NE40E的日志文件记录路径 当主控板只配置了一块CFcard时,可通过隐含命令修改NE40E的日志文件记录路径,将日志记录到主控板内部的CFcard中。1、进入隐含模式:NE40E_hNE40E-hidecmd2、在隐含模式下执行下面的命令修改日志文件路径到主控板内部的CFcard。NE40E-hidecmdset logfile-path cfcard3.10、如何正确的配置NE40ENE80ENE5000E的防病毒访问控制列表?acl number 3000 description ANTI-VIRUS rule 1 deny tcp destination-port eq 135 rule 2 deny tcp destination-port eq 137 rule 3 deny tcp destination-port eq 138 rule 4 deny tcp destination-port eq 139 rule 5 deny tcp destination-port eq 445 rule 6 deny tcp destination-port eq 5554 rule 7 deny tcp destination-port eq 901 rule 8 deny tcp destination-port eq 2745 rule 9 deny tcp destination-port eq 3127 rule 10 deny tcp destination-port eq 3128 rule 11 deny tcp destination-port eq 6129 rule 12 deny tcp destination-port eq 6667 rule 13 deny tcp destination-port eq 4444 rule 14 deny tcp destination-port eq 1025 rule 15 deny tcp destination-port eq 593 rule 16 deny udp destination-port eq 135 rule 17 deny udp destination-port eq netbios-ns rule 18 deny udp destination-port eq netbios-dgm rule 19 deny udp destination-port eq netbios-ssn rule 20 deny udp destination-port eq 445 rule 21 deny udp destination-port eq 9995 rule 22 deny udp destination-port eq 9996 rule 23 deny udp destination-port eq 1434 rule 40 permit ip %此条需做,permit其它的数据报文%traffic classifier anti_virus operator and if-match acl 3000traffic behavior anti_virus % 此默认的动作为permit%traffic policy anti classifier anti_virus behavior anti_virus interface GigabitEthernet2/0/0 traffic-policy anti inbound4、网络协议4.4、什么是NE80E的ping保护机制呢?NE80E 接收cisco等设备的ping包机制: C设备 -> NE80ENE80E的接口收到报文之后,首先处理二层头,发现DMAC是本端口的MAC地址,那么剥掉二层头上送,再根据DIP发现是本机的IP报文,那么通过NP发给CP(在NP和CP之间还要经过CAR处理),CP收到报文后进入ip协议栈,对于icmp echo报文直接发送icmp echo reply。 此处的CAR缺省值是4M,为了防止主机上送icmp报文的大量攻击,因为通常ping报文大都用来故障诊断,不会大量发送。这样做可以有效避免icmp的报文攻击,保护设备稳定运行;CAR的值可以修改,通过下面的命令NE80E-6cpcar slot 1 ipv4-icmp NE80E-6-cpcar-ipv4-icmp-slot-1? Cpcar view commands: car Specify CAR (Committed Access Rate) feature display Display current system information drop immediacy drop pass don't use car ping Send echo messages quit Exit from current command view reset Reset operation return Exit to user view tracert Trace route to host traffic-policy Specify QoS policy undo Cancel current setting NE80E-6-cpcar-ipv4-icmp-slot-1car ? cir Committed information rate NE80E-6-cpcar-ipv4-icmp-slot-1car cir ? INTEGER<8-10000000> Value of CIR (Unit: Kbps) NE80E-6-cpcar-ipv4-icmp-slot-1car cir 但是如果把CAR值改大后,可能会造成CPU上升,不建议修改;如果测试时可以把CAR先放开,测完后关掉。5、路由协议5.1、如何进行OSPF外部路由的聚合?因为OSPF的type 5 LSA产生在ASBR上,所以对type 5的路由聚合必须在该ASBR上进行设置。当设置聚合后仅仅对聚合信息产生type 5 LSA,同时抑制了明细的type5 LSA。5.2、反射器反射
