华为常见基础问题

如何清除设备当前配置文件的用户配置信息在用户视图下使用resetsaved-configuration命令，可删除交换机当前配置文件中的用户信息。

当配置文件的文件内容被擦除后，将创建相同名字的空配置文件，并加载HGMP初始配置文件。保存配置信息，当Switch重新启动之后，加载的为HGMP缺省的使能配置。

resetsaved-configuration一般在以下情况下使用：将一台已经配置过的交换机用于新的应用环境，原有的配置文件不能适应新环境的需求时，需要对交换机重新配置，这时使用resetsaved-configuration可以清除配置文件的用户配置信息后，重新配置交换机。

说明：在配置resetsaved-configuration命令后，重启设备时请选择不保存当前配置文件。

清除和重新配置的信息只能在设备重新启动后生效，当前配置不变。如何清空用户当前工作路径中被删除到回收站的文件

使用resetrecycle-bin[filename]命令，可彻底删除回收站中的文件。回收站中的文件被彻底删除后，将不可恢复交换机缺省的bootrom密码是什么

交换机系统启动bootrom时，在2秒内按下“CTRL＋B”，此处需要输入密码才能进入BOOTROM菜单。默认密码为“huawei”。查看Flash中的默认文件时，除了默认的启动软件和配置文件，其他的分别是什么文件

设备上电时，默认从Flash存储器中读取配置文件进行初始化。在用户视图下执行dirflash:时，显示信息如下：

<Quidway>dirflash:

Directoryofflash:/

IdxAttrSize(Byte)DateTimeFileName

0-rw-812Jan01200800:00:56private-data.txt

1-rw-948Jan01200807:16:55vrpcfg.zip

2-rw-90,602Jan03200803:58:15v100r005sph001.pat

3-rw-6,418,980Jan19200820:19:42s2300-v100r005c01.cc

4-rw-12,240Jan03200804:52:43$_patchstate_reboot

14,632KBtotal(8,228KBfree)显示信息中：

private-data.txt：用来保存业务初始化数据的文件。部分任务的初始化数据与配置无关（比如设备的重启次数），无法记录在配置文件中，使用该文件记录。

$_patchstate_reboot：补丁状态文件。设备运行过补丁时，该状态文件将会产生。该文件生成以后，受系统保护，不允许删除，将记录以后所有的补丁的状态（active，run等）。

某些情况下，Flash中还会存在一个notilogindex.txt的文件。系统启动后，若设备上配置了Inform方式告警的目标主机，会将该文件中的数值作为初始流水号，作为报文的requestID字段值。SNMP任务启动后，开始计时，每12小时刷新一次该文件。如何将S2300的配置清空

在S2300交换机上使用resetsave-configuration命令重启设备，设备启动后配置不为空。例如，端口下会存在bpduenable等。

要完全清空S2300的配置必须要删除flash中的vrpcfg.cfg文件后重启才能实现。在运行状态中，无法用命令删除vrpcfg.cfg文件，该文件被视作系统文件而禁止删除，如果要强制删除，需要在bootroom菜单下操作，具体步骤如下：

重启交换机，按ctrl+b进入bootroom菜单，输入默认密码huawei。

按ctrl+z进入隐含菜单，选择2可删除flash中文件。

选择删除vrpcfg.cfg文件后重启设备，操作完成。交换机通过console口登录的低权限用户能否有默认的super密码

默认配置下，交换机使用console登录后的权限为最高。

如果用户通过console登录后，又配置了本地认证，且用户级别低，在没有配置super密码的情况下，可以通过执行super命令可获取最高权限。如果已经配置了super密码，那么以上操作将不再生效。交换机正常工作溫度应该为多少

S2300温度范围：

长期工作温度-5°C～50°C

短期工作温度-5°C～55°C

存储温度-40°C～70°C

S3300温度范围：

长期工作温度0°C～50°C

短期工作温度-5°C～55°C

存储温度-40°C～70°C

S5300温度范围：

长期工作温度0°C～50°C

短期工作温度-5°C～55°C

存储温度-40°C～70°C

通过命令行displayenvironment看到的当前温度是监控温度（监控温度并非实际的环境温度，而是设备内部的高温点）。

只要没有告警，设备是属于正常工作，没有超出工作温度范围。

说明：

可以通过temperaturethreshold命令设置设备的告警温度门限值。可以通过displayenvironment命令查看设备的告警温度门限值及当前温度。S2300/S3300/S5300如何配置限制接口学习MAC地址的数量

背景信息

配置限制接口学习MAC地址的数量时，请注意如下几点：

V100R005之前的版本，在配置限制接口学习MAC地址的数量前，必须先在系统视图下配置mac-addressrestrict命令使能设备的MAC地址学习限制功能，V100R005版本没有此要求。

