H3C配置案例大全(内部分享)

WORD格式编辑整理专业知识分享光纤链路排错经验一、组网：用户采用4台S5500作为接入交换机、1台S5500作为核心交换机组网，4台接入交换机分别在三个仓库以及门卫处与核心机房都是通过2根八芯单模光纤走地井连接，在这5个机房再通过跳纤来连接到交换上。用户要求实现内网的用户主机访问公共服务器资源，并实现全网互通。组网如下图所示：二、问题描述：WORD格式编辑整理专业知识分享PC现无法访问server服务器，进一步发现S5500光纤端口灯不亮，端口信息显示down状态。在核心交换机端通过自环测试发现该端口以及光模块正常，接入交换机端也同样测试发现正常。监控网络正常使用，再将网络接口转接到监控主干链路上，发现网络同样无法正常使用。三、过程分析：想要恢复链路，首先要排查出故障点，根据故障点情况结合实际恢复链路通畅。在这里主要分析光纤通路，光信号从接入交换机光口出来通过跳线，转接到主干光纤，然后再通过核心跳线转接到核心交换上。由于该链路不通，首先要排除两端接口以及光模块问题，这里使用自环检测(如果是超远距离传输光纤线缆需要接光衰然后在自环，防止烧坏光模块)。当检测完成发现无问题，再测试接入端的光纤跳纤：如果是多模光纤可以将一端接到多模光纤模块的tx口，检测对端是否有光；单模光纤如果没有光功率计可以使用光电笔检测(该方法只能检测出中间无断路，并不能检测出线路光衰较大的情况)。最后再检测主线路部分，检测方式同跳线一样。光路走向流程如图所示：WORD格式编辑整理专业知识分享四、解决方法：从上述的分析可以看出，只要保证了光信号一出一收两条路径都能正常就可以解决用户无法访问服务器的问题。为了保证光路正常通路，最好的解决方法就是，通过使用光功率计来检测对端发射光在本端的光功率是否在光口可接受范围内。由于用户组网使用了一些监控设备来接入该主干光缆，并且该光路现正常使用，通过将网络光纤转接到该监控主干光缆，发现网络光路仍然不通；并且两端端口自环检测正常。由此可以判断出主要问题在两端的跳纤上。如图所示：WORD格式编辑整理专业知识分享在没有光功率计并且客户业务又比较着急恢复的情况，可以先将两端的接入跳纤更换。有光功率计时就可以直接检测跳纤的光衰是否正常。五、说明及注意事项：1、光纤的连接需要注意以下几点：(1)光纤接口有没有插紧完全对接上；(2)光纤接口端面是否受灰尘等污染；(3)光纤中间是否存在物理损坏，部分损伤或者断开；(4)光纤弯曲是否半径小于8cm；(5)其他相关问题。WORD格式编辑整理专业知识分享2、该案例适用于光纤网络基本排错。某大学城防病毒案例问题描述：某大规模教育园区网络中，采用两台万兆交换机FORCE10作为网络核心，三个分校区各采用两台FORCE10作为校区核心，而采用我司的S6506共22台做为三级汇聚层交换机，并接入800多台接入交换机S3026E，接园区一万多个信息点，承载整个校园INTERNET业务。设备拓扑图如下：WORD格式编辑整理专业知识分享发生问题时，客户反馈S6506出现VLAN内不停的有ARP扫描（就是6506的VLANINTERFACE不停的发本VLAN内每个IP地址的ARPREQUEST解析报文），网络速度很慢。现场抓包记录如下：WORD格式编辑整理专业知识分享在接入层交换机S3026E上的电脑上网发现网络速度缓慢,且S3026的cpu占用率也较高处理过程：通过使用抓包软件分析发现网络内有大量的ARP解析报文,从而导致网络速度缓慢,怀疑可能是网内有多台电脑感染病毒造成。解决方案：在上网PC机上安装天等防火墙个人版，通过看防火墙的攻击日志可以得知攻击是从219.223.180.155和219.223.169.54这两台电脑来的,（由于是下班时间，可能网内还有其它电脑也感染）。所以在S6506上做:aclnumber110rule35denytcpdestination-porteq135WORD格式编辑整理专业知识分享rule36denyudpdestination-porteq135rule49denytcpdestination-porteq445rule50denyudpdestination-porteq445intg1/0/1qospacket-filterinboundip-group110not-carefo以阻止病毒攻击。由于是下班时间，所以无法得知这两台电脑的更详细的信息。如果没有防火墙个人版或者没有明确的病毒信息，可以添加如下列表测试：rule30denytcpdestination-porteq3127rule31denytcpdestination-porteq1025rule32denytcpdestination-porteq5554rule33denytcpdestination-porteq9996rule34denytcpdestination-porteq1068rule35denytcpdestination-porteq135rule36denyudpdestination-porteq135rule37denytcpdestination-porteq137rule38denyudpdestination-porteqnetbios-nsrule39denytcpdestination-porteq138rule40denyudpdestination-porteqnetbios-dgmrule41denytcpdestination-porteq139WORD格式编辑整理专业知识分享rule42denyudpdestination-porteqnetbios-ssnrule43denytcpdestination-porteq593rule44denytcpdestination-porteq4444rule45denytcpdestination-porteq5800rule46denytcpdestination-porteq5900rule48denytcpdestination-porteq8998rule49denytcpdestination-porteq445rule50denyudpdestination-porteq445rule51denyudpdestination-porteq1434结论：对染毒电脑进行杀毒并对所有电脑加装微软的漏洞补丁，并安装防病毒软件，已彻底清除病毒对网络的影响。