User Tools

Site Tools


comware:s5500-ei-issue-3.0

H3C S5500-EI系统交换机产品培训_信息与通信_工程科技_专业资料。H3C S5500-EI系列交换机产品培训
ISSUE 3.0

日期:
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播

 课程目标
学习完本课程,您应该能够:
? 熟悉S5500-EI
ISSUE 3.0

日期:
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播

 课程目标
学习完本课程,您应该能够:
? 熟悉S5500-EI产品形态和硬件结构 ? 熟悉S5500-EI产品软件特性 ? 熟悉S5500-EI产品的典型应用 ? 掌握S5500-EI产品的基本维护

 目录
? 第一章 ? 第二章 产品概述 软件特性

? 第三章
? 第四章

典型应用
基本维护

 第一章

产品概述

? 第一节 产品介绍

? 第二节 硬件结构
? 第三节 业务特性

www.h3c.com

4

 产品简介
? H3C S5500-EI系列交换机是华三公司自主开发的千兆以太网 交换机产品。S5500-EI系列交换机具备丰富的业务特性,提 供IPv6转发功能以及10GE端口,通过华三公司特有的集群 管理功能,用户能够简化对网络的管理。 ? S5500-EI系列千兆以太网交换机定位为企业网和城域网的汇 聚或接入,可为客户提供丰富的业务特性和路由功能,还可 以用于数据中心服务器群的连接。
? 支持Internet宽带接入 ? 主要支持城域网和企业网用户的接入 ? 支持VOD等多媒体服务 ? 支持VOIP等时延敏感的语音业务 ? 提供强组播功能,同时支持IPv4/IPv6组播的音频和视频的服务功能

www.h3c.com

5

 产品定位
H3C S7500E

10GE

H3C S5100-50C H3C S5100-26C H3C S5100-24P

S5800/5820X

H3C S12500

L3 + GE+ 10GE uplink +IPv4/IPv6

S5500-EI S5500-EI

H3C S9500E

GE

H3C S5100-48P

S5500-SI H3C S3600-EI H3C S3610/5510 H3C S5600

H3C S3100-EI

H3C S3600-SI

H3C S3600-EI-PWR

FE

H3C S3100-SI H3C S3600-EI

Layer 2

Layer 3-

Layer 3

Metro

www.h3c.com

6

 产品形态
?S5500-EI系列交换机共有六款设备。
S5500-28C-EI:24 个10/100/1000以太网端口,4 个SFP 千兆位
以太网端口(Combo),两个扩展槽位;支持AC电源和-12VRPS

S5500-28C-EI-DC:24 个10/100/1000以太网端口,4 个SFP 千兆
位以太网端口(Combo),两个扩展槽位;支持-48V DC电源和-12V RPS

S5500-52C-EI:48 个10/100/1000以太网端口,4 个SFP 千兆位以
太网端口(Combo),两个扩展槽位;支持AC电源和-12VRPS

S5500-28C-PWR-EI:24 个10/100/1000以太网端口,带PoE,4 个
SFP 千兆位以太网端口(Combo),两个扩展槽位;支持AC/DC电源和 -48V RPS

S5500-52C-PWR-EI:48 个10/100/1000以太网端口,带PoE,4
个SFP 千兆位以太网端口(Combo),两个扩展槽位;支持AC/DC电 源和-48VRPS

S5500-28F-EI:24个100M/1000M SFP以太网光口,8个10/100/1000
千兆位以太网端口(Combo),两个扩展槽位;支持两个互为备份的可 插拔AC/DC电源

www.h3c.com

7

 Combo接口对应关系
产品型号
S5500-28C-EI S5500-28C-PWR-EI S5500-28C-EI-DC

Combo接口
25 26 27 28 49

对应端口
22 24 21 23 46 48 45 47

S5500-52C-EI S550052C-PWR-EI

50 51 52

25
26 27

17
18 19 20 21 22 23 24 8

S5500-28F-EI

28 29 30 31 32

www.h3c.com

 产品特点(一)
? S5500-EI系列交换机具有以下的特点:
? 支持IPv4/IPv6 双栈及硬件转发 ? 支持丰富的IPv4/IPv6路由协议 ? 支持MCE ? 支持IPv6 over IPv4 、6to4 and ISATAP Tunnel ? 提供千兆接入、万兆上行 ? 支持Jumbo Frame ? 支持端口安全 ? 支持LACP(Link Aggregation Control Protocol,链路聚合控制协 议)协议 ? 支持丰富的QoS/ACL功能,支持VLAN ACL和Egress ACL及动态 Qos修改 ? 支持QinQ和Vlan Mapping ? 支持基于端口/流的镜像 ? 支持RSPAN ? 通过RPS或1+1电源,提供可靠的电源备份功能
www.h3c.com

9

 产品特点(二)
? S5500-EI系列交换机具有以下的特点:
? 支持IRF及ARP/LACP/BFD分裂检测机制 ? 支持ARP Detection ? 支持IPv6 ND Detection/Snooping ? 支持IPv6 DHCP Client/Snooping/Relay/Server ? 支持UDP Helper ? 支持ISSU ? 支持sFlow ? 支持Portal 双机热备 ? 支持IP+MAC+端口绑定(包含IPV4和IPV6) ? 支持动态Qos修改 ? 支持Loopback-detection多端口检测及检测控制端口Shutdown

www.h3c.com

10

 第一章

产品概述

? 第一节 产品介绍

? 第二节 硬件结构
? 第三节 业务特性

www.h3c.com

11

 面板及指示灯(无POE功能交换机)

(1):10/100/1000 Base-T自适应以太网端口状态指示灯 (2):SFP Combo接口状态指示灯 (3):Console口 (7):扩展插槽1指示灯 (4):七段数码管 (8):扩展插槽2指示灯 (5):电源指示灯 (9):模式指示灯 (6):RPS指示灯 (10):模式切换按钮

(1):交流电源接口 (2):RPS电源接口 (3):接地柱
www.h3c.com

(4):扩展插槽1 (5):扩展插槽2

12

 面板及指示灯(支持POE功能交换机)

(1):10/100/1000 Base-T自适应以太网端口状态指示灯 (2):SFP Combo接口状态指示灯 (3):Console口 (7):10G接口插槽1指示灯 (4):7段数码显示灯 (8):10G接口插槽2指示灯 (5):电源指示灯 (9): 模式指示灯 (6):RPS电源指示灯 (10):模式切换按钮

(1):RPS电源接口 (2):交流电源接口 (3):接地螺钉
www.h3c.com

(4):10G接口插槽1 (5):10G接口插槽2

13

 面板及指示灯(S5500-28F-EI交换机)

(1):千兆/百兆SFP接口状态指示灯 (2):10/100/1000 Base-T Combo自适应以太网端口状态指示灯 (3):Console口 (4):7段数码显示灯 (8):10G接口插槽1指示灯 (5):系统状态指示灯 (9):10G接口插槽2指示灯 (6):电源插槽1指示灯 (10):模式指示灯 (7):电源插槽2指示灯 (11):模式切换按钮

(1):接地螺钉 (2):电源插槽 1 (3):电源插槽 2
www.h3c.com

(4):10G接口插槽1 (5):10G接口插槽2

14

 硬件结构图
S5500-28C-EI硬件体系结构:
2*10GE 2*10GE

S5500-52C-EI硬件体系结构:
2*10GE 2*10GE

Module2

Module1

Module2

Module1

CPU

CPU
PCI

Switch

PCI

Switch

Switch

24 GE

?

超级紧凑,高千兆端口密度 :

48 GE

? ?

灵活的可扩展性:

? 尺寸数据:440mm X 43.6mm X 300mm (Non-PoE)/ 440mm X 43.6mm X 420mm (PoE)/ 440mm X 43.6mm X 360mm(S5500-28F-EI ) ? 前面板提供24或48千兆电接口和4 千兆SFP光口 ? 后面板提供多至4个10GE端口 ? 多款扩展模块 ? 极低成本的10GE接口(CX4) ? 支持RPS,S5500-28F双电源可插拔 ? 支持环境温度和风扇的监控告警 ? 扩展模块无CPU

周全的可靠性设计:

www.h3c.com

15

 第一章

产品概述

? 第一节 产品介绍

? 第二节 硬件结构
? 第三节 业务特性

www.h3c.com

16

 业务特性概述(1)
? 二层特性:
? Port Isolate ? MSTP/RSTP ? LACP ? GVRP ? Voice VLAN ? Mac Based VLAN ? Protocol Based VLAN ? IP subnet Based VLAN ? Isolate User Vlan ? Flow Interval ? Storm Constrain ? LLDP ? Selective QINQ ? VLAN Mapping
www.h3c.com

? 三层特性:
? RIP ? RIPng ? OSPF ? OSPFv3 ? BGP ? BGP4+ ? ISIS ? ISIS for IPV6 ? DHCP Rley/Server ? PBR(策略路由) ? MCE ? ARP Proxy ? TUNNEL

17

 业务特性概述(2)
? 安全特性:
? ARP Detection ? IP Source Guard ? 802.1X ? Port Security ? EAD ? PORTAL ? PKI ? SSH 2.0 ? HWTACACS+ ? uRPF ? Radius ? Bootrom Access Control ? Portal 双机热备 ? Triple认证
www.h3c.com

