导图社区 公司治理结构的作用
- 19
- 0
- 0
- 举报
公司治理结构的作用
这是一个关于公司治理结构的作用的思维导图,讲述了公司治理结构的作用的相关故事,如果你对公司治理结构的作用的故事感兴趣,欢迎对该思维导图收藏和点赞~
编辑于2022-09-09 19:07:25- 相似推荐
- 大纲
S 系列以太网交换机命令
首次登录系统
通过MiniUSB口登录设备
通过console口登录
 问题描述 客户通过console口登录设备,配置任何命令均报错  处理过程 1、重启设备,按ctrl+b进入bootrom界面 2、Password Manager > Clear the console login password > Return > Default Startup”选项,清除Console口登录密码  根因 客户之前误将登录console口的用户级别改为0,在bootrom界面清除console口登录密码后问题解决  解决方案 客户之前误将登录console口的用户级别改为0,在bootrom界面清除console口登录密码后问题解决
配置Console用户界面
配置Console用户界面的物理属性
背景信息 Console用户界面的物理属性包括Console口的传输速率、流控方式、校验位、停止位和数据位。当用户通过Console口登录设备时,超级终端的下列属性要和设备的物理属性保持一致,否则无法登录。 操作步骤 执行命令system-view,进入系统视图。 执行命令user-interfaceconsoleinterface-number,进入Console用户界面视图。 执行命令speedspeed-value,设置传输速率。 缺省情况下,传输速率为9600bit/s。 执行命令flow-control { hardware | none | software },设置流控方式。 缺省情况下,流控方式为none。 执行命令parity { even | mark | none | odd | space },设置校验位。 缺省情况下,校验位为none。 执行命令stopbits { 1.5 | 1 | 2 },设置停止位。 缺省情况下,停止位为1位。 执行命令databits { 5 | 6 | 7 | 8 },设置数据位。 缺省情况下,数据位为8位。
配置Console用户界面的终端属性
背景信息 用户可以配置Console用户界面的终端属性,包括用户超时断连功能、终端屏幕的显示行数或列数以及历史命令缓冲区大小。 操作步骤 执行命令system-view,进入系统视图。 执行命令user-interfaceconsoleinterface-number ,进入Console用户界面视图。 执行命令idle-timeoutminutes [ seconds ],设置用户超时断连功能。 在设定的时间内,如果连接始终处于空闲状态,系统将自动断开该连接。 缺省情况下,用户界面断连的超时时间为10分钟。  说明: 设置用户连接的超时时间为0或者过长会导致终端一直处于登录状态,存在安全风险,建议用户执行命令lock锁定当前连接。 执行命令screen-lengthscreen-length [ temporary ],设置终端屏幕每屏显示的行数。 使用参数temporary可以指定终端屏幕的临时显示行数。 缺省情况下,终端屏幕显示的行数为24行。 执行命令history-command max-sizesize-value,设置历史命令缓冲区大小。 缺省情况下,用户界面历史命令缓冲区大小为10条历史命令。
配置Console用户界面的用户优先级
背景信息 用户可以配置用户优先级,实现对不同用户访问设备权限的限制,增加设备管理的安全性。 用户的优先级分为16个级别,级别标识为0~15,标识越高则优先级越高。 用户的优先级和命令的优先级是相对应的,即用户只能使用等于或低于自己级别的命令。 操作步骤 执行命令system-view,进入系统视图。 执行命令user-interfaceconsoleinterface-number,进入Console用户界面视图。 执行命令user privilegelevellevel,设置用户的优先级。 用户级别和命令级别对应关系如表1所示。 表1 用户级别和命令级别对应关系表 用户级别 命令级别 级别名称 说明 0 0 参观级 网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet客户端)等。 1 0、1 监控级 用于系统维护,包括display等命令。 说明: 并不是所有display命令都是监控级,比如display current-configuration命令和display saved-configuration命令是3级管理级。各命令的级别请参见《S1720&S2700EI&S5700 系列以太网交换机 命令参考》手册。 2 0、1、2 配置级 业务配置命令,包括路由、各个网络层次的命令,向用户提供直接网络服务。 3~15 0、1、2、3 管理级 用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP下载、用户管理命令、命令级别设置命令;用于业务故障诊断的debugging命令等。  说明: 缺省情况下,Console口用户界面对应的默认命令访问级别是15。 如果用户界面下配置的命令级别访问权限与用户名本身对应的操作权限冲突,以用户名本身对应的级别为准。
配置Console用户界面的用户验证方式
背景信息 Console用户界面提供AAA验证、密码验证和不验证三种方式。 操作步骤 设置AAA验证 执行命令system-view,进入系统视图。 执行命令user-interfaceconsoleinterface-number,进入Console用户界面视图。 执行命令authentication-modeaaa,设置用户验证方式为AAA验证。 执行命令quit,退出Console用户界面视图。 执行命令aaa,进入AAA视图。 执行命令local-useruser-namepasswordirreversible-cipherpassword,配置本地用户名和密码。 执行命令local-useruser-nameservice-typeterminal,配置本地用户的接入类型为Console用户。 执行命令quit,退出AAA视图。 设置密码验证 执行命令system-view,进入系统视图。 执行命令user-interfaceconsoleinterface-number,进入Console用户界面视图。 执行命令authentication-modepassword,设置用户验证方式为密码验证。 执行命令set authentication password [ cipherpassword ],设置验证密码,输入的密码可以是明文或密文。  说明: 输入的密码可以是明文或者密文,当不指定cipherpassword参数时,将采用交互方式输入明文密码,当指定cipherpassword参数时,既可以输入明文密码也可以输入密文密码,但都将以密文形式保存在配置文件中。 当用户输入密码时,直接以明文形式输入存在安全风险,建议用户以交互式方式输入。 设置不对用户验证 执行命令system-view,进入系统视图。 执行命令user-interfaceconsoleinterface-number,进入Console用户界面视图。 执行命令authentication-modenone,设置用户验证方式为不验证。  说明: 不验证是指用户无需通过验证即可通过Console用户界面登录设备,此方式存在安全风险,建议配置AAA验证或密码验证方式来增加设备的安全性。
检查配置结果
背景信息 Console用户界面配置完成后,请执行下面的命令检查配置结果。 操作步骤 使用display users [ all ]命令显示用户界面的使用信息。 使用display user-interfaceconsoleui-number [ summary ]命令查看Console用户界面信息。 使用display local-user命令查看本地用户列表。 使用display access-user命令查看在线用户。
配置VTY用户界面
当用户通过Telnet或SSH方式登录设备实现本地或远程维护时,可以根据用户使用需求以及对设备安全的考虑,配置VTY用户界面。 前置任务 在配置VTY用户界面之前,需要完成以下任务: 通过终端可以登录设备。  说明: 除对VTY类型用户界面呼入呼出进行限制的ACL号、用户名和口令及用户界面的验证方式外其他参数设备均有缺省值,用户可以结合实际需求和安全性考虑选择配置。
配置VTY用户界面的最大个数
#配置VTY用户界面的最大个数 system-v user-interface maximun-vtynumber
#(可选)配置VTY用户界面的基于ACL的登录限制
#(可选)配置VTY用户界面的基于ACL的登录限制 system-view user-interface vtyfirst-ui-number [ last-ui-number ] acl [ ipv6 ]acl-number { inbound | outbound }
背景信息 用户可以通过访问控制列表(ACL),实现对通过VTY用户界面的登录进行限制。在配置VTY用户界面的登录限制前,需要先在系统视图下执行acl命令创建一个访问控制列表并进入ACL视图,然后执行rule命令增加相应访问控制列表的规则。  说明: 用户界面支持基本访问控制列表(2000~2999)和高级访问控制列表(3000~3999)。 ACL规则: 当ACL的rule配置为permit时: 如果该ACL应用在inbound方向,则允许匹配该规则的其他设备访问本设备。 如果该ACL应用在outbound方向,则允许本设备访问匹配该规则的其他设备。 当ACL的rule配置为deny时: 如果该ACL应用在inbound方向,则拒绝匹配该规则的其他设备访问本设备。 如果该ACL应用在outbound方向,则拒绝本设备访问匹配该规则的其他设备。 当ACL配置了rule,但来自其他设备的报文没有匹配该规则时: 如果该ACL应用在inbound方向,则拒绝其他设备访问本设备。 如果该ACL应用在outbound方向,则拒绝本设备访问其他设备。 当ACL未配置rule时: 如果该ACL应用在inbound方向,则允许任何其他设备访问本设备。 如果该ACL应用在outbound方向,则允许本设备访问任何其他设备。 关于ACL配置的更多内容,请参见《S1720&S2700EI&S5700 系列以太网交换机 配置指南-安全配置》中的“ACL配置”。
#配置VTY用户界面的终端属性
#配置VTY用户界面的终端属性 system-v user-interface vtyfirst-ui-number [ last-ui-number ] # 启用VTY终端服务.缺省情况下,所有VTY终端服务已启动。 shell #设置用户超时断连功能 idle-timeout minutes [ seconds ] #设置终端屏幕每屏显示的行数.缺省情况下,终端屏幕显示的行数为24行。 screen-lengthscreen-length [ temporary ] #设置历史命令缓冲区的大小。 缺省情况下,存放10条历史命令。 history-command max-sizesize-value
#配置VTY用户界面的用户优先级.缺省情况下
#配置VTY用户界面的用户优先级.缺省情况下,VTY用户界面对应的默认命令访问级别是0。 system-v user-interface vtyfirst-ui-number [ last-ui-number ] user privilegelevel level
#配置VTY用户界面的用户验证方式
#配置VTY用户界面的用户验证方式 #AAA 验证 system-v user-interface vtyfirst-ui-number [ last-ui-number ] authentication-mode aaa quit #进入AAA视图 aaa local-useruser-namepassword irreversible-cipherpassword local-useruser-name service-type { telnet | ssh } quit #密码验证 system-v user-interface vty first-ui-number [ last-ui-number ] authentication-mode password set authentication password[ cipher password ] #不对用户验证 system-v user-interface vty first-ui-number [ last-ui-number ] authentication-mode none
#检查配置结果
#检查配置结果 display users [ all ] display user-interface maximum-vty display user-interface vty ui-number1 [ summary ] display local-user display vty mode
配置通过STelnet登录设备
 说明: 通过STelnet登录设备需配置用户界面支持的协议是SSH,必须设置VTY用户界面认证方式为AAA认证。
配置VTY用户界面的支持协议类型、认证方式和用户级别
user-interface vty 0 4 #//配置VTY用户界面认证方式为AAA认证 authentication-mode aaa #/配置VTY用户界面支持的协议为SSH,默认情况下即SSH protocol inbound ssh #/配置VTY用户界面的级别为15 user privilege level 15 quit
开启STelnet服务器功能并创建SSH用户
stelnet server enable ssh user admin123 ssh user admin123 service-type stelnet
配置SSH用户认证方式
配置SSH用户认证方式为Password
使用Password认证方式时,需要在AAA视图下配置与SSH用户同名的本地用户。
ssh user admin123 authentication-type password aaa local-user admin123 password irreversible-cipher abcd@123 local-user admin123 privilege level 15 local-user admin123 service-type ssh quit
配置SSH用户认证方式为RSA、DSA或ECC
(以ECC认证方式为例,RSA、DSA认证方式步骤类似) 使用RSA、DSA或ECC认证方式时,需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。
#配置SSH用户认证方式为ecc [HUAWEI] ssh user admin123 authentication-type ecc #配置ECC公共密钥编码格式,并进入ECC公共密钥视图,key01为公共密钥名称 [HUAWEI] ecc peer-public-key key01 encoding-type pem Enter "ECC public key" view, return system view with "peer-public-key end". #进入公共密钥编辑视图 [HUAWEIecc-public-key] public-key-code begin Enter "ECC key code" view, return last view with "public-key-code end". #拷贝复制客户端的公钥,为十六进制字符串 [HUAWEI-dsa-key-code] 308188 [HUAWEI-dsa-key-code] 028180 [HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB [HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F [HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B [HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5 [HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931 [HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2 [HUAWEI-ecc-key-code] 171896FB 1FFC38CD [HUAWEI-ecc-key-code] 0203 [HUAWEI-ecc-key-code] 010001 #退回到公共密钥视图 [HUAWEI-ecc-key-code] public-key-code end #退回到系统视图 [HUAWEI-ecc-public-key] peer-public-key end #为用户admin123分配一个已经存在的公钥key [HUAWEI] ssh user admin123 assign ecc-key key01
在服务器端生成本地密钥对
system-view ecc local-key-pair create Info: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=521]:521 Info: Generating keys.......... Info: Succeeded in creating the ECC host keys.
