搜索内容

交换机

  • 锐捷N18K 极简场景 无感知用户异常掉线

    一、故障现象描述 客户新部署极简无感知认证,但是使用过程中部分终端存在异常掉线情况,影响用户体验 设备型号:N18007 设备版本:11.0(4)B58P5 二、故障排查分析 查看SMP上用户下线日志,未明确具体原因。 N18K上查看认证异常记录,发现用户下线时提示“mab to 1X”。判断为终端主动发起的1X认证,导致mac认证表项被覆盖。 三、故障根因说明 分析:该终端的网卡自带EAP身份验证功能,即1X客户端功能,使用过程中自动发送了EAP-Start报文,导致已认证的mab表项被1X覆盖,引起断网。 四、故障解决方案 规避方案:配置dot1x mac-auth-bypass precedence,修改mab优先级高于1X。 解决方案:终端关闭EAP功能。 五、经验总结 针对认证异常下线原因,一般思路为: SAM查询下线日志,确定下线的主动发起者是SAM还是NAS。 如果是SAM,则由SAM排查故障原因;如果是NAS,则在NAS上查看用户认证迁移记录,确定下线原因。

    SE_You 2025-06-19
    66 0 0

  • 三大要点带你了解交换机的交换技术有哪些

    我们在选择交换机之前,需要了解不同交换机的技术特点和适用场景,这样才有助于我们在选择交换机器时做出明智的决策,以满足网络的需求并提高整体性能。接下来,我们将详细讨论交换机的交换技术有哪些? 交换机的交换技术有哪些?包括以下几种: 1、端口交换:端口交换技术,主要是通过端口分配多个网段,以达到负载平衡的目的,进而实现网段迁移和负载平衡。它在OSI模型的第一层实现,具有灵活性和负载平衡能力。 2、帧交换:这是一种较为常见的技术手段,它通过细分传播媒介,提供并行传输机制,从而减小冲突域,提高带宽,可以使用直通交换和存储转发等方式处理网络帧,同时支持高级控制功能。 3、信元交换:它采用固定长度的信元进行交换,易于硬件实现。ATM(异步传输)网络采用专用的非差别连接和并行运行,能够同时建立多个节点,而不会影响节点之间的通信能力。ATM还支持建立多个虚拟链接,以提高带宽和容错能力。ATM的带宽能力可达到不同级别,如25M、155M、622M甚至数Gb。 锐捷这款交换机具有CPP特性(CPU Protect Policy),控制发往CPU的报文类型和流量大小,确保正常协议报文和管理报文的处理,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,持快速链路检测协议(RLDP),快速发现端口私接Hub等设备形成的环路,并及时作出警告通知、关闭端口等处理,从而预防由于环路造成的广播风暴,保障设备和链路安全。 上文探讨,交换机的交换技术有哪些?其中包括端口交换、帧交换和信元交换。端口交换技术通过灵活的网段分配和负载平衡实现网段迁移,帧交换技术通过微分段和并行传输提供高带宽,而信元交换技术则适用于ATM网络,利用固定长度的信元进行交换,以实现高速且可靠的通信。

    SE_Zhang 2025-06-19
    33 0 0

  • 解决S5700-EI设备OSPF区域不够用现象

    问题描述 为某客户进行政务网核心交换机替换工作,使用3台S5700-EI设备替换2台C厂商设备,暂时作为核心使用。(以后会用S12800设备进行替换) 在替换准备过程中发现,原核心交换机上有100多个ospf区域,而S5700在ospf进程下只能建立20个区域,区域远远不够。 处理过程 向客户建议进行区域简化,即将100多个区域简化为20个区域,该方案遭到客户拒绝。 100多个区域对应的是全市100多个行政部门,如果进行简化,就需要全市政务网络大改,且涉及局点太多,工作量巨大。 后研究影响ospf建立邻居的因素,发现共有9个: 1.Router-ID相同 2.区域ID不一致 3.认证不一致 4.掩码不一致(MA网络中) 5.hello和dead不一致 6.silent-interface(静默端口,端口不收不发) 7.priority(在MA网络中) 8.network不一致 9.MTU值不一致 导致ospf邻居建立的因素中不包含ospf进程一项:即不同的ospf进程也可以建立邻居关系;我们针对这个问题,进行了模拟实验,并得到华为方技术支持确认,不同ospf进程可以建立邻居关系。 S5700-EI可以建立32个ospf进程,每个进程下可以建立20个区域,也就是说一台S5700-EI设备可以使用640个区域;不同的ospf进程可以进行路由引入,也就是说多个ospf进程可以汇总至一个ospf进程内。 根据以上信息,我们最终解决了S5700-EI作为核心交换机,ospf进程下区域不够用的情况。

    SE_Gao 2025-06-19
    28 0 0

  • 华为交换机怎么设置使一个接口连接一台不同网段的电脑?