? 组播特性:
? IGMP Snooping ? MLD Snooping v1/v2 ? IGMPv1/v2/v3 ? MLDv1/v2 ? MVR/MVR+ ? PIM-DM/SM/SSM ? PIM6 ? MSDP ? MBGP ? MBGP for IPV6 ? 可控组播 ? IPv6组播VLAN/VLAN+ ? 静态组播MAC地址表项

18

 业务特性概述(3)
? HA高可靠性:
? VRRP/VRRPE ? VRRP v3 ? ECMP ? GR for OSPF/BGP ? BFD ? DLDP ? NQA ? ISSU ? RRPP ? Smart link ? Monitor link ? 电源热插拔

? QACL特性:
? 流标记/重定向/镜像 ? 针对范围四层端口号关注 ? 三色双速 ? WRR,WRR+SP,SP调度模式 ? 出入双方向ACL ? VLAN ACL ? Global ACL ? WRED ? Shaping ? RSPAN ? 动态Qos修改 ? CAR ? User Profile

www.h3c.com

19

 本章小结
? S5500-EI系列交换机总体介绍
?产品定位、具体型号、大致性能

? S5500-EI系列交换机硬件体系结构

? S5500-EI系列交换机业务特性

www.h3c.com

20

 目录
? 第一章 ? 第二章 产品概述 软件特性

? 第三章
? 第四章

典型应用
基本维护

 第二章

软件特性

? 第一节 二层特性
? 第二节 三层特性 ? 第三节 安全特性 ? 第四节 组播特性 ? 第五节 高可靠性 ? 第六节 QACL特性

www.h3c.com

22

 链路聚合
? 在同一个聚合组中,能进行负载分担的成员端口必须有一 致的配臵。这些配臵主要包括:
? 端口隔离配臵一致 ? QinQ配臵一致 ? VLAN配臵一致 ? 端口属性配臵一致 ? MAC地址学习配臵一致

? 按照聚合方式的不同,S5500-EI系列以太网交换机支持:
? 静态聚合 ? 动态聚合

? 链路聚合的扩展功能:
? 支持配臵聚合负载分担为本地转发优先

www.h3c.com

23

 LLDP协议
?LLDP——Link Layer Discovery Protocol ,即链路层发现协议。 ?它将本地设备的信息组织成TLV(Type/Length/Value,类型/长度/值)封装在 LLDPDU(Link Layer Discovery Protocol Data Unit,链路层发现协议数据单 元)中发送给直连的邻居,同时也把从邻居接收的LLDPDU以标准MIB (Management Information Base,管理信息库)的形式保存起来。

?通过LLDP,设备可以保存和管理自己以及直连邻居设备的信息,供网络管理系
统查询和判断链路的通信状况。
NMS

GE1/0/1

GE1/0/2

Switch A

GE1/0/1

MED设备

Switch B

www.h3c.com

24

 广播风暴抑制
? 广播风暴抑制用来抑制大量的未知单播、多播、广播报文在网络中的 传播,从而减少报文对网络运行效率的影响。 ? S5500-EI系列以太网交换机的广播风暴抑制功能是在端口上进行配臵 的。一旦有报文流量超过预设的上限阈值,可以阻塞该端口此种报文 的转发或者关闭端口,并可以发出Trap和Log信息。
? 如果端口采用阻塞方式控制,则处于阻塞状态的端口仍然会对该报文流量 进行统计,但是不会转发报文。 ? 如果端口采用shutdown方式控制,处于shutdown的端口可以通过执行 undo shutdown命令恢复端口状态,也可以通过删除端口流量阈值配臵进 行恢复。 ? 如果被检测端口的单播、组播或者多播报文流量降低到预设的下限阈值, 会恢复被阻塞端口对此种报文转发能力,并发出Trap和Log信息。

? S5500-EI系列交换机不仅可以实现基于端口速率百分比的广播风暴抑 制,而且可以实现基于pps的广播风暴抑制。

www.h3c.com

25

 端口环回检测
? 端口环回检测(Loopback-detection)
? 单端口进行环回监测:端口发送出去的报文又从该端口回到设备,环回的 存在可能导致广播风暴 [H3C]loopback-detection enable [H3C-GigabitEthernet1/0/1]loopback-detection enable

? 多端口环回监测:设备上某端口发送出去的报文又从该设备的另一个端口
环回到本设备 [H3C] loopback-detection enable [H3C-GigabitEthernet1/0/1]loopback-detection enable

[H3C] loopback-detection multi-port-mode enable
? Loopback-detection检测控制端口Shutdown
loopback-detection action { no-learning | semi-block | shutdown } ? no-learning :不进行mac地址学习;

? semi-block:端口物理层up但逻辑down,不转发报文
? Shutdown:端口物理层down

? 说明:loopback-detection enable 需在全局和端口均开启才会生效
www.h3c.com

26

 VLAN
? S5500-EI系列以太网交换机支持以下的VLAN应用。
? 基于端口的VLAN
? S5500-EI系列以太网交换机最多支持4094个基于端口的VLAN。

? 基于协议的VLAN
? 交换机可以根据端口上收到的untag报文所属的不同协议,自动为报文 添加不同的tag,实现将属于指定协议的数据自动归集到指定VLAN中 传输。

? 基于MAC的VLAN
? 按照报文的源MAC地址来定义VLAN成员,将指定报文加入该VLAN的 tag后发送。

? 基于IP子网的VLAN
? 根据报文的源地址来确定报文所属的VLAN,然后将报文自动划分到指 定VLAN中传输。 ? S5500-EI 一个VLAN支持12个网段。

www.h3c.com

27

 QinQ
? S5500-EI系列交换机提供的端口QinQ特性是一种简单、灵 活的二层VPN技术,它通过在运营商接入端为用户的私网 报文封装外层VLAN Tag,使报文携带两层VLAN Tag穿越 运营商的骨干网络(公网)。 ? QinQ可分为两种:
? 基本QinQ ? 灵活QinQ

? 灵活QinQ是基于端口与VLAN相结合的方式实现的。除了 能实现所有基本QinQ的功能外,对于同一个端口接收的报 文还可以根据报文的不同内层VLAN ID添加不同的外层 VLAN Tag。

www.h3c.com

28

 灵活QinQ
上网用户、IPTV用户和大 客户都是园区的宽带接入 对象,且他们分别接入不 同范围的用户VLAN来加与 区分。 在S5500-EI上的A处开启灵 活QinQ,根据不同的内层 VLAN ID增加外层VLAN或不 增加外层VLAN,将报文送 至不同的上层设备。
PC上网业务报文vlanid 为101~200,封装外层 vlanid 1001。 IPTV业务报文vlan为 组播vlan 301,不封装 外层vlanid。 大客户报文vlanid为 201~300,封装外层 vlanid 1002。

Vlan 1001-1002上网业 务报文(双Tag)送 BAS设备处理。
Vlan 301报文送DHCP Server分配地址或组播 业务路由器。

www.h3c.com

29

 VLAN 映射
? VLAN映射(VLAN Mapping)功能可以修改报文携带的 VLAN Tag ? VLAN映射提供3种映射关系:
? 1:1 VLAN映射:将来自某一特定VLAN的报文所携带的VLAN Tag 替换为新的VLAN Tag ? N:1 VLAN映射:将来自两个或多个VLAN的报文所携带的不同 VLAN Tag替换为相同的VLAN Tag ? 2:2 VLAN映射:将携带有两层VLAN Tag的报文的内、

外层VLAN Tag都替换为新的VLAN Tag。

www.h3c.com

30

 第二章

软件特性

? 第一节 二层特性
? 第二节 三层特性 ? 第三节 安全特性 ? 第四节 组播特性 ? 第五节 高可靠性 ? 第六节 QACL特性

www.h3c.com

31

 策略路由
? 策略路由是一种依据用户制定的策略进行路由选择的机制。与单纯依 照IP报文的目的地址查找路由表进行转发不同,策略路由基于到达报文 的源地址等信息灵活地进行路由选择。 ? S5500-EI系列交换机支持两种策略路由配臵方式:
? PBR方式(policy-based-route):通过ACL制定匹配规则,支持对报文的 下一跳,优先级及缺省下一跳进行设臵,目前只支持IPv4单播策略路由。 ? QoS策略方式:通过QoS策略的流分类功能来制定细致的匹配规则,并使 用流行为中的重定向动作将报文按指定的目的进行转发。

? S5500-EI系列交换机支持的两种策略路由方式:
? 弱策略方式:在配臵重定向时,如果只指定下一跳IP地址而不指定出接口, 称为弱路由策略,在这种情况下如果下一跳IP地址不可达,则会查找路由 表,如果有到达目的地址的路由条目,则按此路由条目转发(缺省情况) ? 强策略方式:所有匹配的数据只能按此策略转发,即使在下一跳IP地址已 经不可达但在路由表里面还存在其它路由表项
www.h3c.com

