Quidway系列路由交換機問答

在Quidway系列路由交換機命令行狀態，執行“display stp”命令，觀察指定交換端口的Stp/Rstp狀態時，發現目標工作端口狀態顯示不正常，這時該怎樣才能恢復指定端口的工作狀態呢？

答：指定交換端口的工作狀態不正常，主要表現在兩個方面，一是交換端口的forwarding狀態變成了discarding狀態，二是交換端口的discarding狀態變成了forwarding狀態。對于第一種情況，只要重點檢查目標端口的優先級參數、STP的cost值參數是否正常，在這些參數都正常的情況下，再觀察一下指定端口下面是否存在網絡環路現象，一旦發現存在網絡環路時，應該及時排除環路故障，就能將交換端口工作狀態恢復正常。對于第二種情況，主要是觀察交換端口STP數據報文是否收發正常。

Quidway系列路由交換機中的很多型號都支持回路監測功能，通過該功能能高效發現網絡中的回路現象，不過該功能往往不能輕易使用，這是什么原因？

答：如果隨意使用該功能，可能會影響其他工作子網的工作狀態。比方說，如果交換機的某端口處于Trunk工作模式，那么對應端口下面一旦包含了多個工作子網，此時要是輕易地啟用回路監測受控功能，那么其他工作子網的工作狀態就會同時受到影響。通常情況下，匯聚層交換機某端口下面連接的交換機支持并啟用回路監測功能時，那么我們可以將這個交換端口設置成Trunk模式，同時啟用運行回路監測功能，但需要關閉回路監測受控功能。要是下連的交換機不支持回路監測功能，那么我們可以啟用運行該交換端口的回路監測功能，回路監測受控功能也可以同時啟用運行。某單位局域網接入到Quidway S8500核心交換機的g0/1/13端口上，通過路由交換系統訪問Internet，平時該局域網中的每臺客戶機上網都很正常，而且速度也很不錯。最近，上網時發現速度沒有以前那樣順暢了，起初還以為是客戶機自身問題，于是查殺病毒、優化系統，然而再上網測試時，速度還是很慢，嚴重時還經常發生掉線現象，請問如何快速排除這種故障？

答：首先檢查局域網接入交換機與核心交換機之間的連接是否牢靠，在連接牢靠的情況下，查看兩個端口的工作模式是否匹配，要是不匹配的話，可能會要頻繁協商、糾錯，造成網絡傳輸發生丟包現象。如果上面的因素被排除后仍然無法解決問題，多半是交換端口發生了損壞，例如交換端口頻繁遭遇大流量沖擊發生性能老化現象，或者是用戶使用端口的方法不當，從而造成了上網數據嚴重丟包故障，此時只有更換新的端口才能解決問題。

單位局域網經常會受到ARP病毒的攻擊，每次遭遇病毒攻擊后，Quidway系列路由交換機幾乎都能將病毒引起的地址沖突記錄記憶下來，那么根據沖突記錄，能找出具體感染病毒的主機系統嗎？

答：答案是肯定的！首先在交換機后臺系統，使用dis logbuff”命令，查看后臺系統日志信息，找到具體的地址沖突記錄，從中記下感染ARP病毒的主機MAC地址，以及該主機系統所處的VLAN信息；其次根據VLAN信息，查找單位的組網資料，獲得病毒主機所連交換機的IP地址；第三遠程登錄進目標交換機后臺系統，使用“disp mac-address”命令，來查看該交換機的端口與MAC地址的映射記錄；第四根據病毒主機MAC地址信息，判斷出病毒主機究竟連接在目標交換機的那個交換端口上；第五進入病毒主機所連交換端口視圖模式狀態，執行shutdown”命令，切斷病毒主機與單位局域網的連接，以免ARP病毒繼續攻擊網絡中的其他主機；第六趕到病毒主機與交換機所連端口現場，檢查端口線纜上是否有標簽說明，或者直接順著網絡線纜，找出病毒主機的具體位置；最后使用專業工具查殺干凈ARP病毒，再將病毒主機接入網絡，同時在對應交換端口視圖模式狀態下執行“undo shutdown”命令，恢復病毒主機的上網連接狀態。

在遠程管理網絡時，網管員往往會先用ping命令，測試一下Quidway系列路由交換機的連通性，如果發現該類型交換機無法被ping通時，請問如何解決呢？

答：遇到這種故障，可以先判斷本地客戶端系統的上網狀態是否正常，其次到交換機現場觀察設備的信號燈狀態，判斷交換機工作狀態是否正常，第三測試本地系統到交換機之間的物理連接是否正常，第四查看交換機的網絡配置是否正常。

