【条目标题】S3526 和s3026 组网导致环路的原因分析
【现象描述】组网:3526=======3026:
1)3526 和3026 E0/1 和E0/1接口对接,都做trunk透传vlan,3526 透传了vlan 15和其他业务vlan,3026没有透传vlan 15,只透传其他业务vlan.并且两端的E0/1的pvid都是1.
2)同时3526 vlan 7的一个access E0/7 连接接到3026的vlan 15的access E0/7,3026上没有配置vlan 7.
3)S3026 VLAN 15 包括 E0/7 和 E0/20 端口,pc挂接在E0/20 端口下.
4)导致目前3026下挂vlan 15用户不能正常使用

【告警信息】3026下挂vlan 15用户不能正常使用

【原因分析】对于SVL方式而言----交换机先根据目的MAC地址查MAC地址表，找到端口之后，然后判断这个端口所属的VLAN是否和报文携带的VLAN信息对应的VLAN相等，如果相等就转发，否则就丢弃。如果根据目的MAC没有找到对应的端口，则在报文所属的VLAN内进行广播。
而对于IVL而言----交换机根据MAC地址和VLAN信息一起查MAC地址表，如果找到对应的端口则转发，否则在报文所属的VLAN内进行广播。

因为3526是IVL转发方式 ,S3026 是SVL 方式.

环路造成的问题原因是:
1)3026 vlan 15的数据从上行的E0/7口出去,到3526端打上了vlan 7的vlan标识.然后3526通过E0/1口透传到3026.
2)3026收到该vlan 7数据报文后,不管3026上是否有该vlan 7的数据,3026都会从数据中学习到源mac,并且更新mac表项,发现数据包内没有匹配的vlan 则丢弃.
3)因为3026 是SVL 方式转发,那么同一个mac只能对应一个端口,所以原先该数据报文mac表项从下挂pc所在的端口 E0/20,现在更新到 E0/1,从而导致3026下挂pc数据不通.

【条目标题】因HGMP打开导致s2403h配置vlan 2047提示创建失败
【现象描述】两台新s2403h在配置vlan 2047提示创建失败，交换机上没有做任何的操作，创建其他的vlan则没有任何问题，如创建vlan 2048。
【告警信息】Creating VLAN fail!
【原因分析】因为HGMP V1是通过vlan 2047来传播报文的，所以肯定是HGMP占用了vlan 2047从而造成了无法创建。
【处理过程】重起交换机，按ctrl+b进入boot menu菜单，选择将hgmp关闭，再重起，问题解决。

【条目标题】NE05聚合的BGP路由邻居学不到
现象描述】组网：
NE05－－CISCO12000
NE05在BGP相关配置中聚合两条路由：
aggregate 221.7.44.0 255.255.255.0 detail-suppressed
aggregate 221.7.45.0 255.255.255.0 detail-suppressed
结果BGP邻居只能学到221.7.44.0/24；学不到221.7.45.0/24
【告警信息】无
【原因分析】为什么同样是聚合，只有一条聚合成功呢？
BGP的路由聚合包括“手工聚合”和“自动聚合”，无论哪种聚合都要求在BGP路由表中至少存在一条“聚合”的“明细路由”，只有这样聚合才能生效。
检查发现：在BGP配置中，引入了direct路由，对于221.7.44.0，存在一条直联路由221.7.44.0/30，该路由被引入到BGP路由表中，因此可以聚合成功；而221.7.45.0，存在一条静态路由221.7.45.0/26，但是BGP没有引入静态路由，因此该路由无法被引入到BGP路由中，无法聚合。
【处理过程】1、检查配置
<NE05>disp ip rout 221.7.44.0
Destination/Mask Protocol Pre Cost Nexthop Interface
221.7.44.0/30 DIRECT 0 0 221.7.44.2 Virtual-Template0
221.7.44.0/24 AGGRE 130 0 127.0.0.1 InLoopBack0
221.7.32.0/20 BGP 170 2640 221.7.44.65 Pos4/1/0
221.7.32.0/19 BGP 170 2000 221.7.44.65 Pos4/1/0
0.0.0.0/0 BGP 170 0 221.7.44.65 Pos4/1/0

