-
锐捷交换机接口基本情况检查指导书
1、广播报文增长情况检查 通过命令show int counter su up(先执行clear counters清除统计)多次show看最后一列广播报文的增长情况,若前后两次show 增长很快,增长几千或者上万则大概率存在环路----一般用来检查环路 2、接口peak rate情况检查 通过命令show int查看,看接口input peak rate和out peak rate在故障时间节点附近是否有出现峰值流量 3、带宽使用率情况检查 通过命令show int usgae查看接口带宽利用率情况 4、接口drop增长情况检查 通过命令show int查看接口下in方向和out方向是否有drop 部分设备还可通过命令show int counters drops 查看 5、接口震荡情况检查 通过命令show int link-state-change statistics 查看第3列接口震荡情况,是否某些接口震荡次数很多
SE_You
2024-11-12
8 0 0 -
交换机Ping丢包这样应对最好用!
01 交换机Ping丢包的原因 交换机Ping丢包可能由多种因素引起,了解这些原因有助于我们更准确地诊断和解决问题。 01硬件故障 交换机硬件老化:长时间运行可能导致交换机内部组件老化,影响其正常工作。 网线或接口损坏:物理连接不良或网线损坏会导致数据传输不稳定,进而引发丢包。 02软件问题 固件版本过低:旧版本的固件可能存在已知的bug或性能问题,需要及时更新。 配置错误:错误的配置参数,如错误的VLAN设置或端口速率,可能导致数据包丢失。 03网络拥塞 流量过大导致丢包:网络流量超过交换机处理能力时,部分数据包可能会被丢弃。 广播风暴:大量广播数据包在网络中传播,占用大量带宽,导致正常数据包无法及时传输。 04安全威胁 ARP欺骗:恶意用户通过伪造ARP报文,篡改网络中的MAC地址映射表,导致数据包无法正确到达目标。 DDoS攻击:分布式拒绝服务攻击通过大量无效请求淹没网络,导致交换机无法处理正常的数据包。 02 如何诊断Ping丢包问题 诊断交换机Ping丢包问题需要系统的方法和工具。以下是一些常用的诊断手段,可以帮助网络工程师快速定位问题: 01 使用命令行工具 ping命令: 使用ping命令测试网络连通性,观察丢包率和延迟情况。 ping -c 100 <目标IP> 该命令发送100个ICMP请求,返回的结果将显示丢包率和平均延迟。 traceroute命令: 使用traceroute命令查看数据包在网络中的路径,帮助识别中间节点的问题。 traceroute <目标IP> 该命令显示数据包从源到目标的每一跳,可以发现哪个节点出现了丢包。 02 查看交换机日志 登录交换机管理界面:通过Web界面或命令行工具(如Telnet、SSH)登录交换机管理界面。 查看系统日志和错误日志:检查系统日志和错误日志,寻找异常信息,如硬件故障、配置错误等。 show logging 该命令显示交换机的日志信息,帮助识别潜在问……
SE_YJ 2024-11-12
20 0 0 -
解决S5700-EI设备OSPF区域不够用现象
问题描述 为某客户进行政务网核心交换机替换工作,使用3台S5700-EI设备替换2台C厂商设备,暂时作为核心使用。(以后会用S12800设备进行替换) 在替换准备过程中发现,原核心交换机上有100多个ospf区域,而S5700在ospf进程下只能建立20个区域,区域远远不够。 处理过程 向客户建议进行区域简化,即将100多个区域简化为20个区域,该方案遭到客户拒绝。 100多个区域对应的是全市100多个行政部门,如果进行简化,就需要全市政务网络大改,且涉及局点太多,工作量巨大。 后研究影响ospf建立邻居的因素,发现共有9个: 1.Router-ID相同 2.区域ID不一致 3.认证不一致 4.掩码不一致(MA网络中) 5.hello和dead不一致 6.silent-interface(静默端口,端口不收不发) 7.priority(在MA网络中) 8.network不一致 9.MTU值不一致 导致ospf邻居建立的因素中不包含ospf进程一项:即不同的ospf进程也可以建立邻居关系;我们针对这个问题,进行了模拟实验,并得到华为方技术支持确认,不同ospf进程可以建立邻居关系。 S5700-EI可以建立32个ospf进程,每个进程下可以建立20个区域,也就是说一台S5700-EI设备可以使用640个区域;不同的ospf进程可以进行路由引入,也就是说多个ospf进程可以汇总至一个ospf进程内。 根据以上信息,我们最终解决了S5700-EI作为核心交换机,ospf进程下区域不够用的情况。
SE_Gao 2024-11-11
4 0 0 -
锐捷交换机一键信息收集功能使用指导