32

 MCE
? MCE功能是Multi-CE的简称,具有MCE功能的交换机可以在BGP/MPLS VPN 组网应用中承担多个VPN实例的CE功能,减少用户网络设备的投入。 ? MCE使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定,并为每个 VPN创建和维护独立的路由转发表(Multi-VRF),能够隔离私网内不同VPN的报

文转发路径,并将每个VPN的路由正确发布至对端PE,保证VPN报文在公网内的
传输。
VPN 1 Site 1 P PE1 VPN 2 Site 1

VLAN-int2

CE PE2

VLAN-int3

MCE VPN 2 Site 2

P CE PE Site 2 VPN 1

www.h3c.com

33

 隧道技术——概述(1)
?隧道是一种封装技术,它利用一种网络协议来传输另一种网络协议,即利用一 种网络传输协议,将其他协议产生的数据报文封装在它自己的报文中,然后在网 络中传输。 ?IPv6 over IPv4隧道机制是将IPv6数据报文前封装上IPv4的报文头,通过隧道 (Tunnel)使IPv6报文穿越IPv4网络,实现隔离的IPv6网络的互通。 ?IPv6 over IPv4隧道可以建立在主机-主机、主机-设备、设备-主机、设备-设备 之间。隧道的终点可能是IPv6报文的最终目的地,也可能需要进一步转发。
IPv4 header IPv6 header IPv6 data IPv6 header IPv6 data IPv6 header IPv6 data

IPv6 network
Dual stack router

IPv4 network IPv6 over IPv4 tunnel

IPv6 network
Dual stack router

IPv6 host

IPv6 host

www.h3c.com

34

 隧道技术——概述(2)
? 根据隧道终点的IPv4地址的获取方式不同,隧道分为“配臵隧道”及 “自动隧道”。
? 如果IPv6 over IPv4隧道的终点地址不能从IPv6报文的目的地址中自动获 取,需要进行手工配臵,这样的隧道即为“配臵隧道”。 ? 如果IPv6 over IPv4隧道的接口地址采用内嵌IPv4地址的特殊IPv6地址形 式,即可以从IPv6报文的目的地址中自动获取隧道终点的IPv4地址,这样 的隧道即为“自动隧道”。

? 根据对IPv6报文的封装方式的不同,IPv6 over IPv4隧道分为以下几 种模式:
? IPv6手动隧道 ? 6to4隧道 ? ISATAP(Intra-Site Automatic Tunnel Addressing Protocol,站点内自动 隧道寻址协议)隧道

? 在上面列出的隧道模式中,IPv6手动隧道为配臵隧道;6to4隧道及 ISATAP隧道为自动隧道。

www.h3c.com

35

 隧道技术——手动隧道
? 手动隧道是点到点之间的链路,一条链路就是一个单独的

隧道。主要用于边缘路由器-边缘路由器或主机-边缘路由
器之间定期安全通信的稳定连接,可实现与远端IPv6网络 的连接。
[h3c] interface Tunnel 0 [h3c-Tunnel0] ipv6 address 3001::1/64 [h3c-Tunnel0] source Vlan-interface 100 [h3c-Tunnel0] destination 192.168.30.1 [h3c-Tunnel0] tunnel-protocol ipv6-ipv4 [h3c-Tunnel0] aggregation-group 1 [h3c] interface Tunnel 0 [h3c-Tunnel0] ipv6 address 3001::2/64 [h3c-Tunnel0] source Vlan-interface 100 [h3c-Tunnel0] destination 192.168.99.1 [h3c-Tunnel0] tunnel-protocol ipv6-ipv4 [h3c-Tunnel0] aggregation-group 1

IPv6 Host

IPv6网络

S5500-EI

IPv4网络

S5500-EI

IPv6网络 IPv6 Host

Vlan 100 IPv4:192.168.99.1 IPv6:3001::1/64

Vlan 100 IPv4:192.168.30.1 IPv6:3001::2/64

www.h3c.com

36

 隧道技术——6to4隧道
? 6to4隧道是点到多点的自动隧道,主要用于将多个IPv6孤岛通过IPv4网络连接到IPv6 网络。6to4隧道通过IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。 ? 6to4隧道采用特殊的地址:6to4地址,其格式为:2002:abcd:efgh:子网号::接口ID/64, 其中2002表示固定的IPv6地址前缀,abcd:efgh表示该6to4隧道对应的32位IPv4源地 址,用16进制表示(如1.1.1.1可以表示为0101:0101)。通过这个嵌入的IPv4地址可以 自动确定隧道的终点,使隧道的建立非常方便。 ? 由于6to4地址的64位地址前缀中的16位子网号可以由用户自定义,前缀中的前48位已 由固定数值、隧道起点或终点设备的IPv4地址确定,使IPv6报文通过隧道进行转发成为 可能。
[h3c] interface Tunnel 0 [h3c-Tunnel0] ipv6 address 2002:c0a8:6301::/64 [h3c-Tunnel0] source Vlan-interface 100 [h3c-Tunnel0] tunnel-protocol ipv6-ipv4 6to4 [h3c-Tunnel0] aggregation-group 1 [h3c] interface Tunnel 0 [h3c-Tunnel0] ipv6 address 2002:c0a8:1e01::/64 [h3c-Tunnel0] source Vlan-interface 100 [h3c-Tunnel0] tunnel-protocol ipv6-ipv4 6to4 [h3c-Tunnel0] aggregation-group 1

IPv6 Host

IPv6网络

S5500-EI

IPv4网络

S5500-EI

IPv6网络 IPv6 Host

Vlan 100 IPv6报文中嵌入了隧道 的目的IPv4地址 IPv4:192.168.99.1 IPv6:网络前缀 2002:c0a8:6301::/48

Vlan 100 IPv4:192.168.30.1 IPv6:网络前缀 2002:c0a8:1e01::/48

www.h3c.com

37

 隧道技术——ISATAP隧道
? ISATAP隧道是点到点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的 IPv4地址,可以自动获取隧道的终点。使用ISATAP隧道时,IPv6报文的目的 地址和隧道接口的IPv6地址都要采用特殊的地址:ISATAP地址。 ? ISATAP地址格式为:Prefix(64bit):0:5EFE:ip-address。ip-address形式为 a.b.c.d 或者abcd:efgh,其中abcd:efgh表示32位IPv4源地址。通过这个嵌 入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。ISATAP隧道主要 用于在IPv4网络中IPv6路由器-IPv6路由器、IPv6主机-IPv6路由器的连接。
[h3c] interface Tunnel 0 [h3c-Tunnel0] ipv6 address 2001::!/64 eui-64 [h3c-Tunnel0] source Vlan-interface 101 [h3c-Tunnel0] tunnel-protocol ipv6-ipv4 isatap [h3c-Tunnel0] aggregation-group 1 [h3c-Tunnel0] undo ipv6 nd ra halt

IPv6网络 S5500-EI

IPv4网络

192.168.2.1 fe80::5efe:192.168.2.1 2001::5efe:192.168.2.1
192.168.3.1 fe80::5efe:192.168.3.1 2001::5efe:192.168.3.1

192.168.4.1 fe80::5efe:192.168.4.1 2001::5efe:192.168.4.1

www.h3c.com

38

 第二章

软件特性

? 第一节 二层特性
? 第二节 三层特性 ? 第三节 安全特性 ? 第四节 组播特性 ? 第五节 高可靠性 ? 第六节 QACL特性

www.h3c.com

39

 IP Source Guard
? 通过IP Source Guard绑定功能,可以对端口转发的报文进行过滤控制, 防止非法报文通过端口,提高了端口的安全性。端口接收到报文后查 找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录 的特征项匹配,则端口转发该报文,否则做丢弃处理。 ? IP Source Guard支持的报文特征项包括:源IP地址、源MAC地址和 VLAN标签。并且,可支持端口与如下特征项的组合(下文简称绑定表 项):
? IP、MAC、IP+MAC ? IP+VLAN、MAC+VLAN、IP+MAC+VLAN

? 该特性提供两种触发绑定的机制:
? 一种是通过手工配臵方式提供绑定表项,称为静态绑定。 ? 一种由DHCP Snooping或者DHCP Relay提供绑定表项,称为动态绑定。

? 绑定是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口 不受该绑定影响。

www.h3c.com

40

 URPF特性
?URPF(Unicast Reverse Path Forwarding,单播反向路 径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行 为。 ?源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报 文,对于使用基于IP地址验证的应用来说,此攻击方法可以导 致未被授权用户以他人身份获得访问系统的权限,甚至是以管 理员权限来访问。即使响应报文不能达到攻击者,同样也会造 成对被攻击对象的破坏。

www.h3c.com

41

 EAD(1)
? Endpoint Admission Defense,端点准入防御。 ? 通过对接入的数据进行监控,能够增强网络终端 的主动防御能力,控制病毒和蠕虫在网络内部的