在Quidway系列路由交換機后臺系統中嘗試建立BGP鄰居關系時，有時無法切換到Established狀態，這樣就不能成功建立鄰居關系，這是什么原因呢？

答：一般來說，要成功建立BGP鄰居關系，需要路由交換機能正確交換open數據報文，以及開通179端口創建TCP會話。為此，需要進行下面幾項排查操作：一是借助ping命令測試tcp連接狀態是否正常，考慮到一臺路由器可能有若干接口可以達到對端，可以通過拓展的“ping -a ip地址”命令指定發送ping測試包的源IP地址；二是檢查peer ebgp-max-hop功能是否配置啟用，確認物理連接上是否有直接連接的EBGP鄰居；三是通過display ip routing-table命令判斷本地路由表中有沒有到鄰居的可用路由；四是檢查鄰居的IP地址、AS號等參數配置是否正確；五是檢查ACL中有沒有對TCP179端口進行限制，如果限制存在的話，必須及時予以解除。

在正確配置好OSPF協議后，Quidway系列路由交換機路由交換機OSPF卻無法正常工作，請問這該如何解決？

答：首先看看兩臺相互直連的路由交換機之間協議工作狀態是否正常，我們可以通 過“display ospf peer”命令，檢查一下路由交換機之間peer狀態是否達到了full狀態；如果沒有達到full狀態的話，那就要認真檢查物理連接和下層協議的工作狀態是否正常，我們可以利用ping命令進行測試，如果本地路由交換機ping不通對方設備的話，那就意味著物理連接或下層協議存在故障；在物理連接以及下層協議工作狀態正常的情況下，檢查對應連接接口的OSPF參數是否配置正常，我們必須要確保本地接口與對端接口的相關參數一致，例如工作子網與掩碼一定要相同，區域號也要相同等。

有些惡意程序常常會向局域網中發送虛假的TC-BPDU報文，對核心交換機實施欺騙攻擊，如果Quidway系列路由交換機在短時間內接受到太多的TC-BPDU報文，那么系統就會頻繁刪除MAC地址列表或ARP列表操作，這樣的操作很容易造成交換機反應遲鈍現象，請問如何預防這種欺騙攻擊？

答：不妨配置啟用核心交換機自帶的預防TC-BPDU報文攻擊保護功能，一旦配置了這項功能后，交換機日后接受到TC-BPDU報文，默認每隔10秒鐘刪除一次MAC地址列表或ARP列表，避免了頻繁刪除操作消耗太多的系統資源，同時在這段時間內，預防TC-BPDU報文攻擊保護功能還會同時監控交換機是否接受到其他TC-BPDU報文，要是接受到的話，就會強制后臺系統在指定時間段后，再刪除一次ARP列表記錄和MAC地址列表記錄，確保刪除操作不會太頻繁。在配置這項功能時，可以在系統全局模式狀態下，執行字符串命令“stp tcprotection enable”即可。

Quidway系列核心路由交換機可以同時插入若干塊板卡，每塊板卡能夠負載24個光端口，每個端口的狀態都會影響板卡工作狀態，要是光端口輸入、輸出請求比較多，板卡就要耗費更多CPU資源應付這些請求，倘若CPU資源消耗嚴重時，整塊板卡都不能正常工作。請問，怎樣判斷這類交換機板卡的工作狀態是否正常？

答：為了能在第一時間知曉板卡工作狀態，只要對它們的CPU資源使用情況進行監控，如果發現CPU消耗率在50%以上時，就要排查板卡上每個光端口的流量狀態是否正常了，直到找出不正常的端口，同時執行“shutdown”命令關閉端口工作狀態。在查看板卡CPU資源消耗情況時，可以先將交換機系統切換到全局視圖模式狀態，通過“display cpu”命令，就能發現板卡最近五秒鐘、最近一分鐘、最近五分鐘的CPU資源消耗情況了。

除了CPU消耗情況會影響板卡狀態，板卡溫度也會對其工作狀態產生影響，要是交換機散熱不良的話，那么板卡溫度將會持續上升，同時溫度的不斷攀升，會影響路由交換機的響應能力，嚴重時能造成交換機發生死機現象。所以，通過“display en”命令查看板卡溫度，也能判斷網卡的工作狀態是否正常。

有時，Quidway系列路由交換機明明可以正常轉發IP報文，不過在該狀態下，UDP、TCP等協議卻不能正常工作，不知道是怎么回事？

答：多半是IP性能配置發生了錯誤，此時可以考慮啟用交換機TCP調試開關功能，查看具體的調試信息。首先確認用于調試的客戶機工作狀態正常，之后遠程登錄進入交換機后臺系統，通過display命令查看一下對應系統的IP運行狀態；接著通過“terminal debugging”命令，強制后臺系統將調試信息輸出到控制臺上，再執行debugging udp packet”命令啟用udp調試開關，執行debugging tcp packet”命令tcp調試開關，跟蹤相關數據包。

