网络设备维护案例(页 2) - 网络 & 安全 - LoveUnix 最强AIX小机技术论坛,UNIX,Linux,存储,数据库,中间件,开发,管理

2005-1-15 09:49 zn8903

【条目标题】S3526 和s3026 组网导致环路的原因分析 【现象描述】组网:3526=======3026: 1)3526 和3026 E0/1 和E0/1接口对接,都做trunk透传vlan,3526 透传了vlan 15和其他业务vlan,3026没有透传vlan 15,只透传其他业务vlan.并且两端的E0/1的pvid都是1. 2)同时3526 vlan 7的一个access E0/7 连接接到3026的vlan 15的access E0/7,3026上没有配置vlan 7. 3)S3026 VLAN 15 包括 E0/7 和 E0/20 端口,pc挂接在E0/20 端口下. 4)导致目前3026下挂vlan 15用户不能正常使用 【告警信息】3026下挂vlan 15用户不能正常使用 【原因分析】对于SVL方式而言----交换机先根据目的MAC地址查MAC地址表，找到端口之后，然后判断这个端口所属的VLAN是否和报文携带的VLAN信息对应的VLAN相等，如果相等就转发，否则就丢弃。如果根据目的MAC没有找到对应的端口，则在报文所属的VLAN内进行广播。 而对于IVL而言----交换机根据MAC地址和VLAN信息一起查MAC地址表，如果找到对应的端口则转发，否则在报文所属的VLAN内进行广播。 因为3526是IVL转发方式 ,S3026 是SVL 方式. 环路造成的问题原因是: 1)3026 vlan 15的数据从上行的E0/7口出去,到3526端打上了vlan 7的vlan标识.然后3526通过E0/1口透传到3026. 2)3026收到该vlan 7数据报文后,不管3026上是否有该vlan 7的数据,3026都会从数据中学习到源mac,并且更新mac表项,发现数据包内没有匹配的vlan 则丢弃. 3)因为3026 是SVL 方式转发,那么同一个mac只能对应一个端口,所以原先该数据报文mac表项从下挂pc所在的端口 E0/20,现在更新到 E0/1,从而导致3026下挂pc数据不通.

2005-1-19 09:32 zn8903

【条目标题】因HGMP打开导致s2403h配置vlan 2047提示创建失败 【现象描述】两台新s2403h在配置vlan 2047提示创建失败，交换机上没有做任何的操作，创建其他的vlan则没有任何问题，如创建vlan 2048。 【告警信息】Creating VLAN fail! 【原因分析】因为HGMP V1是通过vlan 2047来传播报文的，所以肯定是HGMP占用了vlan 2047从而造成了无法创建。 【处理过程】重起交换机，按ctrl+b进入boot menu菜单，选择将hgmp关闭，再重起，问题解决。

