华为学习案例(三)

一、各产品技术问题公告

　　1、Quidway S5516-0037版本发布公告
　　Quidway S5516-VRP3.10-0037作为正式版本发布，提供Quidway S5516新开局和升级使用，替代以前的版本使用。
　　主要解决了如下问题：
　　　堆叠口强制后即使不插线也UP的问题
　　　增加禁止ARP学习的功能
　　　ACL TIMERANGE不能配置星期的问题
　　　1X认证出现挂死的问题

　　2、Quidway 8040路由器VRP1.74-0112版本发布公告

　　Quidway 8040路由器VRP1.74-0112作为正式版本发布。该版本相对以前版本没有增加新特性，主要解决了以前版本存在的问题，增强了版本的稳定性。

　　3、关于QuidView V300R001 License申请流程的公告

　　Quidview以License的方式控制软件的使用，License限制Quidview所安装的机器以及可管理设备数量。Quidview基本组件自带节点数限制，如：Quidview设备管理系统自带25个节点的License，如果用户组网设备数量超过25台，可以通过购买扩容License解决，分为50/100/200/500/无限节点License。

　　注意：
　　如果主机网卡更换，则需要重新收集机器信息并重新申请License；一个License授权，只能用于一套网管，不可分拆，比如一个200节点的License授权，只能全部用在一套网管，不可分成两个100节点来分别用于两套网管，如果是这种情况，需要购买两个100节点的License授权。
Quidview网管系统销售的产品为带包装的光盘，附带License授权书。安装盘里包括Quidview软件，软件缺省使用期30天。
　　申请正式License的基本流程如下：
　　第一步：用户收到软件光盘。
　　第二步：用户安装软件。在软件被成功安装后，系统会在安装目录下自动生成HostID.dat文件，也可以通过命令重新收集主机标识文件，比如在Windows操作系统环境下，可以通过 [ 开始/ 程序/Quidview/Registration] 菜单项并选择“重新生成主机标识文件”重新生成HostID.dat文件（注意：此处需要选择HostID.dat文件的存放路径）。
　　第三步：填写《License申请表》。根据授权书信息填写《License申请表》，《License申请表》的填写注意事项请参见《License申请表》中的相关说明。申请表格可以在软件光盘的用户手册目录找到或登录华为3Com网站（ www.huawei-3com.com ）下载。
　　第四步：用户将正确生成的HostID.dat文件和填写完整的《License申请表》通过Email发给华为3Com技术有限公司（ License@huawei-3com.com ），Email标题请注明用户信息。
　　说明：由于 License@huawei-3com.com 邮箱对一些公共邮箱无法回复，推荐将HostID.dat文件传给当地工程师，由工程师转发保证及时回复。需要重新申请License时，如更换网卡、扩容申请等情况，需要将原License.dat授权文件、重新收集到的HostID.dat文件以及填写完整的《License申请表》一起发回。
　　第五步：华为3Com技术有限公司License中心根据用户信息生成License.dat文件。
　　第六步：License中心通过Email将License.dat注册文件发给用户。
　　第七步：用户使用注册工具进行注册。以windows操作系统环境为例：运行 [ 开始/ 程序/Quidview/Registration] 菜单项，在弹出的界面中选择“以License文件注册”，通过单击文件选择按钮选择需要使用的License文件，单击注册>按钮，就可以注册为正式版本。

　　4、关于S3552系列交换机0013版本存在内存泄漏问题的公告

　　在使用S3552系列交换机（S3528、S3552和S3552F）的0013版本时，因为设备上环回检测功能默认是打开的，如果设备上配置了trunk或者hybird端口，会发生设备内存丢失。当内存丢失到一定程度后，会导致设备自动重启。
　　规避及解决方法：目前只发现0013版本有该问题，0012以及之前的版本无此问题。因此，在使用S3552系列交换机0013版本的时候，如果设备上配置了trunk或者hybird端口，请关闭环回检测功能。或者使用已经发布的0015版本，可以解决该问题。

　　5、关于MA5200E/F 7138(包含SP02)版本组播业务不可用问题

　　问题描述：MA5200E/F 7138(包含SP02)版本，配置组播业务后，无法成功建立组播组。7138以前版本没有这个问题。
　　采取措施：R007以后版本已解决此问题。

　　6、关于MA5200G的2117/2121版本使用WEB认证时主机名配置过长可能导致系统异常的问题

　　问题描述：MA5200G VRP3.30-2117/2121，使用WEB认证时，如果主机名配置过长的时候可能导致用户WEB认证失败或系统异常重启。
　　采取措施：
　　规避方法：在使用WEB认证业务的时候，系统主机名配置不要超过11个字符（含11个字符）。
　　根本解决方法：2117/2121版本可以通过打上2100.02补丁来解决，以前版本不存在此问题