    1. 接入层的设计原则包括: 满足不同接入要求:可能包括:不同类型终端的接入、不同接口速率的接入、对网络质量的不同要求的接入、其他一些要求,如PoE供电等。 适度考虑扩展性 提供安全特性 简化网络部署和管理 2. 接入层的主要设计要点包括: 组网架构设计:考虑当交换机的数量较多时,各交换机之间是否存在相互协同或制约关系;接入层如何与汇聚层进行层间互联,包括链路类型和组网方式。 上、下行链路设计:满足园区网的接入要求,即接入交换机的下行接口速率与终端网卡速率匹配,网络收敛比合理,上行带宽满足业务质量要求。根据终端或网络用户的数量,以及网络扩展性的要求,确定接入交换机的数量及其接口密度。接入层的扩展性主要考虑满足当前接入数量即可。 设备选型设计:设备选型原则及选型方法。 01 组网架构 组网架构设计需要考虑交换机的工作模式和上行组网方式。上行组网又分为有线网络和无线网络,有线网络的接入层设备是交换机,无线网络的接入层设备是AP。 1.1工作模式 通常接入层会有多台交换机。当接入层交换机数量较多时,需要考虑各台交换机之间是否需要协同;因此,接入层交换机可以有两种工作模式:独立模式和堆叠模式。 # 独立模式和堆叠模式对比如下表: 根据有线接入层设备的工作模式和汇聚层设备的数量以及其它要求(如可靠性),接入层可以有多种上行组网方式,分别适用于不同场景的需要。 1.2有线网络上行组网方式 # 各种组网方式的的使用场景: 1.3无线网络上行组网方式 根据无线AP的工作模式和汇聚层设备的数量以及其它要求(如可靠性),接入层可以有多种上行组网方式,分别适用于不同场景的需要。 # 无线组网方式说明: 02 下行链路 接入层下行链路设计需要考虑接入层交换机下行到终端之间的链路类型、接口速率及终端供电方式。一般明确了终端的……

    SE_YJ 2025-06-19
    131 0 0

  • 配置DHCP中继示例

    配置DHCP中继示例   组网需求 如图1所示,某公司希望数据中心机房服务器由共同的DHCP服务器分配IP地址。本例以10.20.20.0/24网段的服务器为例说明DHCP中继的配置方法。 公司的服务器所在的网段为10.20.20.0/24,而DHCP服务器所在的网段为10.10.10.0/24。通过带DHCP中继功能的SwitchA转发DHCP报文,使得DHCP客户端可以从DHCP服务器上申请到IP地址等相关配置信息。 其中SwitchA上行接口为10GE1/0/2,VLANIF200的IP地址为10.10.20.1/24,对端IP地址为10.10.20.2/24。 DHCP Server的IP地址为10.10.10.1/24,对端IP地址为10.10.10.2/24。 图1 配置DHCP中继组网图 配置思路 DHCP中继的配置思路如下: 在SwitchA上配置DHCP中继功能,实现SwitchA转发不同网段的DHCP报文功能。 操作步骤 配置SwitchA的接口10GE1/0/2加入VLAN200  <Huawei> system-view [~Huawei] sysname SwitchA [*Huawei] commit [~SwitchA] vlan batch 200 [*SwitchA] interface 10ge 1/0/2 [*SwitchA-10GE1/0/2] port link-type trunk [*SwitchA-10GE1/0/2] port trunk allow-pass vlan 200 [*SwitchA-10GE1/0/2] quit [*SwitchA] interface vlanif 200 [*SwitchA-Vlanif200] ip address 10.10.20.1 24 [*SwitchA-Vlanif200] quit [*SwitchA] commit   在SwitchA上配置DHCP中继功能 创建DHCP服务器组并为服务器组添加DHCP服务器  # 创建DHCP服务器组。 [~SwitchA] dhcp relay server group dhcpgroup1 # 为DHCP服务器组添加DHCP服务器。 [*SwitchA-dhcp-relay-server-group-dhcpgroup1] server 10.10.10.1 [*SwitchA-dhcp-relay-server-group-dhcpgroup1] quit [*SwitchA] commit   在接口下使能DHCP中继功能  # 创建VLAN并将接口10GE1/0/1加入到VLAN中。 [~SwitchA] vlan batch 10……