V100R005版本接口安全功能与基于接口的MAC地址学习限制功能相冲突。配置接口安全功能后，不能在该接口下配置MAC地址学习限制。

V100R005之前的版本，在配置接口安全功能前，必须先完成如下配置：

在系统视图下使用mac-addressrestrict命令使能设备的MAC地址学习限制功能。

在接口视图下使用mac-tablelimit命令配置限制接口学习MAC地址的数量。

下面的操作步骤和举例以V100R005版本的实现进行说明。

操作步骤

执行命令system-view，进入系统视图。

执行命令interfaceinterface-typeinterface-number，进入接口视图。

执行命令mac-limitmaximummax-num，限制接口的MAC地址学习数量。

缺省情况下，不限制MAC地址学习数量。当学习到的MAC地址数达到接口限制数时，接口将丢弃源地址在MAC表以外的报文，同时发出trap告警。

如果需要更改接口在学习到的MAC地址数达到接口限制数时，对源地址在MAC表以外的报文的处理动作，可以执行port-securityenable命令使能接口的安全保护功能，然后执行port-securityprotect-action{protect|restrict|shutdown}命令设置当MAC地址数量达到限制后接口采取的安全保护动作。接口安全功能的保护动作有如下三种：

protect

当学习到的MAC地址数达到接口限制数时，接口将丢弃源地址在MAC表以外的报文。

restrict

当学习到的MAC地址数达到接口限制数时，接口将丢弃源地址在MAC表以外的报文，同时发出trap告警。

shutdown

当学习到的MAC地址数达到接口限制数时，接口将执行shutdown操作。

举例：配置接口只能学习一个MAC地址，接口学习超过一个MAC地址后，对源地址在MAC表以外的报文采用protect的处理动作。

<Quidway>system-view[Quidway]interfaceethernet0/0/1[Quidway-Ethernet0/0/1]port-securityenable[Quidway-Ethernet0/0/1]port-securityprotect-actionprotect如何配置链路聚合的负载分担方式

链路聚合的负载分担方式的配置方法：

V100R001版本

在Eth-Trunk接口视图下使用load-balance{dmac|smac|smacxordmac}命令配置链路的负载分担方式。

缺省情况下，Eth-Trunk接口的负载分担模式为smacxordmac。

V100R002、V100R003版本

在Eth-Trunk接口视图下使用load-balance{dmac|smac|smacxordmac|sip|dip|sipxordip}命令配置链路的负载分担方式。

缺省情况下，Eth-Trunk接口的负载分担模式为smacxordmac。

V100R005版本

在Eth-Trunk接口视图下使用load-balance{dst-ip|dst-mac|src-ip|src-mac|src-dst-ip|src-dst-mac}命令配置链路的负载分担方式。

缺省情况下，Eth-Trunk接口的负载分担模式为src-dst-mac。交换机如何设置接口的流量统计时间间隔

通过使用setflow-statinterval命令设置接口的流量统计时间间隔，用户可以对感兴趣的报文进行统计与分析。同时，通过预先查看接口的流量统计，及时采取流量控制的措施，可以避免网络拥塞和业务中断。

当用户发现网络有拥塞加剧的情况时，将接口的流量统计时间间隔设置为小于300秒（情况紧急时，设置为30秒），观察接口在短时间内的流量分布情况。对于导致拥塞的数据报文，采取流量控制措施。

当网络带宽充裕，业务运行正常时，可以将接口的流量统计时间间隔设置为大于300秒。一旦发现有流量参数异常的情况，及时修改流量统计时间间隔，便于更实时的观察该流量参数的趋势。

说明：

在系统视图下配置的接口流量统计时间间隔对接口下的时间间隔为缺省值的所有接口都生效。

在接口视图下配置的接口流量统计时间间隔只对本接口生效，不影响其他接口。

在接口视图下配置的时间间隔的优先级高于在系统视图下配置的时间间隔。清除端口的报文统计，为什么会影响流量计费的结果

流量计费的依据就是各个端口的报文统计，使用resetcountersinterface清除端口的报文统计，会对流量计费的结果产生影响。因此，在正常的应用环境中，请不要随意进行清除端口报文统计的操作。为什么用于复杂流分类匹配的ACL，使用displayacl命令没有计数

对于流策略而言，可以通过在其流行为中增加一个count动作来对匹配该ACL的报文进行计数。displayacl中的matched显示的是对主控cpu匹配的报文进行统计，而不是流策略的统计计数。因此在有大量匹配了该ACL的报文通过时，使用命令displayacl统计计数一直是0。配置交换机限速时，cir和cbs的关系是什么

配置交换机限速时，cir和cbs的关系如下：

cbs要大于报文的最大长度。

在连续流量的情况下对于cbs没有特殊的要求，保证平均速率是cir的速率。

在突发流量需要保证的情况下，如果cbs换算成kbit小于cir，那么cbs也无法保证突发流量。否则cbs可以配置大一些。

在对FTP业务进行限速时，由于FTP属于TCP业务，TCP协议有其特殊的传输机制导致流量无法达到所应该达到的限速速率，推荐配置：

CBS=200*CIR

PBS=2*CBS

说明：

不配置PIR，只配置CIR、CBS、PBS。

CIR单位为Kbps，CBS、PBS单位为Byte。

例如：配置CIR带宽为2M=2048Kbps，则：

CBS=200*CIR=200*2048=409600

PBS=2*CBS=2*409600=819200

配置如下：

[Quidway-behavior-b1]carcir2048pir2048cbs409600pbs8192000greenpassremark-8021p5yellowpassreddiscardS2300&S3300&S5300如何配置限速