蔓延。
? 通过限制不符合安全要求的终端的访问权限,防

止不安全终端对整个网络的安全造成危害。

www.h3c.com

42

 EAD(2)
5.客户端开始 安全认证
病毒补丁服务器 认证服务器 7. 安全认证通 过后,用户可 以正常的访问 网络 3. 交换机和认证服务器 间交互完成认证

Core Network

安全策略服务器

S5500-EI
1.用户开始 认证 6.安全认证 通过前只能 访问病毒补 丁服务器 2.身份认证通过前 用户无法访问网络

4. 身份验证后用户即可以从病毒补 丁服务器升级
www.h3c.com

43

 EAD 快速部署
?S5500-EI支持EAD功能特性提供了802.1X未认证时终端用户IE访问URL重定向 功能;利用以下两个功能实现EAD客户端的强制下发。
?用户受限访问
?802.1x认证成功之前(包括认证失败),终端用户只能访问一个特定的IP地址段。该IP地址 段中可以配臵一个或多个特定服务器,用于提供EAD客户端的下载升级或者动态地址分配等服 务。

?用户HTTP访问URL重定向
?终端用户在802.1x认证成功之前(包括认证失败),如果使用浏览器访问网络,设备会将用 户访问的URL重定向到已配臵的URL(例如,重定向到EAD客户端下载界面),这样只要用户 打开浏览器,就必须进入管理员预设的界面。

www.h3c.com

44

 Portal
?Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。
?未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其 中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认 证,只有认证通过后才可以使用互联网资源。

?Portal的典型组网方式如下所示,它由五个基本要素组成:认证客户端、 接入设备、Portal服务器、认证/计费服务器和安全策略服务器。

www.h3c.com

45

 Portal扩展功能(一)
? Portal支持通过强制接入终端实施补丁和防病毒策略,加 强网络终端对病毒攻击的主动防御能力。 ? Portal的扩展功能:
? 在Portal身份认证的基础上增加了安全认证机制,可以检测接入终 端上是否安装防病毒软件、是否更新病毒库、是否安装了非法软 件、是否更新操作系统补丁等。 ? 用户通过身份认证后仅仅获得访问部分互联网资源(受限资源) 的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通 过安全认证后便可以访问更多的互联网资源(非受限资源)。

? Portal支持向设备的接口下发动态ACL。 ? 上述扩展功能需要使用专用的客户端,如:inode等软件。

www.h3c.com

46

 Portal扩展功能(二)
? Portal支持双击热备
? 通过VRRP或动态路由实现Portal设备的冗余,当一台设备出现故 障时,在线用户的流量能够自动切换到另外一台设备上。而两台 Portal设备之间,通过Portal私有协议,实时同步在线用户信息, 这样就保证了在线用户的业务不中断。

? Portal支持逃生
? 增加BAS与Portal Kernel之间的心跳机制,防止服务器宕机引起 的故障 ? 增加BAS与Portal Kernel之间比较Portal在线用户表的机制,主要 针对Portal服务器重启时间过长导致Portal心跳超时或服务器重启 期间有终端手动下线而引发的用户永久挂死的问题

www.h3c.com

47

 Triple认证
? Triple认证是针对网络环境中设备对不同客户端支持不同 的接入认证(MAC地址认证、802.1X认证或Portal认证) 的一种认证方式。

? Triple认证扩展功能
? 授权VLAN下发 ? 认证失败的VLAN ? ACL下发 ? 在线用户探测功能

www.h3c.com

48

 设备安全(1)
? S5500EI交换机的防攻击是通过以下两种措施来保证:
? 默认开启的攻击保护,这部分主要是硬件、软件带宽限制。 ? 主动探测攻击源端口,将攻击源端口与普通端口隔离。

? 默认开启的攻击保护主要分为以下四个阶段:
? 协议报文在入端口设臵硬件带宽限制,单位是kbit/second。 ? 在CPU端口设臵硬件带宽限制,即CPU端口每秒可以接收的报文 的速率,单位是kbit/second。 ? 在CPU端口设臵基于优先级的硬件带宽限制,即CPU端口每个队 列每秒可以接收的报文的速率,单位是kbit/second。其中优先级 是交换机的内部优先级,该优先级与报文的vlan tag中的cos值没 有一一对应关系。 ? 软件对上CPU的协议报文设臵软件带宽限制,即每秒允许的上 CPU报文的个数,单位是pkt/second。

www.h3c.com

49

 设备安全(2)
? 软件、硬件限速示意图。

www.h3c.com

50

 安全特性使用注意事项
? URPF限制
?设备使能URPF功能后,路由规格减半,芯片会使用一 半的表项进行URPF检查,造成路由规格减半,IPV4和 IPV6都受影响。 ?出接口和入接口相同的报文会上CPU,此类报文CPU会 进行软转发,造成URPF对此类报文无效。

? Portal/EAD规格限制
? 由于Portal和EAD的用户是会占用系统ACL资源的,因 此当系统ACL变得很少的时候(比如用户下发大量的用 户ACL),那么Portal/EAD支持的用户数很有可能达不 到产品支持的规格。

www.h3c.com

51

 第二章

软件特性

? 第一节 二层特性
? 第二节 三层特性 ? 第三节 安全特性 ? 第四节 高可靠性 ? 第五节 QACL特性

www.h3c.com

52

 Graceful Restart
? GR是Graceful Restart(平滑重启)的简称,是一种在协 议重启时保证转发业务不中断的机制。 ? 重启设备和周边设备都要支持GR。设备重启后,周边设备 协助其进行信息同步,在尽量短的时间内使该设备恢复到 重启前的状态 。协议重启过程中不会产生路由振荡,报文 转发路径也没有任何改变,整个系统可以不间断地转发数 据。 ? S5500-EI支持OSPF GR、BGP GR和IS-IS GR。

www.h3c.com

53

 VRRP
? VRRP(Virtual Router Redundancy Protocol,虚拟路 由器冗余协议)将可以承担网关功能的一组路由器加入到备 份组中,形成一台虚拟路由器,由VRRP的选举机制决定哪台 路由器承担转发任务,局域网内的主机只需将虚拟路由器配 臵为缺省网关。

www.h3c.com

54

 BFD
? BFD(Bidirectional Forwarding Detection,双向转发检测)是一套全网统 一的检测机制,用于快速检测、监控网络中链路连通状况。为了提升现有网络 性能,相邻协议之间必须能快速检测到通信故障,从而更快的建立起备用通道 恢复通信。

? BFD建立过程:
? 步骤1:上层协议发现邻居后并建立连接; ? 步骤2:上层协议在建立了新的邻居关系时, 将邻居的参数及检测参数到(包括目的地址 和源地址等)通告给BFD; ? 步骤3:BFD 根据收到的参数进行计算并建 立邻居。

? 当网络出现故障时:
? 步骤1:BFD检测到链路/网络故障; ? 步骤2:拆除BFD邻居会话; ? 步骤3:BFD通知本地上层协议进程BFD 邻居不可达; ? 步骤4:本地上层协议中止上层协议邻居 关系; ? 步骤5:如果网络中存在备用路径,路由 器将选择备用路径。 55

www.h3c.com

 DLDP
? DLDP(Device Link Detection Protocol,设备链路检测 协议)可以监控光纤或铜质双绞线的链路状态。如果发现 单向链路存在,DLDP会根据用户配臵,自动关闭或通知用 户手工关闭相关端口,以防止网络问题的发生。 ? DLDP是链路层协议,它与物理层协议协同工作来监控设备 的链路状态。DLDP协议有如下特点:
? 物理层的自动协商机制进行物理信号和故障的检测; ? DLDP进行对端设备的识别、单向链路的识别和关闭不可达端口等 工作。 ? 二者协同工作,可以检测和关闭物理和逻辑的单向连接。 ? 如果链路两端在物理层都能独立正常工作,DLDP会在链路层检测 这些链路是否正确连接、两端是否可以正确的交互报文。这种检测 不能通过自动协商机制实现。

www.h3c.com

56

 RRPP
? RRPP(Rapid Ring Protection Protocol,快速环网保护 协议)是一个专门应用于以太网环的链路层协议 ? RRPP在以太网环完整时能够防止数据环路引起的广播风暴, 而当以太网环上一条链路断开时能迅速恢复环网上各个节 点之间的通信通路,具备较高的收敛速度

www.h3c.com

57

 ISSU
? ISSU
?

ISSU(In-Service Software Upgrade,不中断业务升级)对IRF中各 成员设备的启动文件进行升级,保证各成员设备软件的升级过程中数 据业务转发不中断、或中断时间很短

? 版本兼容性检查
? ? ?

兼容版本(Compatible):检查结果为兼容版本,表示设备当前运行的启动文件版本 与新启动文件版本兼容。可采用ISSU兼容方式进行IRF系统的启动文件升级。 不兼容版本(Incompatible):检查结果为不兼容版本,表示设备当前运行的启动文件 版本与新启动文件版本不兼容。可采用ISSU不兼容方式进行IRF系统的启动文件升级。 未知兼容性版本(Unknown):检查结果为未知兼容性版本,表示指定的启动文件版 本不支持ISSU功能、或者不能通过ISSU功能来进行启动文件的升级。不能采用ISSU 方式进行IRF系统的启动文件升级。

www.h3c.com

58

 IRF2——基本概念
? IRF堆叠中所有的单台设备称为成员设备,成员设备按照功能不同,分为两 种角色:
? Master设备:由角色选举产生,它负责管理整个堆叠。一个堆叠中同一时刻只能 有一台成员设备成为Master设备。

? Slave设备:它隶属于Master设备,作为此设备的备份设备运行。堆叠中除了
Master设备,其它设备都是Slave设备。堆叠中可能存在多台Slave设备。

? Master设备选举优先级
? 当前Master优于非Master成员;

? 优先级大的优于优先级小的;
? 系统启动时间长的一方优先级高; ? 桥MAC地址小的优先级高。

? 成员ID冲突时,新加入堆叠的设备将被Master分配新的ID,新ID将选择未使 用ID中最小的一个。

www.h3c.com

59

 IRF2——组网与端口配臵
?

