H3C官方基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)

1、網(wǎng)絡(luò)故障排除網(wǎng)絡(luò)故障排除目錄目錄n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 ACL原理及基本配置原理及基本配置n第三章第三章 常用維護(hù)方法和常用維護(hù)方法和命令命令n第四章第四章 案例分析案例分析VLAN的產(chǎn)生原因廣播風(fēng)暴傳統(tǒng)的以太網(wǎng)是廣播型網(wǎng)絡(luò)，網(wǎng)絡(luò)中的所有主機(jī)通過HUB或交換機(jī)相連，處在同一個廣播域中通過路由器隔離廣播域通過VLAN劃分廣播域市場部工程部財(cái)務(wù)部以太網(wǎng)端口的鏈路類型 Access link：只能允許某一個VLAN的untagged數(shù)據(jù)流通過。 Trunk link：允許多個VLAN的tagged數(shù)據(jù)流和某一個VLAN的untagged數(shù)據(jù)流通過。 Hyb

2、rid link：允許多個VLAN的tagged數(shù)據(jù)流和多個VLAN的untagged數(shù)據(jù)流通過。Hybrid端口可以允許多個VLAN的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽，而Trunk端口只允許缺省VLAN的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽。三種類型的端口可以共存在一臺設(shè)備上Access Link和Trunk LinkTrunk Link和VLAN數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 ACL原理及基本配置原理及基本配置n第三章第三章 常用維護(hù)方法和常用維護(hù)方法和命令命令n第四章第四章 案例分析案例分析目錄目錄ACL訪問控制列表 為了過濾通過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，需要配置

3、一系列的匹配規(guī)則，以識別需要過濾的對象。在識別出特定的對象之后，網(wǎng)絡(luò)設(shè)備才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過。訪問控制列表（Access Control List，ACL）就是用來實(shí)現(xiàn)這些功能。ACL通過一系列的匹配條件對數(shù)據(jù)包進(jìn)行分類，這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號等。ACL可應(yīng)用在交換機(jī)全局或端口上，交換機(jī)根據(jù)ACL中指定的條件來檢測數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。以太網(wǎng)訪問列表主要作用:在整個網(wǎng)絡(luò)中分布實(shí)施接入安全性訪問控制列表ACL對到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動作標(biāo)記訪問列表作用于交換機(jī)的所有端口訪問列表的主要用途：包過濾包過濾鏡像鏡像流

4、量限制流量限制流量統(tǒng)計(jì)流量統(tǒng)計(jì)分配隊(duì)列優(yōu)先級分配隊(duì)列優(yōu)先級流分類通常選擇數(shù)據(jù)包的包頭信息作為流分類項(xiàng)2層流分類項(xiàng)以太網(wǎng)幀承載的數(shù)據(jù)類型以太網(wǎng)幀承載的數(shù)據(jù)類型源源/目的目的MAC地址地址以太網(wǎng)封裝格式以太網(wǎng)封裝格式Vlan ID入入/出端口出端口3/4層流分類項(xiàng)協(xié)議類型協(xié)議類型源源/目的目的IP地址地址源源/目的端口號目的端口號DSCPIP 數(shù)據(jù)包過濾訪問控制列表的構(gòu)成 Rule（訪問控制列表的子規(guī)則） Time-range（時(shí)間段機(jī)制） ACL=rules + time-range（訪問控制列表由一系列規(guī)則組成，有必要時(shí)會和時(shí)間段結(jié)合）時(shí)間段的相關(guān)配置 訪問控制列表的類型20002999：表示

5、基本ACL。只根據(jù)數(shù)據(jù)包的源IP地址制定規(guī)則。30003999：表示高級ACL（3998與3999是系統(tǒng)為集群管理預(yù)留的編號，用戶無法配置）。根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則。40004999：表示二層ACL。根據(jù)數(shù)據(jù)包的源MAC地址、目的MAC地址、802.1p優(yōu)先級、二層協(xié)議類型等二層信息制定規(guī)則。50005999：表示用戶自定義ACL。以數(shù)據(jù)包的頭部為基準(zhǔn)，指定從第幾個字節(jié)開始與掩碼進(jìn)行“與”操作，將從報(bào)文提取出來的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報(bào)文。定義訪問控制列表 基本訪問控制列表的規(guī)則配置 高級訪問控制列表的規(guī)則

