H3CS2000EA系列交换机产品培训.ppt

H3C S2000-EA系列交换机产品概述,ISSUE 1.0,日期：,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,写在前面,H3C湖南广电支撑队伍业务接口销售代表：刘振兴 18674884422 产品经理：谭卫 18607318844 服务专员：曾胜 18684833919 服务经理：付洁廉 13755105733 合作伙伴：合一科技（EPON&城域网）、特成等（楼道交换机）24小时服务支持热线：400-810-0504H3C广电专业技术论坛 http:/,熟悉S2000-EA系列交换机硬件形态掌握S2000-EA系列交换机的软件特性熟悉S2000-EA系列交换机基本维护和常见问题处理,课程目标,学习完本课程，您应该能够：,第一章S2000-EA系列交换机概述第二章S2000-EA系列交换机的软件特性第三章S2000-EA系列交换机的维护,目录,产品定位,L2线速以太网交换产品 主要提供10/100M以太网接口。作为接入设备提供百兆到桌面应用。向下可以提供百兆电接口接入最终用户或汇接低端交换机，向上可以通过GE接口或者链路聚合汇聚到IP端局或大容量的L3交换机。,产品形态,S2000-EA系列交换机包含如下型号:S2008-TP-EA/S2008-TP-EA(SI)S2016TP-EA/S2016TP-EA(SI)S2403TP-EA/S2403TP-EA(SI)S2000-EA分别有交流机型和直流机型S2000-EA(SI)只有交流机型,产品特点,S2000-EA系列以太网交换机具有以下优点：小尺寸、支持壁挂；无风扇设计、低噪音；低功耗、环保节能；Combo GE端口上行；强大的QoS/ACL能力;普通QinQ、灵活QinQ;Vlan mapping（或称vlan translation）;IGMP v3 snooping;IP v6管理特性;ARP 入侵检测功能、ARP 限速功能、IP check 功能;EAD（Endpoint Admission Defense，端点准入防御）。,产品比较（1）,S2000-EA和S2000-EA(SI)的主要区别,产品比较（2）,第一章S2000-EA系列交换机概述第二章S2000-EA系列交换机的软件特性第三章S2000-EA系列交换机的维护,目录,软件特性概述,H3C S2000-EA系列交换机的特性常见二层交换特性VLAN/协议VLAN/MAC VLANSTPdot1x认证Smart Link端口镜像/远程镜像链路聚合（Manual/Static/Dynamic）QinQ（VLAN VPN）灵活QinQVLAN MappingIPv6管理特性安全特性端口绑定/IP Source GuardARP DetectionDHCP SnoopingEADQoS,QinQ（VLAN VPN）,原理：在边缘入端口添加新的TAG标签；在边缘出端口剥离外层TAG标签；应用隔离不同客户数据的同时保持客户内部的数据隔离；VLAN汇聚，扩展VLAN数量；配置2000EA-Ethernet1/0/1vlan-vpn enable,灵活QinQ（Selective VLAN-VPN）,VLAN201300,组播业务路由器,A,园区接入交换机,S3500-EA,S7500E,DHCP server,S2000-EA,园区汇聚交换机,PC上网VLAN 101200,IPTVVLAN 301,大客户,VLAN 10011002,VLAN 302,VLAN 303,上网用户、IPTV用户和大客户都是园区的宽带接入对象，且他们对分别接入不同范围的用户，用Vlan来加以区分。在S2000-EA上的A处开启灵活QinQ，根据不同的内层Vlan id增加外层Vlan或不增加外层Vlan，将报文送至不同的上层设备。,PC上网业务报文Vlan id为101200，封装外层Vlan id 1001；IPTV业务报文vlan为组播vlan 301，不封装外层Vlan id；大客户报文Vlan id为201300，封装外层Vlan id 1002；,VLAN 10011002上网业务报文（双Tag）VLAN 301报文送DHCP-server分配地址或组播业务路由器,灵活QinQ的配置,灵活QinQ的配置分两个步骤：全局配置内外层标签的映射关系2000EAvlan-vpn vid 10012000EA-vid-1001raw-vlan-id inbound 101 to 2002000EAvlan-vpn vid 10022000EA-vid-1001raw-vlan-id inbound 201 to 300端口配置允许通过的VLAN并使能灵活QiniQ2000EA-Ethernet1/0/3 port link-type hybrid2000EA-Ethernet1/0/3 port hybrid pvid vlan 3012000EA-Ethernet1/0/3 port hybrid vlan 301 1001 1002 untagged2000EA-Ethernet1/0/3vlan-vpn selective enable,VLAN Mapping,VLAN Mapping原理根据配置的映射规则在入口和出口替换VLAN ID全局VLAN mapping的配置：3100EIvlan-mapping vlan 1 remark 1003100EIvlan-mapping vlan 2 remark 2003100EIvlan-mapping vlan 3 remark 3003100EI-Ethernet1/0/1vlan-mapping enable3100EI-Ethernet1/0/2vlan-mapping enable3100EI-Ethernet1/0/3vlan-mapping enable基于端口的VLAN Mapping的配置3100EI-Ethernet1/0/1vlan-mapping vlan 1 remark 1003100EI-Ethernet1/0/2vlan-mapping vlan 2 remark 2003100EI-Ethernet1/0/3vlan-mapping vlan 3 remark 300注意：全局Mapping和端口Mapping互斥,VLAN Mapping应用（基于端口的1:1）,接入交换机基于端口实现VLAN的1:1 mapping，在HG配置统一的情况下实现PUPSPV。