在配置限速时，推荐：

不配置PIR，只配置CIR、CBS、PBS。

CBS=200*CIR。

PBS=2*CBS=2*200*CIR=400*CIR。

其中，CIR单位为Kbps，CBS、PBS单位为Byte。

配置出方向端口限速，限速10M

在V100R003C01以前的版本，配置如下：

[Quidway]interfaceethernet0/0/1

[Quidway-Ethernet0/0/1]qoslrcir10240cbs2048000在V100R003C01及以后的版本，配置如下：

[Quidway]interfaceethernet0/0/1

[Quidway-Ethernet0/0/1]qoslroutboundcir10240cbs2048000配置入方向限速，限速10M

在V100R003C01以前的版本，配置如下：

[Quidway]trafficclassifierc1

[Quidway-classifier-c1]if-matchany

[Quidway-classifier-c1]quit

[Quidway]trafficbehaviorb1

[Quidway-behavior-b1]permit

[Quidway-behavior-b1]carcir10240cbs2048000pbs4096000

[Quidway-behavior-b1]quit

[Quidway]trafficpolicyc1

[Quidway-trafficpolicy-c1]classifierc1behaviorb1

[Quidway-trafficpolicy-c1]quit

[Quidway]interfaceethernet0/0/1

[Quidway-Ethernet0/0/1]traffic-policyc1inbound在V100R003C01及以后的版本，配置如下：

[Quidway]interfaceethernet0/0/1

[Quidway-Ethernet0/0/1]qoslrinboundcir10240cbs2048000说明：

流策略可以应用在物理接口视图、Eth-Trunk视图、VLAN视图（端口共享带宽）。

S5300中，物理接口为GigabitEthernet接口。S2300&S3300&S5300如何配置流量统计

假设需要统计接口Ethernet0/0/1上源IP地址为/24网段的Ping报文，配置如下：

#配置ACL规则。

[Quidway]aclnumber3333

[Quidway-acl-adv-3333]rule5permiticmpsource55

[Quidway-acl-adv-3333]quit

#配置流分类。

[Quidway]trafficclassifiertest

[Quidway-classifier-test]if-matchacl3333

[Quidway-classifier-test]quit

#配置流行为。

S2300&S3300&S5300V100R005以前版本

[Quidway]trafficbehaviortest

[Quidway-behavior-test]count

[Quidway-behavior-test]quitS2300&S3300&S5300V100R005以后版本

[Quidway]trafficbehaviortest

[Quidway-behavior-test]statisticenable

[Quidway-behavior-test]quit#配置流策略。

[Quidway]trafficpolicytest

[Quidway-trafficpolicy-test]classifiertestbehaviortest

[Quidway-trafficpolicy-test]quit应用流策略。

#S2300&S3300上应用流策略test。

[Quidway]interfaceethernet0/0/1

[Quidway-Ethernet0/0/1]traffic-policytestinbound#S5300上应用流策略test。

[Quidway]interfacegigabitethernet0/0/1

[Quidway-GigabitEthernet0/0/1]traffic-policytestinbound配置完成后，可执行命令displaytrafficpolicystatisticsinterfaceinterface-typeinterface-number查看流量统计信息。如果需要重新进行流量统计，可执行命令resettrafficpolicystatisticsinterfaceinterface-typeinterface-number清除原有流量统计信息。

说明：

S2300&S3300只支持入方向的流量统计。

S5300支持入方向和出方向的流量统计，但不能统计由S5300设备自身CPU始发的报文。为什么配置了DHCPSnooping之后，设备下挂用户无法获取IP地址

在使能DHCPSnooping之后，Switch所有接口状态缺省都是非信任状态。这时要把与DHCPServer相连的接口配置成信任状态，否则DHCPServer回应的DHCPReply报文都会被丢弃，这样Switch下挂用户无法获取DHCPServer分配的IP地址。如何通过配置来实现IP+MAC+端口绑定功能

S-swich通过DHCPSnooping的静态绑定表来实现IP+MAC+端口绑定功能。

配置思想是先在VLAN下配置的静态绑定表，静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。

例如配置IP地址，MAC地址0002-0002-0002和接口Ethernet0/0/1绑定。

在V100R002的版本配置如下：

[HUAWEI]dhcpenable

[HUAWEI]dhcpsnoopingenable

[HUAWEI]vlan100

[HUAWEI-vlan100]quit

[HUAWEI]interfaceEthernet0/0/1

[HUAWEI-Ethernet0/0/1]portdefaultvlan100

[HUAWEI-Ethernet0/0/1]dhcpsnoopingcheckuser-bindenable

[HUAWEI-Ethernet0/0/1]quit

[HUAWEI]vlan100

[HUAWEI-vlan100]dhcpsnoopingenable

[HUAWEI-vlan100]user-bindstaticip-addressmac-address0002-0002-0002interfaceEthernet0/0/1

在V100R003及以后的版本配置如下：

[HUAWEI]dhcpenable

[HUAWEI]dhcpsnoopingenable

[HUAWEI]vlan100

[HUAWEI-vlan100]quit

[HUAWEI]interfaceEthernet0/0/1

[HUAWEI-Ethernet0/0/1]portdefaultvlan100

[HUAWEI-Ethernet0/0/1]ipsourcecheckuser-bindenable

[HUAWEI-Ethernet0/0/1]quit

[HUAWEI]vlan100

[HUAWEI-vlan100]dhcpsnoopingenable

[HUAWEI-vlan100]quit

[HUAWEI]user-bindstaticip-addressmac-address0002-0002-0002interfaceEthernet0/0/1如何通过配置来实现MAC+端口绑定功能

Switch通过流策略与DHCPSnooping两个功能相互结合来实现MAC和端口绑定，即实现某个端口只绑定某个特定mac地址（某个端口只允许在绑定表内的和某特定mac地址的报文通过），不绑定ip。