2005-1-19 09:34 zn8903

【条目标题】NE05聚合的BGP路由邻居学不到 现象描述】组网： NE05－－CISCO12000 NE05在BGP相关配置中聚合两条路由： aggregate 221.7.44.0 255.255.255.0 detail-suppressed aggregate 221.7.45.0 255.255.255.0 detail-suppressed 结果BGP邻居只能学到221.7.44.0/24；学不到221.7.45.0/24 【告警信息】无 【原因分析】为什么同样是聚合，只有一条聚合成功呢？ BGP的路由聚合包括“手工聚合”和“自动聚合”，无论哪种聚合都要求在BGP路由表中至少存在一条“聚合”的“明细路由”，只有这样聚合才能生效。 检查发现：在BGP配置中，引入了direct路由，对于221.7.44.0，存在一条直联路由221.7.44.0/30，该路由被引入到BGP路由表中，因此可以聚合成功；而221.7.45.0，存在一条静态路由221.7.45.0/26，但是BGP没有引入静态路由，因此该路由无法被引入到BGP路由中，无法聚合。 【处理过程】1、检查配置 <NE05>disp ip rout 221.7.44.0 Destination/Mask Protocol Pre Cost Nexthop Interface 221.7.44.0/30 DIRECT 0 0 221.7.44.2 Virtual-Template0 221.7.44.0/24 AGGRE 130 0 127.0.0.1 InLoopBack0 221.7.32.0/20 BGP 170 2640 221.7.44.65 Pos4/1/0 221.7.32.0/19 BGP 170 2000 221.7.44.65 Pos4/1/0 0.0.0.0/0 BGP 170 0 221.7.44.65 Pos4/1/0 <NE05>disp ip rout 221.7.45.0 Destination/Mask Protocol Pre Cost Nexthop Interface 221.7.45.0/26 STATIC 60 0 221.7.44.10 Ethernet4/0/0 221.7.32.0/20 BGP 170 2640 221.7.44.65 Pos4/1/0 221.7.32.0/19 BGP 170 2000 221.7.44.65 Pos4/1/0 0.0.0.0/0 BGP 170 0 221.7.44.65 Pos4/1/0 <NE05>disp bgp rout 221.7.44.0 BGP route 221.7.44.0 From : local State : valid, sourced, best, Nexthop : 127.0.0.1 Origin : INC As-path : (null) Local aggregated <NE05>disp bgp rout 221.7.45.0 BGP route 221.7.32.0/20 From : 221.7.44.65(219.158.2.96) State : valid, external, best, Nexthop : 221.7.44.65 Origin : IGP As-path : 4837 Med : 2640 说明221.7.45.0/24没有聚合成功 3、因为BGP聚合成功要求BGP路由表中至少存在一条“聚合”的“明细路由”，因此配置221.7.45.0/24的黑洞路由，以network方式引入BGP，问题解决。

2005-1-19 09:37 zn8903

【条目标题】局域网计算机找不到邻居问题 【现象描述】用户反映他们的局域网计算机经过8016交换机后找不到远端网络的网上邻居 【告警信息】无 【原因分析】Windows系统的网络邻居是利用NETBIOS服务的UDP 137端口和TCP 139端口来实现的，查看8016交换机的配置，在以太网端口上应用了过滤病毒的访问控制列表，该列表中过滤了UDP的137端口和TCP的139端口的报文，造成网络邻居关系无法发现和建立。 【处理过程】在访问控制列表中去掉UDP137和TCP139端口的过滤规则后问题解决。

2005-3-3 10:23 zn8903

如何配置防病毒的控制列表? 【处理过程】A： 分以下三步来进行配置： 1、配置需要被过滤的病毒端口： rule-map r1 tcp any any equal 135 rule-map r2 udp any any equal 135 rule-map r3 tcp any any equal 139 rule-map r4 udp any any equal 139 rule-map r5 tcp any any equal 445 rule-map r6 udp any any equal 445 rule-map r7 tcp any any equal 539 rule-map r8 udp any any equal 539 rule-map r9 tcp any any equal 593 rule-map r10 udp any any equal 593 rule-map r11 udp any any equal 1434 rule-map r12 tcp any any equal 4444 rule-map r13 tcp any any equal 5554 rule-map r14 tcp any any equal 9995 rule-map r15 tcp any any equal 9996 rule-map r16 ip any any 2、配置EACL的访问规则： eacl a1 r1 deny eacl a1 r2 deny eacl a1 r3 deny eacl a1 r4 deny eacl a1 r5 deny eacl a1 r6 deny eacl a1 r7 deny eacl a1 r8 deny eacl a1 r9 deny eacl a1 r10 deny eacl a1 r11 deny eacl a1 r12 deny eacl a1 r13 deny eacl a1 r14 deny eacl a1 r15 deny eacl a1 r16 permit 3、在端口上下发： interface GigabitEthernet1/0/0 access-group eacl a1