<NE05>disp ip rout 221.7.45.0
Destination/Mask Protocol Pre Cost Nexthop Interface
221.7.45.0/26 STATIC 60 0 221.7.44.10 Ethernet4/0/0
221.7.32.0/20 BGP 170 2640 221.7.44.65 Pos4/1/0
221.7.32.0/19 BGP 170 2000 221.7.44.65 Pos4/1/0
0.0.0.0/0 BGP 170 0 221.7.44.65 Pos4/1/0

<NE05>disp bgp rout 221.7.44.0
BGP route 221.7.44.0
From : local
State : valid, sourced, best,
Nexthop : 127.0.0.1
Origin : INC
As-path : (null)
Local aggregated

<NE05>disp bgp rout 221.7.45.0
BGP route 221.7.32.0/20
From : 221.7.44.65(219.158.2.96)
State : valid, external, best,
Nexthop : 221.7.44.65
Origin : IGP
As-path : 4837
Med : 2640
说明221.7.45.0/24没有聚合成功
3、因为BGP聚合成功要求BGP路由表中至少存在一条“聚合”的“明细路由”，因此配置221.7.45.0/24的黑洞路由，以network方式引入BGP，问题解决。

【条目标题】局域网计算机找不到邻居问题
【现象描述】用户反映他们的局域网计算机经过8016交换机后找不到远端网络的网上邻居
【告警信息】无
【原因分析】Windows系统的网络邻居是利用NETBIOS服务的UDP 137端口和TCP 139端口来实现的，查看8016交换机的配置，在以太网端口上应用了过滤病毒的访问控制列表，该列表中过滤了UDP的137端口和TCP的139端口的报文，造成网络邻居关系无法发现和建立。
【处理过程】在访问控制列表中去掉UDP137和TCP139端口的过滤规则后问题解决。

如何配置防病毒的控制列表?
【处理过程】A：
分以下三步来进行配置：
1、配置需要被过滤的病毒端口：
rule-map r1 tcp any any equal 135
rule-map r2 udp any any equal 135
rule-map r3 tcp any any equal 139
rule-map r4 udp any any equal 139
rule-map r5 tcp any any equal 445
rule-map r6 udp any any equal 445
rule-map r7 tcp any any equal 539
rule-map r8 udp any any equal 539
rule-map r9 tcp any any equal 593
rule-map r10 udp any any equal 593
rule-map r11 udp any any equal 1434
rule-map r12 tcp any any equal 4444
rule-map r13 tcp any any equal 5554
rule-map r14 tcp any any equal 9995
rule-map r15 tcp any any equal 9996
rule-map r16 ip any any
2、配置EACL的访问规则：
eacl a1 r1 deny
eacl a1 r2 deny
eacl a1 r3 deny
eacl a1 r4 deny
eacl a1 r5 deny
eacl a1 r6 deny
eacl a1 r7 deny
eacl a1 r8 deny
eacl a1 r9 deny
eacl a1 r10 deny
eacl a1 r11 deny
eacl a1 r12 deny
eacl a1 r13 deny
eacl a1 r14 deny
eacl a1 r15 deny
eacl a1 r16 permit
3、在端口上下发：
interface GigabitEthernet1/0/0
access-group eacl a1

华为路由器如何清空端口统计信息
<Quidway>reset counters interface 端口类型 端口号

【条目标题】NE40 BGP中network引入了两个网段，却没有发布出去。
【现象描述】组网：NE40－－NE80
NE40和NE80之间启用BGP协议来学习路由，并且在同一个AS内。
NE40下接的设备使用192.168.100.0/24和192.168.101.0/24两个网段，现在业务还没有使用，想先将这两个网段发布出去，于是在NE40的BGP中配置了如下两条命令：
network 192.168.100.0 0.0.0.255
network 192.168.101.0 0.0.0.255
配置完成之后，发现在NE80上学不到这两个网段的路由。

【告警信息】【原因分析】BGP中network命令的含义是将所配置网段的路由引入BGP。前提条件是这条路由必须在路由器的路由表中存在。
如果路由表中没有，而又需要发布出去，则可以在路由器上配置需要发布网段的黑洞路由来欺骗BGP。
在BGP中做路由聚合时也可以采取这样的方式，配置一条大网段的黑洞路由，仅将这条路由引入BGP，而不引入明细网段的路由。