注:目前只有12x的交换机支持一键信息收集,10x和11x勿用 方式1:web界面收集 通过登录交换机web界面进行收集,登录web界面后点击运维然后收集(部分交换机可能不支持web功能不支持该方式) 方式2:命令行收集 #debug support --》进入debug模式 tech-support package --》启动一键收集, 启动后会提示以下信息,需要选择y,否则会退出不收集 WARNING: This command will collect information about all the components. However, you can collect the information by specifying the component name, continue? (y/n) [no]: y execute diagnose-cmd dir /data ---》确认data目录下确实存在收集结果中的tar.gz文件,目录下的文件名和回显信息提示的文件名一致即可。 exit --》退出到特权模式 可选择通过tftp或者u盘拷出一键信息文件 tftp方式:#copy flash:tech_vsd0_20240704153837.tar.gz tftp://192.168.193.61/test.tar.gz --》上传到本地,本地要开启tftp服务器 U盘方式:#copy flash:tech_vsd0_20240704153837.tar.gz usb0:test.tar.gz
SE_You
2024-11-11
6 0 0 -
锐捷交换机syslog收集指导书
1.上层常规收集 命令行通过以下命令收集,如下(有些指令可能有些设备不支持,不支持的忽略) ter len 0 show log show cli record show security-log detail all show history all-users ter len 50 2.查看文件收集 命令行通过dir 查看flash和flash2下的syslog文件,把所有的syslog.text文以及cli_cmd.text文件都more出来,有些版本的可能是在flash的syslog下而不是直接在flash目录下,需要cd syslog切换到对应目录下然后dir查看有哪些日志文件,然后more出来,如下 3.底层收集(如果在2已经收集,3可以不收) 大部分11x设备还可底层收集日志文件,如下 未封shell版本(支持run-system-shell)如下: #run-system-shell ls -l /data/ ls -l /data/syslog/ cat /data/syslog/* ls -l /data2/ ls -l /data2/syslog/ cat /data2/syslog/* 封shell版本(不支持run-system-shell)如下 #debug support execute diagnose-cmd hardware 0 0 dir /data/ execute diagnose-cmd hardware 0 0 dir /data/syslog/ execute diagnose-cmd hardware 0 0 more /data/syslog/* execute diagnose-cmd hardware 0 0 dir /data2/ execute diagnose-cmd hardware 0 0 dir /data2/syslog/ execute diagnose-cmd hardware 0 0 more /data2/syslog/*
SE_You
2024-11-08
6 0 0 -
NAT和路由,谁先谁后
版权声明:我已加入“维权骑士”(http://rightknights.com)的版权保护计划,所有知乎专栏“网路行者”下的文章均为我本人(知乎ID:弈心)原创,未经允许不得转载。 在我迄今10年的网络从业生涯中(新加坡7年,沙特3年),参与过不计其数的网络设计和运维项目,项目规模大大小小的都有,接触过无数和NAT相关的配置和排错,什么静态NAT、动态NAT、端口映射还有PAT在不同厂商的设备上都实操过(思科的居多)。 我发现一个问题:虽然作为每一位网工必修课的NAT技术很常用,大多数网工都会照着厂商给的配置手册或者设备上现成的running config改配置,但是真正钻研过这项技术,遇到问题时会排错的人真的不多。 我在现在工作的地方--沙特阿卜杜拉国王科技大学(KAUST)担任IT网络运维组二把手时面试过不少求职者,这些求职者当中不乏工作经验8年以上,手握3个,4个,5个甚至更多的CCIE“大牛"们。技术面试环节中有一道题我是必问的:一台配置了NAT的思科路由器是先执行路由选择(Routing),还是先执行NAT? 我听到过的答案五花八门,至今没有一个人能给我一个完全正确的回答。 在给出正确答案之前,我先出一道题: 问题背景: 某公司A和某公司B最近开始有业务往来,要求公司A的主机192.168.11.1和公司B的主机192.168.44.4能够通信。网络拓扑如下: 由于公司A和公司B的内网都是用192.168.0.0 /16网络,这里必须用NAT来解决主机A到主机B的通信问题。因为公司B没有驻场网络工程师,所以负责这个项目的公司A的网工选择在自家公司的路由器R2上配置NAT(这里默认R1,R2,R3,R4都是跑IOS的思科路由器)。NAT配置的要求如下: 公司A的192.168.11.1(主机A)在进入公司B的内网前,需要在R2上被转换成172.16.23.1 公司B的192.168.44.4(主机B)在进入公司A的内网前,需要在R2上被转换成192.168.1.4 根据上述需求,公司A的网工在R2上完成了……
42 0 0 -
PoE交换机可以当普通交换机使用吗?