例如，配置端口Ethernet0/0/1只允许绑定表内的和源mac地址为0-02-02的报文通过，其他报文都丢弃。

#全局使能dhcpsnooping

[Quidway]dhcpsnoopingenable#创建ACL，只允许MAC地址为0-02-02的报文

[Quidway]acl4000

[Quidway-acl-L2-4000]rulepermitsource-mac0-02-02ffff-ffff-ffff

[Quidway-acl-L2-4000]ruledeny#创建流分类，匹配ACL4000

[Quidway]trafficclassifierc1

[Quidwayclassifier-c1]if-matchacl4000#创建流行为和流策略

[Quidway]trafficbehaviorb1

[Quidway-behavior-b1]permit

[Quidway]trafficpolicyp1

[Quidway-trafficpolicy-p1]classifierc1behaviorb1#端口下应用流策略，使该端口只允许绑定表内的和源mac地址为0-02-02的报文通过。

在V001C00R002的版本配置如下：

[Quidway]interfaceEthernet0/0/1

[Quidway-Ethernet0/0/1]portdefaultvlan4094

[Quidway-Ethernet0/0/1]dhcpsnoopingcheckuser-bindenable

[Quidway-Ethernet0/0/1]traffic-policyp1inbound在V001C00R003及以后的版本配置如下：

[Quidway]interfaceEthernet0/0/1

[Quidway-Ethernet0/0/1]portdefaultvlan4094

[Quidway-Ethernet0/0/1]ipsourcecheckuser-bindenable

[Quidway-Ethernet0/0/1]traffic-policyp1inbound如何通过配置实现IP+端口绑定

Switch可以通过流策略与DHCPSnooping两个功能相互结合来实现IP和端口绑定，即实现某个端口只绑定某个特定源ip地址（只允许在绑定表内的和某个特定源ip地址的报文通过），不绑定mac。

例如，配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为0的报文通过，丢弃其他IP报文。

#全局使能dhcpsnoopying

[Quidway]dhcpsnoopingenable#定义高级ACL，匹配IP地址0

[Quidway]acl3000

[Quidway-acl-adv-3000]rule5permitipsource00

[Quidway-acl-adv-3000]rule10denyipsourceany

[Quidway-acl-adv-3000]rule15denyipdestinationany#创建流分类，匹配ACL

[Quidway]trafficclassifierc1

[Quidwayclassifier-c1]if-matchacl3000#创建流行为和流策略

[Quidway]trafficbehaviorb1

[Quidway-behavior-b1]permit

[Quidway]trafficpolicyp1

[Quidway-trafficpolicy-p1]classifierc1behaviorb1#端口下应用流策略，只允许绑定表内的和源IP地址为0的报文通过

在V100R002C00的版本配置如下：

[Quidway]interfaceEthernet0/0/8

[Quidway-Ethernet0/0/8]portdefaultvlan4094

[Quidway-Ethernet0/0/8]dhcpsnoopingcheckuser-bindenable

[Quidway-Ethernet0/0/8]traffic-policyp1inbound在V100R003C00及以后的版本配置如下：

[Quidway]interfaceEthernet0/0/8

[Quidway-Ethernet0/0/8]portdefaultvlan4094

[Quidway-Ethernet0/0/8]ipsourcecheckuser-bindenable

[Quidway-Ethernet0/0/8]traffic-policyp1inboundS2300/3300/5300系列交换机如何防止用户私设静态IP地址

防止用户私设静态IP地址，可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过，其它用户数据不能通过。

S2300/3300/5300系列交换机虽然没有H3C交换机的amuser-bind命令，但是通过DHCPSnooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如，若要求端口Ethernet0/0/1下除了静态IP地址为、MAC地址为001c-2309-9aa7对应的用户外，其它所有静态IP用户都不能上网。配置如下：

配置设备的DHCPSnooping功能

#使能全局DHCPSnooping功能。

[Quidway]dhcpsnoopingenable#配置用户侧接口所属的VLAN。

[Quidway]vlan100

[Quidway-vlan100]quit

[Quidway]interfaceethernet0/0/1

[Quidway-Ethernet0/0/1]portdefaultvlan100

[Quidway-Ethernet0/0/1]quit#使能VLAN下的DHCPSnooping功能。

[Quidway]vlan100

[Quidway-vlan100]dhcpsnoopingenable配置在用户侧接口进行报文检查

[Quidway]interfaceethernet0/0/1

[Quidway-Ethernet0/0/1]dhcpsnoopingcheckarpenable

[Quidway-Ethernet0/0/1]dhcpsnoopingcheckipenable

[Quidway-Ethernet0/0/1]quit配置静态绑定表项

[Quidway]vlan100

[Quidway-vlan100]dhcpsnoopingbind-tablestaticip-addressmac-address001c-2309-9aa7interfaceethernet0/0/1Switch如何实现限制某接口只能有几个IP上网

Swtich不支持端口和IP地址的绑定。如果要在Switch上实现限制某接口只能有几个IP的用户上网，需要配置基于ACL的流策略并在接口上应用流策略来实现。例如，假设接口Ethernet0/0/1只允许IP地址为的用户上网，其他IP地址的用户都无法上网，配置如下：