【处理过程】1、查看路由，因为在用户的网络中这两个网段尚未启用，所以路由表中没有这两个网段的路由；
2、配置黑洞路由，欺骗BGP。
ip route 192.168.100.0 255.255.255.0 null0
ip route 192.168.101.0 255.255.255.0 null0
3、配置完成后，telnet NE80查看，NE80上学到了这两个网段的路由。

华为低端交换机配置不能保存，重起后恢复出厂配置，
查原因，交换机工作模式为HGMP，
改为LOCAL模式，恢复正常

【条目标题】NE40做过滤路由导致NAT转换失败

【现象描述】5801-->3552-->MA5200-->NE40-->Cisco 12000-->公网
5801下的用户获得私网地址后，在NE40上做NAT到公网，做强制WEB认证。
NE40与C12000起OSPF协议。
用户反映不能上网，在现场实测，发现可以在5200上获得私网地址，也能ping通网关，但无法访问Portal服务器作认证。
【告警信息】NE40下5200的WEB认证用户可以获得地址，但无法到达认证页面进行认证上网。
【原因分析】1、检查MA5200的数据配置，无异常情况，且下接用户可以获得正确的私网地址，打开任一网页时，因此时只能PING通网关，PING不通DNS和Portal服务器，但5200上却是将这几个地址加入了未认证通过用户的可访问列表中。
2、检查NE40上相关的NAT配置，并无异常配置，dis nat session能找到转换记录。说明NE40上NAT转换成功。但私网用户最远只可以ping到NE40上行对端设备的接口地址，
3、检查NE40上有配置用于NAT转换的地址指向NULL的黑洞路由。
4、询问局方，上行的C12000故障前没有作过任何操作。
5、在NE40上找到一个空闲的三层以太口，配置上NAT转换使用的其中一个地址，指定源地址ping公网，发现PING不通。在公网上tracert这个IP时，发现最后一跳到了一台C6509上，C6509挂在C12000的另一个端口上。
此时，可以明确是这段地址在NE40的上行设备上没有做回程路由。
【处理过程】1、联系局方，在C12000上配置一条回程路由后，故障消失，5200下用户可以正常上网。
2、但局方表示，C12000上从未配置过回程路由，故障前都是可以正常NAT的，这样看来，故障原因并非如此简单。
3、继续检查NE40上的配置，检查日志，发现NE40上有做过配置改动。仔细检查配置，发现这些配置是在NE40上建了一个策略路由，用于在NE40上滤掉私网路由。
相关配置如下：
route-policy deny_private deny node 10
if-match acl 113
route-policy deny_private permit node 20
ospf
import-route direct route-policy deny_private
import-route static route-policy deny_private
但NE40上却没有ACL 113。NE40在应用这个路由策略时就做成了过滤掉所有的直联路由和静态路由。
做此配置之前能成功NAT的原因是因为做NAT必须配置的黑洞路由能成功地发布到对端的C12000上，解决了这个网段没有回程路由的问题。做了这个错误的路由策略导致上行的C12000学不到这个网段的路由，NAT出去之后找不到回程路由，用户上网失败。
至此，故障源找到，正确配置NE40，故障消除。

【条目标题】S6503是基于流的路由负载分担
【现象描述】1、S6503上配置了两条不同下一跳、同样优先级的默认路由，但出去的报文并未逐包负载分担到两条默认路由上。
2、操作见Solution中：操作实例1。
【告警信息】无
【原因分析】1、S6503是基于流的分担负载，6503只根据报文的目的IP地址最后三位奇偶的不同会选用不同的下一跳进行数据转发。
2、操作见Solution中：操作实例2。
【处理过程】1、操作实例1
Destination/Mask Protocol Pre Cost Nexthop Interface
0.0.0.0/0 STATIC 60 0 10.*.*.17 Vlan-interface10
10.*.*.33 Vlan-interface12
10.254.*.65/32 DIRECT 0 0 127.0.0.1 InLoopBack0
10.254.*.17/32 DIRECT 0 0 127.0.0.1 InLoopBack0
<S6503>tracert -a 10.254.*.65 1.1.1.1
traceroute to 1.1.1.1(1.1.1.1) 30 hops max,40 bytes packet
1 10.*.*.33 14 ms 9 ms 9 ms