客户端STtelnet登录设备
通过Web网管首次登录设备
前置任务 通过Web网管首次登录设备之前,需要完成以下任务: 设备正常上电。 设备处于出厂配置状态。 缺省配置 表1 设备的缺省配置 参数 缺省值 用户名 admin 密码 admin@huawei.com 用户级别 15 登录IP地址 192.168.1.253 说明: 出厂配置状态下,S1720上Vlanif1的缺省IP地址为192.168.1.253。为了防止网络中存在两台IP地址相同的设备,建议在组网之前,修改S1720上Vlanif1的IP地址。
仅S1720&S2720系列交换机支持该功能。
进行设备的基本配置
配置设备时间和日期
clock datetimeHH:MM:SS YYYY-MM-DD
add将在UTC(Coordinated Universal Time)标准时间的基础上增加指定的时区偏移量。即在系统默认的UTC时区的基础上,加上offset,就可以得到time-zone-name所标识的时区时间。 minus将在UTC标准时间的基础上减去指定的时区偏移量。即在系统默认的UTC时区的基础上,减去offset,就可以得到time-zone-name所标识的时区时间。
clock timezonetime-zone-name { add | minus } offset
当未配置时区时,通过本命令设置的时间将被认为是UTC时间。建议设置当前时间前,务必清楚所在时区,设置正确的时区偏移时间,以保证本地时间正确。
clock daylight-saving-timetime-zone-name one-year start-time start-date end-time end-date offset
clock daylight-saving-timetime-zone-name repeating start-time { { first | second | third | fourth | last } weekday month | start-date1 } end-time { { first | second | third | fourth | last } weekday month | end-date1 } offset [ start-year [ end-year ] ]
配置设备名称和IP地址
表3 配置设备名称和IP地址 操作 命令 说明 进入系统视图 system-view - 设置设备名称 sysnamehost-name 当网管工具需要获取设备的网元名称,可通过sys-netid命令设置设备的网元名称。 进入接口视图 interfaceinterface-typeinterface-number 除了设备的管理口,也可以在设备的其他三层接口(如VLANIF接口)配置IP地址。 配置接口的IP地址 ip addressip-address { mask | mask-length } 说明: 请根据网络规划进行IP地址的配置以及路由的部署,以确保终端与设备间路由可达。
配置Telnet用户的级别和认证方式
表4 配置Telnet用户的级别和认证方式 操作 命令 说明 进入系统视图 system-view - 使能Telnet服务器功能 telnet [ ipv6 ] server enable 出厂情况下,Telnet服务器功能处于去使能状态。 进入VTY用户界面视图 user-interfacevtyfirst-ui-number [ last-ui-number ] - 设置Telnet用户级别 user privilegelevellevel 缺省情况下,VTY用户界面对应的默认命令访问级别是0。 设置Telnet用户验证方式为AAA验证 authentication-modeaaa 说明: 缺省情况下,VTY类型用户界面没有验证方式。 系统提供AAA验证、密码验证和不验证(None)方式,AAA认证方式(用户名+密码)比密码认证方式更安全,不验证方式不推荐使用。这里仅以AAA认证方式说明,其他配置方式请参考配置VTY用户界面内容。 进入AAA视图 aaa - 配置Telnet用户登录的用户名和密码 local-useruser-namepasswordirreversible-cipherpassword - 配置用户的接入类型为Telnet local-useruser-nameservice-typetelnet -
保存配置
表5 保存配置 操作 命令 说明 退出至用户视图 return - 保存配置 save 将当前配置保存到配置文件中,具体操作请参见:保存配置文件。
命令行配置设备登录后的常用操作
查看在线用户
#查看用户界面的使用信息。 display users [ all ]
清除在线用户
kill user-interface { ui-number | ui-type ui-number1 } display users
设置切换用户级别的密码
system-view super password [ level user-level ] [ cipher password ] system-view #关闭低级别用户切换到高级别用户所需密码的复杂度检查功能。 super password complexity-check disable
切换用户级别
#切换用户级别 super [ level ]
锁定用户配置权限
在多用户同时登录系统进行配置时,有可能会出现配置冲突的情况。为了避免业务出现异常,可以配置权限互斥功能,保证同一时间只有一个用户可以进行配置。
#锁定配置权限给当前操作用户 configuration exclusive #查看当前锁定配置集用户的信息 display configuration-occupied user system-view #设置自行解锁时间间隔 configuration-occupied timeout timeout-value
发送消息给其他用户界面
send { all | ui-number | ui-type ui-number1 },
锁定用户界面
lock Please configure the login password (8-16) Enter Password: Confirm Password: Info: The terminal is locked.
允许在系统视图下执行用户视图命令
system-view #允许在系统视图下执行用户视图命令 run command-line
检查配置结果
display clock
display ip interface
display user-interface
display local-user
文件管理
文件系统 文件系统是指对存储器中文件、目录的管理,包括创建、删除、修改文件和目录,以及显示文件的内容等。
设备支持的文件管理方式
文件管理方式:直接登录系统 应用场景:通过Console口、Telnet或STelnet方式登录设备,对存储器、目录和文件进行管理。特别是对存储器的操作需要通过此种方式。 优点:对存储器、目录和文件的管理直接通过登录设备完成,方便快捷。 缺点:只是对本设备进行文件操作,无法进行文件的传输。 文件管理方式:FTP(File Transfer Protocol) 应用场景:适用于对网络安全性要求不是很高的文件传输场景中,广泛用于版本升级等业务中。 优点:配置较简单,支持文件传输以及文件目录的操作。 FTP可以在两个不同文件系统主机之间传输文件。 具有授权和认证功能。 缺点:明文传输数据,存在安全隐患。 文件管理方式:TFTP(Trivial File Transfer Protocol) 应用场景:在网络条件良好的实验室局域网中,可以使用TFTP进行版本的在线加载和升级。适用于客户端和服务器之间,不需要复杂交互的环境。 优点:TFTP所占的内存要比FTP小。 缺点:设备只支持TFTP客户端功能。 TFTP只支持文件传输,不支持交互。 TFTP没有授权和认证,且是明文传输数据,存在安全隐患,易于网络病毒传输以及被黑客攻击。 文件管理方式:SFTP(Secure File Transfer Protocol) 应用场景:适用于网络安全性要求高的场景,目前被广泛用于日志下载、配置文件备份等业务中。 优点:数据进行了严格加密和完整性保护,安全性高。 支持文件传输及文件目录的操作。 在设备上可以同时配置SFTP功能和普通FTP功能。(这一点与FTPS方式相比:FTPS是不可以同时提供FTPS和普通FTP功能的。) 缺点:配置较复杂。 文件管理方式:SCP(Secure Copy Protocol) 应用场景:适用于网络安全性要求高,且文件上传下载效率高的场景。 优点:数据进行了严格加密和完整性保护,安全性高。 客户端与服务器连接的同时完成文件的上传下载操作(即连接和拷贝操作使用一条命令完成),效率较高。 缺点:配置较复杂(与SFTP方式的配置非常类似),且不支持交互。 文件管理方式:FTPS(FTP over SSL(Secure Sockets Layer)) 应用场景:适用于网络安全性要求高,且不提供普通FTP功能的场景。 优点:利用数据加密、身份验证和消息完整性验证机制,为基于TCP可靠连接的应用层协议提供安全性保证。 缺点:配置较复杂,需要预先从CA处获得一套证书。 若配置FTPS服务,则普通的FTP服务功能必须关闭。
直接登录系统
FTP(File Transfer Protocol)
TFTP(Trivial File Transfer Protocol)
SFTP(Secure File Transfer Protocol)
SCP(Secure Copy Protocol)
FTPS(FTP over SSL(Secure Sockets Layer))
管理本地文件
通过登录系统进行文件操作
通过Console口、Telnet或STelnet方式登录设备后,可以对存储器、目录和文件进行管理。特别是对存储器的管理只能通过此方式进行。
目录操作
#查看当前所处的目录 pwd #改变当前所处的目录 cd directory #显示目录中的文件和子目录的列表 dir [ /all ] [ filename | directory | /all-filesystems ] #创建目录 mkdir directory #删除目录 rmdir directory
文件操作
#显示文件的内容 more filename [ offset ] [ all ] #拷贝文件 copy source-filename destination-filename #移动文件 move source-filename destination-filename #重新命名文件 rename old-name new-name #压缩文件 zip source-filename destination-filename #解压缩文件 unzip source-filename destination-filename #删除文件 delete [ /unreserved ] [ /quiet ] { filename | devicename } #恢复删除的文件 undelete { filename | devicename } #彻底删除回收站中的文件 reset recycle-bin [ filename | devicename ] #运行批处理文件 execute batch-filename
存储器的操作
#修复文件系统异常的存储器 fixdisk drive #格式化存储器 format drive
通过FTP进行文件操作
FTP用户名、密码、授权目录和用户级别是必配置项。没有指定FTP授权目录及用户级别而登录失败是常见故障。
配置FTP服务器功能及参数
system-view #可选)指定FTP服务器端口号 ftp [ ipv6 ] server port port-number ftp [ ipv6 ] server enable #可选)指定FTP服务器的源地址 ftp server-source { -a source-ip-address | -i interface-type interface-number } #可选)配置FTP连接空闲时间 ftp [ ipv6 ] timeout minutes
配置FTP本地用户
配置本地用户级别 说明: 必须将用户级别配置在3级或3级以上,否则FTP连接将无法成功。
system-view aaa local-user user-name password irreversible-cipher password local-user user-name privilege level level 缺省情况下,本地用户可以使用所有的接入类型。 local-user user-name service-type ftp 置FTP用户的授权目录 local-user user-name ftp-directory directory
缺省情况下,本地用户的FTP目录为空。 当有多个FTP用户且有相同的授权目录时,可以执行set default ftp-directory directory命令,为FTP用户配置缺省工作目录。此时,不需要通过local-user user-name ftp-directory directory命令为每个用户配置授权目录。
(可选)配置FTP访问控制
system-view acl [ number ] acl-number rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | fragment | logging | time-range time-name | vpn-instance vpn-instance-name ] quit ftp [ ipv6 ] acl acl-number
*(S1720、S2720、S2750、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数)
用户通过FTP访问设备
ftp ip-address
通过SFTP进行文件操作
使用SFTP协议,用户将通过VTY用户界面登录设备,所以需要配置VTY用户界面的相关属性
配置SFTP服务器功能及参数
system-view rsa local-key-pair create、dsa local-key-pair create或ecc local-key-pair create sftp [ ipv4 | ipv6 ] server enable (可选)配置SSH服务器端的密钥交换算法列表 ssh server key-exchange { dh_group_exchange_sha1 | dh_group14_sha1 | dh_group1_sha1 } * (可选)配置SSH服务器端的加密算法列表 ssh server cipher { 3des_cbc | aes128_cbc | aes128_ctr | aes256_cbc | aes256_ctr | des_cbc } (可选)配置SSH服务器上的校验算法列表 ssh server hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 } * (可选)配置与SSH客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度 ssh server dh-exchange min-len min-len (可选)端口号 ssh [ ipv4 | ipv6 ] server port port-number (可选)服务器密钥对更新时间 ssh server rekey-interval hours (可选)指定SSH服务器的公钥算法 ssh server publickey { dsa | ecc | rsa } * (可选)SSH认证超时时间 ssh server timeout seconds (可选)SSH验证重试次数 ssh server authentication-retries times (可选)使能兼容低版本功能 ssh server compatible-ssh1x enable (可选)配置访问控制列表 ssh [ ipv6 ] server acl acl-number (可选)配置SSH服务器的源接口 ssh server-source -i loopback interface-number
配置SSH用户登录的用户界面
