路由交换

  • 1、查看接口状态
display ip interface brief
  • 2、查看设备的日志信息
display logbuffer
  • 3、查看CPU占用率
display cpu-usage

当CPU占用率超过告警阈值(可在系统视图下通过set cpu-usage threshold配置,缺省情况下,CPU占用率监控告警过载阈值是80%),系统会向网管发送如下告警,管理用户可通过这些信息获取CPU占用率过高的记录。

  • 4、查看接口状态和配置的简要信息
display interface brief
  • 5、管理用户通过SSH、Telnet、SNMP等方式登录设备时,配置基于ACL的访问限制,只允许指定的管理用户登录设备。

在VTY0~14用户界面上,通过ACL指定只有源IP为10.1.1.1/32的用户可以登录到本设备。

<HUAWEI> system-view
[HUAWEI] acl 2001
[HUAWEI-acl-adv-2001] rule 5 permit source 10.1.1.1 0
[HUAWEI-acl-adv-2001] quit
[HUAWEI] user-interface vty 0 14
[HUAWEI-ui-vty0-14] acl 2001 outbound
  • 6、长ping
<SwitchA> ping -c 3000 -s 4096  192.168.2.21
Reply from 192.168.2.21: bytes=4096 Sequence=1 ttl=255 time=3 ms                                 
Request time out    
                                                 
--- 192.168.2.21 ping statistics ---                                                             
3000 packet(s) transmitted                                                                       
2970 packet(s) received                                                                          
1.00% packet loss                                                                               
round-trip min/avg/max = 3/3/18 ms   
#依据Ping的结果,出当前网络发送3000个报文,接收到2970个报文,丢弃30个报文,丢包率为1.00%。
  • 7、端口是否需要加入VLAN 1

因为交换机端口默认加入VLAN 1,使用某一端口前,请判断该端口是否需要加入VLAN 1,如果不需要则将端口退出VLAN 1,以避免VLAN 1环路。另外,管理VLAN也要避免使用VLAN 1。

原因说明:交换机默认所有端口已经加入VLAN 1,容易引起广播风暴。

判断方法:通过命令行display vlan 1查看端口是否加入VLAN 1;通过命令display interface vlanif查看是否使用VLAN 1作为管理VLAN。

建议方案:对于不需要加入VLAN 1的端口及时退出VLAN 1,避免环路。

  • 8、单模光纤一般为黄颜色,多模光纤一般为橘黄色

  • 9、查看对接光模块的波长是否一样、温度、收发光信息等

display transceiver interface GigabitEthernet 0/1/1 verbose
  • 10、如何判断交换机是否支持PoE功能

通过display device命令查看设备型号名称确认是否支持PoE功能:
如果型号名称中带有PWR字样则表示该型号支持PoE功能。
如果型号名称中无PWR字样则表示该型号不支持PoE功能。

  • 11、查看温度信息
display environment
  • 12、查看告警情况
display alarm urgent
  • 13、案例:故障网线导致端口CRC错包故障

问题网线影响链路质量,从而影响了该链路上包的传输,导致交换机接收到大量的CRC错包。

查询相应端口,发现CRC错包数在不断的增长,但更换网线后问题解决。

[HUAWEI-GigabitEthernet0/0/1]display this interface                          
GigabitEthernet0/0/1 current state : UP                                         
Line protocol current state : UP                                                
Unicast        :                   888962,Multicast          :              0   
Broadcast      :                   0,Jumbo              :                   0   
CRC            :                   4782,Giants             :                0   
Jabbers        :                   0,Throttles          :                   0   
Runts          :                   0,DropEvents         :                   0   

解决方案:将两端的端口协商模式设置为一致,要么是非自协商模式,要么均设置成自协商模式。

经验总结:CRC错包一般是由于物理链路问题造成的,出现CRC错包后,首先要排除物理链路的影响。

  • 14、案例:设备作为网关局域网内用户时通时断

现象描述:
设备作为网关,局域网内用户时通时断,同时设备输出大量地址冲突的告警信息。
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])

原因分析
通过以下步骤分析原因:
任意视图下执行命令display logbuffer查看日志信息,根据日志信息得到攻击者的MAC地址MacAddress。

<HUAWEI> display logbuffer
……
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING]).
……

根据攻击者的MAC地址查找MAC地址表,从而获取到攻击源所在的端口。

网络排查定位出攻击源,发现局域网内用户的PC假冒网关向同网段设备请求IP,由PC中毒引起。

处理步骤:
对PC进行杀毒。
在设备上配置ARP防网关冲突攻击功能。
设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

<HUAWEI> system-view
[HUAWEI] arp anti-attack gateway-duplicate enable

总结与建议:
攻击者将网关地址设置为中毒PC的静态IP地址,中毒PC的静态IP地址设置完成后,发送免费ARP报文在局域网内进行广播,该局域网内其他PC收到此报文后,会修改自身的网关ARP表项,修改网关MAC为攻击者MAC,导致该局域网内所有用户无法正常使用网络,网络中断。
当攻击者频繁发送源IP地址为网关地址的免费ARP报文,即使网关设备收到此报文能够通知局域网内正常主机把网关抢回,但是主机网关MAC地址频繁切换也会导致网络中断。

  • 15、在vty接口下配置ACL,只允许合法用户登录设备
<HUAWEI> system-view
[HUAWEI] acl 2005
[HUAWEI-acl-basic-2005] rule permit source 192.168.1.5 0   #允许IP地址为192.168.1.5的用户登录设备。
[HUAWEI-acl-basic-2005] rule permit source 10.10.5.0 0.0.0.255   #允许10.10.5.0/24网段的用户登录设备。
[HUAWEI-acl-basic-2005] quit
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] acl 2005 inbound
[HUAWEI-ui-vty0-4] quit
#Telnet登录默认的ACL规模默认的动作是deny,即没有匹配上ACL规则的Telnet报文都会被丢弃。
  • 16、使能设备的Telnet服务
[Quidway] User-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode password    #登陆者身份验证方式为密码验证
[Quidway-ui-vty0-4] protocol inbound telnet    #协议为telnet
[Quidway-ui-vty0-4] set authentication password cipher huawei    #设置登陆密码
[Quidway-ui-vty0-4] quit 
[Quidway] super password level 15 cipher huawei15    #设置15级管理员身份切换密码
#完成上述配置后,客户端如管理PC只需telnet到该设备,即可实现远程管理。
  • 17、查看接口的类型及所加入的VLAN
display port vlan
  • 18、查看端口连接设备的MAC地址
<YanFa3Lou>display mac-address | include 0/0/8 ?
  TEXT                                    <cr>

<YanFa3Lou>display mac-address | include 0/0/8
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID
               VSI/SI                                              MAC-Tunnel
-------------------------------------------------------------------------------
001a-34c4-79c6 20          -      -      Eth0/0/8        dynamic   -

-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 464

<YanFa3Lou>

你可能感兴趣的:(路由交换)