,IPTV,IPTV,每HG配置两VLAN;不同用户采用相同的VLAN配置。,接入交换机在用户端口运行1:1VLANmapping，为每用户分配用户VLAN。,对Internet与IPTV业务进行基于VLAN的灵活QinQ的动作，封装外层VLAN。,端口绑定,端口绑定原理：将制定IP/MAC和端口进行一一绑定，限定用户从固定端口接入，提高网络安全端口绑定后，当端口接收报文中的MAC和IP与所绑定的相同时，报文正常转发，否则报文被丢弃。端口绑定配置：2000EAam user-bind mac-addr 1-203-406 ip-addr 192.168.0.1 interface Ethernet 1/0/42000EAam user-bind mac-addr 1-203-407 ip-addr 192.168.0.2 interface Ethernet 1/0/4注意事项：同一IP或MAC只能配置一个绑定表项没有配置绑定表项的端口不受限制,IP Source Guard,IP Source Guard原理手工或动态（DHCP Snooping）维护IP/MAC/Port映射根据映射表检查端口接收的报文，匹配的报文转发，否则丢弃IP Source Guard的配置配置静态过滤表项2000EA-Ethernet1/0/1ip source static binding ip-address 1.1.1.1 mac-address 1-1-1 vlan 1配置DHCP Snooping维护动态表项2000EAdhcp-snooping2000EA-GigabitEthernet1/1/1dhcp-snooping trust使能端口的IP过滤3100EI-Ethernet1/0/1ip check source ip-address mac-address注意事项静态表项优先级高于动态表项请优先配置DHCP Snooping并设置信任端口,ARP Detection（ARP入侵检测）,ARP DetectionARP报文的交互机制使得主机之间的通信存在被欺骗的可能；经过交换机的所有ARP（请求与回应）报文重定向到CPU，利用DHCP-Snooping表或手工配置的IP静态绑定表，对ARP报文进行合法性检测可以预防欺骗；如果ARP报文中的源MAC、源IP、接收ARP报文的端口编号以及端口所在VLAN与DHCP-Snooping表或手工配置的IP静态绑定表表项一致，则认为该ARP报文合法，进行转发；否则认为是非法ARP报文，直接丢弃。配置步骤及命令 配置DHCP Snooping2000EAdhcp-snooping2000EA-GigabitEthernet1/1/1dhcp-snooping trust配置ARP Detection2000EA-vlan100arp detection enable2000EA-GigabitEthernet1/1/1arp detection trust,EAD,S2000-EA-EI,病毒补丁服务器,认证服务器,3.交换机和认证服务器间交互完成认证,2.身份认证通过前用户无法访问网络,Core Network,4.身份验证后用户即可以从病毒补丁服务器升级,5.客户端开始安全认证,安全策略服务器,7.安全认证通过后，用户可以正常的访问网络,1.用户开始认证,6.安全认证通过前只能访问病毒补丁服务器,QACL功能,ACL包过滤基于端口/VLAN/全局下发支持时间段支持L2（Layer 2）L4的rule定义队列调度每个端口支持4个输出队列；支持SP、WRR、SP+WRR三种模式；限速支持端口双向限速（traffic-limit/traffic-shape）控制粒度为64 Kbit/s；流量统计优先级重标记流镜像,第一章S2000-EA系列交换机概述第二章S2000-EA系列交换机的软件特性第三章S2000-EA系列交换机的维护,目录,常见问题处理,常见故障定位BootROM密码丢失收集交换机的桥MAC提供给H3C工程师H3C工程师提供唯一的超级密码代替Bootrom密码用户密码丢失进入BootROM主菜单，选择“Skip current configuration file”项，以忽略系统配置方式启动再次出现BootROM主菜单时，选择“Reboot”，重新启动重启后在系统视图下设置新的用户密码光模块和对端设备相连，出现不能UP问题端口自环测试修改两端的速率双工模式排除协商问题确认两端收发光功率是否正常模块替换测试,常见问题处理,CPU利用率高2000EAdisplay cpu确认是否长时间利用率居高 多次执行3100EI-hidecmd_display drv rtl-task命令确认当前占用CPU组员最多的几个任务根据具体任务排查对应的配置是否存在问题大量的攻击报文上送CPU（RXtk任务高）SNMP网管读取大量MIB信息（Agnt任务高）网络动荡，TC攻击（MSTP任务高）,S2000-EA系列交换机硬件形态S2000-EA系列交换机的特性比较S2000-EA系列交换机的主要特性介绍S2000-EA系列交换机常见问题的处理方法,总结,