system-view user-interface vty first-ui-number [ last-ui-number ] authentication-mode aaa protocol inbound ssh user privilege level level
配置SSH用户
system-view ssh user user-name ssh user user-name authentication-type { password | rsa | password-rsa | dsa | password-dsa | ecc | password-ecc | all } ssh user username service-type { sftp | all } ssh user username sftp-directory directoryname
配置对SSH用户进行password、password-rsa、password-dsa或password-ecc认证
system-view aaa local-user user-name password irreversible-cipher password local-user user-name service-type ssh local-user user-name privilege level level quit
配置对SSH用户进行dsa、rsa、ecc、password-dsa、password-rsa或password-ecc认证
system-view 进入RSA、DSA或ECC公共密钥视图 rsa peer-public-key key-name [ encoding-type { der | openssh | pem } ] 或 dsa peer-public-key key-name encoding-type { der | openssh | pem } 或 ecc peer-public-key key-name encoding-type { der | openssh | pem } 进入公共密钥编辑视图 public-key-code begin 编辑公共密钥 hex-data 退出公共密钥编辑视图 public-key-code end 退出公共密钥视图,回到系统视图 peer-public-key end 为SSH用户分配RSA、DSA或ECC公钥 ssh user user-name assign { rsa-key | dsa-key | ecc-key } key-name
配置客户端
system-view 生成本地密钥对,并将客户端生产的公钥配置到SSH服务器 rsa local-key-pair create、dsa local-key-pair create或ecc local-key-pair create sftp server enable ...首次认证功能。 ssh client first-time enable ...或SSH客户端为SSH服务器分配RSA、DSA或ECC公钥方式 system-view rsa peer-public-key key-name [ encoding-type { der | openssh | pem } ] 、 dsa peer-public-key key-name encoding-type { der | openssh | pem } 或 ecc peer-public-key key-name encoding-type { der | openssh | pem } public-key-code begin 编辑公共密钥 hex-data public-key-code end peer-public-key end 为SSH服务器绑定RSA、DSA或ECC公钥 ssh client servername assign { rsa-key | dsa-key | ecc-key } keyname
配置设备首次连接SSH服务器的方式 作为客户端的设备首次连接SSH服务器时,因为客户端还没有保存过SSH服务器的公钥,无法对SSH服务器有效性进行检查,这样会导致连接不成功。可以通过下面两种方式来解决: 使能SSH客户端首次认证功能方式:不对SSH服务器的公钥进行有效性检查,确保首次连接成功。成功连接后,系统将自动分配并保存公钥,为下次连接时认证使用。 SSH客户端配置服务器公钥方式:将服务器端产生的公钥直接保存至客户端,保证在首次连接时SSH服务器有效性检查能够通过。
通过FTPS进行文件操作
通过SCP进行文件操作
文件管理FAQ
如何查看已删除文件
设备提供回收站功能,使用delete命令删除的文件保留在回收站中,只有使用delete/unreserved命令才能真正删除文件。 使用dir命令不显示已经被删除并被放入回收站中的文件,只有使用dir /all命令才能显示回收站中的文件,这些文件的文件名被“[]”包含。
设备支持的SSH版本号
设备支持的SSH版本号是1.99,即支持SSH1(SSH1.x)协议和SSH2(SSH2.0)协议。 设备做SSH客户端时,只能做SSH服务器端版本为2.0的客户端,不能做SSH服务器端版本为1.x的客户端;设备做SSH服务器端时,允许版本号为1.x和2.0的SSH客户端登录该设备。
为什么ssh用户在配置远端认证时必须同时在设备本地配置用户才能通过认证
在设备本地配置用户不是必需操作,当在设备上配置ssh authentication-type default password后,无须再在本地配置用户。
当存储设备出现异常时,如何修复
如果用户在设备上执行dir命令查看设备中的指定文件或目录的信息,当显示信息中含有unknown信息时,如: 30,000 KB total (672 KB free, 25,560 KB used, 3,616 KB unknown),可以通过在用户视图下执行fixdisk device-name命令释放unknown空间。 此命令是问题修复类命令,在系统未出现问题时,建议用户不要执行此命令。 如果用户在设备上执行dir命令查看不到文件,但是存储空间被占用。则可能存在以下情况: 被删除的文件放在回收站中。用户可以执行命令dir /all命令显示所有文件信息,包括已经删除的文件信息(用[ ]标识)。此类文件可使用undelete命令恢复。若要从回收站中删除该文件,使用reset recycle-bin命令。 注意 执行fixdisk device-name命令后,会清空指定存储器中的所有文件和目录,并且不可恢复,请谨慎使用。 fixdisk device-name命令无法修复设备级的故障。
如何上传/下载文件
怎么限制FTP上传/下载速度
FTP协议本身没有限速的机制,只能通过在用于FTP客户端/服务器通信的接口上配置接口限速,设置FTP上传或者下载的最高限速。具体请参见相应版本“配置指南-QoS”中的“流量监管、流量整形和接口限速配置”部分。
如何检查文件上传是否完整
各类型文件的后缀名是什么
日志文件存放在哪里
如何删除文件
怎么在两台设备之间传送文件
如果需要在两台设备之间传送文件,例如补丁文件、配置文件等,可以将一台设备作为服务器,另一台设备作为客户端,使用FTP、TFTP、SFTP、SCP和FTPS方式在服务器设备和客户端设备之间上传或者下载文件,具体请参见相应版本“配置指南-基础配置”中的“文件管理”部分。
配置系统启动
管理配置文件
保存配置文件
自动保存配置
system-view set save-configuration [ interval interval | cpu-limit cpu-usage | delay delay-interval ] *, set save-configuration backup-to-server server server-ip [ vpn-instance vpn-instance-name ] transport-type { ftp | sftp } [ port port-number ] user user-name password password [ path path ] 或 set save-configuration backup-to-server server server-ip [ vpn-instance vpn-instance-name ] transport-type tftp [ path path ]
手动保存配置
将当前配置保存到指定文件时,文件必须以“.zip”或“.cfg”作为扩展名。而且系统启动配置文件必须存放在存储设备的根目录下。
save [ all ] [ configuration-file ]
比较配置文件
compare configuration [ configuration-file ] [ current-line-number save-line-number ]
备份配置文件
直接屏幕拷贝
在命令行界面上,执行display current-configuration命令,并拷贝所有显示信息到TXT文本文件中,从而将配置文件备份到维护终端的硬盘中。
备份配置文件到flash中
<HUAWEI> save config.cfg <HUAWEI> copy config.cfg backup.cfg
通过FTP、TFTP、FTPS、SFTP和SCP备份配置文件
通过执行命令行进行备份
执行命令configuration copy startup to file file-name,将设备的启动配置文件备份到指定的文件中。 指定的目的文件必须以“.cfg”或“.zip”作为扩展名,且后缀必须与被备份文件的后缀一致。 当存在同名文件时,系统会提示是否覆盖。输入“Y”进行覆盖,输入“N”不进行覆盖。
configuration copy startup to file file-name
通过执行命令行实时备份当前配置
在系统视图下执行命令undo configuration backup local disable,使能设备备份当前运行配置的功能。当配置发生变化2小时后,设备将自动备份当前的运行配置到本地。 缺省情况下,备份运行配置到本地的功能处于打开状态。如果需要设置为去使能,执行命令configuration backup local disable。
undo configuration backup local disable
恢复配置文件
从存储器恢复配置文件
copy flash:/backup.cfg flash:/config.cfg
通过FTP、TFTP、FTPS、SFTP和SCP恢复配置文件
执行配置文件
configuration copy file file-name to running
清除配置
清除配置文件内容
清空设备下次启动使用的配置文件的内容,并取消指定系统下次启动时使用的配置文件,从而使设备配置恢复到缺省值。  说明: 执行该命令后,如果当前启动配置文件与下次启动配置文件相同,当前启动的配置文件也会被清空。 执行该命令后,用户手动重启设备时,系统会提示用户是否保存配置,这时候选择不保存才能清空配置。 取消指定系统下次启动时使用的配置文件后,如果不使用startup saved-configuration命令重新指定新的配置文件,或者不保存配置文件,设备重启后,将会以缺省配置启动。 如果当前启动配置文件为空,下次启动配置文件不为空,执行该命令后,则正常清除下次启动配置文件的设置。 如果下次启动配置文件为空,当前启动配置文件不为空,执行该命令后,系统将提示错误,并且不做任何清除操作。
reset saved-configuration
一键式清除指定接口下配置信息或将配置恢复到缺省值
[系统视图]clear configuration interface interface-type interface-number 该命令不支持在Tunnel和stack-port类型接口下执行 [接口视图]clear configuration this
除设备的非激活配置信息
当设备上的插卡不在位时,插卡上原来的配置会保留在交换机上;当堆叠环境中的备/从交换机不在位时,这些交换机上的配置会保留在主交换机上。这些无效的配置均叫做非激活配置,也叫做离线配置。用户可以执行命令行清除设备上所有的非激活配置信息,增加设备的可用空间。
system-view clear inactive-configuration all
恢复出厂配置
用户长按PNP键(6秒以上),设备恢复默认配置并自动重新启动
设备一键恢复出厂配置状态
reset factory-configuration display factory-configuration reset-result
子主题
配置系统启动文件
对系统软件合法性进行校验。需要先将系统软件和对应的签名文件上传至设备才可以使用此命令进行校验。 check file-integrity filename signature-filename 配置设备下次启动时加载的系统软件 startup system-software system-file 指定系统下次启动时使用的配置文件 startup saved-configuration configuration-file 指定设备下次启动时加载的补丁文件 startup patch patch-name [ slave-board | slot slot-id ] 检查配置结果 display startup
重新启动设备
设备重新启动的相关信息会被记录下来,通过display reboot-info命令进行查看。执行reset reboot-info命令可清除这些信息。
立即重新启动设备
指定fast,表示快速重启设备,不会提示是否保存配置文件。 指定save diagnostic-information,表示系统在重新启动前会将诊断信息保存到设备存储器的根目录下。 reboot [ fast | save diagnostic-information ]
定时重新启动设备
at time:设置设备定时重新启动的具体时间。 delay interval [ force ]:设置设备在定时重新启动前等待的时间。 schedule reboot { at time | delay interval [ force ] } display schedule reboot
BootLoad菜单操作
BootLoad菜单
1. Boot with default mode 不进入重启BootLoad阶段,直接从当前阶段继续启动。 当用户需要快速启动设备时,或者在BootLoad菜单下做的操作不涉及BootLoad程序自身(例如修改BootLoad密码)时,可以执行此操作。 2. Enter startup submenu 进入启动配置信息子菜单。此菜单下可以查看和修改启动配置信息。 3. Enter ethernet submenu 进入以太网子菜单。此菜单下可以实现通过以太网口下载文件到内存和存储器,还可以备份配置文件。 使用以太网口进行操作需要预设文件服务器,并配置网络参数以保证设备和服务器路由可达,优点是文件传输速率快。 4. Enter filesystem submenu 进入文件系统子菜单。此菜单下可以实现对文件系统的管理和维护。 5. Enter password submenu 进入密码子菜单。此菜单下可以修改BootLoad密码或者恢复BootLoad密码为缺省值。 6. Clear password for console user 清除Console口登录验证密码。当用户遗忘Console口登录密码导致无法登录设备时,可以通过此菜单清除Console登录密码。 说明: 执行清除Console密码的选项,其实是将Console口的认证方式设为None认证,设备重新启动后,不需要输入用户名和密码,可以直接登录设备。为了保证Console口的使用安全,用户登录设备后建议将Console口的认证方式修改为AAA认证。 7. Reboot 当修改的参数对BootLoad菜单前面的初始化工作有影响时,可执行7. Reboot先进入重启BootLoad阶段,再启动其他部件。 (Press Ctrl+E to enter diag menu) 按下快捷键<Ctrl+E>进入诊断菜单。关于诊断菜单的介绍,请参见BootLoad诊断菜单。 组合键 在BIOS菜单中,可以使用Ctrl+M、Ctrl+J和Ctrl+E三个组合键。具体功能描述如下: Ctrl+M和Ctrl+J:在BIOS任何菜单中使用该组合键,其功能类似于回车键。 Ctrl+E:只能在BIOS主菜单中执行该组合键,执行组合键后会打印框类型信息。
