-
网络层次分析法ANP的详细计算步骤是什么?
一、别背概念,先看图! 来,先上一张图: 你听说的“二层设备”“三层交换”“四层策略”,其实都是网络设备干活时处理数据的不同层次。 理解它们,就得看设备“动手到哪一层”。 二、什么是“二层”? 看的是 MAC 地址不关心 IP 完全不做路由 基本上就是傻瓜转发 典型代表:二层交换机 它的活儿非常纯粹: 收到一个包,查 MAC 表 → 知道从哪个口出去 → 原样发出去。 连 IP 都懒得管,ARP 广播照样全转。 常见操作: 建 VLAN(虚拟局域网) 配端口类型(access/trunk) 做 MAC 静态绑定 做广播风暴抑制 场景举例: 办公桌面层、摄像头汇聚、AP接入、租户隔离 三、什么是“三层”? 看的是 IP 地址 能做路由转发 能处理 VLAN 之间的互通 网络里真正能“跨网段”的设备 典型代表:三层交换机、路由器 你配置的网关地址,其实就是交换机/路由器上建的 VLANIF 接口。它会接收来自某个 VLAN 的流量,然后根据 IP 走路由表决定下一跳。 常见操作: 创建 VLANIF 接口 配置静态路由 / OSPF / BGP 做 ACL 匹配 IP 做 NAT 出口地址转换 场景举例: VLAN 间通信、园区汇聚、出口 NAT、分支互联 四、什么是“四层”? 看的是 TCP/UDP 端口号 能区分服务(80 是 HTTP,443 是 HTTPS) 常用于策略控制、防火墙、负载均衡 三层只能判断“去哪台设备”,但四层能判断“用啥服务”。比如: 两个 IP 是一样的,但你可以阻止 80 端口、允许 443 → 这就是四层 ACL。 常见操作: 四层 ACL(基于端口的访问控制) 流量识别、QoS 优化 防火墙策略 基于应用的 NAT 转发 场景举例: 禁止外网访问公司内网某服务 限制某台服务器只开放 HTTPS 做策略路由,按应用走不同链路 总结一张表 看懂层次你才能配得准。 很多网络配置问题其实就是“你用三层方式解决了二层的问题”,或者“你试图在二层设备上做四层控制”——自然不通、自然炸。 ……
SE_YJ 2025-06-24
43 0 0 -
配置UDP Helper示例
配置UDP Helper示例 组网需求 如图1所示,Switch的接口10GE1/0/2和一局域网相连并加入VLAN20,VLANIF20的IP地址为10.110.1.1/16。NetBIOS-NS和Switch的接口10GE1/0/1相连,NetBIOS-NS的IP地址为10.1.1.1/16,10GE1/0/1加入VLAN10。VLANIF10的IP地址为10.1.1.2/16。现要求局域网用户之间直接使用主机名进行互访。 图1 配置UDP Helper组网图 配置思路 因为局域网主机之间要使用主机名进行互访,所以需要将对方的主机名解析成IP地址。但是,NetBIOS-NS和该局域网不在同一广播域,局域网内主机发送的UDP类型的NetBIOS-NS Register广播报文无法送达NetBIOS-NS。这就需要使能Switch的UDP Helper功能,将主机发送的目的端口为137(NetBIOS-NS服务端口)的UDP广播报文单播转发给NetBIOS-NS,完成对主机名的解析。 使能了UDP Helper功能后,需要在VLANIF20上指定目的服务器为NetBIOS-NS,即指定Switch中继转发的目的IP地址为NetBIOS-NS的IP地址。 因为Switch在使能UDP Helper功能后,默认支持将目的UDP端口号为137的广播报文进行中继转发,所以此处不需要配置中继转发的UDP端口号。 操作步骤 配置Switch接口10GE1/0/2加入VLAN20并配置VLANIF20的IP地址。 <HUAWEI> system-view [~HUAWEI] sysname Switch [*HUAWEI] commit [~Switch] vlan batch 20 [*Switch] interface 10ge 1/0/2 [*Switch-10GE1/0/2] port default vlan 20 [*Switch-10GE1/0/2] quit [*Switch] interface vlanif 20 [*Switch-Vlanif20] ip address 10.110.1.1 16 [*Switch-Vlanif20] quit [*Switch] commit 配置Switch接口10GE1/0/1加入VLAN10。配置VLANIF10的IP地址。 [~Switch] vlan batch 10 [*Switch] interface 10ge 1/0/1 [*Switch-10GE1/0/1] port default vlan 10 [*Switch-10GE1/0/1……
SE_YT 2025-06-23
39 0 0 -
锐捷N18E 无感知用户频繁掉线