　　7、关于MA5200G对单板操作可能引起系统异常的问题

　　问题描述：MA5200G对业务板连续插拔或GE与FE互换时可能引起设备系统异常。
　　采取措施：对于连续插拔单板会导致主控板异常的问题，请工程师在现场操作时，尽量减少插拔的次数和频率，单板拔出来隔一定时间（建议20秒以上）再平稳缓慢地插入框中，可以有效避免此问题。对于FE和GE互换端口VLAN表项混乱的问题，对2117/2121版本可以通过打2100.02补丁来解决。

　　8、关于MA5200使用GE上行在突发流量较大时丢包和上网速度慢的问题

　　问题描述：MA5200使用GE上行时，如果链路有较大的突发流量，特别是存在VOD点播业务的时候，会出现上行丢包或上网速度慢的情况。
　　采取措施：对于问题一突发流量可以通过在上行设备做一个流量整形，让上行设备以一个平稳的速率传送报文，这样GE的处理能力可以达到双向400M。对于问题二当GE的流量已经达到400M左右时，受芯片的限制，没有其它办法可以改进，可能通过多HRB的方式来分担上行的流量。

　　二、学习案例

　　1、ATM E3 模块应用案例

　　基本信息
　　XX保险公司网络拓扑如下图所示。

　　　　　　　

　　网络规划
　　中心R3640使用一块ATM E3卡接入电信ATM网，各县一台C1720接入本地帧中继网。

　　主要配置
R3640配置：
#
interface Atm3/0
frame-format g832-adm
pvc max-number 100
#
interface Atm3/0.1
pvc mengzi 0/92
map ip 10.160.18.6 255.255.255.252 broadcast
description To MengZi
ip address 10.160.18.5 255.255.255.252

C1720配置：
interface Serial0.3 point-to-point
description Frame-relay to Honghe
backup delay 10 10
backup interface Serial1
ip address 10.160.18.6 255.255.255.252
frame-relay interface-dlci 16

ATM E3接口参数：
dis int atm
Atm3/0 current state :UP
Line protocol current state :UP
Description : Atm3/0 Interface
The Maximum Transmit Unit is 1500
Internet protocol processing : disabled
AAL enabled: AAL5, Maximum VCs: 100
Current VCs: 6 (0 on main interface)
Physical layer is ATM over E3
Scramble enabled, G.832 ADM frame format, clock slxdye, loopback not set
Atm3/0.1 current state :UP
Line protocol current state :UP
Description : To MengZi
The Maximum Transmit Unit is 1500
Internet Address is 10.160.18.5/30
Sub-interface type: multi-point, VCs on sub-interface: 1
Atm link check function: disable
Physical layer is ATM over E3
Scramble enabled, G.832 ADM frame format, clock slxdye, loopback not set
[Huawei-HongH]ping 10.160.18.14
PING 10.160.18.14: 56 data bytes, press CTRL_C to break
Reply from 10.160.18.14: bytes=56 Sequence=1 ttl=255 time=14 ms
Reply from 10.160.18.14: bytes=56 Sequence=2 ttl=255 time=14 ms
Reply from 10.160.18.14: bytes=56 Sequence=3 ttl=255 time=14 ms
Reply from 10.160.18.14: bytes=56 Sequence=4 ttl=255 time=15 ms
Reply from 10.160.18.14: bytes=56 Sequence=5 ttl=255 time=14 ms
0.00% packet loss
round-trip min/xdyg/max = 14/14/15 ms

　　备注
　　ATM网与FR网在电信端有专有互联设备，终端只要配置好本段即可。
　　电信网管可以看到终端ATM状态(up/down)，终端ATM E3参数要与电信端设备参数相匹配。

　　2、L2TP接入如何实现多用户分组

【客户需求】
　　企业或机构出差员工利用L2TP隧道技术，通过internet接入到其内部网络，希望对每个员工赋予不同的用户名，同时将用户分组，不同组的用户分配不同的接入地址，从而根据地址在内部网进行相关的权限控制。

【拓扑简介】
　　下面是一个简单的此类应用拓扑示意。财务部员工在外出差接入用户时允许查看部分财务服务器数据，而普通员工择只可以访问OA等普通服务器。

　　　　　　　

【实现方式】
　　对财务部员工在通过L2TP接入时，分配一个地址池地址如192.168.1.x网段，而对普通员工分配192.168.2.x网段。在内部通过ACL等方式控制不同网段的访问权限。
给员工分配地址时通过Radius服务器实现，shiva5.0等Radius服务器支持此类应用。本配置以shiva5.0做Radius服务器来进行。