设备启动过程中,将启动BootLoad程序。当出现“Press Ctrl+B or Ctrl+E to enter BootLoad menu:”时,及时(3秒内)按下快捷键Ctrl+B或Ctrl+E,进入BootLoad菜单。 Press Ctrl+B or Ctrl+E to enter BootLoad menu : 2 Password: //输入BootLoad密码 输入正确的BootLoad密码后,显示的BootLoad菜单如下: BootLoad Menu 1. Boot with default mode 2. Enter startup submenu 3. Enter ethernet submenu 4. Enter filesystem submenu 5. Enter password submenu 6. Clear password for console user 7. Reboot (Press Ctrl+E to enter diag menu) Enter your choice(1-7):
设备管理配置
堆叠配置
使用堆叠助手工具快速获取信息

堆叠简介
定义 堆叠是指将多台支持堆叠特性的交换机通过堆叠线缆连接在一起,从逻辑上变成一台交换设备,作为一个整体参与数据转发。如图1所示,SwitchA与SwitchB通过堆叠线缆连接后组成堆叠系统。 图1 堆叠示意图 
应用场景
提高可靠性 堆叠系统多台成员交换机之间冗余备份,如图1所示,SwitchA和SwitchB组成堆叠系统,SwitchA和SwitchB相互备份,SwitchA故障时,SwitchB可以接替SwitchA保证系统的正常运行。另外,堆叠系统支持跨设备的链路聚合功能,也可以实现链路的冗余备份  扩展端口数量 如图2所示,当接入的用户数增加到原交换机端口密度不能满足接入需求时,可以增加新交换机与原交换机组成堆叠系统扩展端口数量。 图2 扩展端口数量示意图  增大带宽 如图3所示,当需要增大交换机上行带宽时,可以增加新交换机与原交换机组成堆叠系统,将成员交换机的多条物理链路配置成一个聚合组,提高交换机的上行带宽。 图3 增大带宽示意图  简化组网 如图4所示,网络中的多台设备组成堆叠,虚拟成单一的逻辑设备。简化后的组网不再需要使用MSTP等破环协议,简化了网络配置,同时依靠跨设备的链路聚合,实现单设备故障时的快速切换,提高可靠性。 图4 简化组网示意图  长距离堆叠 如图5所示,每个楼层的用户通过楼道交换机接入外部网络,现将各相距较远的楼道交换机连接起来组成堆叠,这相当于每栋楼只有一个接入设备,网络结构变得更加简单。每栋楼有多条链路到达核心网络,网络变得更加健壮、可靠。对多台楼道交换机的配置简化成对堆叠系统的配置,降低了管理和维护的成本。 图5 长距离堆叠示意图 
提高可靠性 扩展端口数量 增大带宽 简化组网 长距离堆叠
堆叠方式
说明: 堆叠交换机之间必须直连,中间不能有其他的交换机。 根据连接介质的不同堆叠方式可以分为:堆叠卡堆叠和业务口堆叠。 表1 两种堆叠方式对比 对比项 堆叠卡堆叠 业务口堆叠 资本投入 需要单独购置堆叠卡和堆叠线缆。 无需单独购买堆叠卡。 组网难易度 安装堆叠卡,连接堆叠线缆后就可以自动组建堆叠。 使用普通堆叠线缆堆叠时,需要先把业务口配置为堆叠口,才可以组建堆叠。
堆叠卡堆叠
堆叠卡堆叠又可以分为以下两种情况: 交换机之间通过专用的堆叠插卡ES5D21VST000及专用的堆叠线缆连接。 堆叠卡集成到了交换机后面板上,交换机通过集成的堆叠端口及专用的堆叠线缆连接
业务口堆叠
业务口堆叠指的是交换机之间通过与逻辑堆叠端口绑定的物理成员端口相连,不需要专用的堆叠插卡。业务口堆叠涉及两种端口的概念,如图1所示: 图1 业务口堆叠连接示意图  物理成员端口 成员交换机之间用于堆叠连接的物理端口。物理成员端口用于转发需要跨成员交换机的业务报文或成员交换机之间的堆叠协议报文。 逻辑堆叠端口 逻辑堆叠端口是专用于堆叠的逻辑端口,需要和物理成员端口绑定。堆叠的每台成员交换机上支持两个逻辑堆叠端口,分别为stack-port n/1和stack-port n/2,其中n为成员交换机的堆叠ID。 业务口堆叠根据连接线缆的不同又可以分为:普通线缆堆叠和专用线缆堆叠。 普通线缆堆叠 普通堆叠线缆包括:光线缆、网线和高速电缆。使用普通线缆堆叠时,逻辑堆叠端口需要手动进行配置,否则无法组建堆叠。 专用线缆堆叠 专用堆叠线缆的外观如图2所示,专用堆叠线缆的两端区分主和备,带有Master标签的一端为主端,不带有标签的一端为备端。使用专用线缆堆叠时,专用堆叠线缆按照规则插入端口后,交换机就可 以自动组建堆叠。 
堆叠原理描述
堆叠成员
主交换机(Master)
备交换机(Standby)
从交换机(Slave)
堆叠ID
堆叠ID用来标识堆叠成员交换机,是成员交换机的槽位号,取值范围是0~8,默认是0。每个堆叠成员交换机在堆叠系统中具有唯一的堆叠ID。 对于堆叠新建,可以使用下面三种方法进行操作。 操作方法1 堆叠前逐台配置好堆叠ID: 先摆放好堆叠成员交换机; 逐台配置交换机的堆叠ID为期望值; 用堆叠线将各交换机连接建立堆叠。 操作方法2 先建立堆叠,再修正堆叠ID: 先摆放好堆叠成员交换机; 用堆叠线将各交换机连接建立堆叠; 登录堆叠系统,修改各成员交换机的堆叠ID为期望值并重启成员交换机使配置生效。 操作方法3 通过成员交换机上电顺序,来控制成员堆叠ID为期望值: 先摆放好堆叠成员交换机; 用堆叠线将各交换机连接; 逐台给堆叠成员上电。 ---------------------------------------------------------------------- 对于堆叠扩容,可以使用下面三种方法进行操作。 操作方法1 扩容前逐台配置好堆叠ID: 先摆放好堆叠成员交换机,登录新交换机并配置新交换机的堆叠ID; 将新交换机断电,连好堆叠线; 给新交换机上电。 操作方法2 先加入堆叠,再修正堆叠ID: 先摆放好堆叠成员交换机; 用堆叠线将各交换机连接,新交换机上电加入堆叠,堆叠ID自动协商; 登录堆叠系统,修正新成员堆叠ID为期望的值并重启新成员交换机使配置生效。 操作方法3 将新交换机连线后再上电: 先摆放好堆叠成员交换机; 将新交换机与已有的堆叠系统连线; 逐台给新交换机上电。
display stack 当堆叠成员从堆叠系统中移除时,会继续使用堆叠系统使用的堆叠ID,可以执行命令 手动恢复堆叠ID为缺省值0 stack slot slot-id renumber 0
堆叠优先级
堆叠优先级是成员交换机的一个属性,主要用于角色选举过程中确定成员交换机的角色,优先级值越大表示优先级越高,优先级越高当选为主交换机的可能性越大
堆叠优先级取值范围为1~255,缺省优先级值为100 display stack stack slot slot-id priority priority
堆叠建立
物理连接
根据网络需求,选择适当的连接方式和连接拓扑,组建堆叠网络。 物理连接 根据连接介质的不同,堆叠可分为堆叠卡堆叠和业务口堆叠,详细内容可参见堆叠方式。如图1所示,每种连接方式都可组成链形和环形两种连接拓扑。表1从可靠性、链路带宽利用率和组网布线是否方便的角度对两种连接拓扑进行对比。 图1 堆叠连接拓扑  堆叠连接拓扑对比 连接拓扑:链形连接 优点:首尾不需要有物理连接,适合长距离堆叠。 缺点: 可靠性低:其中一条堆叠链路出现故障,就会造成堆叠分裂。 堆叠链路带宽利用率低:整个堆叠系统只有一条路径。 适用场景:堆叠成员交换机距离较远时,组建环形连接比较困难,可以使用链形连接。 连接拓扑:环形连接 优点: 可靠性高:其中一条堆叠链路出现故障,环形拓扑变成链形拓扑,不影响堆叠系统正常工作。 堆叠链路带宽利用率高:数据能够按照最短路径转发。 缺点:首尾需要有物理连接,不适合长距离堆叠。 适用场景:堆叠成员交换机距离较近时,从可靠性和堆叠链路利用率上考虑,建议使用环形连接。
主交换机选举
成员交换机之间相互发送堆叠竞争报文,并根据选举原则,选出堆叠系统主交换机 主交换机选举 确定出堆叠的连接方式和连接拓扑,完成成员交换机之间的物理连接之后,所有成员交换机上电。此时,堆叠系统开始进行主交换机的选举。在堆叠系统中每台成员交换机都具有一个确定的角色,其中,主交换机负责管理整个堆叠系统。主交换机选举规则如下(依次从第一条开始判断,直至找到最优的交换机才停止比较): 1. 运行状态比较,已经运行的交换机比处于启动状态的交换机优先竞争为主交换机。 堆叠主交换机选举超时时间为20s,堆叠成员交换机上电或重启时,由于不同成员交换机所需的启动时间可能差异比较大,因此不是所有成员交换机都有机会参与主交换机的第一次选举。20s后启动的交换机加入堆叠系统时,会重新进行主交换机的竞争。原主交换机竞争失败时会重启然后再以非主交换机加入堆叠,后启动交换机竞争失败时只能被动加入堆叠成为非主交换机,加入过程可参见堆叠成员加入与退出。因此,如果希望指定某一成员交换机成为主交换机,则可以先为其上电,待其启动完成后再给其他成员交换机上电。 说明: 为了尽可能保证一次性完成主交换机的选举,建议使用同型号的设备进行堆叠,如果需要进行混堆时,建议同型号的设备连接在一起。 譬如:A-B-C三台设备链形堆叠: 如果A、B先启动,C后启动,C加入堆叠系统时,只能被动加入堆叠成为非主交换机; 如果A、C先启动,A、C已分别成为主交换机,B再启动加入堆叠系统时,A和C会根据启动时间重新进行主交换机的竞争,竞争主交换机失败的交换机会重启再以非主交换机加入堆叠。 譬如:A-B-C-D-A四台设备环形堆叠: 如果A、B先启动,C和D后启动,C和D加入堆叠系统时,只能被动加入堆叠成为非主交换机; 如果A、C先启动,A、C已分别成为主交换机,B和D再启动加入堆叠系统时,A和C会根据启动时间重新进行主交换机的竞争,竞争主交换机失败的交换机会重启再以非主交换机加入堆叠。 2.堆叠优先级高的交换机优先竞争为主交换机。 3.堆叠优先级相同时,MAC地址小的交换机优先竞争为主交换机。
堆叠ID分配和备交换机选举
主交换机收集所有成员交换机的拓扑信息,向所有成员交换机分配堆叠ID,之后选出堆叠系统备交换机。 堆叠ID分配和备交换机选举 主交换机选举完成后,主交换机会收集所有成员交换机的拓扑信息,根据拓扑信息计算出堆叠转发表项下发给堆叠中的所有成员交换机,并向所有成员交换机分配堆叠ID。之后进行备交换机的选举,作为主交换机的备份交换机。除主交换机外最先完成设备启动的交换机优先被选为备份交换机。当除主交换机外其它交换机同时完成启动时,备交换机的选举规则如下(依次从第一条开始判断,直至找到最优的交换机才停止比较): 堆叠优先级最高的交换机成为备交换机。 堆叠优先级相同时,MAC地址最小的成为备交换机。 除主交换机和备交换机之外,剩下的其他成员交换机作为从交换机加入堆叠。
软件版本和配置文件同步
主交换机将整个堆叠系统的拓扑信息同步给所有成员交换机,成员交换机同步主交换机的系统软件和配置文件,之后进入稳定运行状态。 软件版本和配置文件同步 角色选举、拓扑收集完成之后,所有成员交换机会自动同步主交换机的软件版本和配置文件: 堆叠系统具有自动加载系统软件的功能,待组成堆叠的成员交换机不需要具有相同软件版本,只需要版本间兼容即可。当备交换机或从交换机与主交换机的软件版本不一致时,备交换机或从交换机会自动从主交换机下载系统软件,然后使用新系统软件重启,并重新加入堆叠。 堆叠系统具有配置文件同步机制,主交换机保存整个堆叠系统的配置文件,并进行整个堆叠系统的配置管理。备交换机或从交换机会将主交换机的配置文件同步到本交换机并执行,以保证堆叠中的多台设备能够像一台设备一样在网络中工作,并且在主交换机出现故障之后,其余交换机仍能够正常执行各项功能。配置文件的详细描述请参见配置文件。
堆叠管理和配置文件
IP地址
MAC地址
接口编号规则
堆叠ID决定着堆叠成员交换机的接口编号。 对于单台没有运行堆叠的交换机,接口编号采用:槽位号/子卡号/端口号(槽位号统一取值为0)。 交换机加入堆叠后,接口编号采用:堆叠ID/子卡号/端口号。子卡号与端口号的编号规则与单机状态下一致。 例如:交换机没有运行堆叠时,某个接口的编号为GigabitEthernet0/0/1;当该交换机加入堆叠后,如果堆叠ID为2,则该接口的编号将变为GigabitEthernet2/0/1。
登录方式
配置文件
堆叠成员加入与退出
堆叠合并
堆叠分裂与多主检测
堆叠分裂
堆叠分裂是指稳定运行的堆叠系统中带电移出部分成员交换机,或者堆叠线缆多点故障导致一个堆叠系统变成多个堆叠系统。
多主检测
直连检测方式
直连检测方式是指堆叠成员交换机间通过普通线缆直连的专用链路进行多主检测 图3 通过中间设备的直连检测方式  图4 堆叠成员交换机Full-mesh方式直连 
通过中间设备直连
Full-mesh方式直连
代理检测方式
代理检测方式是在堆叠系统Eth-Trunk上启用代理检测,在代理设备上启用MAD检测功能 图5 单机作代理设备的代理检测方式  图6 两套堆叠系统互为代理的代理检测方式 
单机作代理
两套堆叠系统互为代理
堆叠主备倒换
堆叠主备倒换包括主交换故障重启引起的主备倒换和通过命令行执行的主备倒换。 堆叠主备倒换后,系统内各个成员交换机角色的变化如图1所示: 图1  原来的备交换机升为主交换机。 新主交换机重新指定备交换机。 原来的主交换机重启后重新加入堆叠系统,并被选举为从交换机。
堆叠升级
智能升级
传统升级
平滑升级
跨设备链路聚合与流量本地优先转发
跨设备链路聚合
图1 跨设备Eth-Trunk接口实现链路间的备份 
堆叠配置注意事项
堆叠系统网络位置部署建议
场景一:堆叠系统工作在汇聚层
该场景下可作堆叠的设备款型有:S6700EI、S6720EI、S6720S-EI、S6720HI、S6730H、S5700HI、S5710HI、S5710EI、S5700EI、S5700SI、S5720EI、S5720HI、S5730HI、S5731H、S5731S-H、S5732H。 在该场景下,堆叠系统中的每台交换机上行通过Eth-Trunk接口连接到核心设备上。此堆叠系统简化了汇聚设备的管理,提升了汇聚设备上行的可靠性。
场景二:堆叠系统工作在接入层
该场景下可作堆叠的设备款型有:S2720EI、S2750EI、S5700LI、S5720LI、S5720S-LI、S5700EI、S5710-C-LI、S5710-X-LI、S5700SI、S5720SI、S5720S-SI、S5720I-SI、S5700S-LI、S5730SI、S5730S-EI、S5731S、S5731S-S、S6720LI、S6720S-LI、S6720SI、S6720S-SI、S6730S、S6730S-S。 在该场景下,堆叠系统中的每台交换机上行通过Eth-Trunk接口连接到汇聚设备上。此堆叠系统简化了接入设备的管理,提升了接入设备上行的可靠性。
场景三:堆叠系统工作在接入环上
该场景下可作堆叠的设备款型有:S2720EI、S2750EI、S5700LI、S5700EI、S5710-C-LI、S5710-X-LI、S5720LI、S5720S-LI、S5700SI、S5720SI、S5720S-SI、S5720I-SI、S5700S-LI、S5730SI、S5730S-EI、S5731S、S5731S-S、S6720LI、S6720S-LI、S6720SI、S6720S-SI、S6730S、S6730S-S。 在该场景下,多台堆叠系统之间通过Eth-Trunk接口组成环,其中一个堆叠系统通过Eth-Trunk接口上行连接到汇聚设备上。此堆叠系统减少了接入设备的管理IP数量。
堆叠配置部署建议
堆叠组建约束
最多支持9台设备组建堆叠(有些款型是5台或8台)。但是从转发性能和可靠性考虑,每个系列组建堆叠的台数不要超过建议值。 不同款型进行混堆时,请参见下面原则: 不同系列之间一定不能混堆。例如:S5700与S6700之间不能混堆。 相同系列不同产品之间一定不能混堆。例如:S5720EI与S5720HI之间不能混堆。 相同系列相同产品不同款型之间不一定可以混堆。例如:S5720LI与S5720S-LI之间不能混堆,S5720SI与S5720S-SI可以混堆。不同款型之间是否可以混堆,请参见“堆叠配置注意事项”中各款型堆叠支持情况的描述。例如S6720LI, S6720S-LI业务口堆叠支持情况的备注中描述:支持S6720LI所有款型之间进行混堆,支持S6720S-LI所有款型之间进行混堆,不支持S6720LI和S6720S-LI之间进行混堆。