    SE_YT 2025-06-18
    37 0 0

  • 无感知认证成功后异常掉线排查SOP

    一、故障现象 客户现场配置无感知认证,终端无感知认证成功后,出现异常下线的现象。 二、组网拓扑 常规网络拓扑如下: 拓扑描述: PC通过接入、汇聚交换机连接到核心,PC的网关在核心上, 下联认证全部开在核心上 三、可能原因 NAS上Mab相关配置错误或缺失; NAS未开启网关模式致认证异常; 现场网络环境中存在环路导致认证异常; 现场网络环境中存在IP地址冲突; radius服务器发生异常,导致终端下线; 认证服务器踢用户下线; 四、故障排查步骤 步骤一:检查NAS上认证配置是否完整正确 检查设备是否开启网关模式,参考命令: auth-mode gateway ① 设备配置网关模式后,不能仅通过核查配置中是否有配置auth-mode gateway,还需要通过debug scc status中的scc mode去核查是否为gate mode(网关模式需要重启才能生效,配置不重启也是不生效的) 网关模式: 认证模式: ② 可以通过show security-log detail all | in gate核查对应配置网关模式的时间,结合对应show ver设备启机时间,就能明确对应配置网关模式后是否有重启 检测Mab认证配置是否完整 ① 动态Mab用户,检查是否配置了命令“aaa authorization ip-auth-mode mixed ”,配置后设备进行IP+Mac校验。 ② 动态Mab用户,检查是否配置了命令“dot1x valid-ip-acct enable”,1x组件会对上线的用户进行ip校验,持续5分钟没有获取到ip地址的用户会被下线。 ③ 动态用户,检查是否配置了DHCP Snooping 功能以及用户信息是否出现在snooping表里面。 ④ 静态用户,检测是否配置了命令“dot1x address-binding mac XXXX.XXXX.XXXX ip X.X.X.X ” 完整配置参考如下命令: 模块一:开启网关模式 aaa new-model //启用AAA 模块二:AAA配置 aaa accounting network default start-stop group radius // AAA 参考配置,以实际业务部……

    SE_You 2025-06-18
    130 0 0

  • S5700 (V200R005C00SPC500)内网用户个别终端无法上网

    问题描述 S5700   内网用户部分终端无法上网 组网:S5700----S1700----PC 在S1700下接多个同网段的PC,网关在S5700上,PC见二层数据互访正常,但是部分终端无法ping通网关 处理过程 1、检查S5700下行接口的mac学习情况 <Huawei>display mac-address MAC address table of slot 0: ------------------------------------------------------------------------------- MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID VSI/SI                                              MAC-Tunnel ------------------------------------------------------------------------------- 5489-981b-6174 1           -      -      GE0/0/1         security  - ------------------------------------------------------------------------------- Total matching items on slot 0 displayed = 1 下行接口只学习到一个mac地址,type为security,确认接口配置了端口安全功能 2、检查设备接口配置 interface GigabitEthernet0/0/1 port link-type access loopback-detect enable port-security enable    //该接口开启看端口安全 port-isolate enable group 1 port description desktop 接口未手动修改端口安全动态MAC学习限制数量,默认情况为1,导致只有一个终端能上网。 根因 默认端口安全动态MAC学习限制数量为1,小于实际需求的数量导致部分终端不能上网 解决方案 解决方案一:取消端口安全 接口下undo port-security enable 解决方案二:修改端口安全MAC地址学习数量 在接口下port-security max-mac-num 5 建议与总结 在配置端口安全时,需要结合自己使用的场景要求配置合适的参数

    SE_Gao 2025-06-18
    34 0 0

  • 局域网内网可采用二层或三层网络设计,那种比较先进?

    一、搞清楚:到底哪一层才是“汇聚层”? 简单回顾一下园区网的三层结构(自上而下): 核心层 ↕ 汇聚层 ↕ 接入层 接入层:离用户最近,接电脑、AP、打印机啥的 汇聚层:把多个接入层合起来,通常每栋楼或每个楼层一台汇聚 核心层:连汇聚设备,跑跨区域流量和出口 那问题就来了——汇聚层,到底是只负责转发,还是也要跑三层逻辑?这就是今天的主题。 二、二层汇聚:人狠话不多,全部靠核心层处理三层 结构特征: 汇聚层只做 VLAN 的透明转发 所有 VLAN 的网关都在核心层 汇聚只跑 STP 或 MSTP,避免环路 优点: 结构简单,设备便宜:汇聚用普通二层交换机就行 配置统一:所有网关都在核心,统一好控 缺点: 广播域大:所有 VLAN 都要穿透汇聚,核心压力大 扩展性差:多个区域都要汇聚到核心,链路一多 STP 复杂 跨 VLAN 路由走核心,绕远、时延高 适合场景: 小型园区网络,设备量不多,核心性能能抗住 网关集中的场景,比如一台大核心跑所有业务 三、三层汇聚:就是在汇聚层就把三层搞了,网关前置 结构特征: 每个汇聚设备上创建各自 VLAN 的网关 IP 汇聚层直接承担三层转发 核心只跑静态路由/OSPF 等,负责“跨汇聚”通信 优点: 网关下沉,性能分摊:不用都跑到核心 广播隔离好:一个汇聚一个广播域 链路短、延迟低:三层直转,效率高 扩展性强:以后每加一个楼,只要上个汇聚就行,核心不用大改 缺点: 汇聚得用三层交换机,成本高一些 多个汇聚设备要跑动态路由,对配置水平有要求 适合场景: 中大型园区 要考虑未来扩容、业务隔离的企业网 核心设备不希望“管太多事”的场景 四、到底怎么选?看这几条就够了: 五、一些容易被忽略的实战细节 1. 三层汇聚不等于全网都三层! 不是说你用了三层汇聚,接入层也要搞三层。 接入照样跑二层,汇聚来做网关就够。 2. 三层汇聚配合 OSPF……