6、配置 端口操作符及語法接口訪問控制列表的規(guī)則配置 二層訪問控制列表的規(guī)則配置 自定義訪問控制列表的規(guī)則配置 規(guī)則匹配原則 一條訪問控制列表往往會由多條規(guī)則組成，這樣在匹配一條訪問控制列表的時(shí)候就存在匹配順序的問題。在華為系列交換機(jī)產(chǎn)品上，支持下列兩種匹配順序： Config：指定匹配該規(guī)則時(shí)按用戶的配置順：指定匹配該規(guī)則時(shí)按用戶的配置順序（后下發(fā)先生效）序（后下發(fā)先生效） Auto：指定匹配該規(guī)則時(shí)系統(tǒng)自動排序（按：指定匹配該規(guī)則時(shí)系統(tǒng)自動排序（按“深度優(yōu)先深度優(yōu)先”的順序）的順序）激活訪問控制列表 配置ACL進(jìn)行包過濾的步驟訪問控制列表配置舉例一要求配置高級要求配置高級ACL，禁止員工在工作

7、日，禁止員工在工作日8:0018:00的時(shí)間段內(nèi)訪問新浪的時(shí)間段內(nèi)訪問新浪網(wǎng)站（網(wǎng)站（ 61.172.201.194 ）1. 定義時(shí)間段定義時(shí)間段System time-range test 8:00 to 18:00 working-day2.定義高級定義高級ACL 3000，配置目的，配置目的IP地址為新浪網(wǎng)站的訪問規(guī)則。地址為新浪網(wǎng)站的訪問規(guī)則。System acl number 3000System -acl-adv-3000 rule 1 deny ip destination 61.172.201.194 0 time-range test3.在端口在端口Ethernet1/0/1

8、5上應(yīng)用上應(yīng)用ACL 3000。System interface Ethernet 1/0/15System-Ethernet1/0/15 packet-filter inbound ip-group 3000訪問控制列表配置舉例二配置防病毒ACL1. 定義高級ACL 3000System acl number 3000System -acl-adv-3000 rule 1 deny udp destination-port eq 335System -acl-adv-3000 rule 3 deny tcp source-port eq 3365System -acl-adv-3000 ru

9、le 4 deny udp source 61.22.3.0 0.0.0.255 destination-port eq 38752. 在端口Ethernet1/0/1上應(yīng)用ACL 3000System-Ethernet1/0/1 packet-filter inbound ip-group 3000n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 ACL原理及基本配置原理及基本配置n第三章第三章 常用維護(hù)方法和常用維護(hù)方法和命令命令n第四章第四章 案例分析案例分析目錄目錄故障排除常用方法故障排除常用方法 分層故障排除法 分塊故障排除法 分段故障排除法 替換法 分層故障排除法

10、。物物 理理 層層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層網(wǎng)網(wǎng) 絡(luò)絡(luò) 層層所有的技術(shù)都是分層的！所有的技術(shù)都是分層的！關(guān)注電纜、連接頭、信號電平、編碼、時(shí)鐘和組幀 關(guān)注封裝協(xié)議和相關(guān)參數(shù)、鏈路利用率等關(guān)注地址分配、路由協(xié)議參數(shù)等分塊故障排除法 配置文件分為以下部分： 管理部分（路由器名稱、口令、服務(wù)、日志等） 端口部分（地址、封裝、cost、認(rèn)證等） 路由協(xié)議部分（靜態(tài)路由、RIP、OSPF、BGP、路由引入等） 策略部分（路由策略、策略路由、安全配置等） 接入部分（主控制臺、Telnet登錄或啞終端、撥號等） 其他應(yīng)用部分（語言配置、VPN配置、Qos配置等） 分段故障排除法網(wǎng)絡(luò)分為若干段，逐段測試，縮小故障范

11、網(wǎng)絡(luò)分為若干段，逐段測試，縮小故障范圍，逐段定位網(wǎng)絡(luò)故障，并排除。圍，逐段定位網(wǎng)絡(luò)故障，并排除。中繼線路中繼線路ModemModemModemModemDDN節(jié)點(diǎn)節(jié)點(diǎn)DDN節(jié)點(diǎn)節(jié)點(diǎn)網(wǎng)絡(luò)連通性測試命令操作命令說明檢查IP網(wǎng)絡(luò)中的指定地址是否可達(dá)ping ip -a source-ip | -c count | -f | -h ttl | -i interface-type interface-number | -m interval | -n | -p pad | -q | -r | -s packet-size | -t timeout | -tos tos | -v | -vpn-insta

12、nce vpn-instance-name * remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv4時(shí)使用可在任意視圖下執(zhí)行ping ipv6 -a source-ipv6 | -c count | -m interval | -s packet-size | -t timeout * remote-system -i interface-type interface-number 可選網(wǎng)絡(luò)層協(xié)議為IPv6時(shí)使用可在任意視圖下執(zhí)行查看當(dāng)前設(shè)備到目的設(shè)備的路由tracert -a source-ip | -f first-ttl | -m max-ttl | -p port | -q packet

