S6500以太網(wǎng)交換機(jī)SalienceⅢ維護(hù)手冊

1、資料編碼產(chǎn)品名稱S6500使用對象華為工程師產(chǎn)品版本VRP 3.10編寫部門業(yè)務(wù)與軟件技術(shù)服務(wù)部資料版本1.0S6500交換機(jī)Salience維護(hù)手冊擬 制：周昱靖日 期：2006-03-06審 核：日 期：審 核：日 期：批 準(zhǔn)：林浩泓日 期：2006-3-6華 為 技 術(shù) 有 限 公 司版權(quán)所有 侵權(quán)必究華為機(jī)密，未經(jīng)許可不得擴(kuò)散S6500 - Salience 維護(hù)手冊文檔密級：內(nèi)部公開修訂記錄日期修訂版本描述作者2006-03-061.0初稿完成周昱靖S6500 - Salience 維護(hù)手冊文檔密級：內(nèi)部公開目 錄第1章 故障信息采集方法11.1 系統(tǒng)信息收集11.2 系統(tǒng)信息收集方

2、法11.3 反饋信息方法31.4 其他輔助信息收集3第2章 開局注意事項(xiàng)與自檢42.1 6500系列交換機(jī)開局配置自檢表42.2 網(wǎng)絡(luò)路由配置合理性檢查62.3 網(wǎng)絡(luò)速度的檢測82.4 網(wǎng)絡(luò)中是否存在病毒等攻擊的簡單診斷方法9第3章 單板特性概述123.1 如何判斷單板為CXE或BCM單板？123.2 單板鏡像功能133.3 單板端口聚合特性143.4 廣播風(fēng)暴抑制163.5 關(guān)于GP20/GT20與5200類似設(shè)備的對接問題183.6 單板流控功能183.7 單板Q IN Q、協(xié)議VLAN和子網(wǎng)VLAN的一些使用注意事項(xiàng)183.8 單板ACL193.9 骨干鏈路監(jiān)控193.10 端口UP/D

3、OWN監(jiān)控193.11 POE相關(guān)的兩個(gè)使用問題193.12 超大幀jumboframe19第4章 常用調(diào)試命令224.1 單板結(jié)構(gòu)圖224.1.1 GT20/GP20224.1.2 10GE-TGX1B234.1.3 GT48234.1.4 Saliecen IIISRPG 單板244.2 系統(tǒng)結(jié)構(gòu)244.2.1 單板內(nèi)二層報(bào)文交換244.2.2 跨芯片二層轉(zhuǎn)發(fā)254.2.3 三層轉(zhuǎn)發(fā)264.3 常用調(diào)試命令264.3.1 系統(tǒng)內(nèi)部端口連接關(guān)系查看命令264.3.2 查看CPU報(bào)文統(tǒng)計(jì)命令274.3.3 查看軟件調(diào)用是否正常的命令294.3.4 查看物理芯片指定MAC轉(zhuǎn)發(fā)表命令294.3.5

4、 查看系統(tǒng)任務(wù)是否正常的命令294.3.6 查看CPU占用率304.3.7 查看任務(wù)占用CPU時(shí)間304.3.8 查看系統(tǒng)軟件異常重啟的命令304.3.9 查看主備倒換的記錄314.4 驅(qū)動(dòng)模塊調(diào)試命令324.4.1 BCM單板L2模塊診斷命令324.4.2 BCM單板L3單播模塊診斷命令344.4.3 BCM單板RxTx模塊診斷命令474.4.4 BCM單板QACL模塊診斷命令54第5章 典型組網(wǎng)以及應(yīng)用57第6章 常見問題定位和案例586.1 定位問題的指導(dǎo)思想586.2 協(xié)議報(bào)文基本傳遞流程以及查看命令586.3 報(bào)文跟蹤方法596.4 二層網(wǎng)絡(luò)故障定位方法606.5 CPU高問題定位方

5、法626.6 三層直連不通問題定位方法686.7 OSPF問題定位方法706.8 STP問題定位方法756.8.1 RSTP問題定位756.8.2 MSTP問題定位796.8.3 MSTP/RSTP混合組網(wǎng)問題806.9 RIP問題定位方法826.10 VRRP問題定位方法82第7章 附錄83關(guān)鍵詞：S6506 、交換機(jī)、故障定位、指導(dǎo)摘 要：本指導(dǎo)書針對華為三康公司S6500中端以太網(wǎng)路由交換機(jī)設(shè)備在運(yùn)行過程中或者操作過程中可能出現(xiàn)的故障，如單板異常、路由故障等而制定的操作指導(dǎo)。其目的是在設(shè)備日常維護(hù)時(shí)，提供檢測故障和排除故障的手段。縮略語清單：參考資料清單：華為機(jī)密，未經(jīng)許可不得擴(kuò)散第1章