[[Quidway]aclnumber3030

[Quidway-acl-adv-3030]rulepermitipsource0

[Quidway-acl-adv-3030]quit

[Quidway]aclnumber3031

[Quidway-acl-adv-3031]rulepermitip

[Quidway]trafficclassifiertest1

[Quidway-classifier-test1]if-matchacl3030

[Quidway]trafficclassifiertest2

[Quidway-classifier-test2]if-matchacl3031

[Quidway]trafficbehaviortest1

[Quidway-behavior-test1]permit

[Quidway]trafficbehaviortest2

[Quidway-behavior-test2]deny

[Quidway]trafficpolicytest

[Quidway-trafficpolicy-test]classifiertest1behaviortest1

[Quidway-trafficpolicy-test]classifiertest2behaviortest2

[Quidway]interfaceethernet0/0/1

[Quidway-Ethernet0/0/1]traffic-policytestinboundACL规则配置为deny后为何不生效

流策略引用ACL时，如果匹配ACL，ACL规则与流行为中的permit/deny生效机制如下：

S2300&S3300&S5300V100R003C00SPC500以前版本，生效的是流行为中的动作，即：如果流行为中的动作为permit,则就是permit；如果流行为中的动作为deny,则就是deny。

S2300&S3300&S5300V100R003C00SPC500以后版本，ACL规则和流行为中任何一个定义了deny动作，最终的动作为deny。

因此，如果ACL规则配置为deny后不生效，在确定报文匹配此ACL规则前提下：

对于S2300&S3300&S5300V100R003C00SPC500以前版本，则极有可能是流行为中的动作为permit。

对于S2300&S3300&S5300V100R003C00SPC500以后版本，则极有可能是报文匹配了其他优先级更高的规则，此规则对应的动作不为deny。S2300&S3300&S5300中AAA认证下Telnet用户断连的超时时间如何设置

在通常情况下，Telnet用户断连的超时时间是通过在VTY视图下配置idle-timeout。但若配置AAA认证，在VTY视图下配置的idle-timeout就不生效了，而是根据AAA视图下配置的idle-timeout进行超时断连。S23/33/53系列交换机如何将一个端口的流量镜像到2个观察口上？

需要利用VLAN镜像和端口镜像两种方式结合实现，Switch的配置如下：

#

observing-port1interfaceEthernet0/0/2

observing-port2interfaceEthernet0/0/3

#

interfaceEthernet0/0/1

portlink-typeaccess

portdefaultvlan10

port-mirroringtoobserve-port1inbound

#

vlan10

mirroringtoobserve-port2inboundS23/33/53系列交换机PoE电源使用注意事项

S23/33/53系列交换机有两种PoE电源（250W和500W），使用时是有区别。

使用250W电源，当同时使用两块时只是电源冗余，并不同时供电；

使用500W电源，使用两块时，两块电源可以实现备份，又可以同时供电S23/33/53系列交换机如何将操作命令写入日志

如果S23/33/53系列交换机默认是不将操作命令记入日志，如果需要将操作的命令写入日志，需要配置相关的命令。

在设备需要配置如下命令：

info-centersourceSHELLchannellogbufferlogleveldebuggingstateon这样在设备上通过displaylogbuffer就可以看见登录设备之后操作的命令了。S3300是否支持端口镜像

S3300交换机支持端口镜像。

每个设备支持4个观察端口，支持同时观察多个端口，可以同时观察多个端口的入端口流量、出端口流量、或入端口流量加出端口流量。

支持RSPAN(远程端口镜像)。远程端口镜像突破了被镜像端口和镜像端口必须在同一台交换机上的限制，使被镜像端口和镜像端口可以跨越网络中的多个设备，从而方便网管人员对远程交换机设备进行管理。

支持流镜像。每个设备支持四个观察端口。支持同时观察多个端口的多个流。镜像的流规则与普通流分类规则共享。S23&S33&S53是否支持查看光模块型号及收发光功率

S23&S33&S53支持使用命令查看光模块型号及收发光功率。

使用命令displayinterfaceGigabitEthernet×××查看某光口插入的光模块的信息；

使用命令displaytransceiverdiagnosisinterface查看所有光口的收发光功率信息；

使用命令displaytransceiverdiagnosisinterfaceGigabitEthernet×××查看某光口的收发光功率信息。

例如：

V1R2版本使用命令displaytransceiverdiagnosisinterfaceGigabitEthernet0/0/4查看到的信息如下：

PortGigabitEthernet0/0/4transceiverdiagnosticinformation:

Currentdiagnosticparameters:

Temp(C)Voltage(V)Bias(mA)RXpower(dBM)TXpower(dBM)

523.2723.88-32.122.81

V1R3和V1R5版本使用命令displaytransceiverdiagnosisinterfaceGigabitEthernet0/0/1查看到的信息如下：

PortGigabitEthernet0/0/1transceiverdiagnosticinformation:

ParameterCurrentLowAlarmHighAlarm

TypeValueThresholdThresholdStatus

-------------------------------------------------

TxPower(dBm)-4.83-11.02-2.00normal

RxPower(dBm)NA-18.01-1.00NA

Current(mA)6.382.0014.00normal

Temp.(C)44.00-20.0090.00normal

Voltage(V)3.312.903.70normalWEB网管页面为何无法打开

可能的原因有：

网络不通，请检查PC和Switch网络是否断开。

Switch的HTTPServer服务未使能

WEB网管登陆为何认证失败

可能的原因有：

用户名或密码错误

执行displaylocal-user，查看用户是否存在。

执行displaylocal-userusernameuser-name用户名，查看用户密码是否错误。

用户的接入类型中没有HTTP方式

执行displaylocal-userusernameuser-name，查看对应用户的AuthMask字段是否有H（HTTP登陆）。

Switch的用户已满，Switch最多支持同时5个用户连接。

WEB网管登陆为何出现操作超时

可能的原因有：

长时间没有操作，系统超时。

某些操作耗时较长（数据量较大或者网络质量比较差），此时会出现系统超时。

执行displayhttpserver命令，查看系统配置的超时时间。httptimeoutinterval字段为当前系统配置的超时时间，单位分钟，默认3。在系统视图下执行httptimeout可以配置系统的超时时间。