与版本相关的限制:
多台交换机组成堆叠时,成员交换机会自动同步主交换机的运行版本,如果成员交换机不支持该运行版本,则该成员交换机会反复重启。
多主检测相关规格:
每个堆叠成员交换机可以同时配置8条直连检测链路。 同一个堆叠系统最多支持同时在4个Eth-Trunk接口上配置代理检测。 在V200R008C00及之前版本,对于代理交换机,最多可以配置64个Eth-Trunk接口分别为多个堆叠系统进行代理。V200R008C00之后的版本无此数量限制。
多台交换机组建堆叠后,不支持如下特性:
Y.1731的单向时延统计和双向时延统计功能 N:1 VLAN Mapping IPv6 Over IPv4隧道 IPv4 Over IPv6隧道 E-Trunk
对于既支持堆叠卡堆叠,又支持业务口堆叠的交换机,如S5720-C-EI,组建堆叠时需要注意:
堆叠版本和款型支持情况
堆叠缺省配置
表1 堆叠的缺省配置 参数 缺省值 堆叠使能状态 已使能 堆叠ID 0 堆叠优先级 100
通过堆叠卡组建堆叠
 说明: 图1中,虚框内的配置对应配置软件。其中,配置堆叠ID和配置堆叠优先级为可选配置,为了便于管理,建议用户进行这两项配置。 使用集成的堆叠端口组建堆叠时,无需安装堆叠卡。
图1 堆叠卡连接方式组建堆叠的流程
安装堆叠卡 图1 堆叠卡安装方法示意图
安装堆叠卡包括以下几个步骤: 佩戴好防静电腕带,并将其接地端插入机架上的ESD插孔。 设备下电并取下设备上的假面板。 将堆叠后插卡安装到设备上。将堆叠卡插入设备的后置插卡槽位中,闭合扳手,旋紧两端的松不脱螺钉,如图1所示。 设备上电。
配置软件
1.system-view 2.(可选)执行命令stack slot slot-id renumber new-slot-id,配置设备的堆叠ID。 缺省情况下,设备的堆叠ID为0。 说明: 此配置在设备重启后生效。 3.(可选)执行命令stack slot slot-id priority priority,配置成员交换机的堆叠优先级。 缺省情况下,成员交换机的堆叠优先级为100。 4.(可选)执行命令display stack configuration [ slot slot-id ],查看成员交换机的堆叠配置信息。
设备下电
1.(可选)执行命令save,保存配置。 2.将所有成员交换机下电。
连接堆叠线缆并上电
 说明: 如果用户希望某台交换机为主交换机可以先为其上电,启动完成后再给其它交换机上电。如上例中,SwitchA、SwitchB、SwitchC组成的堆叠系统中,SwitchA为主交换机。
QSFP+高速电缆外观图
说明: QSFP+堆叠线缆支持热插拔。
链形连接示意图
环形连接示意图
检查堆叠组建是否成功
通过指示灯检查堆叠是否组建成功
通过命令行检查堆叠是否组建成功
执行display device命令,查看堆叠系统中各成员交换机的个数与实际组网中交换机的个数是否一致: <HUAWEI> display device S5720-32X-EI-AC's Device status: Slot Sub Type Online Power Register Status Role ------------------------------------------------------------------------------- 0 - S5720-32X-EI Present PowerOn Registered Normal Master 1 - S5720-32X-EI Present PowerOn Registered Normal Standby 执行display stack命令,查看堆叠系统的连接拓扑与实际硬件连接是否一致: <HUAWEI> display stack Stack mode: Service-port Stack topology type: Link Stack system MAC: 0200-0000-01ab MAC switch delay time: 10 min Stack reserved vlan: 4093 Slot of the active management port: 0 Slot Role Mac address Priority Device type ------------------------------------------------------------- 0 Master 0200-0000-01ab 255 S5720-32X-EI-AC 1 Standby 0200-0000-0000 200 S5720-32X-EI-AC 执行display stack peers命令,查看堆叠系统的邻居信息与实际硬件连接是否一致: <HUAWEI> display stack peers Slot Port1 Peer1 Port2 Peer2 --------------------------------------------------------------------------- 0 STACK 1 1 STACK 2 None 1 STACK 1 None STACK 2 0
通过业务口普通线缆组建堆叠
 说明: 堆叠线缆连接前请将交换机下电。 堆叠成员设备之间,本端设备的逻辑堆叠端口stack-port n/1必须与对端设备的逻辑堆叠端口stack-port m/2相连。 一个逻辑堆叠端口可以绑定多个物理成员端口,用来提高堆叠的可靠性和堆叠带宽;只要其中一条物理链路保持连接堆叠就不会分裂,但堆叠带宽会相应降低。 如果两端设备对应的逻辑堆叠端口(本端的stack-port n/1与对端的stack-port m/2)内包含多个物理成员端口,对物理成员端口的连接无对应端口号的要求。 3台或者3台以上成员交换机组建堆叠时,为增加可靠性,建议采用环形组网,此时堆叠系统的带宽取所有堆叠端口带宽的最小值。 2台成员交换机组建堆叠时,建议每台成员交换机只创建一个逻辑堆叠端口,逻辑堆叠端口包含多个物理成员端口
业务口连接方式组建堆叠的流程
配置软件
还原某物理成员端口为业务口时,需首先在逻辑堆叠端口视图下执行shutdown interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10>命令关闭此物理成员端口,再执行undo port interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10> enable命令,才能还原物理成员端口为业务口。
system-view 创建并进入逻辑堆叠端口视图 interface stack-port member-id/port-id 配置业务口为物理成员端口并将其加入到逻辑堆叠端口中 port interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10> enable quit (可选)配置设备的堆叠ID,缺省情况下,设备的堆叠ID为0。 说明: 此配置在设备重启后生效。 stack slot slot-id renumber new-slot-id (可选)配置成员交换机的堆叠优先级,缺省情况下,成员交换机的堆叠优先级为100。 stack slot slot-id priority priority (可选)查看成员交换机的堆叠配置信息 display stack configuration [ slot slot-id ]
设备下电
 说明: 组建堆叠的相关配置是自动保存的。如果用户需要保存其他配置,下电前,可通过命令save进行保存。
1.(可选)执行命令save,保存配置。 2.将所有成员交换机下电。
连接堆叠线缆并上电
 如果待插拔的线缆是光纤,请勿裸眼靠近或直视光口或接头,以免激光灼伤眼睛。
业务口堆叠环形连接示意图
业务口堆叠链形连接示意图
配置堆叠组建后的堆叠增强功能
配置多主检测
同一个堆叠系统中,两种检测方式互斥,不可以同时配置。缺省情况下,设备上没有配置多主检测功能。
直连检测方式
如果堆叠系统的成员交换机上有闲置的端口,可以采用直连方式的多主检测,因为直连检测方式需要额外占用端口,且此端口只能用作多主检测,端口间的连接使用普通线缆即可。
代理检测方式
如果堆叠系统上配置了堆叠Eth-Trunk,此时可以采用代理方式的多主检测。代理方式多主检测需要在堆叠系统Eth-Trunk上启用代理方式多主检测功能,并在代理设备上启用代理功能。与直连方式比较,代理方式不会额外占用端口。 代理方式多主检测根据代理设备的不同,可以分为单机作代理和两套堆叠系统互为代理。
配置直连方式多主检测
system-view interface interface-type interface-number mad detect mode direct
操作步骤
1.配置代理方式多主检测
代理设备为一台交换机
在堆叠系统上 system-view interface eth-trunk trunk-id mad detect mode relay 在指定的代理设备上 system-view interface eth-trunk trunk-id mad relay
两个堆叠系统互为代理
在每个堆叠系统上分别配置
 说明: 设备支持两套堆叠系统互为代理进行多主检测,此时必须通过配置保证两套堆叠系统的MAD域值不同。
system-view 配置堆叠系统MAD域值。 mad domain domain-id interface eth-trunk trunk-id mad relay mad detect mode relay
2.执行命令quit,退回到系统视图
3.(可选)配置堆叠系统内指定端口为保留端口。 mad exclude interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10>
多主检测发现堆叠分裂,分裂后的多个堆叠系统之间会进行相互竞争,为防止相同的MAC地址、IP地址引起网络振荡,竞争失败的堆叠系统内成员交换机的所有业务端口会被关闭,以减少对网络的影响。如果有部分端口仅做报文透传功能,出现堆叠分裂后,这部分端口不会影响网络运行。用户如果希望保留这些端口的业务,可以通过命令将这些端口配置为保留端口。堆叠分裂后,多主检测功能不会关闭保留端口的业务。 缺省情况下,堆叠物理成员端口为保留端口,其它所有业务口均为非保留端口。 堆叠分裂后,用于双主检测的端口也会被关闭。
4.(可选)使处于关闭状态的端口重新恢复正常 mad restore
多主检测使堆叠分裂后出现的多个堆叠系统之间相互竞争,竞争成功的堆叠系统保持Detect状态(正常工作状态),竞争失败的堆叠系统进入Recovery状态(禁用状态,即除保留端口外,其他端口会被关闭,相关业务中断)。用户如果希望Recovery状态的堆叠系统重新正常工作,可以重新打开被关闭的端口。例如堆叠分裂故障恢复前,Detect状态的堆叠系统也发生故障或被移出网络,此时可以重新启用Recovery状态的堆叠系统,让它接替原Detect状态的堆叠系统的工作,以保证业务尽量少受影响。
查看多主检测的配置信息。 display mad [ proxy | verbose ]
配置堆叠系统MAC地址的切换时间
堆叠系统作为一台设备与网络中其他设备通信,具有唯一的MAC地址,称为堆叠系统MAC地址。通常情况下使用主交换机的MAC地址作为堆叠系统MAC地址。 当堆叠系统的主交换机离开时,会引起堆叠系统的MAC地址切换,造成流量中断,对业务产生影响。可通过配置堆叠系统MAC地址的切换时间,尽量减少堆叠系统MAC地址的切换。 如果堆叠系统的MAC地址是主交换机的MAC地址。当主交换机发生故障或脱离堆叠系统时: 在去使能堆叠系统MAC地址延时切换功能的情况下,堆叠系统MAC地址会立刻切换为新主交换机的MAC地址,默认使能堆叠系统MAC地址延时切换功能,延迟10分钟切换。 在使能了堆叠系统MAC地址延时切换功能的情况下,如果在切换时间内,旧的主交换机还没有重新加入堆叠,堆叠系统MAC地址会切换为新主交换机的MAC地址;在切换时间内,旧的主交换机作为从交换机重新加入堆叠,此时堆叠系统的MAC地址不切换,堆叠系统的MAC地址为从交换机的MAC地址。 如果堆叠系统MAC地址是从交换机的MAC地址,当从交换机从堆叠系统离开后,如果在切换时间内没有重新加入堆叠系统,堆叠系统MAC地址会切换为主交换机的MAC地址。
system-view 配置堆叠系统MAC地址切换时间,缺省情况下,系统MAC地址的切换时间为10分钟。 堆叠系统MAC地址切换时间设置为0时,表示不切换 stack timer mac-address switch-delay delay-time 立即切换。 undo stack timer mac-address switch-delay 检查配置的系统MAC地址切换时间 display stack configuration
配置堆叠系统保留VLAN
默认情况下,堆叠系统使用VLAN 4093作为堆叠系统的保留VLAN,堆叠链路上的通信都依赖于保留VLAN。如果用户需要使用VLAN 4093来部署业务,可以通过以下配置来修改堆叠系统保留VLAN。 说明: 堆叠系统的保留VLAN不能用于部署其他业务,如果保留VLAN被占用,堆叠系统将无法组建成功。此时,需要通过命令undo vlan vlan-id删除被占用的保留VLAN或通过以下配置修改堆叠系统保留VLAN。
system-view 配置堆叠系统保留VLAN stack reserved-vlan vlan-id 检查配置的堆叠系统保留VLAN display stack configuration
配置堆叠链路的负载分担模式
在业务口堆叠环境下,当逻辑堆叠端口与多个物理成员端口绑定时,堆叠成员交换机之间会存在多条堆叠链路。通过改变堆叠链路的负载分担模式,确保出方向的流量能够在多条堆叠链路上合理的分担,以避免出现链路阻塞。用户可以在系统视图下或逻辑堆叠端口视图下,按照报文携带的源IP、目的IP、源MAC、目的MAC或者它们之间的组合来选择堆叠链路的负载分担模式: 系统视图下配置的是全局的(所有逻辑堆叠端口的)负载分担模式。 逻辑堆叠端口视图下配置的是该端口的负载分担模式。 逻辑堆叠端口会优先采用逻辑堆叠端口视图下配置的负载分担模式。如果没有在逻辑堆叠端口视图下进行配置,则采用系统视图下配置的负载分担模式。
配置全局的负载分担模式
system-view 配置全局的负载分担模式。缺省情况下,全局的负载分担模式为增强模式:ENHANCED。 stack-port load-balance mode { dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac }
配置某个逻辑堆叠端口的负载分担模式
system-view interface stack-port member-id/port-id 配置逻辑堆叠端口的负载分担模式.缺省情况下,逻辑堆叠端口的负载分担模式为增强模式:ENHANCED。 stack-port load-balance mode { dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac }
查看逻辑堆叠端口的负载分担模式。 display stack-port global load-balance或display stack-port load-balance
使能堆叠端口Error-down功能
在堆叠系统中,如果堆叠口由于某些原因导致持续收到CRC错包或者端口频繁Up/Down,会造成堆叠链路上流量转发不正常,影响网络业务。在堆叠端口使能Error-down功能后,如果堆叠口收到CRC错包或者端口频繁Up/Down达到指定阈值,堆叠口会自动Shutdown并将流量切换到其他堆叠链路转发,从而减小业务影响。同时,系统会打印Error-down告警,方便故障定位。 注意,在一端接口为堆叠口,另一端接口为业务口的场景中,即使堆叠口持续收到CRC错包,也不会触发Shutdown以及打印Error-down告警。