MSR系列路由器QoSCBQ（基于类的队列）基本功能的配置关键字：MSR;QoS;CBQ;基于类的队列;MQC;WRED一、组网需求：MSR路由器是互联网出口，下挂2个网段，对10网段访问Internet作AF队列8k保证，对于所有RTP流则给与EF队列32k保证设备清单：MSR系列路由器1台WORD格式编辑整理专业知识分享二、组网图：三、配置步骤：适用设备和版本：MSR系列、Version5.20,Beta1202后所有版本。MSR配置#//定义流量类型acl2000trafficclassifieracl2000operatorand//匹配ACL2000if-matchacl2000//定义流量类型rtptrafficclassifierrtpoperatorand//匹配协议类型为RTPif-matchprotocolrtp#//定义流量行为ef32ktrafficbehavioref32k//队列保证ef32k带宽queueefbandwidth32cbs1500//定义流量行为af8ktrafficbehavioraf8k//队列保证af8k带宽WORD格式编辑整理专业知识分享queueafbandwidth8//使能该队列的wredwred#//定义QoS策略s3/0cbqqospolicys3/0cbq//蒋流量类型acl2000和流量行为af8k绑定classifieracl2000behavioraf8k//蒋流量类型rtp和流量行为ef32k绑定classifierrtpbehavioref32k#//定义ACL2000aclnumber2000//匹配源地址为10.0.0.0/24的流rule0permitsource10.0.0.00.0.0.255##//出外网接口interfaceSerial3/0link-protocolppp//设置接口的QoS最大带宽为64kqosmax-bandwidth64ipaddress1.2.0.2255.255.255.252//在接口的出方向应用QoS策略s3/0cbqqosapplypolicys3/0cbqoutbound#//连结10网段的接口interfaceEthernet0/0portlink-moderouteipaddress10.0.0.1255.255.255.0#//连结20网段的接口interfaceEthernet0/1portlink-moderouteipaddress20.0.0.1255.255.255.0#四、配置关键点：1)CBQ的配置其实是MQC配置，需要配置流量类型、流量行为和QoS策略;2)注意流量类型和流量行为的对应关系;WORD格式编辑整理专业知识分享3)在同一个QoS策略中，所有流量行为的队列带宽统一使用固定值或百分比。MSR系列路由器教育网双出口NAT服务器的典型配置一、组网需求：MSR的G0/0连接某学校内网，G5/0连接电信出口，G5/1连接教育网出口，路由配置：访问教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以教育网源地址（211.1.1.0/24）从G5/0访问电信网络，会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问，其域名是test.h3c.edu.cn，对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问，且要求校园网内部可以通过NAT任意访问电信网络或教育网络。设备清单：MSR一台二、组网图：WORD格式编辑整理专业知识分享三、配置步骤：适用设备和版本：MSR系列、Version5.20,Release1205P01后所有版本。MSR关键配置(路由部分配置略)#//地址池0用于访问电信的NATnataddress-group0202.2.2.50202.2.2.100//地址池1用于访问教育网的NATnataddress-group1211.1.1.50211.1.1.100//静态NAT用于外部访问内部服务器test.h3c.edu.cnnatstatic192.168.34.55211.1.1.4#//ACL2000用于内网访问教育网和电信的NAT，允许192.168.0.0/0的源aclnumber2000descriptionNATrule10permitsource192.168.0.00.0.255.255//ACL2222用于策略路由的允许节点，即内部服务器往外发的HTTP从G5/1出去aclnumber2222descriptionpolicy-based-routepermitnoderule0permitsource192.168.34.550WORD格式编辑整理专业知识分享#//用于内部主机访问211.1.1.4的NAT映射aclnumber3000description192.168.0.0/24access211.1.1.4rule0permitipsource192.168.0.00.0.255.255destination192.168.34.550//ACL3333用于策略路由拒绝节点，即内部服务器返回内部主机的不需要被策略aclnumber3333descriptionpolicy-based-routedenynoderule0permitipsource192.168.34