    SE_YJ 2025-06-18
    54 0 0

  • 配置DHCP服务器支持相同MAC不同VLAN的用户上线示例

    介绍一个以太网用户通过不同VLAN向DHCP服务器申请IP地址示例(无中继设备),结合配置组网图来理解业务的配置过程。 组网需求 VOIP、IPTV等多种业务在不同的用户平面内需要申请不同网段的IP地址。而支持这些业务的DHCP Client会使用一个MAC地址去申请不同网段的IP地址,并基于VLAN ID区分不同的业务。这就要求DHCP服务器支持为相同的MAC不同VLAN的用户分配IP地址。 如图1所示,配置DHCP服务器为DHCP Client动态分配IP地址。当DHCP服务器收到的用户报文的Tag为100时,通过网关地址10.10.10.1/24选择pool1地址池;当DHCP服务器收到的用户报文的Tag为200时,通过网关地址10.10.20.1/24选择pool2地址池。 目前DHCP服务器只支持通过不同地址池为相同MAC地址的用户分配地址。 图1 配置DHCP服务器支持相同MAC不同VLAN的用户上线组网图 本例中Interface1代表10GE1/0/1。 配置思路 DHCP服务器的配置思路如下: 配置用户上线接口的IP地址。 配置地址池的网关地址和地址段。 配置三层子接口。 数据准备 完成此配置举例,需要准备以下数据: 用户上线接口的IP地址。 网关地址。 地址段编号及范围。 操作步骤 配置用户上线接口的IP地址并使能接口的dhcp server功能  <HUAWEI> system-view [~HUAWEI] sysname DHCP Server [*HUAWEI] commit [~DHCP Server] interface 10ge 1/0/1 [~DHCP Server-10GE1/0/1] undo portswitch [*DHCP Server-10GE1/0/1] ip address 10.1.1.1 255.255.255.0 [*DHCP Server-10GE1/0/1] dhcp server enable [*DHCP Server-10GE1/0/1] commit [~DHCP Server-10GE1/0/1] quit   配置地址池的网关地址和地址段  # 配置地址池pool1。 [~DHCP Server] dhcp enable [*DHCP Server] ip pool pool1 [*DHCP Server-ip-pool-pool1] gateway-list 10.10.10.1 [……

    SE_YT 2025-06-17
    36 0 0

  • 锐捷S29下联哑终端无感知认证失败

    一、故障现象描述 现场反馈新上线的门禁可以正常获取IP地址,但是无法认证通过。 二、故障排查分析 从设备上可以看到端口下已经学习到了对应的Mac地址,但是没有认证表项,截图如下: 和现场沟通,现场是一个月前(8月27)上的门禁系统,当时已经接口1/0/4下面配置了1X认证以及Mab认证,但是没有在认证服务器上配置Mac地址表。可以判断门禁系统刚刚上线时由于认证服务器上没有添加Mac地址导致认证失败。 现场10月29日在现场认证服务器上添加对应的Mac地址后,发现依然无法正常进行认证。手动清除Mac地址表后,设备重新学习Mac地址后,可以正常进行认证。 通过分析,我司目前Mab认证只会发送一次认证,如果失败就不会在发送认证。而再次触发认证的条件是Mac地址老化后重新学习,才会再次发起认证。现场8月27日按照门禁后,门禁系统就一直运行,导致设备上Mac地址学习一直未老化,所以再认证服务器上配置对应Mac地址后依然无法认证。 三、故障根因说明 通过分析,我司目前Mab认证只会发送一次认证,如果失败就不会在发送认证。而再次触发认证的条件是Mac地址老化后重新学习,才会再次发起认证。现场8月27日按照门禁后,门禁系统就一直运行,导致设备上Mac地址学习一直未老化,所以再认证服务器上配置对应Mac地址后依然无法认证。 四、故障解决方案 手动删除Mac地址,让设备重新学习Mac地址。

    SE_You 2025-06-17
    62 0 0
首页上一页 3435363738 下一页尾页36/113