2005-3-15 08:54 zn8903

华为路由器如何清空端口统计信息 <Quidway>reset counters interface 端口类型端口号

2005-3-17 16:21 zn8903

【条目标题】NE40 BGP中network引入了两个网段，却没有发布出去。 【现象描述】组网：NE40－－NE80 NE40和NE80之间启用BGP协议来学习路由，并且在同一个AS内。 NE40下接的设备使用192.168.100.0/24和192.168.101.0/24两个网段，现在业务还没有使用，想先将这两个网段发布出去，于是在NE40的BGP中配置了如下两条命令： network 192.168.100.0 0.0.0.255 network 192.168.101.0 0.0.0.255 配置完成之后，发现在NE80上学不到这两个网段的路由。 【告警信息】【原因分析】BGP中network命令的含义是将所配置网段的路由引入BGP。前提条件是这条路由必须在路由器的路由表中存在。 如果路由表中没有，而又需要发布出去，则可以在路由器上配置需要发布网段的黑洞路由来欺骗BGP。 在BGP中做路由聚合时也可以采取这样的方式，配置一条大网段的黑洞路由，仅将这条路由引入BGP，而不引入明细网段的路由。 【处理过程】1、查看路由，因为在用户的网络中这两个网段尚未启用，所以路由表中没有这两个网段的路由； 2、配置黑洞路由，欺骗BGP。 ip route 192.168.100.0 255.255.255.0 null0 ip route 192.168.101.0 255.255.255.0 null0 3、配置完成后，telnet NE80查看，NE80上学到了这两个网段的路由。

2005-3-21 11:20 zn8903

华为低端交换机配置不能保存，重起后恢复出厂配置， 查原因，交换机工作模式为HGMP， 改为LOCAL模式，恢复正常

2005-3-24 08:58 zn8903

【条目标题】NE40做过滤路由导致NAT转换失败 【现象描述】5801-->3552-->MA5200-->NE40-->Cisco 12000-->公网 5801下的用户获得私网地址后，在NE40上做NAT到公网，做强制WEB认证。 NE40与C12000起OSPF协议。 用户反映不能上网，在现场实测，发现可以在5200上获得私网地址，也能ping通网关，但无法访问Portal服务器作认证。 【告警信息】NE40下5200的WEB认证用户可以获得地址，但无法到达认证页面进行认证上网。 【原因分析】1、检查MA5200的数据配置，无异常情况，且下接用户可以获得正确的私网地址，打开任一网页时，因此时只能PING通网关，PING不通DNS和Portal服务器，但5200上却是将这几个地址加入了未认证通过用户的可访问列表中。 2、检查NE40上相关的NAT配置，并无异常配置，dis nat session能找到转换记录。说明NE40上NAT转换成功。但私网用户最远只可以ping到NE40上行对端设备的接口地址， 3、检查NE40上有配置用于NAT转换的地址指向NULL的黑洞路由。 4、询问局方，上行的C12000故障前没有作过任何操作。 5、在NE40上找到一个空闲的三层以太口，配置上NAT转换使用的其中一个地址，指定源地址ping公网，发现PING不通。在公网上tracert这个IP时，发现最后一跳到了一台C6509上，C6509挂在C12000的另一个端口上。 此时，可以明确是这段地址在NE40的上行设备上没有做回程路由。 【处理过程】1、联系局方，在C12000上配置一条回程路由后，故障消失，5200下用户可以正常上网。 2、但局方表示，C12000上从未配置过回程路由，故障前都是可以正常NAT的，这样看来，故障原因并非如此简单。 3、继续检查NE40上的配置，检查日志，发现NE40上有做过配置改动。仔细检查配置，发现这些配置是在NE40上建了一个策略路由，用于在NE40上滤掉私网路由。 相关配置如下： route-policy deny_private deny node 10 if-match acl 113 route-policy deny_private permit node 20 ospf import-route direct route-policy deny_private import-route static route-policy deny_private 但NE40上却没有ACL 113。NE40在应用这个路由策略时就做成了过滤掉所有的直联路由和静态路由。 做此配置之前能成功NAT的原因是因为做NAT必须配置的黑洞路由能成功地发布到对端的C12000上，解决了这个网段没有回程路由的问题。做了这个错误的路由策略导致上行的C12000学不到这个网段的路由，NAT出去之后找不到回程路由，用户上网失败。 至此，故障源找到，正确配置NE40，故障消除。