【具体配置步骤】
　　1．内部安装一台shiva5.0的RADIUS服务器。指定Radius的认证和计费端口号以及认证KEY。
　　2．在Radius上创建不同的地址池。打开Shiva Access Manager，在options－IP Address Pool Manager上添加两个地址池，如下图：

　　　

　　 3．创建各个用户，并为之指定所用地址池。在Users－Manager Users界面下，打开general对话框，输入新的用户名，如zhangsan，指定password，在User Expiration Date选择Dec-31-2029（也可手工输入失效时间）。打开Radius对话框，在Attributed configured for user中点击”insert now”，Attribute选择”Framed-IP-Address”，Value中输入所指定的地址池名 >，如下图。

　　　

Radius配置完毕。

　　4．LNS上的配置与普通L2TP接入配置基本一致，只是要注意Radius的端口号。虚模板的地址注意要涵盖所有用户的网段，如192.168.0.0/16。如果地址分散，如一部分用户为172.16.1.x/24，一部分用户为192.168.1.x/24，则可加两个虚接口，分别定义地址为172.16.1.x/24网段和192.168.1./x网段，这样LNS就知道去往L2TP客户端应该走虚接口。或者只定义一个虚接口，而另一个网段则用手工添加路由的方式指定到该虚接口。
#
aaa enable
radius server 10.153.98.67 authentication-port 1645 accounting-port 1646
//配置Radius服务器地址和端口号
radius shared-key 123
#
aaa authentication-scheme ppp default radius
aaa accounting-scheme ppp default radius
//配置PPP用户采用Radius认证
#
interface Virtual-Template0
ppp authentication-mode pap
ip address 192.168.0.1 255.255.0.0
#
l2tp-group 1
undo tunnel authentication
allow l2tp virtual-template 0
#

　　5．L2TP客户端按普通的L2TP接入配置，使用时只要输入相应的用户名就可以得到预想的地址了。

　　3、S6503光电转换器连接vlan_vpn实现

【网络拓扑结构】

　　

【网络概况描述】
　　某单位使用华为3Com三台S6503作为核心设备，采用QINQ技术实现各下属单位局域网内相同VLAN之间的VLAN-VPN的访问。如上网络拓扑图所示：三台S6503之间通过光电转换器+光纤的连接方式进行主干线路的连接，为下属单位提供二层隧道的透明连接，下属各个单位均采用Cisco交换机，各单位通过VLAN-VPN技术实现私有VLAN之间互访。

【QINQ技术介绍】
　　QINQ是基于802.1 q封装的隧道协议的一种形象化的称呼，目前很多厂商的网络设备都能支持这个特性，但是由于该协议到目前为止还没有正式的标准，所以对它的称谓也是五花八门：Cisco称之为802.1q tunneling，Extreme称之为Virtual MAN或者vMANs，Riverstone称之为Stackable VLAN或者SVLAN，但是总的思想都是将用户私网vlan tag封装在公网vlan tag中， 报文带着两层tag穿越服务商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。

【网络问题描述】
　　该用户网络系统全网运行生成树协议，避免环路的产生。其中三台S6503之间运行RSTP协议，下属各个单位的CISCO交换机运行PVST协议。该网络在设置（用户和集成商自己做的配置）完毕运行几天后发现了以下问题：
　　下属单位Cisco组成的局域网中经常有出现cisco交换机死机或重启的现象；
　　下属各单位之间通过VLAN-VPN连接的网络经常有断线的现象，反映网络不稳定；
　　客户反映：
　　三台6503组成的主干网，当主干线路光纤出现问题断掉的时候，备用线路即S6503-B和S6503-C的主干线路不能正常启用，必须通过重启光电转换器或拔掉双绞线，有时候重启S6503交换机才能使网络恢复正常，此故障基本上每两天出现一次；

【信息收集】
　　到达现场通过收集各交换机的信息发现：
　　三台S6503交换机的配置为：S6503-A设置为STP优先级为0，作为stp root primary，S6503-B设置为STP优先级为4096，作为stp root second；每台交换机的第47和48端口为主干线路连接端口，设置为TRUNK端口，允许所有VLAN通过；其他端口为access端口，启动了VLAN VPN特性，但是通过display stp interface发现，启动了VLAN VPN特性的端口，RSTP仍然是enable的。同时，我们发现，三台S6503交换机之间的主干线路的接口上产生了很多的CRC错误，接口的速率和双工都为强制方式。

