路由交换

• 1、查看接口状态

display ip interface brief

• 2、查看设备的日志信息

display logbuffer

• 3、查看CPU占用率

display cpu-usage

当CPU占用率超过告警阈值（可在系统视图下通过set cpu-usage threshold配置，缺省情况下，CPU占用率监控告警过载阈值是80%），系统会向网管发送如下告警，管理用户可通过这些信息获取CPU占用率过高的记录。

• 4、查看接口状态和配置的简要信息

display interface brief

• 5、管理用户通过SSH、Telnet、SNMP等方式登录设备时，配置基于ACL的访问限制，只允许指定的管理用户登录设备。

在VTY0~14用户界面上，通过ACL指定只有源IP为10.1.1.1/32的用户可以登录到本设备。

<HUAWEI> system-view
[HUAWEI] acl 2001
[HUAWEI-acl-adv-2001] rule 5 permit source 10.1.1.1 0
[HUAWEI-acl-adv-2001] quit
[HUAWEI] user-interface vty 0 14
[HUAWEI-ui-vty0-14] acl 2001 outbound

• 6、长ping

<SwitchA> ping -c 3000 -s 4096  192.168.2.21
Reply from 192.168.2.21: bytes=4096 Sequence=1 ttl=255 time=3 ms                                 
Request time out    
                                                 
--- 192.168.2.21 ping statistics ---                                                             
3000 packet(s) transmitted                                                                       
2970 packet(s) received                                                                          
1.00% packet loss                                                                               
round-trip min/avg/max = 3/3/18 ms   
#依据Ping的结果，出当前网络发送3000个报文，接收到2970个报文，丢弃30个报文，丢包率为1.00%。

• 7、端口是否需要加入VLAN 1

因为交换机端口默认加入VLAN 1，使用某一端口前，请判断该端口是否需要加入VLAN 1，如果不需要则将端口退出VLAN 1，以避免VLAN 1环路。另外，管理VLAN也要避免使用VLAN 1。

原因说明：交换机默认所有端口已经加入VLAN 1，容易引起广播风暴。

判断方法：通过命令行display vlan 1查看端口是否加入VLAN 1；通过命令display interface vlanif查看是否使用VLAN 1作为管理VLAN。

建议方案：对于不需要加入VLAN 1的端口及时退出VLAN 1，避免环路。

• 8、单模光纤一般为黄颜色，多模光纤一般为橘黄色

• 9、查看对接光模块的波长是否一样、温度、收发光信息等

display transceiver interface GigabitEthernet 0/1/1 verbose

• 10、如何判断交换机是否支持PoE功能

通过display device命令查看设备型号名称确认是否支持PoE功能：
如果型号名称中带有PWR字样则表示该型号支持PoE功能。
如果型号名称中无PWR字样则表示该型号不支持PoE功能。

• 11、查看温度信息

display environment

• 12、查看告警情况

display alarm urgent

• 13、案例：故障网线导致端口CRC错包故障

问题网线影响链路质量，从而影响了该链路上包的传输，导致交换机接收到大量的CRC错包。

查询相应端口，发现CRC错包数在不断的增长，但更换网线后问题解决。

[HUAWEI-GigabitEthernet0/0/1]display this interface                          
GigabitEthernet0/0/1 current state : UP                                         
Line protocol current state : UP                                                
Unicast        :                   888962,Multicast          :              0   
Broadcast      :                   0,Jumbo              :                   0   
CRC            :                   4782,Giants             :                0   
Jabbers        :                   0,Throttles          :                   0   
Runts          :                   0,DropEvents         :                   0   

解决方案：将两端的端口协商模式设置为一致，要么是非自协商模式，要么均设置成自协商模式。

经验总结：CRC错包一般是由于物理链路问题造成的，出现CRC错包后，首先要排除物理链路的影响。

• 14、案例：设备作为网关局域网内用户时通时断

现象描述：
设备作为网关，局域网内用户时通时断，同时设备输出大量地址冲突的告警信息。
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])

原因分析
通过以下步骤分析原因：
任意视图下执行命令display logbuffer查看日志信息，根据日志信息得到攻击者的MAC地址MacAddress。

<HUAWEI> display logbuffer
……
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING]).
……

根据攻击者的MAC地址查找MAC地址表，从而获取到攻击源所在的端口。

网络排查定位出攻击源，发现局域网内用户的PC假冒网关向同网段设备请求IP，由PC中毒引起。

处理步骤：
对PC进行杀毒。
在设备上配置ARP防网关冲突攻击功能。
设备将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

<HUAWEI> system-view
[HUAWEI] arp anti-attack gateway-duplicate enable

总结与建议：
攻击者将网关地址设置为中毒PC的静态IP地址，中毒PC的静态IP地址设置完成后，发送免费ARP报文在局域网内进行广播，该局域网内其他PC收到此报文后，会修改自身的网关ARP表项，修改网关MAC为攻击者MAC，导致该局域网内所有用户无法正常使用网络，网络中断。
当攻击者频繁发送源IP地址为网关地址的免费ARP报文，即使网关设备收到此报文能够通知局域网内正常主机把网关抢回，但是主机网关MAC地址频繁切换也会导致网络中断。

• 15、在vty接口下配置ACL，只允许合法用户登录设备

<HUAWEI> system-view
[HUAWEI] acl 2005
[HUAWEI-acl-basic-2005] rule permit source 192.168.1.5 0   #允许IP地址为192.168.1.5的用户登录设备。
[HUAWEI-acl-basic-2005] rule permit source 10.10.5.0 0.0.0.255   #允许10.10.5.0/24网段的用户登录设备。
[HUAWEI-acl-basic-2005] quit
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] acl 2005 inbound
[HUAWEI-ui-vty0-4] quit
#Telnet登录默认的ACL规模默认的动作是deny，即没有匹配上ACL规则的Telnet报文都会被丢弃。

• 16、使能设备的Telnet服务

[Quidway] User-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode password    #登陆者身份验证方式为密码验证
[Quidway-ui-vty0-4] protocol inbound telnet    #协议为telnet
[Quidway-ui-vty0-4] set authentication password cipher huawei    #设置登陆密码
[Quidway-ui-vty0-4] quit 
[Quidway] super password level 15 cipher huawei15    #设置15级管理员身份切换密码
#完成上述配置后，客户端如管理PC只需telnet到该设备，即可实现远程管理。

• 17、查看接口的类型及所加入的VLAN

display port vlan

• 18、查看端口连接设备的MAC地址

<YanFa3Lou>display mac-address | include 0/0/8 ?
  TEXT                                    <cr>

<YanFa3Lou>display mac-address | include 0/0/8
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID
               VSI/SI                                              MAC-Tunnel
-------------------------------------------------------------------------------
001a-34c4-79c6 20          -      -      Eth0/0/8        dynamic   -

-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 464

<YanFa3Lou>