2005-4-11 08:55 zn8903

【条目标题】S6503是基于流的路由负载分担 【现象描述】1、S6503上配置了两条不同下一跳、同样优先级的默认路由，但出去的报文并未逐包负载分担到两条默认路由上。 2、操作见Solution中：操作实例1。 【告警信息】无 【原因分析】1、S6503是基于流的分担负载，6503只根据报文的目的IP地址最后三位奇偶的不同会选用不同的下一跳进行数据转发。 2、操作见Solution中：操作实例2。 【处理过程】1、操作实例1 Destination/Mask Protocol Pre Cost Nexthop Interface 0.0.0.0/0 STATIC 60 0 10.*.*.17 Vlan-interface10 10.*.*.33 Vlan-interface12 10.254.*.65/32 DIRECT 0 0 127.0.0.1 InLoopBack0 10.254.*.17/32 DIRECT 0 0 127.0.0.1 InLoopBack0 <S6503>tracert -a 10.254.*.65 1.1.1.1 traceroute to 1.1.1.1(1.1.1.1) 30 hops max,40 bytes packet 1 10.*.*.33 14 ms 9 ms 9 ms 2、操作实例2 <S6503>tracert -a 10.254.*.65 1.1.1.1 traceroute to 1.1.1.1(1.1.1.1) 30 hops max,40 bytes packet 1 10.*.*.33 14 ms 9 ms 9 ms 2 10.254.*.5 9 ms 9 ms 9 ms 3 202.103.*.145 10 ms 8 ms 9 ms <S6503>tracert -a 10.254.*.65 1.1.1.2 traceroute to 1.1.1.2(1.1.1.2) 30 hops max,40 bytes packet 1 10.*.*.17 14 ms 8 ms 9 ms 2 10.254.*.1 10 ms 9 ms 10 ms 3 202.103.*.145 9 ms 10 ms 9 ms <S6503>tracert -a 10.254.*.65 1.1.1.3 traceroute to 1.1.1.3(1.1.1.3) 30 hops max,40 bytes packet 1 10.*.*.33 14 ms 8 ms 9 ms 2 10.254.*.5 10 ms 8 ms 9 ms 3 202.103.*.145 10 ms 8 ms 12 ms <S6503>tracert -a 10.254.*.17 1.1.1.4 traceroute to 1.1.1.4(1.1.1.4) 30 hops max,40 bytes packet 1 10.*.*.17 14 ms 9 ms 9 ms 2 10.254.34.1 10 ms 8 ms 9 ms

2005-4-19 09:24 zn8903

条目标题】6506开启端口802.1X认证功能后，HGMP无法管理到此端口下挂的交换机 【现象描述】6506开启端口802.1X认证功能后，HGMP无法管理到此端口下挂的交换机 【原因分析】1、802.1x会对启动了802.1x的端口进行授权认证，只允许经过授权的端口转发报文。此时如果连接交换机的端口没有进行802.1x的授权和认证，HGMP报文将会被802.1x特性过滤，使管理设备无法获取下挂的交换机的MAC地址，从而管理设备无法对下挂的交换机进行管理。6506交换机上开启802.1X协议后，下挂的交换机的MAC地址对于开启802.1X协议的端口来说，也是非授权端口，所以关键问题就是让这个MAC地址合法化。 【处理过程】1、通过配置静态MAC地址来实现，在HGMP server上配置下挂交换机的MAC地址。 配置命令 系统视图： mac-address { static | dynamic } hw-addr interface { interface-name | interface-type interface-num } vlan vlan-id 2、交换机上启动HABP特性，HABP报文将会忽略端口上的802.1x认证，在交换机之间进行通信，从而使管理设备可以获取下挂交换机的MAC地址，对下挂的交换机进行管理。HABP包括HABP Server和HABP Client。一般情况下，Server会定期向Client发送HABP请求报文，收集下挂交换机的MAC地址。而Client会对请求报文进行应答，同时向下层交换机转发HABP请求报文。HABP Server一般应该在管理设备上启动，HABP client应该在下挂的交换机上启动。 配置命令 Server端配置 使能HABP特性： habp enable 配置当前交换机为HABP Server： habp server vlan vlan-id Client端配置 使能HABP特性： habp enab