WEB网管为何页面显示不正常

可能的原因有：

浏览器缓存问题。

当使用同一PC访问了不同版本的WEB网管页面后，可能会出现页面显示不正常，如：页面标签显示错误，语言显示混乱等。这种情况一般为浏览器缓存所致，将浏览器的缓存清除即可解决。

浏览器设置问题。

浏览器的某些设置能够阻止页面脚本的运行。

如果为IE浏览器，请在浏览器的“工具”中选择“Internet选项”，在弹出窗口中选择“安全”选项卡，点击“自定义级别”按钮，在弹出窗口中选择“重置为”，下拉框中选择“中-高”或者“中”，然后点击“重置”按钮，完成设置，并将交换机的IP地址加入到浏览器可信任的站点中。

如果为FireFoX浏览器，请选择“工具”的“选项”，在弹出窗口中选择“内容”选项卡，勾选“启用JavaScript”复选框，点击“确定”，完成设置。交换机是否支持NAT功能

S2300，S3300和S5300交换机不支持NAT功能

9300在V100R001和V100R002版本不能支持NAT功能。

V100R003版本中，当S9300上配置有SPU单板时可以支持NAT功如何判断某个IP地址的用户是否在线

通过ping功能看是否能够ping通对端IP地址，如果能够ping通，说明用户在线。

如果用户的网关是设备的接口地址，则直接查看ARP是否学习到，学习到ARP，说明用户在线。为什么pingS9300网关延时比较大，是否存在优化方案

一般会存在pingS9300的网关延时比较大，但是pingS9300其它端口下挂的设备延时就比较小的现象。这是因为：

pingS9300其它端口下挂的设备时，S9300进行的是硬件数据转发，速度非常快，所以延时也就小。

pingS9300网关时，ICMP报文需要S9300的CPU进行处理，导致延时比较大。原因说明如下：

为了防止网络中常见的ping攻击对设备的影响，S9300将ICMP报文的处理优先级降到最低。

S9300系统是分布式处理系统，ARP、ICMP和路由等信息送到主控板进行处理，这样Ping操作的ICMP报文首先由业务板上送主控板，主控板处理完成后再送回业务板。而且由于ICMP报文优先级很低，在报文传送和处理中都排在最后，所以延时就会比较大。

尽管存在pingS9300网关延时大的问题，但是由于业务数据报文不需要CPU处理，而是直接由底层芯片处理，所以不会影响到数据包的转发速度。

为解决pingS9300网关延时大的问题，S9300业务板的CPU收到ICMP报文时，会直接进行ICMP响应，增加CPU对ICMP报文的处理速度。该功能可以通过命令icmp-replyfast启用。

缺省情况下，icmp-replyfast功能去使能。Ping不通或者Ping丢包问题

Ping不通或者Ping丢包时需要首先确定在哪台设备上报文被丢弃。可以在S9300上通过ACL匹配特定的ICMP报文进行统计，包括进出两个方向，然后比较两个方向的统计计数，以确定报文是否在S9300设备上丢弃。以一个方向的配置为例：

1、配置ACL规则：

[S9300]aclnumber3000

[S9300-acl-adv-3000]rulepermiticmpsource0destination02、配置分类器：

[S9300]trafficclassifier3000

[S9300-classifier-3000]if-matchacl30003、配置流动作：

[S9300]trafficbehavior3000

[S9300-behavior-3000]statisticenable4、配置流策略：

[S9300]trafficpolicy3000

[S9300-trafficpolicy-3000]classifier3000behavior30005、端口下发流策略：

[S9300-GigabitEthernet3/0/0]traffic-policy3000inbound另外一个方向的配置类似，只是注意ACL中rule的源地址和目的地址掉换一下，应用在端口的outbound方向。checkversion和checkversionall有什么区别

checkversion和checkversionall，这两个命令是对设备上所有的注册上的单板以及单板上器件的软件版本进行检查的命令。

显示信息中包含以下几条显示信息：

Frame/SlotTypeContentCurVerExactVerStateUpgradeSuggest

表1checkversion输出信息说明项目

描述

Frame/Slot

槽位号。

Type

单板类型，可能是SRU，MCU，CMU或者LPU。

Content

器件类型。

CurVer

当前版本，是指目前单板上加载的版本。

ExactVer

需要版本，是指与现在启动的软件版本相匹配的版本。

State

匹配状态

Incompatible：不匹配，当前版本比需要版本低

Compatible：完全匹配，当前版本和需要版本一致。

Newer：更加新，当前版本比需要版本更新。

UpgradeSuggest

针对不同的匹配状态给出的升级建议，有以下三种

Must：版本不匹配，必须升级。

None：版本匹配，无需升级。

Recommend：当前版本更加新。软件版本是向后兼容的，可以不升级。所以是建议升级以保证版本完全匹配。

checkversion命令和checkversionall命令区别在于，checkversion只打印出升级建议为“must”的条目。而checkversionall命令打印所有的条目，包括must、none和recommend。