Quidway系列路由交換機和Cisco系列交換機之間如何配置鏈路聚合？

答：如果要在Quidway系列路由交換機和Cisco系列交換機之間配置鏈路聚合，必須要使用LACP協議來進行配置，而且兩端交換機都要同時支持LACP協議。

在物理線路連接正常的情況下，Quidway系列路由交換機不能接受到對端設備的RIP數據更新報文，請問怎樣排除這種故障現象？

答：出現這種問題，多半是對端設備的相應端口上沒有啟用運行RIP功能，也有可能是該端口沒有通過network使能命令。此外，對端路由交換機中如果配置啟用了組播方式，而本地路由交換機中沒有啟用對應的組播方式時，也能出現上述問題。因此，在排除這類問題時，必須確保兩端的通信端口上運行RIP功能，必須通過network使能命令，一定要配置相同的組播方式。

如果Quidway系列路由交換機級聯端口的位置發生了調整，那么對應該交換機上的其他VLAN工作狀態可能會受到影響，請問如何保證在級聯端口位置變化時，其他VLAN還能正常工作呢？

答：只要進入目標交換機后臺系統，修改級聯端口的工作模式，讓其允許所有VLAN訪問通過就可以了。比方說，SSS交換機從Vlan2中轉移到Vlan4中時，我們可以先通過interface命令進入新的級聯端口視圖模式狀態，之后依次通過“port link-type trunk”、“port trunk permit vlan all”命令，來確保其他VLAN工作狀態不受級聯端口位置變化的影響。機的IP地址，也可以是備份組所在子網中處于閑置狀態的IP地址，還可以是分配給交換機自己使用的IP地址，那么如何為備份組設置虛擬IP地址呢？如何從虛擬地址列表中添加或刪除虛擬IP地址呢？

答：很簡單！可以先進入后臺系統全局視圖模式，輸入“vrrp vrid xx virtual-ip ip-address”命令，其中“xx”為備份組組號，取值范圍在1-255 之間，“ip-address”分配給備份組的特定虛擬IP地址，要是配置虛擬IP地址為交換機自身地址時，那么該交換機就是“IP地址擁有者”。

當為備份組分配了第一個虛擬IP地址，那么對應備份組就會自動創建，日后再為其配置IP地址時，只是將IP地址添加到虛擬地址列表中。在刪除備份組虛擬地址列表中的某個IP地址時，可以在全局視圖模式下輸入“undo vrrp vrid xx virtual-ip ip-address”命令即可，當將備份組中的最后一個IP地址刪除時，該備份組也會被系統自動刪除。

VRRP備份組的虛擬IP地址，可以是備份組中某臺交換

有時，嘗試從Quidway S8500路由交換機后臺系統，通過ping命令測試網絡中指定主機是否在線時，發現目標IP地址一直不能ping通，不知道是什么原因？

答：首先查看指定主機有沒有關閉ping命令測試功能，要是對應系統運行了防火墻或者進行了包過濾，那么核心交換機就可能不能ping通對應系統的IP地址。

在排除上述因素后，再查看交換機的參數配置是否正確，如果網絡配置正確，查看指定主機與相連交換端口位于哪個VLAN，該VLAN是否正確配置了接口參數，特別是接口IP地址與特定主機的IP地址有沒有被劃分到同一個網段中。

最后，可以考慮啟用核心交換機的ARP調試開關，判斷交換機是否正常發送、接收ARP報文，一旦看到交換機只能對外發送，而不能接收ARP報文時，那多半是以太網物理層存在問題。

有時，無法查看到Quidway系列路由交換機ospf的鄰接狀態，不知道是什么原因？

答：要是命令的輸出中看不到鄰接狀態，那么就證明連接有問題或ACL配置不當。此時，可以使用display interface命令，確認交換端口是否up，line protocol是否up，如果不正確的話，那就證明網絡鏈路有問題。使用ping命令檢查能否ping通鄰居路由交換機的接口；要是能ping通的話，需要使用display ospf interface命令檢查是否所有的鄰居路由器對應接口上的ospf功能是否都啟用了，檢查端口有沒有被設置成passive接口，因為在ospf passive接口上不會發送hello包。當然，還要對路由交換機的ACL配置進行檢查。