2005-5-13 09:09 zn8903

[现象]组网：pc--5200--R2611--L3--L2--server，5200做lac，R2611做LNS，pc能正常拨号到路由器，也能ping通R2611的内网接口，但是ping不通L3，更ping不通server。 〔分析〕从现象来看，第一感觉就是对端L3没有给回程路由，但是因客观原因，L3无法配置回程路由，而pc又一定要访问server，只有通过对pc获取到的地址做nat来解决，也就是在R2611上对pc的地址池做nat。 〔〕 1.当在R2611的内网接口上配置了nat后，pc通过l2tp能ping通server. 2.但是pc在ping通server后,pc又无法打开网页。在R2611的虚模板下将tcp mss改为1024和快转关闭以及将内网接口的tcp mss改为1024后，问题解决。 因为pc打开网页时候会与server进行tcp的连接,连接成功后会进行两次滑动窗口的协商,一次是pc与server，一次是与网关，然后在两次协商里选择一个较小的值作为窗口来发送报文。可以采取ping -f来检测出整条链路上的路径mtu，然后将tcp mss改为路径mtu减去40，或者一个相近的值也可以是经验值，例如1024

2005-9-5 17:14 zn8903

路由器E1线的DB15和BNC(75欧同轴电缆)的连接对应关系如下： 两种E1电缆管脚连接关系 DB-15 BNC 管脚信号信号 9 TxTxTip 2 TxTxRing 10 TxShield- 8 RxRxTip 15 RxRxRing 7 RxShield -