2、操作实例2
<S6503>tracert -a 10.254.*.65 1.1.1.1
traceroute to 1.1.1.1(1.1.1.1) 30 hops max,40 bytes packet
1 10.*.*.33 14 ms 9 ms 9 ms
2 10.254.*.5 9 ms 9 ms 9 ms
3 202.103.*.145 10 ms 8 ms 9 ms

<S6503>tracert -a 10.254.*.65 1.1.1.2
traceroute to 1.1.1.2(1.1.1.2) 30 hops max,40 bytes packet
1 10.*.*.17 14 ms 8 ms 9 ms
2 10.254.*.1 10 ms 9 ms 10 ms
3 202.103.*.145 9 ms 10 ms 9 ms

<S6503>tracert -a 10.254.*.65 1.1.1.3
traceroute to 1.1.1.3(1.1.1.3) 30 hops max,40 bytes packet
1 10.*.*.33 14 ms 8 ms 9 ms
2 10.254.*.5 10 ms 8 ms 9 ms
3 202.103.*.145 10 ms 8 ms 12 ms

<S6503>tracert -a 10.254.*.17 1.1.1.4
traceroute to 1.1.1.4(1.1.1.4) 30 hops max,40 bytes packet
1 10.*.*.17 14 ms 9 ms 9 ms
2 10.254.34.1 10 ms 8 ms 9 ms

条目标题】6506开启端口802.1X认证功能后，HGMP无法管理到此端口下挂的交换机
【现象描述】6506开启端口802.1X认证功能后，HGMP无法管理到此端口下挂的交换机
【原因分析】1、802.1x会对启动了802.1x的端口进行授权认证，只允许经过授权的端口转发报文。此时如果连接交换机的端口没有进行802.1x的授权和认证，HGMP报文将会被802.1x特性过滤，使管理设备无法获取下挂的交换机的MAC地址，从而管理设备无法对下挂的交换机进行管理。6506交换机上开启802.1X协议后，下挂的交换机的MAC地址对于开启802.1X协议的端口来说，也是非授权端口，所以关键问题就是让这个MAC地址合法化。
【处理过程】1、通过配置静态MAC地址来实现，在HGMP server上配置下挂交换机的MAC地址。
配置命令
系统视图：
mac-address { static | dynamic } hw-addr interface { interface-name | interface-type interface-num } vlan vlan-id

2、交换机上启动HABP特性，HABP报文将会忽略端口上的802.1x认证，在交换机之间进行通信，从而使管理设备可以获取下挂交换机的MAC地址，对下挂的交换机进行管理。HABP包括HABP Server和HABP Client。一般情况下，Server会定期向Client发送HABP请求报文，收集下挂交换机的MAC地址。而Client会对请求报文进行应答，同时向下层交换机转发HABP请求报文。HABP Server一般应该在管理设备上启动，HABP client应该在下挂的交换机上启动。

配置命令
Server端配置
使能HABP特性： habp enable
配置当前交换机为HABP Server： habp server vlan vlan-id

Client端配置
使能HABP特性： habp enab

[现象]组网：pc--5200--R2611--L3--L2--server，5200做lac，R2611做LNS，pc能正常拨号到路由器，也能ping通R2611的内网接口，但是ping不通L3，更ping不通server。
〔分析〕从现象来看，第一感觉就是对端L3没有给回程路由，但是因客观原因，L3无法配置回程路由，而pc又一定要访问server，只有通过对pc获取到的地址做nat来解决，也就是在R2611上对pc的地址池做nat。
〔〕
1.当在R2611的内网接口上配置了nat后，pc通过l2tp能ping通server.
2.但是pc在ping通server后,pc又无法打开网页。在R2611的虚模板下将tcp mss改为1024和快转关闭以及将内网接口的tcp mss改为1024后，问题解决。
因为pc打开网页时候会与server进行tcp的连接,连接成功后会进行两次滑动窗口的协商,一次是pc与server，一次是与网关，然后在两次协商里选择一个较小的值作为窗口来发送报文。可以采取ping -f来检测出整条链路上的路径mtu，然后将tcp mss改为路径mtu减去40，或者一个相近的值也可以是经验值，例如1024