6、 故障信息采集方法本章節(jié)主要講述6500產(chǎn)品信息的收集方法，特別是在故障時(shí)如何快速準(zhǔn)確地收集信息，為日后問題定位提供支持。1.1 系統(tǒng)信息收集在使用、維護(hù)網(wǎng)絡(luò)產(chǎn)品過程中,如果遇到與華為6500相關(guān)的網(wǎng)絡(luò)或設(shè)備故障時(shí)，請注意及時(shí)捕獲、收集相關(guān)的設(shè)備信息。特別是設(shè)備出現(xiàn)業(yè)務(wù)中斷，軟硬件異常,需要重啟設(shè)備才能恢復(fù)業(yè)務(wù)的情況下，更需要盡可能地捕獲當(dāng)時(shí)設(shè)備的第一手信息,為后續(xù)問題的準(zhǔn)確定位提供詳細(xì)的定位依據(jù)。否則設(shè)備重啟后，由于缺少故障出現(xiàn)時(shí)的信息而給故障定位帶來困難。6500產(chǎn)品提供了快捷的系統(tǒng)信息收集方法。使用display diagnostic-information 命令，系統(tǒng)將自動(dòng)收集6500

7、的當(dāng)前重要的設(shè)備狀態(tài)及各項(xiàng)運(yùn)行參數(shù)信息,按照用戶的要求以不同形式保存或者直接在控制臺(tái)顯示這些信息。系統(tǒng)重起后把捕捉的信息文件反饋給華為相關(guān)人員,做問題分析使用。1.2 系統(tǒng)信息收集方法在控制臺(tái)上執(zhí)行如下命令:display diagnostic-information 系統(tǒng)會(huì)自動(dòng)提示： Redirect it to file?Y/N(1)該提示要求是否將收集的信息以文本文件的形式保存到系統(tǒng)FLASH中。在保證FLASH空余空間大于1M的情況下,考慮到收集信息速度,推薦使用Y將信息保存到FLASH中。 Redirect it to file?Y/NY (選擇將信息保持到FLASH中) Pleas

8、e input the file name(*.txt)flash:/diaginfo.txt: 輸入文件名稱 （該信息保存在FLASH中的文件名稱,直接回車將以缺省名稱diaginfo.txt保存,用戶可以根據(jù)實(shí)際情況自己命名以便區(qū)別多次使用該命令得到的信息保存文件。）如果FLASH中存在相同的文件名稱,系統(tǒng)將提示: The file is already existing, overwrite it? Y/Ny l選擇Y，將覆蓋已有文件.l選擇N，系統(tǒng)將跳出。請重新鍵入display dia命令，重新命名收集信息的保存文件名稱。 This operation may take a few

9、minutes, continue?Y/Ny . （系統(tǒng)將連續(xù)打點(diǎn)表示正在進(jìn)行診斷信息收集和寫文件操作，請耐心等待系統(tǒng)提示符出現(xiàn)。正常情況打點(diǎn)應(yīng)該不停頓，由于系統(tǒng)某種故障原因相鄰打點(diǎn)間隔一般也不超過2分鐘。整個(gè)收集時(shí)間不超過3分鐘） 這時(shí)可以在FLASH中檢查是否該信息已經(jīng)成功保存:dir Directory of flash:/ 0 -rw- 9835767 Jan 03 2004 12:31:26 S6500-VRP310-3010.app 1 -rw- 4 Apr 19 2005 19:31:00 snmpboots 2 -rw- 248 Apr 08 2005 10:14:07 man

10、uinfo.txt 3 -rw- 258824 Apr 19 2005 19:41:51 diaginfo.txt 31877 KB total (22014 KB free) 如果文件的大小大于10000,時(shí)間與當(dāng)前系統(tǒng)時(shí)間符合,那么表示保存成功.如果發(fā)現(xiàn)文件大小為0（-1）或者時(shí)間不符合，則說明本次獲取信息沒有成功。請使用將信息打印到控制臺(tái)方式收集。如果FLASH空間不夠，系統(tǒng)自動(dòng)將多余的部分顯示在控制臺(tái)。(2)選擇N，系統(tǒng)將所有信息打印到控制臺(tái)，供控制臺(tái)收集。 Redirect it to file?Y/NN 注意： 1） 系統(tǒng)將向當(dāng)前控制臺(tái)不間斷發(fā)送收集信息.請?jiān)谑占畔⑶霸O(shè)置好PC的

11、控制端,以便保存到PC中.進(jìn)行信息采集前確保超級終端或TELNET窗口的信息捕獲已經(jīng)啟動(dòng)；2） 如果使用控制臺(tái)為串口，收集完所有信息使用的時(shí)間大約為20分鐘以上；3） 如果使用的控制臺(tái)為telnet，收集完所有信息使用的時(shí)間大約為3分鐘。1.3 反饋信息方法收集完信息后，根據(jù)收集的信息方法將得到的信息文件保存到PC，以便發(fā)送給華為相關(guān)人員。(1)采用將信息映保存到FLASH中方法收集信息：使用FTP等文件傳輸協(xié)議將該文件上傳到PC，然后將該文件發(fā)給相關(guān)人員。(2)采用直接顯示到控制臺(tái)的方法收集信息：直接將控制終端保存的文件發(fā)給相關(guān)人員。1.4 其他輔助信息收集(1)記錄故障發(fā)生時(shí)設(shè)備的基本外觀