使能堆叠端口的Error-down功能。 缺省情况下,堆叠端口已使能Error-down功能。 stack port { crc | link-flap } trigger error-down 设置堆叠端口Error-down的触发阈值和诊断间隔。缺省情况下,堆叠端口Error-down的触发阈值为10次每分钟,诊断间隔为3分钟,即如果堆叠端口每分钟收到10次CRC错包或者反复Up/Down 10次,并持续了3分钟,将触发端口Error-down并打印告警。 stack port { crc | link-flap } trigger { threshold threshold | interval interval } *, 设置堆叠端口Error-down的恢复间隔。 缺省情况下,堆叠端口Error-down的恢复间隔为0,即堆叠端口不会自动恢复Error-down。 stack port { crc | link-flap } trigger error-down auto-recovery-interval auto-recovery-interval 查看堆叠端口Error-down功能的配置信息 display current-configuration | include stack
维护堆叠
监控堆叠状态
display stack,查看堆叠成员交换机的堆叠信息。 display stack peers,查看堆叠成员交换机的邻居信息。 display stack port [ brief | slot slot-id ],查看堆叠端口信息。 display stack configuration [ slot slot-id ],查看堆叠系统当前配置的堆叠命令信息。 display stack channel [ all | slot slot-id ],查看堆叠链路的连线及状态信息
通过指示灯显示堆叠ID
使能和去使能堆叠
对于S5700EI和S5700SI设备,可以在系统视图下执行命令stack enable和undo stack enable使能和去使能堆叠。使能和去使能堆叠都需要重启设备才生效。 对于除S5700EI和S5700SI之外支持堆叠的设备,堆叠功能默认使能,可以通过下面两种方法去使能堆叠。 方法一:在诊断视图下执行命令,stack enable和undo stack enable使能和去使能堆叠。使能和去使能堆叠都需要重启设备才生效。 <HUAWEI> system-view [HUAWEI] diagnose [HUAWEI-diagnose] stack enable //使能堆叠 Warning: All the configurations related to the slot ID will be lost after the stack function is enabled. Continue?[Y/N]: y Info: Stack configuration has been changed, need reboot to take effect. <HUAWEI> system-view [HUAWEI] diagnose [HUAWEI-diagnose] undo stack enable //去使能堆叠 Warning: All the configurations related to the slot ID will be lost after the stack function is disabled. Continue?[Y/N]: y Info: Stack configuration has been changed, need reboot to take effect. 方法二:无法执行诊断命令时,可以通过删除堆叠口或拔掉堆叠线缆的方式取消堆叠。删除堆叠口的方法请参见删除堆叠口。
删除堆叠口
system-view interface stack-port member-id/port-id 将堆叠成员端口状态设置为Down shutdown interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10> 将成员端口从堆叠口中退出,恢复为业务口 undo port interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10> enable
修改堆叠口
system-view interface stack-port member-id/port-id shutdown interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10>, undo port interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10> enable port interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10> enable
清除堆叠配置
说明: 执行该命令后会导致原有堆叠系统分裂,设备重启。
清除堆叠相关配置。包括:交换机槽位号、堆叠优先级、堆叠保留VLAN、系统MAC切换时间、堆叠口配置、堆叠口速率配置。 reset stack configuration
重启堆叠成员交换机
复位堆叠系统中某一台成员设备,slot-id表示成员设备的堆叠ID reset slot slot-id
替换堆叠成员交换机
为堆叠系统加载补丁
加载并运行补丁。 patch load filename all run 查看当前系统的补丁信息。 display patch-information
堆叠主备倒换
如果堆叠系统当前的主交换机不是用户期望的,此时可以通过配置主备倒换实现将堆叠备交换机升为堆叠主交换机。 通过命令行进行堆叠主备倒换后,堆叠系统内各个成员交换机角色的变化如图1所示: •原来的备交换机升为主交换机。 •新主交换机重新指定备交换机。 •原来的主交换机重启后重新加入堆叠系统,并被选举为从交换机。 图1 主备倒换前后成员交换机角色的变化
查看堆叠系统是否满足主备倒换的条件 display switchover state system-view 使能堆叠主备倒换功能,缺省情况下,主备倒换功能处于使能状态。 slave switchover enable 执行堆叠主备倒换。 slave switchover
升级堆叠
表1 两种升级方式的比较 升级方式 升级命令 适用场景 升级后堆叠系统的主交换机 传统升级 reboot 通过整个堆叠系统重启的方式进行升级,会造成业务较长时间的中断,适用于对业务中断影响要求不高的场景。 堆叠优先级高的设备成为主交换机,优先级相同时,MAC地址小的设备成为主交换机。 平滑升级 upgrade backup-area slot slot-id to slot-id upgrade start 将堆叠系统划分成两个相互备份的流量区域(active区和backup区),启动升级后,两个区域会依次进行升级,保证其中一个区域的流量不会中断,减少因升级对业务造成的影响,适用于对业务中断影响要求较高的场景。但对堆叠系统和组网有以下要求: 组网方式是上下行链路对称备份组网(流量流经两个区域)。 堆叠系统下次启动的系统软件版本支持平滑升级。 堆叠系统各成员交换机中当前启动的系统软件完全一致,包括文件名、版本号及存储路径。 堆叠系统各成员交换机中下次启动的系统软件完全一致,包括文件名、版本号及存储路径。
传统升级
传统升级 将新系统软件上传到堆叠系统主交换机,文件上传操作请参见《S2720, S5700, S6700 V200R019C00 配置指南-基础配置》 文件管理。 执行命令startup system-software system-file all,指定堆叠系统内所有成员交换机下次启动时使用的系统软件。 执行命令reboot,通过整个堆叠系统重启的方式进行升级。
平滑升级
平滑升级 将新系统软件上传到堆叠系统的所有成员交换机,并保证每个成员交换机上传的新系统软件完全一致(包括文件名、版本号及存储路径),文件上传操作请参见《S2720, S5700, S6700 V200R019C00 配置指南-基础配置》 文件管理。 执行命令startup system-software system-file all,指定堆叠系统内所有成员交换机下次启动时使用的系统软件。 执行命令system-view,进入系统视图。 执行命令upgrade backup-area slot slot-id to slot-id,配置平滑升级的两个流量区域。 被指定堆叠ID的成员设备将作为backup区,其余的成员设备则会根据拓扑自动形成active区。  说明: 划分区域有以下原则: backup区成员和active区成员不能有重叠,且成员个数都不能为0。 backup区不能包含主交换机。 backup区和active区各自的成员在堆叠拓扑中要相互连接,中间不能断开。 backup区成员和active区成员构成整个堆叠系统。 (可选)执行命令display upgrade area,检查平滑升级的分区是否满足当前堆叠系统拓扑的要求。 平滑升级的分区划分后,如果堆叠系统的拓扑发生变化,则会造成平滑升级失败,所以可以在执行升级前通过此命令进行检查。如果检查未通过,则需要根据当前堆叠系统的拓扑重新进行分区。 执行命令upgrade start,启动平滑升级。 (可选)执行命令display upgrade state [ slot slot-id ],查看平滑升级的状态。
拆分堆叠
如果当前堆叠系统不再使用,用户希望将组成堆叠的成员交换机还原为单机状态的交换机,则此时需要拆分堆叠。建议拆分流程为: 备份堆叠配置文件。 拆除堆叠线缆。 恢复堆叠配置到缺省值。 将成员交换机下电。 拆除堆叠插卡(仅拆分堆叠卡连接方式的堆叠须执行此步骤)。
拆分通过堆叠卡组建的堆叠
执行命令save,保存配置。 执行命令copy source-filename destination-filename all,备份配置文件到所有成员交换机,以备再次组建堆叠时使用。 拆除成员交换机之间的堆叠线缆。拆除堆叠线缆后,堆叠系统分裂,如果分裂后的交换机不再与原主交换机或备交换机相连,则该交换机会重启。由于堆叠成员交换机IP地址等部分配置相同,远程登录可能不成功,因此请通过Console口登录交换机进行后续配置。 执行命令system-view,进入系统视图。 执行命令stack slot slot-id renumber 0,将成员交换机的堆叠ID恢复为缺省值0。 将成员交换机下电。 拆除堆叠插卡。
拆分通过业务口普通线缆和专用线缆组建的堆叠
执行命令save,保存配置。 执行命令copy source-filename destination-filename all,备份配置文件到所有成员交换机,以备再次组建堆叠时使用。 拆除成员交换机之间的堆叠线缆。拆除堆叠线缆后,如果分裂后的交换机不再与原主交换机或备交换机相连,则该交换机会重启。由于堆叠成员交换机IP地址等部分配置相同,远程登录可能不成功,因此请通过Console口登录交换机进行后续配置。 执行命令system-view,进入系统视图。 执行命令reset stack configuration,清除堆叠的相关配置。 清除的堆叠配置包括:交换机槽位号、堆叠优先级、堆叠保留VLAN、系统MAC切换时间、堆叠口配置、堆叠口速率配置。执行该命令会导致设备重启。 将成员交换机下电。
接口管理配置
接口基础配置
接口基础简介
接口分类
接口是设备与网络中的其它设备交换数据并相互作用的部件,分为物理接口和逻辑接口两类
物理接口
物理接口是真实存在、有器件支持的接口。物理接口(除管理接口外)需要承担业务传输
LAN侧接口
LAN侧接口:交换机可以通过它与局域网中的网络设备交换数据。 表1 LAN侧接口 接口类型 描述 百兆以太网FE(Fast Ethernet)接口 LAN侧FE接口工作在数据链路层,处理二层协议,实现二层快速转发,FE接口支持的最大速率为100Mbit/s。 说明: 仅S2720EI支持FE接口。 千兆以太网GE(Gigabit Ethernet)接口 LAN侧GE接口工作在数据链路层,处理二层协议,实现二层快速转发,GE接口支持的最大速率为1000Mbit/s。 万兆以太网10GE接口 LAN侧10GE接口工作在数据链路层,处理二层协议,实现二层快速转发,10GE接口支持的最大速率为10000Mbit/s。 多千兆以太网MultiGE接口 LAN侧MultiGE接口工作在数据链路层,处理二层协议,实现二层快速转发,MultiGE接口支持的最大速率为10000Mbit/s。 说明: MultiGE接口是一个支持100/1000/2500/5000/10000Mbit/s的多种速率以太网电接口,支持对接的款型请参见以太网接口配置注意事项。 仅S5720-14X-PWH-SI-AC、S5720-28X-PWH-LI-AC、S5720-28X-PWH-LI-ACF、S6720-32C-SI-AC、S6720-32C-SI-DC、S6720-32C-PWH-SI-AC、S6720-32C-PWH-SI、S6720-52X-PWH-SI、S6720-56C-PWH-SI-AC、S6720-56C-PWH-SI支持MultiGE接口。 默认情况下,S5720-14X-PWH-SI-AC的接口编号固定为MultiGE0/0/1~MultiGE0/0/4,S5720-28X-PWH-LI-AC、S5720-28X-PWH-LI-ACF的接口编号固定为MultiGE0/0/1~MultiGE0/0/8,S6720-32C-SI-AC、S6720-32C-SI-DC、S6720-32C-PWH-SI-AC、S6720-32C-PWH-SI的接口编号固定为MultiGE0/0/1~MultiGE0/0/24,S6720-52X-PWH-SI的接口编号固定为MultiGE0/0/1~MultiGE0/0/48,S6720-56C-PWH-SI-AC、S6720-56C-PWH-SI的接口编号固定为MultiGE0/0/1~MultiGE0/0/16,详情请参见《硬件描述》 - 机箱。 S5720-14X-PWH-SI-AC和S5720-28X-PWH-LI-AC仅支持100/1000/2500Mbit/s速率。 四万兆以太网40GE接口 LAN侧40GE接口工作在数据链路层,处理二层协议,实现二层快速转发,40GE接口支持的最大速率为40000Mbit/s。40GE接口可以作为一个单独的接口使用,也可以拆分成四个10GE接口。 十万兆以太网100GE接口 LAN侧100GE接口工作在数据链路层,处理二层协议,实现二层快速转发,100GE接口支持的最大速率为100000Mbit/s。100GE接口可以作为一个单独的接口使用,也可以拆分成两个40GE接口。 Combo接口 Combo接口又叫光电复用接口,是由设备面板上的两个以太网口(一个光口和一个电口)组成。Combo电口与其对应的光口在逻辑上是光电复用的,用户可根据实际组网情况选择其中的一个使用,但两者不能同时工作。 说明: 仅S2720-12TP-EI、S2720-12TP-PWR-EI、S2720-28TP-EI、S2720-28TP-PWR-EI、S2720-28TP-PWR-EI-L、S5720-12TP-LI-AC、S5720-12TP-PWR-LI-AC、S5720-28TP-LI-AC、S5720-28TP-PWR-LI-AC、S5720-28TP-PWR-LI-ACL、S5720S-12TP-LI-AC、S5720S-12TP-PWR-LI-AC、S5720S-28TP-PWR-LI-ACL、S5720S-28X-LI-24S-AC、S5720-28P-SI-AC、S5720-28X-SI-AC、S5720-28X-SI-DC、S5720-28X-PWR-SI-AC、S5720-28X-PWR-SI-DC、S5720-28X-SI-24S-AC、S5720-28X-SI-24S-DC、S5721-28X-SI-24S-AC、S5720-52X-SI-48S、S5720-36C-EI-AC、S5720-36C-EI-DC、S5720-36C-EI-28S-AC、S5720-36C-EI-28S-DC、S5720-36C-PWR-EI-AC、S5720-36C-PWR-EI-DC、S5720-36PC-EI-AC、S5720-32C-HI-24S-AC、S5730-36C-HI-24S和S5730-44C-HI-24S支持Combo接口。
管理接口