13、-number | -vpn-instance vpn-instance-name | -w timeout * remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv4時(shí)使用可在任意視圖下執(zhí)行tracert ipv6 -f first-ttl | -m max-ttl | -p port | -q packet-number | -w timeout * remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv6時(shí)使用可在任意視圖下執(zhí)行ping命令參數(shù)（1）ip：支持IPv4協(xié)議。-a source-ip：指定ICMP回顯請求報(bào)文中的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。-c count：指

14、定發(fā)送ICMP回顯請求報(bào)文的數(shù)目，取值范圍缺省值為5。-f：將長度大于接口MTU的報(bào)文直接丟棄，即不允許對發(fā)送的ICMP回顯請求報(bào)文進(jìn)行分片。-h ttl：指定ICMP回顯請求報(bào)文中的TTL值，取值范圍為1255，缺省值為255。-i interface-type interface-number：指定發(fā)送報(bào)文的接口的類型和編號。在指定出接口的情況下，只能ping直連網(wǎng)段地址。-m interval：指定發(fā)送ICMP回顯請求報(bào)文的時(shí)間間隔，取值范圍為165535，單位為毫秒，缺省值為200毫秒。 如果在timeout時(shí)間內(nèi)收到目的主機(jī)的響應(yīng)報(bào)文，則下次ICMP回顯請求

15、報(bào)文的發(fā)送時(shí)間間隔為報(bào)文的實(shí)際響應(yīng)時(shí)間與interval之和； 如果在timeout時(shí)間內(nèi)沒有收到目的主機(jī)的響應(yīng)報(bào)文，則下次ICMP回顯請求報(bào)文的發(fā)送時(shí)間間隔為timeout與interval之和。 -n：不進(jìn)行域名解析。缺省情況下，系統(tǒng)將對hostname進(jìn)行域名解析。ping命令參數(shù)-p pad：指定ICMP回顯請求報(bào)文的填充字節(jié)，格式為16進(jìn)制。比如將“pad”設(shè)置為ff，則報(bào)文將被全部填充為ff。缺省情況下，填充的字節(jié)從0 x01開始，逐漸遞增，直到0 x09，然后又從0 x01開始循環(huán)填充。-q：除統(tǒng)計(jì)信息外，不顯示其它詳細(xì)信息。缺省情況下，系統(tǒng)將顯示包括統(tǒng)計(jì)信息在內(nèi)的全部信息。-r

16、：記錄路由。缺省情況下，系統(tǒng)不記錄路由。-s packet-size：指定發(fā)送的ICMP回顯請求報(bào)文的長度（不包括IP和ICMP報(bào)文頭），取值范圍為208100，單位為字節(jié)，缺省值為56字節(jié)。-t timeout：指定ICMP回顯應(yīng)答報(bào)文的超時(shí)時(shí)間，取值范圍為165535，單位為毫秒，缺省值為2000毫秒。-tos tos：指定ICMP回顯請求報(bào)文中的ToS（Type of Service，服務(wù)類型）域的值，取值范圍為0255，缺省值為0。-v：顯示接收到的非回顯應(yīng)答的ICMP報(bào)文。缺省情況下，系統(tǒng)不顯示非回顯應(yīng)答的ICMP報(bào)文。-vpn-instance vpn-instance-name：

17、指定MPLS VPN的實(shí)例名稱，是一個長度為131個字符的字符串，不區(qū)分大小寫。remote-system：目的設(shè)備的IP地址或主機(jī)名（主機(jī)名為120個字符的字符串）。 ping命令用來檢查指定IP地址是否可達(dá)，并輸出相應(yīng)的統(tǒng)計(jì)信息。 systemeping 11.1.1.1 PING 11.1.1.1: 56 data bytes, press CTRL_C to break Reply from 11.1.1.1: bytes=56 Sequence=0 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=1 ttl=25

18、5 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=255 time = 32 ms Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=255 time = 31 ms - 11.1.1.1 ping statistics - 5 packets transmitted 5 packets received 0.00% packet loss round-trip

19、min/avg/max = 31/31/32 mstracert命令參數(shù)-a source-ip：指明tracert報(bào)文的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。-f first-ttl：指定一個初始TTL，即第一個報(bào)文所允許的跳數(shù)。取值范圍為1255，且小于最大TTL，缺省值為1。-m max-ttl：指定一個最大TTL，即一個報(bào)文所允許的最大跳數(shù)。取值范圍為1255，且大于初始TTL，缺省值為30。-p port：指明目的設(shè)備的UDP端口號，取值范圍為165535，缺省值為33434。用戶一般不需要更改此選項(xiàng)。-q packet-number：指明每次發(fā)送的探測報(bào)文個數(shù)，取值范