根据连接方式的不同,IRF的拓扑结构可以分为两种:链型拓扑和环 形拓扑。
Master Master Slave Slave

IRF
Slave

IRF

Slave Slave Slave

链形连接

环形连接

? S5500-EI 通过10GE口堆叠(最多9台)
? CX4: 单向12GE堆叠带宽 ? XFP: 单向10GE堆叠带宽 ? SPF+:单向10GE堆叠带宽

? 同一子卡上的两个口可以聚合成一个堆叠口,提高堆叠带宽。
www.h3c.com

60

 IRF2——报文转发原理(1)
? IRF2.0系统中实现了全分布式的转发,最大限度的发挥了每个成 员的处理能力。组成虚拟设备堆叠系统中的各物理设备均有完整
的转发表项,可以分别独立完成查表转发。 ? 当一个报文流的入接口与出接口在同一个物理设备时,报文仅在 这一个物理设备进行处理。

报文在设备内转发

www.h3c.com

61

 IRF2——报文转发原理(2)
? 当一个报文流的入接口与出接口不在同一个物理设备时,系统会 按照最优的路径进行转发。
? 对于组播报文,每个成员只会根据本成员需要复制报文,保证设 备间只有一份报文传送。

Server Host

Host

Host

Host

Host

报文跨设备转发

组播报文跨设备转发

www.h3c.com

62

 IRF2——IRF链路的负载分担
? 5500EI支持多个物理口与IRF-port进行绑定,且支持堆叠口之间 调整负载分担方式
? 源IP地址进行聚合负载分担 ? 目的IP地址进行聚合负载分担 ? 源MAC地址进行聚合负载分担 ? 目的MAC地址进行聚合负载分担 ? 源IP地址与目的IP地址进行聚合负载分担 ? 源IP地址与源端口号进行聚合负载分担 ? 目的IP地址与目的端口号进行聚合负载分担 ? 报文入端口、源MAC地址、目的MAC地址之间不同的组合进行聚合负载分担

www.h3c.com

63

 IRF2——推荐建立堆叠的方法
? 新堆叠环境的推荐操作步骤:
? Step 1:单机启动每台设备,配臵每台设备的slot 号。 ? 说明:更改slot 号后,以前的部分配臵会丢失 ? Step 2:仍然单机重起每台设备,正确配臵堆叠口 ? 说明:配臵堆叠口的时候,需要先shut down端口,然后配臵堆叠口。 ? Step 3:堆叠口配臵OK后,再undo shut down堆叠口,之后SAVE 操作。 ? Step 4:所有设备下电,正确连接堆叠线缆或者光纤。 ? Step 5:给所有设备上电。

? 新设备加入堆叠的推荐操作步骤:
? Step 1:单机启动新设备,修改slot号(必须是原来堆叠中没有的slot号) ? Step 2:仍然单机重起新设备,正确配臵堆叠口。 ? Step 3:堆叠口配臵OK后,再undo shut down堆叠口,之后SAVE 操作。 ? Step 4:给新设备下电,正确连接堆叠口上的堆叠线缆或者光纤。 ? Step 5:给新设备上电,设备会自动加入堆叠,如果版本不一致会自动升 级。

www.h3c.com

64

 IRF2——堆叠分裂(Split)和合并(Merge)
? 堆叠合并: ?堆叠合并(merge)指两组正常运行的堆叠或单台设备 通过堆叠口连接形成一组堆叠。 ?堆叠合并按照堆叠系统实现要求必然伴随其中一组堆 叠重启。如果需要避免一组堆叠不发生重启,可以通 过设臵该堆叠Master堆叠优先级高于另外一组堆叠 Master,再连接两组堆叠的堆叠口;或者主动断电重 启设备,连接两组堆叠的堆叠口后,再重新上电。 ? 堆叠分裂: ?堆叠分裂(split)指一组正常运行的堆叠,因为软件原 因(软件缺陷)或硬件原因(堆叠扩展板或电缆故障、 拔出,或者拓扑中间的设备断电)造成连接线路不连 通,而自动形成多组堆叠。

www.h3c.com

65

 IRF2——分裂检测机制
5500EI提供了三种分裂检测机制 ? LACP MAD分裂检测: ?通过扩展LACP协议报文内容实现的,即在LACP协议 报文的扩展字段内定义一个新的TLV(type length value)数据域——用于交互IRF的ActiveID。
? BFD MAD分裂检测: ?通过BFD协议来实现。 ? ARP MAD分裂检测: ?通过扩展免费ARP协议报文内容实现的,即使用免费 ARP协议报文中未使用的字段来交互IRF的ActiveID。

www.h3c.com

66

 IRF2——增加或减少堆叠设备
? 增加堆叠设备:
?在一组堆叠中增加设备应避免把正在运行的设备连接 到堆叠中,因为会发生堆叠Merge重启。建议方法:在 新增加设备上配臵堆叠口后,断电该设备,通过堆叠 电缆连接到堆叠中,启动设备完成堆叠。

? 减少堆叠设备:
?减少堆叠设备只需要断电或拔出堆叠电缆即可,剩余 设备自动更新稳定堆叠。

www.h3c.com

67

 IRF2——环形与链型堆叠的区别
? 每个设备最多有两个堆叠口。使用堆叠电缆将这些堆叠口
连接起来,行成闭环,这样的拓扑称为环形堆叠。如果形 成开环,这样的拓扑称为链型堆叠。 ? 链型拓扑可以节省硬件资源。对于S5500-EI,使用一个口 做堆叠口,构造链型拓扑,其它口可以配臵为业务口使用。

? 环形堆叠具有两个优点:
? 提供高可用性,即使一条堆叠电缆发生故障,也不会引起堆叠故 障。 ? 提高流量负荷分担。

www.h3c.com

68

 IRF2——堆叠差异
S5600 端口配臵使用本地配臵文件 S5500-EI 全部使用master配臵文件

固定堆叠口,单向24G堆叠带宽 10GE口可聚合,可远程堆叠 master切换,堆叠mac立即切换 可配臵切换时间 堆叠分裂后,新master切换到L2 三种MAD分裂检测机制 工作 手动编号和自动编号确定优先级 用户可配臵优先级 堆叠合并,不需要重启动 竞争失败的堆叠全部重启加入

不能支持部分协议

支持分布式的协议都支持堆叠

www.h3c.com

69

 第二章

软件特性

? 第一节 二层特性
? 第二节 三层特性 ? 第三节 安全特性 ? 第四节 组播特性 ? 第五节 高可靠性 ? 第六节 QACL特性

www.h3c.com

70

 镜像(1)
? S5500-EI镜像支持端口镜像和流镜像。 ? 端口镜像分为本地端口镜像和远程端口镜像:
? 本地端口镜像是指将设备的一个或多个端口(源端口)的报文复制 到本设备的一个监视端口(目的端口),用于报文的分析和监视。 其中,源端口和目的端口必须在同一台设备上。 ? 远程端口镜像(RSPAN)突破了源端口和目的端口必须在同一台 设备上的限制,使源端口和目的端口间可以跨越多个网络设备。目 前,远程端口镜像功能可以穿越二层网络,但无法穿越三层网络。

www.h3c.com

71

 镜像(2)——RSPAN
源设备 中间设备 目的设备

远程镜像 VLAN

远程镜像 VLAN

源端口
? 源设备

出端口
? 中间设备
? 需要确保远程镜像 VLAN内源设备到目的 设备的二层互通性。 ? 建议配臵镜像VLAN禁 止MAC地址学习

目的端口
? 目的设备
? 创建远程目的镜像组; ? 创建远程镜像vlan,把 入端口放入远程镜像 vlan中

? 创建远程源镜像组; ? 创建远程镜像vlan,把 出端口放入远程镜像 vlan中

www.h3c.com

72

 镜像(3)
? S5500-EI使用镜像的注意事项:
? S5500EI对于24口设备:基于端口镜像的监控端口支持4个,对于基

于流镜像的监控端口也支持4个,所有的监控端口是共享的;对于 48口设备:基于端口镜像的监控端口支持4个,对于基于流镜像的 监控端口可支持到8个, 所有的监控端口也是共享的。
? S5500EI的入端口镜像报文完全不修改,拷贝到目的端口。而出镜像报文 肯定会带报文VLAN tag拷贝到目的端口,这就提供了在目的端口分析报文 所属VLAN的功能。 ? S5500EI远程端口镜像(RSPAN)不需要配臵一些设备必需的反射端口, 芯片支持直接配臵连接远程设备的出端口,转发远程镜像报文。 ? S5500EI支持入方向流镜像。流镜像目的端口和端口镜像的目的端口占用 共享系统的4个目的端口资源。 ? S5500EI支持入方向流镜像到CPU。

www.h3c.com

73

 流分类
? 流分类规则可以使用IP报文头的ToS(Type of Service,服务类型)字段的优先级位,识别出有 不同优先级特征的流量;也可以由网络管理者设臵 流分类的策略。 ? S5500-EI设备流分类特性:
?完美支持16组Port-Rang范围匹配。用户可以配臵最多 16组目的或源端口号范围,由硬件而不是软件拆分多条 规则来实现匹配。 ?支持IPv6流分类。 ?流分类资源是基于全局的,每个端口最大可配臵流分类 规则数在硬件上都可以为系统最大资源数。
www.h3c.com