【理论分析及解决方案】
　　从上面收集到的交换机配置信息和故障现象，可以发现客户对交换机的配置有个明显的错误：运行VLAN-VPN的端口，不能运行stp/gvrp/802.1x等协议；PVST为CISCO的私有协议，与标准的STP不兼容，容易产生网络问题。
　　关于VLAN-VPN使用的注意事项里明确说明：
　　如果某端口的GVRP、GMRP、STP、802.1x、NTDP或NDP协议中的任一个已经启动，则不允许用户开启端口的VLAN VPN特性，即用户如果想在某个端口上应用VLAN-VPN特性，则不允许启动其他如GVRP、STP、802.1x等特性。
　　理论解释如下：VLAN VPN特性所使用的QINQ协议的基本思想是将用户私网VLAN TAG封装在公网VLAN TAG中， 报文带着两层TAG穿越服务商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。QINQ是一个非标准的协议，还不是很成熟，在某些方面还存在一些缺点，例如对STP、GVRP等二层协议的透传支持是一个较大的难题，如果将这些和普通数据报文一样带上公网TAG头（公网VLAN封装）进行传输会产生不可预料的问题，因为按照协议标准，带TAG的BPDU报文和GVRP协议报文都是非法报文，不能保证它能在公网上被正确透传。
　　根据上面提到的使用VLAN VPN需要注意的地方和理论解释分析，这是一种不正确的配置，会出现一些我们不可预料的网络问题。这些不可预料的问题会使网络产生一些奇特的现象，例如，客户反映的下属单位的一些用户不能正常通信、CISCO交换机无故死机等。
　　根据分析，把问题定位在光电转换器上面，虽然客户更换了光电转换器，但仍然为同一品牌的同一型号，且经过测试，光纤线路参数正常。但为什么会发生上面的stp计算正常，但不能够通信呢？我们怀疑是否因为CRC错误不断上升，使光电转换器发生了“死锁”呢？此时的问题是为什么端口会产生CRC错误呢，通过以前的故障排除，现在只有协商方式没有更改过了，在更改端口的速率和双工模式都为auto后，CRC错误消失了。通过更改协商方式后，进行了更多的测试，我们发现：无路哪条主干线路的那一段发生问题，stp都能够使备用线路正常切换成功，迅速恢复网络通信。
　　通过以上的配置更改，观察网络几天，没有出现任何问题。

【总结】
　　通过此网络的故障解决，得出了以下结论，供参考：
　　网络在启动VLAN VPN特性的时候，不能运行其他如GVRP、STP等协议，按照参考手册配置，不会出现问题；
　　PVST协议为cisco的私有协议，与标准的STP同时运行会产生不可预料的网络故障问题；
　　不同厂家的网络设备相连，特别需要根据实际情况，正确配置端口协商参数，避免设备兼容性问题引起其它故障问题；
　　在使用光电转换器的时候，最好启用光电告警功能，这样能够避免一些问题。

　　4、网络中包括隧道中都启用OSPF时在出口路由器上引入直链路由，当主链路DOWN掉后，隧道不通的案例

组网如图所示

　　

　　问题说明
　　如上图组网时，在整网中运行OSPF，包括TUNNEL上也运行了OSPF。NE08E到AR2811的２M是总部到地市的专线，AR46到AR2811的GRE　RUNNEL作为地市到总部的备份。
此时在AR46与AR2811的OSPF中都引入了直链路由，当NE08E到地市AR28的２M断掉时，我们期望的是AR2811通过与AR46的GRE　TUNNEL实现到总部资源的访问，但在此时会出现GRE不通的问题。

　　原因分析
　　在这种情况下，我们的TUNNEL是经过我们内部网络来建立的，因为我们在AR46与A28上面都作了OSPF的引入路由，管理距离为10，而这俩台设备上面到INTERNET的缺省路由管理距离为60，所以在建立通道时就选择了内部网络。我们TRACE时发现从AR46能够直接到达AR28，于是误以为备份的TUNNEL已经正确建立了。
　　当NE08E到AR2811的２M断掉时我们的TUNNEL就不通，在大多数情况下连TUNNEL的对端都PING不通，偶尔能通一下也是碰巧。原因在于：
　　首先从内网中失去了到对端公网出口地址的路由，这是通过静态的缺省路由能够到达。在这瞬间TUNNEL建立起来了，运气好的话PING　TUNNEL对端通了一下。就在此时，因为我们的TUNNEL上面运行了OSPF路由，而且引入了直连路由，那么我们到对端公网地址的路由就会改走TUNNEL了，但是TUNNEL是要走外部的缺省路由才建立的，所以便导致了我们的TUNNEL似乎建立起来了但是网络不通的问题。

　　解决方案
　　在出口的AR46与AR28上面取消OSPF的import direct，直连端口的路由可以通过OSPF的silence端口来实现。