12、信息，如主控板上各個(gè)單板運(yùn)行燈和故障燈的狀態(tài)，電源指示燈的狀態(tài)，風(fēng)扇指示燈的狀態(tài)，故障端口指示燈的狀態(tài)等。(2)在執(zhí)行display diagnostic-information命令前使用dis cpu 查看系統(tǒng)的CPU狀態(tài)。(3)盡可能收集周邊設(shè)備的信息。第2章 開局注意事項(xiàng)與自檢本章節(jié)主要介紹如何在網(wǎng)絡(luò)開通后及時(shí)檢測6500產(chǎn)品的相關(guān)配置是否合理，網(wǎng)絡(luò)質(zhì)量高低，以及是否隱含了危險(xiǎn)的判斷方法和手段。2.1 6500系列交換機(jī)開局配置自檢表一個(gè)網(wǎng)絡(luò)組建完畢，并不是所有節(jié)點(diǎn)能通即可表示網(wǎng)絡(luò)正常，開局時(shí)根據(jù)配置規(guī)范進(jìn)行配置，可以有效地避免大部分隱患。序號自檢項(xiàng)自檢方法解決方法百兆端口自檢1端口是否

13、協(xié)商出了半雙工？使用如下命令，檢測是否有半雙工的端口：display half-duplex port端口默認(rèn)為自協(xié)商，如果此時(shí)協(xié)商出的結(jié)果為半雙工，很可能兩端配置不一致，是否存在一端強(qiáng)制一端協(xié)商的情況，將兩端配置成一致。2端口是否有大量的錯(cuò)誤報(bào)文，包括收和發(fā)檢查線路，中間連接的光電轉(zhuǎn)換器；檢查兩端配置是否一致？3是否有比較頻繁的UPDOWN?Display logbuffer查看1、檢查線路和中間連接的光電轉(zhuǎn)換器；千兆端口自檢1千兆光口兩端是否配置了千兆強(qiáng)制？用display intface命令查看端口配置將光口速度和雙工均設(shè)置為強(qiáng)制模式，相應(yīng)命令：speed 1000 duplex ful

14、l2千兆光口是否有CRC錯(cuò)誤？是否在增長？用display intface命令查看端口計(jì)數(shù)檢查光功率是否處于臨界值？設(shè)置TRUNK 端口和 MULTI端口的自檢1端口的PVID是否和對端設(shè)備的PVID一致？用display intface命令查看Trunk端口的配置互聯(lián)Trunk端口的兩端設(shè)備允許通過的VLAN配置為一致，并且兩端PVID配置為一致。2TRUNK端口允許通過的VLAN是否和對端設(shè)備允許通過的VLAN 一致？用display intface命令查看Trunk端口ALLOW VLAN 3是否一端配置成TRUNK,一端配置成ACCESS?STP的自檢1邊緣端口的設(shè)置？使用displa

15、y stp命令查看生成樹的狀態(tài)。確認(rèn)和PC連接的端口設(shè)置為Edge Port 或者將STP關(guān)掉。和非lanswitch連接的鏈路關(guān)掉stp2是否和思科的PVST+互通？不支持配合3是否在STP環(huán)中配置了許多公共VLAN或則TRUNK ALL檢查各個(gè)STP鏈路，看是否存在公共VLAN避免將一個(gè)STP環(huán)故障影響其它鏈路GBIC光模塊自檢1千兆板是否插入了思科的加密模塊？千兆板所有的模塊狀態(tài)都是FAULT檢查這塊單板所有模塊，逐一拔出模塊，看是否其他模塊狀態(tài)正常，直到找出思科的光模塊。2兩端GBIC模塊光距是否一致？查看兩端模塊表面參數(shù)。3兩端光電轉(zhuǎn)換器光距是否一致查看兩端轉(zhuǎn)換器參數(shù)。單板硬件故障自

16、檢1各單板芯片復(fù)位的次數(shù)是否正常？是否在不斷的增長？執(zhí)行debug rxtx mem slot x 看計(jì)數(shù)Reset 后統(tǒng)計(jì)不斷增加，說明單板存在故障，請轉(zhuǎn)研發(fā)人員處理。2：系統(tǒng)是否上報(bào)CAM 檢測錯(cuò)誤？CPU占用率自檢1主控板CPU占用率是否超過50？業(yè)務(wù)板CPU占用率是否超過60？執(zhí)行 display cpuVRRP自檢1握手時(shí)間是否設(shè)置成3秒？兩端的vrrp握手時(shí)間是否一致？兩端master或slave狀態(tài)是否正確？是否出現(xiàn)都是兩邊master的狀態(tài)？2是否起OSPF?是否把虛IP發(fā)布出去了？是否造成了軟轉(zhuǎn)發(fā)？CPU占用率是否高？OSPF自檢1是否有兩臺(tái)設(shè)備ROUTER ID設(shè)置成一致？