一、故障现象描述 客户部署极简无感知认证,发现用户认证成功后存在频繁下线并且重新认证的情况, 在sam上查看原因是code15,NAS不能提供所需服务 设备型号:N18010-E 设备版本:12.6(3)B0301 二、故障排查分析 检查交换机接口配置及portal服务器状态均正常,没有出现portal逃生情况; 查看交换机上的1x认证轨迹,发现交换机上的下线原因为:acl授权失败; 查看交换机日志,发现交换机日志中存在大量acl授权失败的日志,提示user-notcampus-block不存在。 抓包查看,发现无感知认证成功的报文中携带了filter-id属性,用于下发用户组或acl,但是18E只支持25号属性下发用户组,因此可以判断是认证成功报文中携带了该字段导致的。 三、故障根因说明 filter-id属性是18k的流量卡(MSC)用于计费使用的,18E并不支持,如果下发可能会导致设备无法识别该属性,无法完成acl授权,导致用户认证成功后又下线。 四、故障解决方案 SAM上取消该属性的下发。 五、经验总结 针对认证异常下线原因,一般思路为: SAM查询下线日志,确定下线的主动发起者是SAM还是NAS。 如果是SAM,则由SAM排查故障原因;如果是NAS,则在NAS上查看用户认证迁移记录,确定下线原因。
SE_You
2025-06-23
75 0 0 -
第三方网管无法通过SNMP协议读取S5700-28C-EI-24S设备MIB节点信息
问题描述 设备型号:S5700-28C-EI-24S 软件版本:V200R003SPC300 故障现象:用户用第三方网管通过SNMP协议来读取我们交换机MIB节点相关信息,但是显示出来的结果为一串16进制参数,无法获取所需要的信息,如下图 用户读取的是该节点的信息 但是显示的结果如下图 处理过程 【回应报文解析方法】 以GE0/0/8接口为例, 回应报文如下: snmpwalk -c CHINAhuawei5\&\0\) -v 2c 10.207.9.94 .1.3.6.1.4.1.2011.5.25.42.1.1.1.10.1.2 SNMPv2-SMI::enterprises.2011.5.25.42.1.1.1.10.1.2.8 = Hex-STRING: 00 20 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 35 BF FF FF FF FE 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 客户的设备GE0/0/8的vlan配置如下: port trunk allow-pass vlan 10 703 706 to 707 709 711 to 712 714 to 750 snmpwalk回应报文中的2011.5.25.42.1.1.1.10.1.2代表hwL2IfTrunkAllowPassVlanListLow节点,后面的 “.8 ”代表设备的第8个物理口(GE0/0/8)。 同……
SE_Gao 2025-06-23
58 0 0 -
交换机mac表的获取?
一、“MAC 学习”到底是个啥意思? 先说人话版本: 交换机收到一个包,会记下“谁发的 + 从哪个口来的”,然后下次再发回去,就直接走那口,不用全网乱转。 这就叫 MAC 学习,也叫 MAC 地址学习、源地址学习。 比如: 主机 A 发包,源 MAC 是 AA-AA-AA,从端口 1 进来 交换机一看,“哦,这个 MAC 是从端口 1 来的”,就写进 MAC 表 下次要给 AA-AA-AA 发包,就直接丢端口 1,不再广播 这一步,交换机做得飞快,毫秒级。 二、交换机“学 MAC”的条件是什么? 不是所有包都能让它学,得满足两个基本条件: 包是从某个端口进入的 包头里有合法的源 MAC 只要这两个条件满足,交换机就能学起来。 学完之后会在 MAC 地址表(也叫 CAM 表)里留一条记录,格式像这样: MAC地址 VLAN 出口端口 类型 AA-AA-AA 10 GE1/0/1 动态 三、MAC 学完之后会一直记着吗? 不会。 动态学习的 MAC 是有“保质期”的,叫做 老化时间,华为设备默认是 300秒(5分钟)。 也就是说,如果 5 分钟内那个 MAC 没有再发数据包,它就会被从 MAC 表里删掉。 删掉之后,再有包来,就得重新学习一遍。 你也可以通过命令改掉这个老化时间,比如: [Switch] mac-address aging-time 600 四、我能不能不让它“自动学”?自己手动指定? 可以,叫做 静态 MAC 绑定。 适合的场景比如: 某些高安全要求的端口,不想让别人随便接设备 接摄像头、IoT、特殊终端,MAC 不变,手动绑定省事 想防止 MAC 漂移、ARP 攻击 配置方式非常简单(以华为为例): [Switch] mac-address static AA-AA-AA vlan 10 interface GigabitEthernet1/0/1 一条命令就搞定。 你可以配在指定 VLAN 下、指定端口上,这样就算外面换了设备也不能用这个 MAC 通信。 静态 MAC 不会老化,除非你手动删。 五、MAC 太多,会不会“炸表”? 会的。 交换机的 MAC 表容量是有限的(具体容量看型……
87 0 0 -
配置DNS客户端示例