74

 出入双方向ACL
?S5500EI支持出方向ACL。但相比较入方向ACL,出方向ACL资源较少, 共512条。 入方向ACL
流量过滤 流量优先级标记 流量监管 流量统计 流量VLAN标记 流量重定向 流量镜像
支持 支持 支持 支持 支持(ServiceVlan、NestVlan) 支持 支持

出方向ACL
支持 支持(DSCP、802.1p) 支持 支持 支持(ServiceVlan、 CustomerVlan) 不支持 支持

www.h3c.com

75

 流量VLAN标记和重定向
? 流量VLAN标记用于根据用户指定流分类结果,基于流分

配报文VLAN。
? 支持修改报文Customer-VLAN和Service-VLAN。 ? 支持对untag或单tag报文添加Service-VLAN。 ? 流量VLAN标记和灵活QinQ共享VLAN修改引擎资源。

? 流量重定向用于由用户指定流量转发输出方向,将其输出 到CPU、指定端口、指定聚合组或指定下一跳。
? 需要注意的是,当报文重定向的目的端口不在报文所在的VLAN内 时, 报文依然会转发出来, 而且报文是untagged的。

www.h3c.com

76

 本章小结
? S5500-EI系列交换机五大特性
? 二层特性
? 三层特性 ? 安全特性 ? 组播特性 ? 高可靠性 ? QACL特性

? 各特性使用注意事项

www.h3c.com

77

 目录
? 第一章 ? 第二章 产品概述 软件特性

? 第三章
? 第四章

典型应用
基本维护

 中小企业核心

www.h3c.com

79

 大中型企业汇聚层
CAMS NMS Server Farm

GE
S9500/S7500E S9500/S7500E
Firewall

10 GE

10 GE

10 GE

S5500-EI
GE
S3600

S5500-EI
GE
S3600

S5500-EI
GE
S3600

GE
S3600

GE
S3600

GE
S3600

www.h3c.com

80

 IPv6的应用
IPv6 Internet IPv6 Island IPv6 Link

IPv4 Internet
6to4 Relay

S5500-EI IPv6 IDC Network Manager

IPv6 Network

IPv6 Over IPv4Tunnel
Dual-Stack Access

IPv6 Access IPv6 Access

S5500-EI Mobile
Network

IPv4 Network
S5500-EI IPv4 Access Dual-Stack Access

WLAN

IPv6 Mobile Terminal IPv6 Enterprise Users IPv4 User www.h3c.com IPv6 Users

81

 企业数据中心应用
核心路由器 接备份数据中心

S5500-EI

核心层交换机
防火墙 IPS
S5500-EI

负载均衡设备 汇聚层交换机
S5100 S5100

接入层交换机 服务器群

WEB服务器区

应用服务器区

数据服务器区

www.h3c.com

82

 目录
? 第一章 ? 第二章 产品概述 软件特性

? 第三章
? 第四章

典型应用
基本维护

 第四章

基本维护

? 第一节 日常维护

? 第二节 ACL实现机制
? 第三节 常用的故障处理方法

www.h3c.com

84

 CPU及内存状态观测
? CPU占用率状况
? 正常情况下CPU占用率应当不超过60%,如果太高为不正常。 ? 显示系统的CPU占用率命令如下。
[H3C]dis cpu-usage Unit CPU usage: 7% in last 5 seconds 6% in last 1 minute 6% in last 5 minutes

? 该命令将打印出所有当前在位的单板CPU使用率。分过去5秒内、过去1分 钟内和过去5分钟内三个时间段进行统计。

? 系统内存占用率状况
? 正常情况下系统内存占用率应在80%以下,否则为不正常。 ? 显示系统内存占用率命令如下。
<H3C>display memory System Total Memory(bytes): 190696704 Total Used Memory(bytes): 45232232 Used Rate: 23%

www.h3c.com

85

 环境状况
? 查看设备温度
<H3C>display environment System Temperature information (degree centigrade): —————————————————SlotNo Temperature Lower limit Upper limit 1 46 0 55

? 查看单板运行状况

? 显示参数说明:Temperature(当前单板温度)、Lower limit(单板温度低限)、Upper limit (单板温度高限)。
<H3C>display device SubSNo PortNum PCBVer FPGAVer CPLDVer BootRomVer AddrLM Type 0 32 REV.B NULL 005 115 IVL MAIN Normal 1 2 REV.B NULL NULL NULL IVL 2*10GE Normal 2 2 REV.B NULL NULL NULL IVL 2*10GE Normal <H3C>display power Power 1 State : Normal Type : AC Power 2 State : Fault Type : AC

State

? 查看电源状态

? 查看风扇状态

? 显示参数说明:Normal(电源正常)、Fault(未供电)、Absent(电源不存在)。
<H3C>display fan Fan 1 State: Normal

? 系统中有多个风扇,只要有一个风扇故障则报Fault。

www.h3c.com

86

 第四章

基本维护

? 第一节 日常维护

? 第二节 ACL实现机制
? 第三节 常用的故障处理方法

www.h3c.com

87

 匹配优先级
? S5500-EI中各类规则存在于一个全局 TCAM表中,分为16个slice,每个slice在 匹配过程中只能生成一个动作,最终动作 由16个slice中最高优先级slice动作指定。 由于系统中各类规则匹配优先级不同,定 义顺序如右图。
? 同颜色规则类型可共用slice,就是可存在 覆盖关系;不同颜色规则类型不存在覆盖 关系。 ? 相同类型内部按照先下发先生效排序。 ? 不同端口下发相同内容POLICY,可以共享 一条硬件ENTRY资源。 ? 带有CAR、ACCOUNT动作的POLICY除 外。 ? 保护协议报文转发优先级。 ? 限制上CPU带宽。 ? 防攻击。
www.h3c.com

协议收包 端口下发MQC VLAN下发MQC 全局下发MQC

VOICE VLAN等
端口绑定 EAD PORTAL 低优先级协议收包

88

 Slice的占用规则
? ACL中的“匹配字段”
? 为了匹配ACL而使用的字段,例如用户下发的acl需要匹配mac和vlan, 则系统会 指定这条acl的一个字段匹配报文的mac所在的位臵,另一个字段来匹配报文的 vlan所在的位臵; ? “匹配字段”包括:目的mac,源mac,目的IP,源IP,vlan信息等

? 16个Slice中每个slice匹配的字段意义是固定的,不会出现匹配不同
字段的acl规则出现在一条slice中的情况
? 例如某slice已经匹配二层信息,如目的mac,源mac,vlan信息等等,则这个slice 就不能放入匹配三层信息的acl,如果用户下发了匹配三层信息的acl,则需要另外 占用下一个slice,假设占用的slice为第3个,则第3个slice只能匹配三层信息而不 能匹配二层信息; ? 极限情况下, 如果下发了15个的mqc, 每个mqc的匹配意义均不同, 则会占用 15个不同的slice, 等到下发第16个不同的mqc时有可能会提示下发失败

www.h3c.com

89

 第四章

基本维护

? 第一节 日常维护

? 第二节 ACL实现机制
? 第三节 常用的故障处理方法

www.h3c.com

90

 DIAG模式
? S5500-EI集成了芯片厂家提供的诊断模式,可以 实时对芯片中的硬件表项进行察看,从而实现非 常方便的在线诊断功能。其使用方式如下:
?在系统视图输入en_diag进入diag模式。 ? 选择需要查看的芯片号 ? 输入命令察看所需要的表项,命令的介绍可以通过输 入” ?” 来显示当前所有可用的命令。
____________________________ | 24口设备物理连接图 | | | | 27 26 25 24(4个10GE) | | | | | | | | ___ | __| __| __ |______ | | | | | | | chip-0 | | | |___________________ | | | | | | | | | | | | | | …. | | | | | 0 1 2 21 22 23(24GE) | |_____________________________ | ____________________________________________ | 48口设备物理连接图 | | | | 27 26 (4个10GE) 25 24 | | | | | | | | ____|____|____ ____|____|_____ | | | 25 |___Hig___|26 | | | | chip-0 24 |___Hig___|27 chip-1 | | | |______________| |______________| | | | | | | | | | | | | | | .. | | | | .. | | | | 0 1 22 23 (48GE) 0 1 22 23 | |___________________________________________ |