17、執(zhí)行 display OSPF PEERDisplay ospf error是否有大量錯(cuò)誤計(jì)數(shù)？Dis sopf err 子網(wǎng)廣播的自檢：是否端口有大量的廣播包輸出，而沒有廣播包的輸入？CPU占用率是否高？抓包是否有大量的WINS廣播包。帶寬限制的自檢：是否配置了雙向CAR?是否033以上版本？ Extra vlan的自檢：端口環(huán)路的自檢：MAC地址是否都學(xué)習(xí)到了同一個(gè)端口上了？組播的自檢：此處增加配合關(guān)系：引擎和單板配合關(guān)系，主控板四端口和背板配合關(guān)系。2.2 網(wǎng)絡(luò)路由配置合理性檢查網(wǎng)絡(luò)中路由是否合理往往比較隱蔽，一般人員難于檢查，而如果路由配置不合理，網(wǎng)絡(luò)的質(zhì)量將大打折扣。下面提供幾個(gè)比較

18、直接的方法供參考。1、查看網(wǎng)絡(luò)是否存在大量的TTL = 0 或者 TTL= 1的報(bào)文方法為打開6500上的IP報(bào)文開關(guān)，看是否存在較多的該類報(bào)文。LSW6506t dLSW6506t mLSW6506deb ip p查看顯示信息： *3.1590911031 yd6506 IP/8/debug_case:Slot=0; Sending, interface = Vlan-interface2006, version = 4, headlen = 20, tos = 192, pktlen = 62, pktid = 44753, offset = 0, ttl = 1, protocol =

19、6, checksum = 46076, s = , d = prompt: Sending the packet from local at Vlan-interface2006 *3.1590911033 yd6506 IP/8/debug_case:Slot=0; Sending, interface = Vlan-interface2006, version = 4, headlen = 20, tos = 192, pktlen = 53, pktid = 44754, offset = 0, ttl = 255, protocol = 6

20、, checksum = 46084, s = , d = prompt: Sending the packet from local at Vlan-interface2006 *3.1590911038 yd6506 IP/8/debug_case:Slot=0; Delivering, interface = Vlan-interface2006, version = 4, headlen = 20, tos = 0, pktlen = 71, pktid = 29287, offset = 0, ttl = 1, protocol = 17,

21、checksum = 29444, s = , d = prompt: IP packet is delivering up! （發(fā)現(xiàn)有TTL = 1的報(bào)文，說明對應(yīng)的網(wǎng)段可能存在路由環(huán)路，應(yīng)該重點(diǎn)檢查）。2、缺省路由配置是否合理方法為使用一個(gè)明顯在開局網(wǎng)絡(luò)中不存在的網(wǎng)段做tracert 測試。如果發(fā)現(xiàn)顯示的跳數(shù)信息存在來回互跳，那么肯定該處缺省路由存在配置不合理。3、外出與回程路由是否合理判斷方法為對外網(wǎng)一個(gè)IP，多次使用TRACERT 命令查看顯示的路徑是否相同，如果不相同，請檢查是否存在隱患。4、查看路由是否存在震蕩的情況或者路由明顯不穩(wěn)定的狀況

22、發(fā)生方法為使用dis ip router sta查看刪除或者添加的路由條數(shù)是否明顯比較多。例如系統(tǒng)學(xué)習(xí)到的路由為1000條，而添加或者刪除的路由為其5倍以上。 5、OSPF的配置是否合理方法為使用dis ospf error 查看錯(cuò)誤統(tǒng)計(jì)。如果發(fā)現(xiàn)有統(tǒng)計(jì)，那么請根據(jù)該錯(cuò)誤類型仔細(xì)檢查相應(yīng)的OSPF配置是否正常。6、如果網(wǎng)絡(luò)中路由條數(shù)比較多，請謹(jǐn)慎使用RIP協(xié)議2.3 網(wǎng)絡(luò)速度的檢測網(wǎng)絡(luò)的性能主要體現(xiàn)在網(wǎng)速上，如果網(wǎng)絡(luò)中許多環(huán)節(jié)如果不注意，都將嚴(yán)重影響網(wǎng)絡(luò)的速度。(1)端口屬性配置不合理。典型為一端強(qiáng)制，一端協(xié)商，特別是在使用光電轉(zhuǎn)換器的環(huán)境。在使用GBIC的端口注意兩端使用的模塊支持的距離，光