组网需求 由于IP地址难于记忆,用户希望通过DNS域名请求方式访问网络服务器。用户希望输入域名部分字段,DNS服务器就可以正确解析,达到用户访问正确网络服务的效果。例如DNS客户端在访问该主机huawei.com时,用户只需要输入“huawei”即可。对于一些常用的域名,用户希望能够快速访问,提高域名解析的效率。 图1 配置DNS客户端组网图 配置思路 DNS的配置思路如下: 在SwitchA、SwitchB上配置各接口的IP地址,并配置动态路由协议,实现各设备之间的路由可达。 在SwitchA上配置静态DNS表项,实现在SwitchA上通过域名访问FTPServer。 在SwitchA上配置动态DNS功能,实现SwitchA以动态DNS查询方式与网络服务器进行通信的功能。 操作步骤 配置各接口所属VLAN # 在SwitchA上配置各接口所属VLAN。 <HUAWEI> system-view [~HUAWEI] sysname SwitchA [*HUAWEI] commit [~SwitchA] vlan batch 102 [*SwitchA] interface 10ge 1/0/1 [*SwitchA-10GE1/0/1] port link-type trunk [*SwitchA-10GE1/0/1] port trunk allow-pass vlan 102 [*SwitchA-10GE1/0/1] quit [*SwitchA] commit # 在SwitchB上配置各接口所属VLAN。 <HUAWEI> system-view [~HUAWEI] sysname SwitchB [*HUAWEI] commit [~SwitchB] vlan batch 101 to 104 [*SwitchB] interface 10ge 1/0/1 [*SwitchB-10GE1/0/1] port default vlan 101 [*SwitchB-10GE1/0/1] quit [*SwitchB] interface 10ge 1/0/2 [*SwitchB-10GE1/0/2] port link-type trunk [*SwitchB-10GE1/0/2] port trunk allow-pass vlan 102 [*SwitchB-10GE1/0/2] quit [*SwitchB] interface 10ge 1/0/3 [*SwitchB-10GE1/0/3] port default vlan 103 [*SwitchB-10GE1/0/3] quit [*SwitchB] interface 10ge 1/0/4 [*SwitchB-10GE1/0/4] port de……
64 0 0 -
锐捷N18K 极简环境 无感知用户异常掉线
一、故障现象描述 客户新部署极简无感知认证,但是使用过程中存在大量异常掉线情况,影响用户体验 设备型号:N18007 设备版本:11.0(1)B3P4 二、故障排查分析 查看SAM上用户下线详情,错误代码为code=15(NAS不能提供所需服务)。确认是N18K主动踢用户下线。 N18K上查看认证迁移记录,发现用户下线时SNOOPING先通告下线。 查看snooping表项,发现故障时该mac存在vlan或者端口的迁移,旧的snooping老化导致的下线,然后发起了新的dhcp流程上线。 三、故障根因说明 分析:mac漫游时,N18K用户发生了vlan或者端口迁移,此时会老化旧的snooping表项并重新进行DHCP续约流程,旧的snooping老化时会通告给1X组件下线消息,导致无感知下线的现象。 四、故障解决方案 规避方案:配置dot1x snp-del-ip ignore,忽略snooping老化执行清除1X表项的动作 解决方案:升级最新版本 五、经验总结 针对认证异常下线原因,一般思路为: SAM查询下线日志,确定下线的主动发起者是SAM还是NAS。 如果是SAM,则由SAM排查故障原因;如果是NAS,则在NAS上查看用户认证迁移记录,确定下线原因。 注意NAS上非认证组件通告下线的场景,如snooping或者lsm等。
SE_You
2025-06-20
60 0 0 -
S5700配置802.1x认证 服务器绑定用户MAC后不能认证
问题描述 交换机做802.1x认证,认证服务器不绑定MAC,用户认证成功;认证服务器绑定MAC,认证不成功。 处理过程 1、不做MAC绑定测试认证成功,怀疑服务器绑定用户MAC后,未收到用户带MAC认证报文或者收到但未做回应。 2、服务器报文头分析确认,获取到用户MAC报文,未做回应; 3、华为交换机calling-station-id属性字段中MAC地址的格式为xxxx-xxxx-xxxx。 通过如下命令更改MAC地址格式: system-view [HUAWEI] radius-server template huawei [HUAWEI-radius-huawei] calling-station-id mac-format dot-split mode2 uppercase 问题解决 根因 华为交换机MAC地址格式默认为xxxx-xxxx-xxxx,服务器识别格式为xx-xx-xx-xx-xx-xx 解决方案 服务器不识别华为交换机默认MAC地址格式导致 建议与总结 不绑定MAC认证通过,绑定MAC认证不通过,仔细对比配置,缩小故障定位范围后,迅速针对性找出原因。
59 0 0 -
IPv6搞清楚了,IPv6+又是什么??