www.h3c.com

91

 查看端口底层状态
? 命令如下:
[H3C-diagnose]bcm <slot_num> <chip_num> ps

? 参数说明如下:
? <slot_num>:S5500EI slot_num恒为1。 ? <chip_num>:芯片id号

? 举例如下:
[H3C-diagnose]bcm 1 0 ps ena/ speed/ link auto STP lrn inter max loop port link duplex scan neg? state pause discrd ops face frame back ge0 down SW Yes Forward None FA SGMII 9212 ge1 down SW Yes Forward None FA SGMII 9212 ge2 down SW Yes Forward None FA SGMII 9212 ge3 down SW Yes Forward None FA SGMII 9212 ……………………………………………………………… ge17 down SW Yes Forward None FA SGMII 9212 ge18 down SW Yes Forward None FA SGMII 9212 ge19 down SW Yes Forward None FA SGMII 9212 ge20 down SW Yes Forward None FA SGMII 9212 ge21 down SW Yes Forward None FA SGMII 9212 ge22 down SW Yes Forward None FA SGMII 9212 ge23 down SW Yes Forward None FA SGMII 9212 xe0 down 10G FD SW No Forward None FA XGMII 9212 xe1 !ena 10G FD SW No Forward None FA XGMII 9212 xe2 !ena 10G FD SW No Forward None FA XGMII 9212 xe3 !ena 10G FD SW No Forward None FA XGMII 9212

www.h3c.com

92

 查看上CPU报文数目统计
? 查看输出特定报文的数目统计,可以根据源IP/MAC、目的IP/MAC以 及协议号等来筛选
[H3C-diagnose] debug rxtx catch by +筛选类型+槽位号 [H3C-diagnose] debug rxtx catch end +槽位号 其中by为筛选报文统计的起始时间点,end为筛选报文统计的结束时间点, 可以调整两者的时间差值来查看统计情况。

? 例如:
需要根据筛选cpu收到的所有报文的源IP地址统计情况,命令如下 [H3C-diagnose]debug rxtx catch by sip //by为起始时间点 [H3C-diagnose]debug rxtx catch end //end为结束时间点 需要筛选cpu收到的所有以太网报文类型的统计情况,命令如下: [H3C-diagnose] debug rxtx catch by etype [H3C-diagnose]debug rxtx catch end

www.h3c.com

93

 输出特定类型上CPU报文内容
? 通过下面的命令来打印出筛选出特定报文并打印出报文内容
<H3C>terminal monitor <H3C>terminal debugging [H3C-diagnose] display rxtx +筛选类型+筛选的具体内容+槽位号 [H3C-diagnose] debug rxtx -c +需要打印筛选的报文数目+pkt+槽位号 其中,上面打印的报文内容为所有筛选输出开关打开的报文,可以通过以下 命令查看设备当前筛选开关的情况: [H3C-diagnose]display rxtx switchflag 1

? 例如:
需要打印出设备收到的源IP为2.2.2.2发出的所有arp报文的内容,执行: [H3C-diagnose]display rxtx etype 0806 [H3C-diagnose]display rxtx sip 2.2.2.2 可以通过命令undo display rxtx+筛选内容 来删除掉某个之前设定的筛选项。

www.h3c.com

94

 查看BCM芯片丢包
? 命令如下:
[H3C-diagnose] bcm <slot> <chip> show/c/erdisc ? 参数说明如下: ? <slot>:S5500EI恒为1 ? <chip>:芯片id号

? 举例如下:
[H3C-diagnose] bcm 1 0 show/c/erdisc RDBGC0.ge1 : 824,655 RDBGC1.ge1 : 283,374 RDBGC3.ge1 : 824,655 TDBGC4.ge1 : 6,086,668 TDBGC4.ge21 : 317,796 +2 +1 +2 +8 +6 2/s 1/s 2/s 8/s 6/s

www.h3c.com

95

 查看ACL底层占用情况
? 命令如下: [H3C-diagnose]debug qacl show acl-resc <slot> <chip>

? 参数说明如下:
? <slot>:S5500EI恒为1 ? <chip>:芯片id号 举例如下:
[H3C-diagnose]debug qacl show acl-resc 1 0 —————Qacl Group UsedResc Info————–Acl Hw Resource: VFP —————————————————–Acl Hw Resource: EFP —————————————————–Acl Hw Resource: IFP —————————————————–Group 10,usedEntries 7,physlice 4-5 ,mode Double ====================================== acl type usedEntries ====================================== [22 ]RX Low 4 [24 ]Super_RX Low 1 [60 ]Zero-Mac-Deny 1 [95 ]UntrustPriority 1 ====================================== Group 13,usedEntries 1,physlice 2,mode Single ====================================== acl type usedEntries ====================================== [2 ]MQC Port 1 ====================================== Group 14,usedEntries 37,physlice 0-1 ,mode Double ======================================

?

说明:上述 group number即slice number号
www.h3c.com

96

 重启原因定位
? 命令一:display reboot-type
? 平台提供的命令,只能显示Cold、Warm。Cold为掉电重启,warm可能 为命令行、异常、死循环、看门狗等。

? 命令二:_display drv sysmboot
? 隐藏模式下命令。详细的记录了重启原因。
[H3C-hidecmd]_dis drv sysmboot sw_reset: 1 (1-reset switch by reboot) wdt_reset: 0 (1-reset switch by watch dog) power_up: 0 (0-reset switch by power down/up)

? 数值表示的含义:
? ? ? ? ? 000 表示掉电重启; 101 表示软件重启; 011 表示看门狗重启; 001 表示按reset键重启; 100 表示掉电后进入bootrom,然后bootrom中软件重启(不一定准确)

www.h3c.com

97

 显示异常定位
? 出现异常有可能在3个地方有记录,异常、死循环、重启信息。 ? 在隐藏模式下,对应命令为:
display exception display deadloop display reboot-information ? 注意,这3个命令需要带from-device参数,才会显示flash中记录的信息。 ? 在flash中记录的软件重启和狗重启的信息。其中:
? reboot type 0x1001表示上次软件调用的重启,如命令行、死循环检测等; ? 0x1002表示看门狗重启。

? 注意,由于掉电重启不能记录,所以此处记录的不一定是上次重启的信 息。需要结合上面两条命令判断。

? 非掉电重启时可以通过如下命令行查看上次运行版本。如果没有这个 信息,也可以从另一个角度证明是掉电重启。
[H3C-hidecmd]_display last-version
Last version: Version 5.20, Alpha 2101 Last COMWARE version: COMWAREV500R002B38D001 Last product version: V200R001B02D003
www.h3c.com

98

 串口挂死后的调试
? 串口挂死一般有几种可能:信号量互锁、死循环、cpu占 用率100%au0无法调度到、内存严重不足。
? 死循环:新版本中死循环检测缺省打开,正常任务中的死循环会 被检测到,并保存死循环信息后重启。在中断中出现死循环,死 循环检测是无法检测到的,但看门狗会重启,重启前会触发中断, 保存重启信息。

? 其余情况可能造成串口挂死后系统不重启。采用的方法是:
? ping、telnet设备,如果可以成功,在telnet环境中可进一步定位。 ? telnet不成功,可采用特殊手段进入shell查看相关信息。
? 进入shell的特殊方法:在console口连续输入”ctrl-s” ”ctrl-h” ”ctrle” ”ctrl-l” ”ctrl-l”。输入时最好在超级终端中进行,其它软件可能截获 这些特殊键造成进入shell失败。 ? 在shell中可通过查看调用栈、cpu占用率、内存等手段进一步定位。 ? 注:shell只在vxworks系统的版本上有。

www.h3c.com

99

 LLDP定位方法
? 常用debug命令如下:
debugging lldp { all | error | event | fsm [ interface interface-type interfacenumber ] | packet [ receive | transmit ] [ interface interface-type interfacenumber ] [ brief ] }

? 参数说明如下:
? all:表示LLDP所有调试信息开关。 ? error:表示LLDP错误调试信息开关。 ? event:表示LLDP事件调试信息开关。 ? fsm:表示LLDP状态机调试信息开关。 ? packet:表示LLDP报文调试信息开关。 ? receive:表示LLDP接收报文调试信息开关。 ? transmit:表示LLDP发送报文调试信息开关。 ? interface interface-type interface-number:接口类型和接口编号,显示指 定端口的调试信息。 ? brief:显示简要调试信息。

www.h3c.com

100

 POE定位方法
? 常用定位命令:
? 查看PSE 供电状况
? <H3C>dis poe pse

? 查看端口供电细节
? <H3C>dis poe int GigabitEthernet 1/0/1

? 查看POE 操作是否成功
? [H3C-diagnose]debugging poe err

? 注意事项:
? PoE设备的某个端口出现过载时,端口对应的指示灯会闪烁,拔除 此端口上的PD设备后,指示灯会持续闪烁10秒左右,不能及时关闭, 这是PoE固件的实现机制造成的; ? 在全局优先级供电的情况下,为了应付已供电PD 的功率波动,预 留了19W。所以设备总共的输出会小于标称的功率 370W,导致最 后几个端口的PD无法受电。可以通过设臵后面端口的优先级为 Critical 来获取功率,但是不建议这么做。
www.h3c.com