23、波大小等參數(shù)要一致。在使用光電轉(zhuǎn)換器的環(huán)境要注意兩端轉(zhuǎn)換器的光口的光距是否一致。配置是否一致。(2)端口流量分配不合理，單板帶寬分配使用時(shí)不合理。100M端口口通常流量不要超過80M。對于流量大的上行鏈路，盡可能使用大帶寬的單板（一般為1，2槽位）。如果為雙上行鏈路，可以考慮使用不同單板端口上行。(3)盲目使用流控特性。流控的使用應(yīng)該遵循邊緣設(shè)備使用的原則。6500作為中心設(shè)備使用，在下行設(shè)備上無故起用流控，容易導(dǎo)致中心交換轉(zhuǎn)發(fā)受到影響。部分廠家的光電轉(zhuǎn)換器等物理設(shè)備在特殊情況下主動(dòng)發(fā)送大量的流控幀，注意檢察。 (4)盲目使用廣播抑制特性。在分析網(wǎng)絡(luò)實(shí)際流量后根據(jù)設(shè)備的端口的二三層流量來決定是

24、否起用。一般STP端口，OSPF等協(xié)議端口建議不要啟動(dòng)。二層連接邊緣設(shè)備端口為防止環(huán)路建議啟動(dòng)。(5)路由配置不合理。路由震蕩，外出與回程路由不一致，等等均直接影響網(wǎng)絡(luò)速度。(6)其他具體環(huán)境需要具體分析。分析的方法萬變不離其宗層層測試排除法。嚴(yán)格正式的測試網(wǎng)絡(luò)速度的方法為下載測試，但注意使用同一測試機(jī)測試。由于PING目前被廣泛地作為攻擊網(wǎng)絡(luò)產(chǎn)品的一種手段，所以6500對于ICMP報(bào)文做特殊處理。對于同源的ICMP報(bào)文會(huì)根據(jù)系統(tǒng)情況延長回應(yīng)時(shí)間。使用PING方法測試只應(yīng)該作為基本的判斷方法，不作為正式測試手段。但是如果發(fā)現(xiàn)PING 的延時(shí)明顯過長（直連PING 5個(gè)報(bào)文62字節(jié)中有3個(gè)以上報(bào)

25、文的時(shí)間大于100MS），那么系統(tǒng)肯定有異常，應(yīng)該立即排查。2.4 網(wǎng)絡(luò)中是否存在病毒等攻擊的簡單診斷方法6500產(chǎn)品支持在線檢測arp /icmp /ftp /telnet 等嚴(yán)重攻擊功能。系統(tǒng)表現(xiàn)為CPU占用率高。具體方法為：使用命令DEB RXTX ME S 0 Slot 0: information of Module RxTx Debug RxTx memalloc is on! Shadow of Swich Chip 0: reset times: 0 -如果該值比較大，而且在增加則說明可能硬件存在問題，請轉(zhuǎn)研發(fā)處理。 Shadow of Swich Chip 1: reset

26、times: 0 -如果該值比較大，而且在增加則說明可能硬件存在問題，請轉(zhuǎn)研發(fā)處理。 Shadow of Swich Chip 2: reset times: 0 -如果該值比較大，而且在增加則說明可能硬件存在問題，請轉(zhuǎn)研發(fā)處理。 Shadow of Swich Chip 3: reset times: 0 Shadow of Swich Chip 4: reset times: 0 Address of mysterious variable : 0 Switch engine reset Count: Chip: : 0 Chip: : 1 Chip: : 2 Chip: : 3 Chip

27、: : 4 arp repeating : 0/0 -ARP報(bào)文統(tǒng)計(jì) icmp repeating: 0/0(00000000) -ICMP報(bào)文統(tǒng)計(jì) Stp repeating: 0/0(000000000000)-STP報(bào)文統(tǒng)計(jì) Gvrp repeating: 0/0(000000000000)-GVRP報(bào)文統(tǒng)計(jì) Gmrp repeating: 0/0(000000000000)-GMRP 報(bào)文統(tǒng)計(jì)1. ARP攻擊檢測。使用deb rxtx mem s 單板槽位號來查看是否存在arp攻擊。信息同上。arp repeating : 31173232/3321233 -ARP報(bào)文統(tǒng)計(jì)（ARP統(tǒng)計(jì)

28、信息： arp報(bào)文超門限丟棄 / 源IP相同的arp報(bào)文超門限丟棄）。如果發(fā)現(xiàn)源IP相同的arp報(bào)文超門限丟棄該處數(shù)值增加速度為+50/S，那么請檢查網(wǎng)絡(luò)中是否存在ARP攻擊。檢查方法為打開deb arp p開關(guān)，查看哪個(gè)IP發(fā)送的ARP比較多即可。2. ICMP報(bào)文攻擊檢測 icmp repeating: 0/0(00000000) -ICMP報(bào)文統(tǒng)計(jì) 查看信息為：使用deb rxtx mem s 單板槽位號 icmp repeating: 224/1973(0a6e32ab ： 最后一次攻擊的源IP地址) （icmp統(tǒng)計(jì)信息， icmp超門限丟棄 / 源IP相同的icmp報(bào)文超門限丟棄 ）