01 IPv6+的起源 2019年11月26日,全球43亿IPv4地址正式耗尽,这意味着不再有IPv4地址可分配给ISP和其他大型网络基础设施提供商。 然而5G、云和物联网的蓬勃发展,人与人的通信将进一步延伸到人与物、物与物的联接,网络需要支持的节点和联接数量扩大到了前所未有的规模,而IPv6拥有巨大地址空间,解决了IP地址短缺的问题。 此外IPv6更简单、更方便、更可扩展、更安全,可以高效支撑移动互联网、物联网、云计算、大数据和人工智能等领域的快速发展。自2017年起,工业和信息化部连续组织开展IPv6规模部署专项行动,IPv6发展进入快车道。 在5G和云时代,带宽需求巨大,连接数量极大,并且连接模型特别灵活;此外,智能时代,各种业务对SLA保障的要求也更加严格,仅仅提供连通性显然不够,保障严格的时延、抖动、丢包等综合指标成为必须,随之而来的,是运维变得超级复杂。 对此,中国工程院院士、推进IPv6规模部署专家委主任邬贺铨指出,IP网络应该从自动化、安全、超宽、广联接、确定性和低时延六个维度持续提升。 IPv6+是面向5G和云时代的智能IP网络,需要具备智能超宽、智能联接、智能运维三大特征。 IPv6+包括以SRv6、网络切片、IFIT、BIERv6、APN6等协议创新,和以网络分析、自动调优等网络智能化为代表的技术创新。 IPv6+将极大刺激业务创新,重新定义商业模式,增加收入,提升效率,例如IPv6+SRv6,加速业务部署,部署周期从月缩短到天;IPv6+IFIT,简化网络运维,优化用户体验。 总的来说,IP网络可以划分为三个时代。 第一个时代是Internet时代,以IPv4为代表技术,属于尽力而为型网络,需要人工运维;第二个时代是全IP时代,核心技术是MPLS,属于静态策略,半自动运维;而第三个时代就是我们正在经历的万物互联的智能时代,核心技术是IPv6+,具有可编程路径、快速业务发放、自动化运维……
124 0 0 -
配置VXLAN分布式网关作为DHCPv4 Relay示例(跨VPN)
配置VXLAN分布式网关作为DHCPv4 Relay示例(跨VPN) 以跨VPN分布式VXLAN网关的典型应用场景为例,描述如何配置VXLAN分布式网关作为DHCPv4 Relay。 组网需求 如图1所示,某企业部署了分布式网关的VXLAN网络。现需要部署DHCP业务,以实现DHCP Server为不同网段的VM分配IP地址。其中Leaf1、Leaf2作为VXLAN网关并部署DHCP Relay,Leaf3与DHCP Server相连。DHCP Server和客户端VM属于不同的VPN。 图1 配置VXLAN分布式网关作为DHCPv4 Relay组网图 配置思路 采用如下的思路配置: 在Leaf1、Leaf2、Spine上以BGP EVPN方式部署分布式网关VXLAN。Leaf1、Leaf2作为VXLAN网关,Spine作为路由反射器。 在Leaf1、Leaf2、Leaf3上各配置一个用于DHCP业务的VPN实例。实现Leaf1、Leaf2上的DHCP VPN有至DHCP Server的路由。 在Leaf1、Leaf2上配置DHCP Relay。 配置DHCP Server。 数据准备 为完成此配置示例,需准备如下的数据: 网络中设备互连的接口IP地址。 VM1所属的VLAN ID是VLAN 10,VM2所属的VLAN ID是VLAN 20。 广播域BD ID分别是BD 10和BD 20。 VXLAN网络标识VNI ID分别是VNI 10和VNI 20。 配置注意事项 对于CE12800,除了操作步骤中的配置之外,可以根据需要额外执行如下命令: 在系统视图下执行assign forward nvo3 f-linecard compatibility enable命令,用来防止在单板处于非增强模式时VXLAN流量不通。 在单板的互通模式为非增强模式时,如果VXLAN流量跨板转发,有可能出现VXLAN流量不通的问题。所以当单板的互通模式为非增强模式时必须配置assign forward nvo3 f-linecard compatibility enable命令才能正常使用VXLAN功能。 配置VXLAN举例的相关约束已经在操作步骤中加以说明。如果还想了解更多约束,请参见VXLAN配置注意事项。 操作步骤 配置路由协议。 # 配置Leaf1。Leaf2……
75 0 0
交换机