101

 IPv6定位方法(1)
? 隧道内部变量信息显示
? 命令如下:debug tunnel-drv show variable slot [slot] ? 参数说明:slot:数字<0-最大槽> ? 功能说明:显示某槽位隧道内部变量信息,包含隧道大小、已创 建隧道个数、是否下发环回口上隧道ACL重定向规则、隧道节点信 息数组地址以及环回聚合类型。 ? 举例说明如下:
[H3C-diagnose]debug tunnel-drv show variable slot 1 ********************************************************** - TUNNEL Variable Slot 1 ********************************************************** - Size: 511 - Count: 1 - Redirect: 1 - Node sp: 0xdf7ce634 - AggType: 1 **********************************************************

www.h3c.com

102

 IPv6定位方法(2)
? 隧道节点信息显示
? 命令如下:debug tunnel-drv show infobyindex [index] slot [slot] ? 参数说明:index:数字<0-最大隧道个数> slot:数字<0-最大槽> ? 功能说明:显示某槽位隧道节点信息,包含隧道的当前状态、环 回聚合id、平台ifindex、三层接口地址、egress索引、平台隧道参 数结构地址。 ? 举例说明如下:
[H3C-diagnose]debug tunnel-drv show infobyindex 1 slot 1 ********************************************************** - TUNNEL Info by index Slot 1 ********************************************************** - State: 2 - AggId: 1 - Plat Index: 0x002f0000 - IntfId: 2561 - EgressId: 100003 - Plat data sp: 0xcd223764 **********************************************************
www.h3c.com

103

 MLD Snooping定位方法
? 查看MLD Snooping表项
? 命令如下:
[H3C-vlan1]dis mld-snooping group Total 1 IP Group(s). Total 1 IP Source(s). Total 1 MAC Group(s).

Port flags: D-Dynamic port, S-Static port, A-Aggregation port, C-Copy port Subvlan flags: R-Real VLAN, C-Copy VLAN Vlan(id):1. Total 1 IP Group(s). Total 1 IP Source(s). Total 1 MAC Group(s). Router port(s):total 0 port. IP group(s):the following ip group(s) match to one mac group. IP group address:FF0E::101:101 (::, FF0E::101:101): Host port(s):total 1 port. GE1/0/6 (D) MAC group(s): MAC group address:3333-0101-0101 Host port(s):total 1 port. GE1/0/6
www.h3c.com

104

 三层组播定位(1)
? 无转发项问题
? 检查与上游连接的端口是否有组播入报文统计
[H3C ]display interface g1/0/4 GigabitEthernet3/0/4 current state : UP ……………………….. Last 300 seconds input: 102 packets/sec 7571 bytes/sec Last 300 seconds output: 0 packets/sec 17 bytes/sec Input(total): 34503 packets, 2226232 bytes - broadcasts, - multicasts Input(normal): 34503 packets, - bytes 6 broadcasts, 34364 multicasts Input: 0 input errors, 0 runts, - giants, 0 throttles, 0 CRC 0 frame, - overruns, - aborts, - ignored, - parity errors ……………………………………..

? 查看端口stp状态,是否被Discarding
[H3C ]dis stp bri MSTID Port Role STP State Protection 0 GigabitEthernet1/0/3 DESI FORWARDING NONE 0 GigabitEthernet1/0/4 DESI FORWARDING NONE

? 组播协议是否配臵正确

www.h3c.com

105

 三层组播定位(2)
? 有转发项无出接口 ? 检查设备到源的单播路由是否存在,组播报文入接口是否与到源的下一跳对应。
<H3C>display ip routing-table 40.1.1.0 Routing Table : Public Summary Count : 1 Destination/Mask 40.1.1.0/24 Proto Pre Cost OSPF 10 2 NextHop 6.6.6.2 Interface Vlan6

? 检查入接口和出接口上是否正确配臵了IGMP、PIM DM或PIM SM。
<H3C>display current-configuration interface vlan 6 # interface Vlan-interface6 ip address 6.6.6.1 255.255.255.0 pim sm <H3C>display current-configuration interface vlan 1 # interface Vlan-interface1 ip address 30.0.0.1 255.255.255.0 igmp enable pim sm <H3C>display pim rp-info PIM-SM BSR RP information: Group/MaskLen: 224.0.0.0/4 RP: 6.6.6.2 Priority: 0 HoldTime: 150 Uptime: 00:55:35 Expires: 00:01:31

? 如果是PIM-SM协议,查看是否能检测到RP和BSR的存在。

www.h3c.com

106

 SFlow信息查询方法
? 命令如下:
debug port sflow <槽位号> <子卡号> <面板端口号>

? 功能说明:这个命令用于显示端口下配臵的SFlow软件内部变量信 息。 ? 举例如下:
[H3C-diagnose]debug port sflow 1 0 1 Sflow information of interface GigabitEthernet1/0/1: ============================================================ ================== ulInEnable = 1(ENABLE = 1,DISABLE = 0) ulOutEnable = 1(ENABLE = 1,DISABLE = 0) ulInRate = 200000 ulOutRate = 200000 ulInPktDbgCnt =0 ulOutPktDbgCnt =0 iInPktstat =0 iOutPktstat =0

www.h3c.com

107

 防攻击定位方法(1)
? 软件带宽限制导致报文丢弃,可以通过以下命令查看(诊断模式命令)
? 命令如下:debug rxtx softcar show 1 ? 举例说明如下:
[H3C-diagnose]debug rxtx softcar show 1 Index Type Number Pps Switch 0 Unknown-Type 0 200 On 1 STP 0 100 On 2 LACP 0 100 On 3 GVRP 0 100 On ………….. The last discarded packet of ARP : —————————————————-0000 ff ff ff ff ff ff 00 00 00 00 00 01 81 00 00 64 0010 08 06 00 01 08 00 06 04 00 01 00 00 00 00 00 01 0020 64 00 00 64 00 01 00 02 00 04 64 00 00 01 00 00 0030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 —————————————————-? ? ? ? ? Index:表示某类协议报文的索引值,该值用于debug rxtx softcar开头的诊断命令; Type:表示哪些上CPU报文设臵了软件带宽限制; Number:表示交换机启动后由于超过了软件限速被丢弃该类报文总数目;单位是pkt; Pps:表示报文上CPU的软件带宽;单位是pkt/s; Switch:表示该类报文的软件带宽限制是否开启;取值:On、Off。

? 参数说明如下:

www.h3c.com

108

 防攻击定位方法(2)
? 软件带宽限制导致报文丢弃,可以通过以下命令清零(诊断模式命令)
? 命令如下:undo debug rxtx softcar show 1 ? 举例说明如下:
[H3C-testdiag] undo debug rxtx softcar show 1

? 报文上CPU报文的软件带宽限制使能禁止命令(诊断模式命令)
? 命令如下:debug rxtx softcar <softcar_type_index> <switch> ? 参数说明如下:
? softcar_type_index: 是debug rxtx softcar show 1命令显示信息第一列的数值; ? switch: 表示该类协议报文是否打开/关闭软件带宽限制,取值范围:enable/disable,缺 省所有类型都enable。

? 举例说明如下:
[H3C- diagnose] debug rxtx softcar 13 enable [H3C- diagnose] debug rxtx softcar 13 disable

? 报文上CPU的软件带宽设臵命令(诊断模式命令)
? 命令说明如下:debug rxtx softcar <softcar_type_index> pps <number> ? 参数说明如下:
? number: packet per second,即每秒该类协议报文接收的阀值,取值范围:0~5000。

? 举例说明如下:
[H3C- diagnose] debug rxtx softcar 13 pps 200

www.h3c.com

109

 防攻击定位方法(3)
? 带宽限制导致报文丢弃,可以查看每个端口的协议报文接收情况(诊断模式 命令)
? 命令说明如下:debug rxtx softcar <softcar_type_index> portdetail 1 ? 参数说明如下:
? softcar_type_index:是debug rxtx softcar show 1命令显示信息第一列的数值。

? 举例说明如下:
? 通过debug rxtx softcar show 1命令的显示信息可以知道当前交换机的那一类协议报文过 多,使用debug rxtx softcar <softcar_type_index> portdetail 1可以具体显示每个端口该类 协议报文的接收情况。
[H3C-diagnose]debug rxtx softcar 13 portdetail 5 Softcar Type ARP Port Level Attkd_time Packet/s DisPkt/s Pack_tol DisP_tol Pps/P Proprtn 0 0 0 0 0 0 0 100 0

? 其中:
— Port:表示逻辑端口号;该逻辑端口号与系统显示端口号差一,即GigabitEthernet1/0/1对应的逻 辑端口号为0,依此类推; — Packet/s:表示报文收包速度; — DisPkt/s:表示报文丢包速度; — Pack_tol:表示收包总数; — DisP_tol:表示丢包总数; — Pps/P:表示协议的阈值; — Proprtn:表示限速的比例。

www.h3c.com

110

 本章总结
? S5500-EI系列日常维护方法

? S5500-EI系列交换机ACL实现机制
? S5500-EI系列交换机常见故障的处理方法

 杭州华三通信技术有限公司

www.h3c.com

comware/s5500-ei-issue-3.0.txt · Last modified: 2014/12/02 19:55 by admin