作者:网络工程师俱乐部 链接:https://www.zhihu.com/question/536639501/answer/16639721701 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 01 POE技术概述 POE(Power over Ethernet)技术是指通过以太网线缆同时传输数据和电力的技术。这种技术允许网络设备(如IP电话、无线接入点、安全摄像头等)通过标准的以太网线缆获得电力,而不需要额外的电源插座。 01 工作原理: 供电设备(PSE):POE交换机作为供电设备,能够通过以太网线缆向终端设备提供电力。 受电设备(PD):终端设备通过以太网线缆接收电力,并使用该电力进行操作。 POE技术利用了以太网线缆中未使用的两对或四对导线来传输电力,同时保留了原有以太网线缆的数据传输功能。 02 POE技术的应用场景 无线网络:无线接入点可以通过POE技术获得电力,简化了无线网络的部署。 语音通信:IP电话等设备可以通过POE技术获取电力,减少布线复杂度。 安防监控:安全摄像头和其他监控设备可以利用POE技术,避免在难以布线的位置安装电源。 物联网(IoT)设备:各种IoT设备,如传感器和控制器,可以通过POE技术实现远程供电。 02 POE交换机的三种供电标准 01 IEEE 802.3af (POE) 标准 IEEE 802.3af是最早的POE标准,通常被称为POE或POE Classic。该标准定义了通过以太网线缆为设备提供电力的方法,并规定了最大功率为15.4W(实际可用功率约为12.95W)。 特点: 最大功率:15.4W(实际可用功率约为12.95W)。 电力传输:使用以太网线缆中的4对线中的2对进行电力传输。 兼容性:广泛支持旧款设备,但功率有限。 02 IEEE 802.3at (POE+) 标准 IEEE 802.3at(也称为POE+)是对IEEE 802.3af的扩展,提高了供电能力,最大功率为30W。 特点: 最大功率:30W。 电力传输:使用以太网线缆中的所有4对线进行电力传输……
25 0 0 -
h3c 802.1X+MAC认证接入后5s内进入guest vlan
问题描述 交换机上配置了802.1X+MAC认证+guest vlan: # dot1x dot1x authentication-method eap dot1x quiet-period dot1x timer quiet-period 10 dot1x timer tx-period 5 # mac-authentication mac-authentication timer quiet 1 mac-authentication user-name-format mac-address with-hyphen uppercase # interface GigabitEthernet1/0/2 dot1x undo dot1x handshake dot1x mandatory-domain imc_dot1x undo dot1x multicast-trigger dot1x unicast-trigger dot1x timer reauth-period 60 mac-authentication mac-authentication carry user-ip mac-authentication domain imc_dot1x mac-authentication timer auth-delay 10 mac-authentication guest-vlan 450 undo mac-authentication offline-detect enable # 测试认证终端接入认证到进入guest vlan需要花30s以上,想要实现接入后进入guest vlan的时间在5s内。 过程分析 收集debugging dot1x all、debugging mac-authentication all、debugging radius all 从debug看整个流程都是正常的: *Jul 3 02:08:19:982 2024 S5130 DOT1X/7/EVENT: Processing new mac event: UserMAC=****.****.****.****, VLANID=450, Interface=GigabitEthernet1/0/2. ====1x处理newmac; *Jul 3 02:08:31:993 2024 S5130 MACA/7/EVENT: Processing MAC authentication delay: UserMAC=****.****.****.****, VLANID=450, Interface=GigabitEthernet1/0/2. ====1x 客户端2次没有应答,总共10秒左右超时,转mac-auth;macauth添加延迟表; *Jul 3 02:08:42:402 2024 S5130 MACA/7/EVENT: Authentication delay timer expired: UserMAC=****.****.****.****, VLANID=450, Interface=GigabitEthernet1/0/2. ====在10秒后,开始触发macauth; *Jul 3 02:08:42:403 202……
6 0 0 -
交换机和路由器的功能区别是什么?
作者:网络工程师俱乐部 链接:https://www.zhihu.com/question/460887891/answer/3511346047 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 01 如何快速确认设备互连方式? 小 A 是一个帝国时代大神,他打通了游戏的所有关卡,可以一个人单挑 8 个疯狂的电脑。渐渐他觉得无聊了,想要找小伙伴一起 PK。 但是如何实现两台设备的互联呢?小 A 很聪明,他发明了一个类似于 USB 口一样的可以传输数据的端口,他将其命名为网口。小 A 通过一根网线将自己的电脑与小 B 的网口相连,实现了两台电脑间的互联。 两个小伙伴很开心,联机玩了起来,这时被路过的小 C 看见了,小 C 也要加入进来。但是我们知道,每台电脑只有一个网口,无法实现三台电脑的相互连接,那要要怎么办呢? 这时候小 B 出了一个主意:咱们再找一台计算机,给他多设计几个网口,我们每个人都连到这台计算机的网口上,不也实现咱们哥几个之间的互连了吗。 02 集线器(Hub) 说干就干,于是他们设计出了一款微型计算机,他本身具备多个网口,专门实现多台计算机的互联作用,这个微型计算机就是集线器。顾名思义,集线器起到了一个将网线集结起来的作用,实现最初级的网络互通。集线器是通过网线直接传送数据的,我们说他工作在物理层。 有了集线器后,越来越多的小伙伴加入到游戏中,小 D、小 E 等人都慕名而来。然而集线器有一个问题,由于和每台设备相连,他不能分辨出具体信息是发送给谁的,只能广泛的广播出去。 例如小 A 本来想问小 C:你吃了吗?结果小 B,小 D 和小 E 等所有连接在集线器上的用户都收到了这一信息,且由于处于同一网络,小 A 说话时其他人不能发言,否则信息间会产生碰撞,引发错误,我们叫做各设备处于同一冲突域内。 03 交换机(NetWork Switch) 这样的设备用户……
25 0 0 -
华为交换机基本配置
华为交换机基本配置
SE_Zhang 2024-11-01
23 0 0
交换机