表2 各管理接口介绍 接口类型 描述 Console口 遵循EIA/TIA-232标准,接口类型是DCE。该接口和配置终端的COM串口连接,用于搭建现场配置环境。 MEth口 遵循10/100BASE-TX标准。该接口和配置终端或网管站的网口连接,用于搭建现场或远程配置环境。 MiniUSB口 该接口和配置终端的USB口连接,用于对第一次上电的设备进行基本配置和管理。Mini USB口和Console口同时使用时,只有Mini USB口生效。 说明: 仅S5720HI和S5720EI系列支持MiniUSB口登录,其中S5720EI系列中S5720-50X-EI-AC、S5720-50X-EI-DC、S5720-50X-EI-46S-DC和S5720-50X-EI-46S-AC不支持。
USB接口
监控口
逻辑接口
逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口。逻辑接口需要承担业务传输。
Eth-Trunk接口
具有二层特性和三层特性的逻辑接口,把多个以太网接口在逻辑上等同于一个逻辑接口,比以太网接口具有更大的带宽和更高的可靠性。
Tunnel接口
具有三层特性的逻辑接口,隧道两端的设备利用Tunnel接口发送报文、识别并处理来自隧道的报文。
VLANIF接口
具有三层特性的逻辑接口,通过配置VLANIF接口的IP地址,实现Vlan间互访。
以太网子接口
以太网子接口就是在一个主接口上配置出来的虚拟接口,主要用于实现与多个远端进行通信。 说明: 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持以太网子接口。
Loopback接口
主要应用其接口状态永远是Up和可以配置32位子网掩码的特性。
NULL接口
因为任何送到该接口的网络数据报文都会被丢弃,主要用于路由过滤等特性。
NVE接口
用于与其他NVE设备建立VXLAN隧道的逻辑口。 说明: 仅S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持NVE接口。
VBDIF接口
基于BD广播域的虚接口,支持三层特性。可以实现不同BD之间、BD与非BD网络之间以及BD与三层网络之间的通信。 说明: 仅S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持VBDIF接口。
虚拟以太网VE(Virtual-Ethernet)接口
主要用于以太网协议承载其它数据链路层协议。支持创建VE子接口,用于L2VPN接入L3VPN。 说明: 仅S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720HI、S6730H、S6730S和S6730S-S支持VE接口。
接口编号规则
管理接口的编号规则
表1 各管理接口编号 接口名称 管理接口编号 Console口 通常描述为用户界面接口“console 0”。 MEth口 描述为接口“MEth 0/0/1”。 说明: 仅S1720X-E、S5720-50X-EI-46S-AC、S5720-50X-EI-46S-DC、S5720-50X-EI-AC、S5720-50X-EI-DC、S5720EI、S5720HI、S5720S-SI、S5720SI、S5730HI、S5730S-EI、S5730SI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720LI、S6720S-EI、S6720S-LI、S6720S-SI、S6720SI、S6730H、S6730S和S6730S-S支持此管理接口。 S5720-50X-EI-46S-AC、S5720-50X-EI-46S-DC、S5720-50X-EI-AC、S5720-50X-EI-DC和S5720I-SI设备会自动生成虚拟的MEth 0/0/1接口,单机环境下该接口下的配置不生效,堆叠环境下,如果堆叠系统中有支持管理接口的设备,则虚拟MEth 0/0/1接口下的配置生效;如果堆叠系统中没有支持管理接口的设备,则虚拟MEth 0/0/1接口下的配置仍不生效。
物理接口编号规则
物理接口的编号规则如下: 非堆叠情况下,设备采用“槽位号/子卡号/接口序号”的编号规则来定义物理接口。 槽位号:表示当前交换机的槽位,取值为0。 子卡号:表示业务设备支持的子卡号。 接口序号:表示设备上各接口的编排顺序号。 堆叠情况下,设备采用“堆叠号/子卡号/接口序号”的编号规则来定义物理接口。 堆叠号:表示堆叠ID,取值为0~8。 子卡号:表示业务设备支持的子卡号。 接口序号:表示设备上各接口的编排顺序号。
配置接口基本参数
进入接口视图
 说明: 如果逻辑接口还没有创建,则此命令用于创建逻辑接口并进入该逻辑接口视图。 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持以太网子接口。 对于上述形态设备的二层接口,仅hybrid和trunk类型接口支持配置以太网子接口。 对于上述形态设备的二层接口,执行命令undo portswitch切换为三层接口后,支持配置以太网子接口。 接口加入Eth-Trunk后,该成员接口上不能配置子接口。 VCMP的角色是Client时,不能配置VLAN终结子接口。
system-view interface interface-type interface-number
配置接口描述信息
为了方便管理和维护设备,可以配置接口的描述信息,描述接口所属的设备、接口类型和对端网元设备等信息。例如:“当前设备连接到设备B的GE0/0/1接口”可以描述为:To-[DeviceB]GE-0/0/1。
system-view interface interface-type interface-number 如果要在子接口视图配置本功能 interface interface-type interface-number.subinterface-number 配置接口的描述信息 description description
(可选)如果要在子接口视图配置本功能,执行命令interface interface-type interface-number.subinterface-number,进入子接口视图。 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持以太网子接口。 对于上述形态设备的二层接口,仅hybrid和trunk类型接口支持配置以太网子接口。 对于上述形态设备的二层接口,执行命令undo portswitch切换为三层接口后,支持配置以太网子接口。 接口加入Eth-Trunk后,该成员接口上不能配置子接口。 VCMP的角色是Client时,不能配置VLAN终结子接口。
统计接口的流量信息
当需要检查网络状况或处理网络故障时,用户可以基于接口来使能对IPv4或IPv6报文的统计功能,并查看接口下的报文统计信息,实现对端口流量的监控。
system-view interface interface-type interface-number 使能接口的IPv4或IPv6报文统计功能。 { ipv4 | ipv6 } * statistic enable { both | inbound | outbound }, 说明: 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持接口的IPv4或IPv6报文统计功能。 该命令与VLANIF接口视图下的statistic enable { both | inbound | outbound }命令互斥。 在S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720HI、S6730H、S6730S和S6730S-S上,该命令与traffic policy命令同时配置时,会导致统计报文失败 ----------------------------------------------- 查看接口下的IPv4和IPv6报文统计信息。 display counters [ interface interface-type interface-number ] protocol [ rate ]
配置流量统计时间间隔
通过配置接口的流量统计时间间隔功能,用户可以对感兴趣的报文进行统计与分析。同时,通过预先查看接口的流量统计,及时采取流量控制的措施,可以避免网络拥塞和业务中断。 当用户发现网络有拥塞的情况时,可以将接口的流量统计时间间隔设置为小于300秒(拥塞加剧时,设置为30秒),观察接口在短时间内的流量分布情况。对于导致拥塞的数据报文,采取流量控制措施。 当网络带宽充裕,业务运行正常时,可以将接口的流量统计时间间隔设置为大于300秒。一旦发现有流量参数异常的情况,及时修改流量统计时间间隔,便于更实时的观察该流量参数的趋势。  说明: 在系统视图下配置的流量统计时间间隔对接口下的时间间隔为缺省值的所有接口都生效。 在接口视图下配置的流量统计时间间隔只对本接口生效,不影响其他接口。 在接口视图下配置的时间间隔的优先级高于在系统视图下配置的时间间隔。
配置全局流量统计时间间隔
system-view 配置全局流量统计时间间隔。 缺省情况下,全局流量统计时间间隔为300秒。 set flow-stat interval interval-time
配置接口流量统计时间间隔
system-view interface interface-type interface-number set flow-stat interval interval-time
配置开启或关闭接口
当修改了接口的工作参数配置,且新的配置未能立即生效时,可以依次执行shutdown和undo shutdown命令或restart命令关闭和重启接口,使新的配置生效。 当接口闲置(即没有连接电缆或光纤)时,请使用shutdown命令关闭该接口,以防止由于干扰导致接口异常。  说明: 用户输入该命令时,需要至少输入“shut”才能匹配到shutdown命令,并执行生效。 依次执行shutdown和undo shutdown相当于执行restart命令,不会修改或删除接口的配置信息。 NULL接口一直处于Up状态,不能使用命令关闭或启动NULL接口。 Loopback接口一旦被创建,将一直保持Up状态,不能使用命令关闭或启动Loopback接口。
关闭接口
system-view interface interface-type interface-number (可选)如果要在子接口视图配置本功能 interface interface-type interface-number.subinterface-numbe •仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持以太网子接口。 •对于上述形态设备的二层接口,仅hybrid和trunk类型接口支持配置以太网子接口。 •对于上述形态设备的二层接口,执行命令undo portswitch切换为三层接口后,支持配置以太网子接口。 •接口加入Eth-Trunk后,该成员接口上不能配置子接口。 •VCMP的角色是Client时,不能配置VLAN终结子接口。 shutdown
启动接口
system-view interface interface-type interface-number (可选)如果要在子接口视图配置本功能 interface interface-type interface-number.subinterface-number •仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持以太网子接口。 •对于上述形态设备的二层接口,仅hybrid和trunk类型接口支持配置以太网子接口。 •对于上述形态设备的二层接口,执行命令undo portswitch切换为三层接口后,支持配置以太网子接口。 •接口加入Eth-Trunk后,该成员接口上不能配置子接口。 •VCMP的角色是Client时,不能配置VLAN终结子接口。 undo shutdown
检查接口基本参数的配置结果
查看接口当前运行状态信息,包括:接口当前运行状态、接口基本配置和报文通过接口的转发情况。 display interface [ interface-type [ interface-number [.subinterface-number ] ] ] 查看接口状态和配置的简要信息,包括:接口的物理状态、协议状态、接收方向最近一段时间的带宽利用率、发送方向最近一段时间的带宽利用率、接收的错误报文数和发送的错误报文数。 display interface brief [ main ] 查看接口的主要IP配置信息。 display ip interface [ interface-type interface-number [.subinterface-number ] ] 查看接口的描述信息。 display interface description [ interface-type [ interface-number [.subinterface-number ] ] ] 查看接口的流量统计计数。 display counters [ inbound | outbound ] [ interface interface-type [ interface-number [.subinterface-number ] ] ] [ nonzero ] 查看接口的入方向或出方向流量速率。 display counters rate [ inbound | outbound ] [ interface interface-type [ interface-number [.subinterface-number ] ] ] [ nonzero ] 查看接口的错误流量统计计数。 display counters error [ inbound | outbound ] [ interface interface-type [ interface-number [.subinterface-number ] ] ]
清除统计信息
接口统计信息有助于分析接口的故障原因和接口的工作状态。当您需要统计一定时间内接口的流量信息时,需要在统计开始前清除该接口下原有的统计信息。  清除接口的统计信息后,所有的统计数据都不能被恢复,请务必仔细确认。
清除指定接口的统计信息。 reset counters interface [ interface-type [ interface-number [.subinterface-number ] ] ] 清除网管的接口流量统计信息。 reset counters if-mib interface [ interface-type [ interface-number [.subinterface-number ] ] ]
以太网接口配置
以太网接口简介
根据不同的分类标准,以太网接口有多种分类方式
•根据接口承载的业务功能不同
■MEth管理接口。MEth管理接口主要为用户提供配置管理支持,也就是用户通过此类接口可以登录到设备,并进行配置和管理操作。MEth管理接口不承担业务传输。 ■业务接口。主要承担业务数据的接收和发送
•根据接口支持的速率
■FE接口 ■GE接口 ■XGE接口(目前是指10GE接口) ■MultiGE接口 ■40GE接口 ■100GE接口
•根据接口的电气属性
■电接口 ■光接口
•根据接口处理报文的转发方式
■二层以太网接口:是一种物理接口,工作在数据链路层。它只能对接收到的报文进行二层交换转发,也可以加入VLAN,通过VLANIF接口对接收到的报文进行三层路由转发。 ■三层以太网接口:是一种物理接口,工作在网络层,可以配置IP地址。它可以对接收到的报文进行三层路由转发,即可以收发源IP和目的IP处于不同网段的报文。
以太网接口配置注意事项
以太网接口的缺省配置
以太网接口的缺省配置 表1 以太网接口缺省配置 参数 缺省值 Combo接口工作模式 auto,即自动切换光口模式或电口模式。 MDI(Media Dependent Interface)类型 auto,即自动识别所连接网线的类型。 双工模式 自协商模式下,接口的双工模式是与对端协商得到的。 非自协商模式下,接口的双工模式为全双工。 接口速率 自协商模式下,接口的速率是与对端协商得到的。 非自协商模式下,接口的速率为接口支持的最大速率。 上报状态变化延时时间 上报Up事件延时时间是2000毫秒。 上报Down事件延时时间是0毫秒。 链路振荡保护 未使能。
配置MEth管理接口属性
管理接口MEth0/0/1是一种特殊的以太网接口,可以配置IP地址,为用户提供配置管理支持,也就是用户通过此接口可以登录到设备,并进行配置和管理操作。MEth管理接口不承担业务传输。 关于使用管理接口登录设备的详细功能配置,请参见《S2720, S5700, S6700 V200R019C00 配置指南-基础配置》。