2005-9-9 09:30 zn8903

组网：————（E0130.32.128.1/28）R3680_1(S3:0130.32.129.13）----(S3:0130.32.129.14)R3680_2———— 故障现象：在R3680_1上带源地址130.32.128.1/28pingR3680_2的130.32.129.14地址丢包。 一、打开debug调试开关 Quidway(config)#logging? bufferedSetbufferedloggingparameters consoleSetconsolelogginglevel hostSetlogginghostparameters monitorSetterminalline(monitor)logginglevel onEnableloggingtoallsupporteddestinations Quidway(config)#loggingon Quidway(config)#loggingmonitor 二、做acl匹配数据流 Quidway(config)#access-listnormal100permitip130.32.128.10.0.0.0130.32.129.140.0.0.0 Quidway(config)#access-listnormal100permitip130.32.129.140.0.0.0130.32.128.10.0.0.0 Quidway(config)#access-listnormal100denyipanyany 三、针对acl带开debug Quidway#debuippacket? <1-199>Access-listNumber Quidway#debuippacket100 四、进行测试： Quidway#ping-a130.32.128.1130.32.129.14 告警信息： 无 原因分析： 五、测试结果与处理。 R3680E_1 beijing#ping-a130.32.128.1130.32.129.14 PING130.32.129.14:56databytes,pressCTRL_Ctobreak IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=7791,Offset=0,TTL=255,Protocol=1,Chksum=56533 s=130.32.128.1,d=130.32.129.14,if=Serial3:0,Sending Replyfrom130.32.129.14:bytes=56Sequence=0ttl=255time=39ms IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=15697,Offset=0,TTL=255,Protocol=1,Chksum=1913 s=130.32.129.14,d=130.32.128.1,if=Serial3:0,Received Deliveredtohighlevelprotocol. IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=7795,Offset=0,TTL=255,Protocol=1,Chksum=0 s=130.32.128.1,d=130.32.129.14,if=Serial3:0,Sending Requesttimeout IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=7801,Offset=0,TTL=255,Protocol=1,Chksum=39636 s=130.32.128.1,d=130.32.129.14,if=Serial3:0,Sending Requesttimeout IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=7813,Offset=0,TTL=255,Protocol=1,Chksum=2 s=130.32.128.1,d=130.32.129.14,if=Serial3:0,Sending Replyfrom130.32.129.14:bytes=56Sequence=3ttl=255time=40ms IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=15711,Offset=0,TTL=255,Protocol=1,Chksum=63864 s=130.32.129.14,d=130.32.128.1,if=Serial3:0,Received Replyfrom130.32.129.14:bytes=56Sequence=4ttl=255time=40ms ---130.32.129.14pingstatistics--- 5packetstransmitted 3packetsreceived 40.00%packetloss round-tripmin/avg/max=39/39/40ms beijing# 处理过程： R3680E_1 guangzhou# IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=7791,Offset=0,TTL=255,Protocol=1,Chksum=59799 s=130.32.128.1,d=130.32.129.14,if=Serial3:0,Received Deliveredtohighlevelprotocol. IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=15697,Offset=0,TTL=255,Protocol=1,Chksum=59799 s=130.32.129.14,d=130.32.128.1,if=Serial3:0,Sending IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=7795,Offset=0,TTL=255,Protocol=1,Chksum=58775 s=130.32.128.1,d=130.32.129.14,if=Serial3:0,Received Deliveredtohighlevelprotocol. IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=15699,Offset=0,TTL=255,Protocol=1,Chksum=58775 s=130.32.129.14,d=130.32.128.1,if=Serial4:0,Sending IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=7801,Offset=0,TTL=255,Protocol=1,Chksum=57239 s=130.32.128.1,d=130.32.129.14,if=Serial3:0,Received Deliveredtohighlevelprotocol. IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=15707,Offset=0,TTL=255,Protocol=1,Chksum=57239 s=130.32.129.14,d=130.32.128.1,if=Serial4:0,Sending IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=7813,Offset=0,TTL=255,Protocol=1,Chksum=54167 s=130.32.128.1,d=130.32.129.14,if=Serial3:0,Received Deliveredtohighlevelprotocol. IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=15711,Offset=0,TTL=255,Protocol=1,Chksum=54167 s=130.32.129.14,d=130.32.128.1,if=Serial3:0,Sending IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=7817,Offset=0,TTL=255,Protocol=1,Chksum=53143 s=130.32.128.1,d=130.32.129.14,if=Serial3:0,Received Deliveredtohighlevelprotocol. IP:Version=4,HdrLen=5,TOS=0,TotalLen=84 ID=15713,Offset=0,TTL=255,Protocol=1,Chksum=53143 s=130.32.129.14,d=130.32.128.1,if=Serial3:0,Sending guangzhou# 从测试结果可以看出R3680_2回应R3680_1的报文部分从Serial4:0发送了出去，所以R3680_1无法收到，由此可以判定为R3680_2路由问题，在R3680_2上配置到130.32.128.1/28的静态路由下一条为130.32.129.13后问题解决。在R3680_1上带源地址130.32.128.1/28pingR3680_2的130.32.129.14地址正常不丢包。 建议与总结： 附件： 相关文章链接

2005-9-9 09:32 zn8903

现象描述： AR28做NAT转换后，私网PC用BIT下载特别慢只有十几Kbye/s，同一个PC用公网IP地址上网，采用BIT下载速度可以达到一两百Kbye/s。 告警信息： 无 原因分析： 1、BIT的下载原则是，连接数越多下载速度就越快。在下载的同时也上传文件。BIT的连接的建立分为两种情况，一种是PC主动发起的连接，另外一种其他下载者主动和PC发起的连接。BIT通过侦听端口来提供其他下载者的连接端口。 2、公网PC不仅可以通过种子来主动和其他BIT下载者建立连接来下载和上传文件，其他BIT下载者可以通过公网PC的BIT侦听端口来建立连接来下载和上传文件。而私网PC的BIT侦听端口在公网上是看不到的，所以只能通过种子来和其他BIT下载者建立连接，来下载和上传文件。所以私网PC的BIT连接数要少于公网的BIT连接数，这样导致私网PC的BIT下载速度要比公网PC的BIT下载速度慢了很多。 处理过程： 在路由器的公网接口上做nat server，为私网PC的BIT侦听端口做一个静态TCP端口的映射，把BIT的侦听端口号映射到公网IP地址上： nat server protocol tcp global X.X.X.X(公网地址)15338 inside Y.Y.Y.Y(私网地址）15338（侦听端口） 这样私网内的PC用BIT下载文件，不仅可以主动通过种子建立BIT连接，而且其他BIT下载者可以通过映射的侦听端口号和私网内的PC建立BIT连接，所以BIT的连接数增加很多，下载速度就便快了很多。