在Quidway S8500路由交換機開啟了DHCP中繼功能的情況下，局域網的DHCP服務器與普通客戶端系統位于相同的工作網段，但是普通客戶端系統始終不能獲取有效的上網地址，不知道該怎么解決？

答：出現上述故障，多半是網絡連接不通暢、DHCP服務未開啟、DHCP服務器沒有對地址池參數進行正確配置等因素引起的。此時，可以借助專業線纜測試工具判斷網絡線纜的連通性是否正常，在網絡通暢的情況下，進入交換機后臺系統視圖界面，在該狀態下執行“dhcp enable”命令，開啟DHCP服務。之后，正確配置包含或與接收接口IP地址在相同網段的地址池，以及正確配置與接口IP地址網段相同的地址池網段。

如果上述配置都正常的情況下，可以使用“display dhcp server expired all”命令判斷地址有沒有存在過期租約現象，要是存在的話，可以執行“reset dhcp server ip-in-use”命令，將那些過期租約成功刪除掉。要是還無法解決問題時，可以嘗試擴大配置的地址池網段，確保有足夠的地址可以分配利用。

當VRRP備份組中的Quidway系列活動交換機無法正常工作時，該組中的其他備份交換機是怎么知道這一變化的，又是怎樣自動替代活動交換機的呢？

答：主要是借助不斷接受VRRP報文，來識別VRRP備份組中活動交換機工作狀態的。根據VRRP協議缺省規定，VRRP報文TTL值為255，同時備份交換機會自動查看VRRP報文，一旦看到對應數據報文的TTL值不是255，它就會自動丟棄該數據報文。在H3C S8500系列交換機中，要是希望備份交換機不查看VRRP報文時，可以在系統全局視圖模式下輸入“vrrp un-check ttl”命令即可，執行“undo vrrp un-check ttl”命令的話，又能自動查看VRRP報文了。

在組網規模稍大一點的網絡環境中，很多管理員會將Quidway系列路由交換機的DHCP中繼代理功能配置啟用起來，同時結合DHCP服務器，為客戶機提供IP地址分配服務。然而，Quidway系列路由交換機的DHCP中繼代理狀態，會對客戶機的網絡連接狀態造成影響；不少客戶機不能獲取動態IP地址，都是因為DHCP中繼代理狀態不正常造成的。那么日后當再次遇到客戶機無法上網現象時，該怎樣來判斷核心交換機的中繼狀態正常呢？

答：先進入交換機后臺系統全局視圖模式狀態，輸入字符串命令“display dhcpserver GroupNo”，檢查指定的DHCP服務器是否有效，也就是說，這里指向的DHCP服務器地址與局域網中真實有效的DHCP服務器地址是否相同，要是不相同的話，一定要重新修改過來。而且，從該命令返回的結果中，我們還能識別交換端口接收報文的狀態；一旦看到交換機只能接收discover報文，而無法接收響應報文，那就說明局域網中的指定DHCP服務器不能正常向交換機發送報文，此時應該認真檢查DHCP服務器的工作狀態是否正常。

在DHCP服務器狀態正常時，嘗試在其中通過ping命令測試無法上網客戶機所在Vlan的IP地址，以便識別DHCP服務器能否找到指定客戶機所在網段的路由，要是無法找到的話，那可能是DHCP服務器的網關地址沒有配置好，此時只要將該網關地址配置為客戶機所在Vlan接口的IP地址就能解決問題了。

在鏈路層協議狀態、特定交換端口物理狀態都正常時，連接到Quidway系列路由交換機特定端口上的客戶機，向核心交換機發送IP報文時，為什么該交換機卻不能正常轉發？

答：首先判斷Quidway系列路由交換機有沒有配置動態路由，如果沒有配置該功能，那基本就能判斷交換機靜態路由工作不正常。此時，可以在交換機后臺系統全局視圖模式狀態下，通過“display ip routing-table protocol static”命令，檢查它的靜態路由配置情況；要是發現其配置正確，再通過“display ip routing-table”命令，檢查靜態路由是否處于工作狀態。一般來說，啟用了靜態路由，同時其他配置都正確的情況下，核心交換機應該能正常轉發數據報文。

當某個路由交換端口配置啟用了回路監測功能后，該功能缺省會每隔30秒對所有網絡交換端口掃描、監測一次，不過如此頻繁地掃描網絡，會嚴重消耗Quidway系列路由交換機的系統資源，請問有沒有辦法調整該功能的掃描監測時間？

答：答案是肯定的！只要先切換到路由交換系統全局模式狀態，在指定端口視圖模式狀態下，執行“loopbackdetection interval-time n”字符串命令（其中“n”為掃描的時間間隔數值，單位為秒鐘），就能實現調整掃描、監測時間間隔的目的了。