一般来说，设备升级之后，只要执行checkversion命令来检查版本匹配状态，如果没有显示就可以了。checkversionall主要针对后续的一些版本可能无法做到向后兼容，需要通过这条命令查看recommend类型，做版本回退。如果有这种情况，在升级指导书中有明确说明。如何配置端口镜像和流镜像

配置端口镜像

端口镜像就是将被监控端口上的数据复制到指定的观察端口，对数据进行分析和监视。

首先要配置观察端口：

[Quidway]observe-port1interfacegigabitethernet1/0/3然后配置端口镜像：

[Quidway]interfacegigabitethernet1/0/0

[Quidway-GigabitEthernet1/0/0]port-mirroringtoobserve-port1inbound支持出方向（outbound）或入方向（inbound）及双向流（both）。

配置流镜像

流镜像就是将流镜像端口上的特定数据复制到指定的观察端口或CPU进行分析和监视。

首先也是在全局模式下将一个端囗配置成观察端囗：

[Quidway]observe-port1interfacegigabitethernet1/0/3然后再配置ACL将需要镜像的流匹配出来：

aclnumber3000

rule5permitip

#

trafficclassifier1operatorandprecedence5

if-match5acl3000

#

trafficbehavior1

mirroringobserving-port1

#

trafficpolicy1

classifier1behavior1

最后进入此流进入或出去的端囗下发镜像规则：

[Quidway-GigabitEthernet3/0/3]traffic-policy1inbound支持出流量（outbound）和入流量（inbound）。如何清除TELNET进程

在用户视图下执行以下命令：

freeuser-interface{ui-number|ui-typeui-number1}例如：

<Quidway>freeuser-interfacevty0说明：

不能清除当前自身所用的用户ID。如何查询告警日志信息

查询告警信息：

displaytrapbuffer

查询日志信息：

displaylogbuffer如何清除告警日志缓冲区中的信息

清除告警缓冲区信息

resettrapbuffer

清除日志缓冲区信息

resetlogbuffer如何配置日志主机服务器

S9300V100R001和S9300V100R002使用如下命令：

info-centerenable

info-centerloghosthost-ip-addr[channel{channel-number|channel-name}][facilitylocal-number][language{chinese|english}]

S9300V100R003使用如下命令：

info-centerenable

info-centerloghostip-address[channel{channel-number|channel-name}|facilitylocal-number|{languagelanguage-name|binary[port]}|{vpn-instancevpn-instance-name|public-net}]*

info-centerloghostipv6ipv6-address[channel{channel-number|channel-name}|facilitylocal-number|{languagelanguage-name|binary[port]}]*加载补丁有几种方式，需要注意哪些问题

加载补丁是交换机维护中一个比较常见且重要的操作。如果加载补丁失败，请检查是否有以下情况：

补丁加载后没有激活（active）或者运行（run）。

补丁未加载上。

使用了错误的命令行，只加载了部分单板的补丁。

可以通过如下两种方式加载补丁：

方法一：

在用户模式下运行patchloadpatch-filenameall加载补丁。

在用户模式下运行patchactiveall激活补丁。

在用户模式下运行patchrunall运行补丁。

说明：

补丁文件不一定非要复制到背板，即使备板上没有补丁文件，在加载的过程中也会自动复制。激活补丁和运行补丁的区别在于：激活但是未运行的补丁在下次单板复位后会自动退回到加载状态，补丁就会失效。

方法二：

在用户模式下运行patchloadpatch-filenameallrun打补丁。

说明：

patchloadpatch-filenameallrun命令行直接完成方法一步骤中3条命令的功能，但是不可以和方法一步骤中的命令混用。如果已经执行了patchloadpatch-filenameall命令，再使用patchloadpatch-filenameallrun命令会失败。如何查看光口的光模块信息及收发光功率

使用命令displaytransceiver查看所有光口的光模块信息，使用命令displaytransceiverinterfaceinterface-typeinterface-number查看具体某光口的光模块信息。

具体查看信息如下：

<Quidway>displaytransceiverinterfaceGigabitEthernet1/0/0

Gigabitethernet1/0/0transceiverinformation:

-------------------------------------------------------------

Commoninformation:

TransceiverType:1000_BASE_LX_SFP

ConnectorType:LC

Wavelength(nm):1310

TransferDistance(m):10000(90um)

DigitalDiagnosticMonitoring:YES

VendorName:HGGENUINE

OrderingName:

-------------------------------------------------------------

Manufactureinformation:

Manu.SerialNumber:MA09140180968

ManufacturingDate:2009-04-09

VendorName:HGGENUINE

-------------------------------------------------------------

Alarminformation:

-------------------------------------------------------------

如果要查询端口光模块的收发光功率信息，使用verbose参数。

<Quidway>displaytransceiverinterfacegigabitEthernet7/0/5verbose

GigabitEthernet7/0/5transceiverinformation:

-------------------------------------------------------------

Commoninformation:

TransceiverType:1000_BASE_SX_SFP

ConnectorType:LC

Wavelength(nm):850

TransferDistance(m):500(50um),300(62.5um)

DigitalDiagnosticMonitoring:YES

VendorName:FINISARCORP.