29、如果發(fā)現(xiàn)源IP相同的ICMP報(bào)文超門限丟棄該處數(shù)值增加速度為+50/S，那么請檢查網(wǎng)絡(luò)中是否存在ICMP攻擊。檢查方法為打開debICMP p開關(guān)，查看哪個(gè)IP發(fā)送的ICMP比較多即可。3. FTP/TELNET攻擊任何FTP/TELNET連接都會(huì)在LOG日志中顯示，所以請查看日志信息?？丛诙虝r(shí)間內(nèi)是否存在大量同源IP的連接記錄，如果存在，請檢查是否合理。4. 防止沖擊波病毒的ACL的配置如下:acl name anti_worm advanced rule 0 deny udp destination-port eq tftp rule 1 deny tcp destination-port

30、 eq 135 rule 2 deny udp destination-port eq 135 rule 3 deny udp destination-port eq 137 rule 4 deny udp destination-port eq 138 rule 5 deny tcp destination-port eq 139 rule 6 deny udp destination-port eq netbios-ssn rule 7 deny tcp destination-port eq 445 rule 8 deny udp destination-port eq 445 rule

31、 9 deny tcp destination-port eq 539 rule 10 deny udp destination-port eq 539 rule 11 deny tcp destination-port eq 593 rule 12 deny udp destination-port eq 593 rule 13 deny udp destination-port eq 1434 rule 14 deny tcp destination-port eq 4444acl name anti_icmp advanced rule 0 deny icmp 將以上規(guī)則FT48、GT8

32、U、GB8U、FM24、FS24可以以not-carefor-interface方式在單板上全局下發(fā)，配置命令如下，其余單板只能端口下發(fā)：FT48板：int e1/0/1 packet-filter inbound ip-group anti_worm not-care-for-interfacepacket-filter inbound ip-group anti_icmp not-care-for-interfaceint e1/0/25 packet-filter inbound ip-group anti_worm not-care-for-interfacepacket-filter

33、 inbound ip-group anti_icmp not-care-for-interfaceFM24、FS24板int e2/0/1 packet-filter inbound ip-group anti_worm not-care-for-interfacepacket-filter inbound ip-group anti_icmp not-care-for-interfaceGT8U、GB8U板int g3/0/1 packet-filter inbound ip-group anti_worm not-care-for-interfacepacket-filter inbou

34、nd ip-group anti_icmp not-care-for-interface第3章 單板特性概述該章節(jié)主要講述各個(gè)單板對鏡像，聚合，廣播抑制，Q IN Q，ACL，巨型幀等基本特性的支持以及使用注意事項(xiàng)。3.1 如何判斷單板為CXE或BCM單板？6506產(chǎn)品單板極其豐富，目前業(yè)務(wù)板種類有：lCXE單板包括：GT8UA/GB8U/FS24/FM24/FT48四種單板。lBCM單板包括：GT20/GP20/GT48/TGX1B/FT48E/FP48/T12P/P12T/T12PE/P12TE四種單板l光板，包括GT8UE/GP8U/GP4U，單板上沒有交換芯片，二三層轉(zhuǎn)發(fā)只能在主控板上

35、完成。主控板種類包含：(1)CXE 主控板包括：lS6506_BOARD_TYPE_LS81SRPU （Salience I）lS6506_BOARD_TYPE_LS82SRPB （iSalience I）lS6506_BOARD_TYPE_LS82SRPC （Salience II）(2)BCM主控板包括：S6506_BOARD_TYPE_LS82SRPG （Salience III）在外觀上區(qū)分的方法為查看單板印絲標(biāo)明的該單板類型。在系統(tǒng)上運(yùn)行時(shí)判斷的方法有三種： 使用dis dev 命令查看單板名稱。根據(jù)單板的名稱來區(qū)分單板類別。 使用dis ver 命令查看單板CPU的類型。根據(jù)CPU

36、的類型來區(qū)分單板類型。QuidwayS6500 with 1 MPC8260 Processor-為CXE類主控板QuidwayS6500 with 1 MPC850 Processor -為CXE類業(yè)務(wù)板QuidwayS6500 with 1 MPC8245 Processor-為BCM類單板板例如：SRPU 0: uptime is 0 weeks,6 days,21 hours,28 minutesQuidwayS6500 with 1 MPC8260 Processor256M bytes SDRAM16384K bytes Flash Memory0K bytes NVRAM Mem

37、oryPCB Version : REV.BBootROM Version : 403CPLD Version : 004Software Version : 6506-1008LPU 2: uptime is 0 weeks,6 days,21 hours,27 minutesQuidwayS6500 LPU with 1 MPC850 Processor64M bytes SDRAM0K bytes Flash Memory0K bytes NVRAM MemoryPCB Version : REV.0BootROM Version : 403CPLD Version : 003Softw

38、are Version : 6506-1008 使用隱含命令查看 6506R-testdiagdebugging cxechipversion 4CXE，BCM顯示信息分別為（不同軟件版本可能有所不同，但可以直接得到關(guān)鍵字符CXE ，BCM等）：The version of switch chip 0 is:BCM5692 A2 -BCM單板The version of switch chip 0 is:CXE G3 -CXE單板3.2 單板鏡像功能由于6500單板種類豐富，各個(gè)單板適應(yīng)不同應(yīng)用環(huán)境所以支持的特性有部分差別。對于鏡像也有不同。1. GT8U/GB8U/FS24/FM24 單板上