2005-9-19 08:49 zn8903

客户反映AR4680配置sub地址后运行ospf不能建立邻居。 处理： Wed,22Jun200509:11:00UTC CCR wy0481chenyuhong#126 Wed,22Jun200510:05:00UTC AgentL1 FW0991zhouwei#786 答复客户不能建立，原因是rfp规定sub地址被认为是stub网络，不发送hello报文，所以不能建立邻居，必须得更改网络ip规划，将邻居划到同一个网络，并运用主接口建立邻居。

2005-11-8 08:53 zn8903

某网吧用户做NAT访问外网时,一段时间出现业务中断，同时路由器有告警信息，然后业务又自动恢复。
组网：
网吧----------------（私网ETH1）R2621（ETH0公网）-----------------------Cisco2950
路由器告警:
%2005/09/30 13:52:37-NAT-6:
NAT: Fail to trans nat frag, src 61.147.119.135, dst 61.153.252.250, id 61513,
pro 17
%2005/09/30 13:52:37-ETHERNET-6:
Ethernet1: Received a unknown frame.
%2005/09/30 13:52:38-STANDBY-6:
ARP Add or update arp cache, IP:192.168.0.54,Ethernet:00-11-09-d8-62-c2
%2005/09/30 13:52:38-NAT-6:
NAT: Fail to trans nat frag, src 61.147.119.135, dst 61.153.252.250, id 63438,
pro 17
%2005/09/30 13:52:38-NAT-6:
NAT: Fail to trans nat frag, src 61.147.119.135, dst 61.153.252.250, id 64919,
pro 17
%2005/09/30 13:52:38-NAT-6:
NAT: Fail to trans nat frag, src 61.147.119.135, dst 61.153.252.250, id 65182,
pro 17
%2005/09/30 13:52:40-STANDBY-6:
ARP Add or update arp cache, IP:192.168.0.54,Ethernet:00-11-09-d8-62-c2
%2005/09/30 13:52:40-ETHERNET-6:
这种告警是从外网发往内网的分片报文乱序造成的（后续分片先于首片到达路由器）。
由于只有首片包含TCP/UDP的端口号，必须先根据首片确定NAT转换使用的Session表项，并记录在nat_frag表中，后续分片到达时根据nat_frag表中的记录，替换目的地址。
如果后续分片先到，在nat_frag表中查不到记录，就不作NAT转换，并打出这种调试信息。
配置nat fragbuffer enable使能乱序分片缓存功能（路由器缓存先到的后续分片，等首片到达后再发送），配置nat fragbuffer length指定分片缓存队列长度。
由于缓存队列长度有限，如果短时间收到大量乱序分片，队列填满之后再收到的分片也将不作NAT转换。
VRP1.74版本可以配置nat fragbuffer enable，配置nat fragbuffer length指定分片缓存队列长度。防止突发峰值流量时分片报文乱序造成业务中断。

2006-3-29 16:08 zn8903

网络设备上禁止telnet

对于配置了禁止Telnet的设备，对于Telnet终端，登录后将显示：
% connection refused by remote host!
在VTY视图下如下配置：
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] undo shell

2006-3-31 16:31 zn8903

NE08以太网子接口的限速
对以太子接口Ethernet3/2/0.1的进出所有流量分别限制为10M配置实例：
interface Ethernet3/2/0.1
  ip address 10.0.0.1 255.255.255.0
  vlan-type dot1q 2
  qos car inbound any cir 10000000 cbs 155000000 ebs 155000000 green pass red discard qos car outbound any cir 10000000 cbs 155000000 ebs 155000000 green pass red discard

2006-5-19 09:19 风雨同舟

在学习中

2006-5-30 20:38 spy2683

顶~~谢谢楼主~我会支持你的

2007-5-1 15:32 pyockee

:lu8:

2007-5-24 16:36 john37

学到了很多

2007-9-27 09:03 micky123

thanks a lot