20、圍為165535，缺省值為3。-vpn-instance vpn-instance-name：指定MPLS VPN的實(shí)例名稱，是一個長度為131個字符的字符串。-w timeout：指定等待探測報(bào)文響應(yīng)的報(bào)文的超時(shí)時(shí)間，取值范圍是165535，單位為毫秒，缺省值為5000毫秒。remote-system：目的設(shè)備的IP地址或主機(jī)名（主機(jī)名是長度為120的字符串）。tracert命令用來查看IPv4報(bào)文從當(dāng)前設(shè)備傳到目的設(shè)備所經(jīng)過的路徑。 tracert 18.26.0.115traceroute to 18.26.0.115(18.26.0.115) 30 hops max,40 bytes

21、packet, press CTRL_C to break1 128.3.112.1 10 ms 10 ms 10 ms2 128.32.210.1 19 ms 19 ms 19 ms3 128.32.216.1 39 ms 19 ms 19 ms4 128.32.136.23 19 ms 39 ms 39 ms5 128.32.168.22 20 ms 39 ms 39 ms6 128.32.197.4 59 ms 119 ms 39 ms7 131.119.2.5 59 ms 59 ms 39 ms8 129.140.70.13 80 ms 79 ms 99 ms9 129.140.71.

22、6 139 ms 139 ms 159 ms10 129.140.81.7 199 ms 180 ms 300 ms11 129.140.72.17 300 ms 239 ms 239 ms12 * * *13 128.121.54.72 259 ms 499 ms 279 ms14 * * *15 * * *16 * * *17 * * *18 18.26.0.115 339 ms 279 ms 279 ms display interface（1） display interface ethernet1/0/1 Ethernet1/0/1 current state : DOWN IP S

23、ending Frames Format is PKTFMT_ETHNT_2, Hardware address is 0012-a990-2240 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX 100Mbps-speed mode, full-duplex mode Link speed type is force link, link duplex type is force link Flow-control is enabled The Maximum Frame Lengt

24、h is 9216 Broadcast MAX-pps: 500 Unicast MAX-ratio: 100% Multicast MAX-ratio: 100% Allow jumbo frame to pass PVID: 1 Mdi type: auto Port link-type: access Tagged VLAN ID : none Untagged VLAN ID : 1display interface（2） Last 300 seconds input: 0 packets/sec 0 bytes/sec Last 300 seconds output: 0 packe

25、ts/sec 0 bytes/sec Input(total): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Input(normal): - packets, - bytes - broadcasts, - multicasts, - pauses Input: 0 input errors, 0 runts, 0 giants, - throttles, 0 CRC 0 frame, - overruns, 0 aborts, 0 ignored, - parity errors Output(total): 0 pack

26、ets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Output(normal): - packets, - bytes - broadcasts, - multicasts, - pauses Output: 0 output errors, - underruns, - buffer failures 0 aborts, 0 deferred, 0 collisions, 0 late collisions 0 lost carrier, - no carrierdisplay mac-address用來顯示MAC地址轉(zhuǎn)發(fā)表的信息，包括MAC

27、地址所對應(yīng)VLAN和以太網(wǎng)端口、地址狀態(tài)（靜態(tài)還是動態(tài)）、是否處在老化時(shí)間內(nèi)等信息# 顯示MAC地址000f-e20f-0101的信息。 display mac-address 000f-e20f-0101MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000f-e20f-0101 1 Learned Ethernet1/0/1 AGING# 顯示端口Ethernet1/0/4的MAC地址轉(zhuǎn)發(fā)表內(nèi)容。 display mac-address interface Ethernet 1/0/4MAC ADDR VLAN ID STATE PORT IN

28、DEX AGING TIME(s)000d-88f6-44ba 1 Learned Ethernet1/0/4 AGING000d-88f7-9f7d 1 Learned Ethernet1/0/4 AGING000d-88f7-b094 1 Learned Ethernet1/0/4 AGING000f-e200-00cc 1 Learned Ethernet1/0/4 AGING000f-e200-2201 1 Learned Ethernet1/0/4 AGING000f-e207-f2e0 1 Learned Ethernet1/0/4 AGING000f-e209-ecf9 1 Le

29、arned Ethernet1/0/4 AGING- 7 mac address(es) found on port Ethernet1/0/4 - display arp用來顯示ARP表項(xiàng) display arp Type: S-Static D-DynamicIP Address MAC Address VLAN ID Port Name / AL ID Aging Type10.2.72.162 000a-000a-0aaa N/A N/A N/A S192.168.0.77 0000-e8f5-6a4a 1 Ethernet1/0/2 13 D192.168.0.200 0014-222c-