39、各個(gè)端口可以支持本板內(nèi)的所有端口鏡像。同時(shí)支持將多個(gè)端口鏡像到同一個(gè)端口。如果為K版本以上芯片，支持如出雙向鏡像功能，低于K版本的芯片只支持入鏡像功能。如果目的鏡像端口為ACCESS端口，那么所有出報(bào)文為UNTAG類型。如果目的鏡像端口為TRUNK端口，那么端口出報(bào)文為各自的TAG類型報(bào)文。 注意： 不支持跨板鏡像。2. FT48由于單板使用兩顆交換芯片，所以前24口和后24口各自可以任意鏡像，但前后24端口無法支持跨芯片鏡像。支持將多個(gè)端口鏡像到同一個(gè)端口。如果為K版本以上芯片，支持入出雙向鏡像功能，低于K版本的芯片只支持入鏡像功能。如果目的鏡像端口為ACCESS端口，那么所有出報(bào)文為UNT

40、AG類型。如果目的鏡像端口為TRUNK端口，那么端口出報(bào)文為各自的TAG類型報(bào)文。 注意： 不支持跨芯片和跨板鏡像。3. BCM單板支持入出雙向，但只支持N：1。流統(tǒng)計(jì)只支持入統(tǒng)計(jì)。注意1：非轉(zhuǎn)發(fā)報(bào)文無法做出鏡像，比如從cpu發(fā)出的報(bào)文無法出鏡像。注意2：鏡像報(bào)文的tag無法和被鏡像端口的tag一定保持一致；注意3：如果被鏡像端口報(bào)文最終被交換機(jī)改寫，則鏡像端口得到的報(bào)文也是被改寫的報(bào)文，這是芯片的一個(gè)問題，軟件目前沒有辦法修改。應(yīng)用時(shí)如果入鏡像端口和鏡像端口都走同一塊接口板上，因?yàn)榻涌诎迳现蛔叨?，?bào)文不會(huì)被改寫，則沒有被改寫的問題。3.3 單板端口聚合特性不同種類單板對端口聚合要求以及使用

41、規(guī)格上也有局部不同。大體上為：(1)跨芯片聚合l lBCM單板：支持l lCXE單板：不支持(2)Hash依據(jù)l lBCM單板：MAC、IPl lCXE單板：MAC、IP、L4 port配置要求：(1)BCM單板：l l所有聚合組成員都在同一個(gè)vlan中l(wèi) lDown的成員需要從聚合組中刪除(2)- CXE單板l l速率、雙工不限制l l聚合組成員只有主端口在該vlan中l(wèi) l如果有Down的成員需要改變hash值(3)聚合參數(shù)l lBCM單板：32 groups of up to 8 portsl lCXE單板16 groups of up to 16 ports 具體到各個(gè)單板為：1、GT

42、8U/GB8U單板上所有端口任意聚合。主端口的配置同步到所有從端口。2、 FS24/FM24一個(gè)聚合組中最大的物理聚合端口數(shù)為16個(gè)，在滿足這個(gè)前提下單板上所有端口任意聚合。主端口的配置同步到所有從端口。聚合組最大組數(shù)為16。3、FT48單板的前24端口和后24端口不能互相聚合。前后24端口分別為一個(gè)組中最大的物理聚合端口數(shù)為16個(gè)，在滿足這個(gè)前提下單板上所有端口任意聚合，主端口的配置同步到所有從端口。聚合組最大組數(shù)為16。4、CM單板一個(gè)聚合組中最大的物理聚合端口數(shù)為8個(gè)，在滿足這個(gè)前提下單板上所有端口任意聚合。聚合組最大組數(shù)為32。另外，報(bào)文的流向也有不同，對于BCM單板存在特殊：(1)

43、聚合口中，廣播多播報(bào)文只走主端口。（可以作為判斷聚合相關(guān)問題的線索）(2)DLF（二層查找失?。﹫?bào)文只走主端口。CXE單板則沒有這些報(bào)文的流量限制。3.4 廣播風(fēng)暴抑制BROADCOM：Port-based SWITCHCORE：Vlan-based 廣播抑制的命令下發(fā)：l lbcm單板上，命令在端口上下發(fā)。l lcxe單板上，命令在vlan上下法。光板的廣播抑制功能取決于主控板的芯片類型：bcm主控板允許在光板端口上下發(fā)廣播抑制；新引擎主控板SRPG：端口上下發(fā)Vlan上下發(fā)BcmOkn/aCxen/aOk光板okn/a老引擎主控板SRPU/SRPC/SRPB：端口上下發(fā)Vlan上下發(fā)Bcm