OrderingName:

-------------------------------------------------------------

Manufactureinformation:

Manu.SerialNumber:PEB06YB

ManufacturingDate:2008-09-08

VendorName:FINISARCORP.

-------------------------------------------------------------

Alarminformation:

-------------------------------------------------------------

Diagnosticinformation:

Temperature(°C):37

Voltage(V):3.33

BiasCurrent(mA):8.10

BiasHighThreshold(mA):26.33

BiasLowThreshold(mA):2.04

RXPower(dBM):-7.26

RXPowerHighThreshold(dBM):0.00

RXPowerLowThreshold(dBM):-16.99

TXPower(dBM):-4.47

TXPowerHighThreshold(dBM):0.00

TXPowerLowThreshold(dBM):-9.50如何查看各个单板和系统剩余功率

使用命令displaypowersystem查看各个单板和系统剩余功率。系统在安装或者扩容时可以根据当前设备功率使用情况进行判断是否需要进行电源扩容。

<Quidway>displaypowersystem

Thetotalpoweris:800.0(W)

Theusedpoweris:376.2(W)

Theremainpoweris:423.8(W)

Thesystemusedpowerdetailinformation:

-------------------------------------------------

SlotIdBoardNameStatePower(W)

-------------------------------------------------

Thetotalpoweris：系统总功率。

Theusedpoweris：已用功率。

Theremainpoweris：剩余功率。

SlotId一行对应的Power(W)：单板的功率。

父主题：设备管理S9300设备的BOOTROM默认密码是什么

S9300设备的bootrom默认密码是“7800”或“9300”。VRRP的主备切换

在配置VRRP组时可以配置VRRP的优先级，优先级高的交换机为Master，优先级低的交换机为Backup，如果Master交换机DOWN，则Backup升为Master。

VRRP的抢占方式：

在没有被设置抢占方式的备份组中，一旦某台交换机成为Master，只要它没有出现故障，其它交换机即使随后被配置更高的优先级，也不会成为Master。

如果交换机被设置为抢占方式，一旦交换机发现自己的优先级比当前的Master的优先级高，就会成为Master，相应地，原来的Master将会变成Backup。缺省是抢占方式，延迟时间为0。

VRRP监视指定端口功能：

当被监视的接口DOWN掉时，拥有这个接口的交换机的优先级会自动降低一个数额（value-reduced），这可能导致备份组内其它交换机的优先级高于这个交换机的优先级，从而使得其它优先级高的交换机转变为Master。S9300不但能监视VLANIF接口，也能监视物理端口，如果VLANIF接口中包含多个端口，只要有1个端口是UP就不会降低优先级。VRRP组地址为何无法ping通

在进行VRRP组相关配置之前，需要先在全局模式下配置vrrpvirtual-ippingenable命令，开启VRRP组虚地址ping使能功能。如果已经配置VRRP组，则必须先删除相应的VRRP组，再开启vrrpvirtual-ippingenable功能，此时ping-enable功能才能生效。S9300中如何配置限速

S9300支持端口限速和流限速，配置方法分别如下：

配置端口限速

#配置入方向端口限速，限速10M。

[Quidway]qoscarcar1cir10240cbs1024000

[Quidway-GigabitEthernet1/0/0]qoscarinboundcar1#配置出方向端口限速，限速10M。

[Quidway]interfacegigabitethernet1/0/0

[Quidway-GigabitEthernet1/0/0]qoslrcir10240pir10240配置流限速

#配置流限速，对出入端口的任意流限速10M。

[Quidway]trafficclassifierc1operatorand

[Quidway-classifier-c1]if-matchany

[Quidway-classifier-c1]quit

[Quidway]trafficbehaviorb1

[Quidway-behavior-b1]carcir10240pir10240greenpassyellowpassreddiscard

[Quidway-behavior-b1]quit

[Quidway]trafficpolicyp1

[Quidway-trafficpolicy-p1]classifierc1behaviorb1

[Quidway-trafficpolicy-p1]quit

[Quidway]interfacegigabitethernet1/0/1

[Quidway-GigabitEthernet1/0/1]traffic-policyp1inbound

[Quidway-GigabitEthernet1/0/1]traffic-policyp1outbound说明：

流策略可以在全局、接口、VLAN视图的inbound和outbound方向应用。路由协议及其发现路由的优先级

到相同的目的地，不同的路由协议（包括静态路由）可能会发现不同的路由，但并非这些路由都是最优的。事实上，在某一时刻，到某一目的地的当前路由仅能由唯一的路由协议来决定。各路由协议（包括静态路由）都被赋予了一个优先级，这样当存在多个路由信息源时，具有较高优先级的路由协议发现的路由将成为当前路由。各种路由协议及其发现路由的缺省优先级（数值越小表明优先级越高）如表1所示。

表1路由协议及其发现路由的优先级路由协议或路由种类

相应路由的优先级

DIRECT

0

OSPF

10

IS-IS

15

STATIC

60

RIP

100

OSPFASE

150

OSPFNSSA

150

IBGP

256

EBGP

256

UNKNOWN

255

其中：0表示直连路由，255表示任何来自不可信源端的路由。黑洞路由的作用及配置

黑洞路由：当去往某一目的地的静态路由具有“blackhole”属性时，无论配置的下一跳地址是什么，该路由的出接口均为NULL0接口，任何去往该目的地的IP报文都将被丢弃，并且不通知源主机。在网络遭受攻击的情况下，可以通过配置黑洞路由丢弃去往目