44、Okn/aCxen/aOk光板n/an/a1. 配置廣播抑制比：在我們設(shè)備上對廣播抑制比的實(shí)現(xiàn)不是像想象中那樣，對進(jìn)入設(shè)備的廣播報(bào)文按比例丟棄，實(shí)際上和按照帶寬抑制廣播差不多，是用一個(gè)線速值乘以配置值得出的帶寬。在cxe單板上，配置的抑制比是按照100M乘以配置值得出的數(shù)值為最大廣播報(bào)文通過帶寬，且只有64字節(jié)大小的報(bào)文可以精確計(jì)算，其他大小的報(bào)文不很準(zhǔn)確。在bcm單板上，按照端口硬件的帶寬乘以配置值，如GE口就以1000M為100%。人為配置或協(xié)商配置導(dǎo)致的端口實(shí)際工作速度不能影響端口的線速值和廣播抑制比，也就是說bcm單板上的GE口工作在100M狀態(tài)下，配置廣播抑制比為20%，實(shí)際可通過的

45、廣播報(bào)文不是20M，而是200M。cxe單板上的GE口工作在1000M狀態(tài)下，配置廣播抑制為99%，實(shí)際可通過的廣播報(bào)文是99M。2. 配置按包流量廣播抑制：CXE單板上按包流量進(jìn)行廣播抑制時(shí)，實(shí)際的可通過廣播報(bào)文速率值是以16為粒度的，配置值小于16時(shí)按16處理，大于16時(shí)取大于配置值的最接近的16的整倍數(shù)。Bcm單板無此問題。3. 匯聚端口上的廣播抑制：廣播抑制不受端口匯聚的影響，在匯聚組中每個(gè)端口上配置的廣播抑制都有效。4. broadcom廣播風(fēng)暴抑制偏差：由于broadcom芯片抑制時(shí)是不計(jì)入端口包間隙和前導(dǎo)碼的，按帶寬和百分比限制會(huì)出現(xiàn)一定誤差，目前情況是64字節(jié)限制是準(zhǔn)確的，對于

46、1518的大包最多可以有30%的偏差。對于實(shí)際使用，限制值本身就無法十分確認(rèn)，30%的誤差基本沒有影響。如果使用pps方式，則是準(zhǔn)確無誤的。3.5 關(guān)于GP20/GT20與5200類似設(shè)備的對接問題即使是LS82GP20和LS82GT20也只有一部分有問題，判斷方法是，查看芯片版本，命令是debugging cxechipversion 如果讀出來的芯片版本是“BCM5692 A1”，則是無法和5200之類設(shè)備對接的單板，使用時(shí)需要注意。讀出芯片的版本是其余的值則沒有問題，可以和5200之類的設(shè)備對接。舉例1：6506R-testdiagdebugging cxechipversion 3 T

47、he version of switch chip 0 is:BCM5692 A1 The version of switch chip 1 is:BCM5695 A1讀出的芯片是“BCM5692 A1”版本，避免和5200對接。舉例2：6506R-testdiagdebugging cxechipversion 4 The version of switch chip 0 is:BCM5692 A2 The version of switch chip 1 is:BCM5695 A2讀出的芯片是“BCM5692 A2”版本，沒有問題。最近發(fā)貨的單板都是A2版本的單板，可以放心使用。3.6 單

48、板流控功能在cxe單板上在端口模式下打開flow-control流控就可以生效。在bcm單板上配置流控要先在全局模式下打開flow-control enable，然后在端口模式下打開flow-control之后流控功能才能生效。注意：除非專門測試流控功能，其余情況強(qiáng)烈建議不使用流控。3.7 單板Q IN Q、協(xié)議VLAN和子網(wǎng)VLAN的一些使用注意事項(xiàng)6506一般配置Q IN Q都是在access接口上使用, 但是6506可以在trunk上也能配置如果是在trunk口上用的話, 那第二層tag打pvid 的TAG。注意1：使用芯片5692的單板不支持QinQ，協(xié)議vlan支持條數(shù)很少，7條/端

49、口； 注意2：所有bcm單板不支持協(xié)議vlan和QinQ同時(shí)下發(fā)；注意3：使用芯片5692或者5673的單板不支持基于子網(wǎng)的vlan；注意4：啟動(dòng)QinQ后，端口上不能檢查進(jìn)入報(bào)文vlan合法性，無法過濾帶非法的vlan報(bào)文；注意5：BCM芯片支持IP/Subnet-IP協(xié)議全局的下發(fā)，不支持端口的下發(fā)，CXE芯片支持IP/Subnet-IP協(xié)議端口的下發(fā)，不支持全局的下發(fā)；3.8 單板ACL請參見ACL的維護(hù)手冊。3.9 骨干鏈路監(jiān)控對骨干鏈路連接監(jiān)控，命令行uplink monitor ip X.X.X.X。這個(gè)命令用于監(jiān)控和對端的三層互通功能是否正常，如果不正常本端設(shè)備會(huì)采取恢復(fù)操作。3.10 端口UP/DOWN監(jiān)