system-view interface meth 0/0/1 配置MEth管理接口工作在非自协商模式。缺省情况下,MEth管理接口工作在自协商模式。 说明: 管理接口工作在自协商模式时不支持配置速率、双工模式。 链路两端的协商模式必须保持一致。如果链路两端的协商模式不一致,链路之间将无法正常通信。 undo negotiation auto 配置MEth管理接口的接口速率。缺省情况下,MEth管理接口工作速率为接口支持的最大速率,即100Mbit/s。 speed { 10 | 100 } 配置MEth管理接口的双工模式。 缺省情况下,MEth管理接口的双工模式为全双工。 duplex { full | half }
批量配置接口
当用户需要对多个以太网接口进行相同的配置时,如果对每个接口逐一进行配置,很容易出错,并且造成大量重复工作。 端口组功能可以解决这一问题。用户将这些以太网接口加入同一个端口组,在端口组视图下,用户只需输入一次配置命令,该端口组内的所有以太网接口都会配置该功能,完成接口批量配置,减少重复配置工作。 端口组分为如下两种方式: 临时端口组。如果用户需要临时批量下发配置到指定的多个接口,可选用配置临时端口组。配置命令批量下发后,一旦退出端口组视图,该临时端口组将被系统自动删除。 永久端口组。如果用户需要多次进行批量下发配置命令的操作,可选用配置永久端口组。即使退出端口组视图后,该端口组及对应的端口成员仍然存在,便于下次的批量下发配置。如果用户希望删除永久端口组,需要执行命令undo port-group { all | port-group-name },删除永久端口组。
配置临时端口组
说明: 如果要配置子接口的临时端口组或者永久端口组,可将上述配置步骤中的interface-type interface-number替换为interface-type interface-number.subinterface-number创建并进入子接口的临时端口组或者永久端口组视图。 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持以太网子接口。 对于上述形态设备的二层接口,仅hybrid和trunk类型接口支持配置以太网子接口。 对于上述形态设备的二层接口,执行命令undo portswitch切换为三层接口后,支持配置以太网子接口。 接口加入Eth-Trunk后,该成员接口上不能配置子接口。 VCMP的角色是Client时,不能配置VLAN终结子接口。
system-view 创建并进入临时端口组视图。 port-group group-member { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10> 或 interface range { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10>
配置永久端口组
system-view 创建并进入永久端口组视图。 port-group port-group-name 将以太网接口添加到指定永久端口组中。 group-member { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10>
检查配置结果
查看永久端口组的成员接口信息。 display port-group [ all | port-group-name ]
端口组提供了一种批量配置的方式,系统不支持查看、保存端口组本身的配置。用户可以在成员接口视图下通过执行命令display this,查看成员端口下当前生效配置。
配置端口保护
现网中,主机一般使用缺省网关与外部网络联系,如果缺省网关出接口发生故障,主机与外部网络的通信将被中断,无法保证业务的正常传输,设备可靠性差。端口保护功能很好的解决了这个问题。在不改变组网的情况下,将设备上的两个接口组成一个端口保护组,实现主备接口的备份。当主用接口出现异常时,业务及时切换到备用接口上,以保证业务的无中断传输。 如图1所示,SwitchA上配置的端口保护组中包含了一个主用接口GE0/0/1和一个备用接口GE0/0/2。在正常工作状态下,主用接口GE0/0/1承载业务数据传输。当主用接口发生故障,状态变为Down时,系统将自动切换业务到备用接口GE0/0/2上,以保证业务的正常传送,提高设备的可靠性。 当备用接口GE0/0/2承载业务后,如果主用接口GE0/0/1恢复正常,业务也不会回切到接口GE0/0/1,只有当备用接口GE0/0/2故障时,才会切换到主用接口GE0/0/1。 图1 端口保护组网图 
system-view 创建并进入端口保护组视图。 port protect-group protect-group-index 配置端口保护组中的主用接口。 protect-group member interface-type interface-number master 配置端口保护组中的备用接口。 protect-group member interface-type interface-number standby 查看端口保护组的成员接口信息。 display port protect-group { all | protect-group-index }
一个端口保护组只能包含一个主用接口和一个备用接口。 说明: 为提高端口保护组中接口的业务切换性能,确保主用接口链路发生故障时,系统可立即切换业务到备用接口,用户需要在主用接口和备用接口均执行命令carrier { up-hold-time | down-hold-time } interval,配置接口上报状态变化事件的延时时间均为0毫秒。
配置速率和模式
配置自协商功能
网络中存在大量具有不同传输能力的设备,如果链路两端的设备无法协商到合适的数据传输能力,双方就无法正常通信。自协商功能就是给互连设备提供一种交换信息的方式,使物理链路两端的设备通过交互信息自动选择同样的工作参数,以使其传输能力达到双方都能够支持的最大值。 自协商的内容包括两端接口的双工模式和接口速率。一旦协商通过,链路两端的设备就锁定在同样的双工模式和接口速率。自协商功能只有在链路两端设备均支持才可以生效。如果对端设备不支持自协商功能,或者对端设备自协商机制和本端设备不一致,可将本端和对端设备均配置为非自协商模式,并强制配置速率和双工模式保持一致即可。 当接口工作模式由自协商修改为非自协商时,接口的速率和双工模式也会随之恢复到缺省支持的最大值。例如,当GE电口工作在自协商模式时,和对端接口协商的工作速率为100Mbit/s,双工模式为半双工;当接口工作模式修改为非自协商模式后,接口速率将恢复为1000Mbit/s,双工模式为全双工。 说明: 以太网接口支持自协商功能情况,请参见以太网接口配置注意事项。 缺省情况下,GE光接口的自协商功能处于使能状态,但是速率自协商未使能,用户可执行命令speed auto-negotiation,配置接口速率自协商功能。 配置接口速率自协商功能时,如果对单根光纤进行插拔,可能会导致本端接口为Up状态,对端接口为Down状态。此时可在对端接口上执行命令shutdown和undo shutdown,恢复对端接口状态为Up
system-view interface interface-type interface-number 配置以太网接口工作在自协商模式。 缺省情况下,以太网接口工作在自协商模式。 negotiation auto display interface [ interface-type [ interface-number ] ] 或接口视图下执行命令 display this interface
配置接口速率
用户可以根据以下三种场景配置以太网接口速率。 自协商模式:用户可以执行negotiation auto命令配置接口工作在自协商模式下,由链路两端的接口协商接口速率。对于以下两种情况,用户可以在自协商模式下配置以太网接口速率。 如果协商的接口速率与实际要求不符,用户可通过执行命令auto speed手动配置接口速率来控制协商的结果。如图1所示,服务器群(Server1、Server2和Server3)的网卡速率均为1000Mbit/s,服务器群与外部网络相连接口GE0/0/4的速率也为1000Mbit/s。如果在设备上不指定自协商速率,则接口GE0/0/1、GE0/0/2和GE0/0/3和各自连接的服务器速率协商的结果将都为1000Mbit/s,当服务器群同时以1000Mbit/s速率对外发送数据时,就会造成出接口GE0/0/4拥塞。此时用户可配置接口GE0/0/1、GE0/0/2和GE0/0/3的自协商速率为100Mbit/s,来避免出接口的拥塞。 图1 配置接口自协商速率组网图  如果用户希望自协商模式下,速率协商还需要考虑网线状态时,可通过执行set ethernet speed down-grade配置以太网接口降速协商功能。 在自协商模式下,接口速率协商结果不会考虑连接网线的速率支持情况,仅取决于两端接口均支持的最大速率。这种情况下就会导致两端接口速率协商一致,但是接口无法Up。例如,链路两端的GE接口可以支持的最大速率均为1000Mbit/s,如果连接的网线只能工作在100Mbit/s或者10Mbit/s,由于网线不支持1000Mbit/s,导致链路两端接口无法Up。 用户配置自动降速协商功能后,即使链路两端的GE接口可以支持的最大速率均为1000Mbit/s,如果连接的网线只能工作在100Mbit/s或者10Mbit/s,链路两端的GE接口也可以降速协商速率到100Mbit/s或者10Mbit/s,以保证接口可以正常使用。 非自协商模式:用户可以执行命令undo negotiation auto,配置以太网接口工作在非自协商模式下,然后执行speed命令手动配置接口速率,避免发生无法通讯的情况。  说明: 以太网接口支持的接口速率情况,请参见以太网接口配置注意事项。 非自协商模式下配置以太网接口速率时,需要保证链路两端接口速率一致。
自协商模式下,配置接口速率
自协商模式下,手动配置接口速率
 说明: 自协商模式下配置接口速率仅对于电接口或者插上光电模块的光口才生效。
system-view interface interface-type interface-number negotiation auto auto speed { 10 | 100 | 1000 | 2500 | 5000 | 10000 }*
(FE电接口不支持1000,并且仅S5720-14X-PWH-SI-AC、S5720-28X-PWH-LI-AC和S5720-28X-PWH-LI-ACF的MultiGE口支持最大配置2500,仅S6720-32C-SI-AC、S6720-32C-SI-DC、S6720-32C-PWH-SI-AC、S6720-52X-PWH-SI、S6720-56C-PWH-SI-AC、S6720-56C-PWH-SI和S6720-32C-PWH-SI的MultiGE口支持最大配置10000)。 缺省情况下,以太网接口的接口速率是和对端接口协商得到的。
自协商模式下,配置降速协商功能
system-view 使能接口自动降速协商功能。 缺省情况下,系统未使能接口自动降速协商功能。 set ethernet speed down-grade
 说明: 降速协商功能仅对于MultiGE接口、GE电接口或者插上GE光电模块的GE光口、S5730HI的ES5D21X08T00插卡的后4个10GE电接口才生效。 S5720-PC-EI、S5720-P-EI接口编号中的最后4个GE接口不支持配置降速自协商功能。
非自协商模式下,配置接口速率
system-view interface interface-type interface-number 配置以太网接口工作在非自协商模式。 缺省情况下,以太网接口处于自协商模式。 undo negotiation auto speed { 10 | 100 | 1000 | 2500 | 5000 | 10000 } display interface [ interface-type [ interface-number ] ] 或接口视图下执行命令 display this interface
配置双工模式
双工模式分为如下两种: 半双工:接口任意时刻只能接收数据或者发送数据,并存在最大传输距离的限制。 全双工:接口可以同时接收和发送数据,最大吞吐量可达到双倍速率,且消除了半双工的物理距离限制。 配置以太网电接口的双工模式可在自协商或者非自协商两种模式下进行: 在自协商模式下,接口的双工模式是和对端接口协商得到的,当自协商的双工模式与实际要求不符时,用户可以通过手动修改双工模式来控制自协商的结果。 如果企业用户业务数据流量较大,则链路两端的自协商结果只能为全双工模式,不能为半双工模式,否则会出现丢包现象。用户可执行命令auto duplex full,配置接口自协商的双工模式为全双工,即自协商成功后只能为全双工模式。 如果企业用户业务数据流量较小,链路两端的自协商结果为半双工模式即可以满足数据传输需求,则用户可执行命令auto duplex half,配置接口自协商的双工模式为半双工,即自协商成功后只能为半双工模式。 当对端设备不支持自协商功能,则可以通过非自协商模式下手动配置本端接口双工模式,以保证和对端设备保持一致。  说明: 以太网接口支持的双工模式情况,请参见以太网接口配置注意事项。 链路两端的双工模式必须保持一致。电接口对接时有可能因为两端接口自协商模式不一致等原因,造成接口被协商成半双工模式,出现报文交互异常现象。 S5732H、S6720EI、S6720S-EI、S6720HI、S6730S、S6730S-S和S6730H仅管理接口MEth0/0/1支持配置双工模式。 S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S物理接口均不支持半双工模式。
自协商模式下,配置双工模式
system-view interface interface-type interface-number negotiation auto 配置以太网接口的双工模式。 缺省情况下,以太网接口的双工模式是和对端接口协商得到的。 auto duplex { full | half }*
非自协商模式下,配置双工模式
system-view interface interface-type interface-number undo negotiation auto duplex { full | half } display interface [ interface-type [ interface-number ] ] 或接口视图下执行命令 display this interface
配置插卡接口工作模式
用户可以根据实际需要,选择使用插卡上的接口,即切换到插卡接口工作模式。  说明: 仅S6720-C-SI系列设备支持此配置。 S6720-C-SI系列设备支持扩展插卡,但是前面板的4个10GE SFP+以太网光接口与插卡上的接口不能同时使用(4*10GE插卡除外)。默认情况下,设备使用的是面板上的接口。如果需要使用插卡上的接口,可以执行undo set device port-config-mode port-on-board enable命令切换到插卡接口工作模式,此时面板上的接口不可以使用。
system-view 配置插卡接口工作模式。 缺省情况下,设备处于面板接口工作模式。 undo set device port-config-mode port-on-board enable [ slot slot-id ] 查看插卡接口工作模式的相关信息。 display device port-config-mode status [ slot slot-id ]
配置Combo接口工作模式
Combo接口是一个光电复用接口,一个Combo接口对应设备面板上一个GE电接口和一个GE光接口,而在设备内部只有一个转发接口。电接口与其对应的光接口是光电复用关系,两者不能同时工作(例如,当激活光接口时,对应的电接口就自动处于禁用状态),用户可根据对端接口类型选择使用电接口或光接口。电接口和光接口共用一个接口视图。当用户需要激活电接口或光接口,配置电接口或光接口的属性(比如速率、双工模式等)时,只需要在同一接口视图下配置。 如图1所示,Combo接口GE0/0/1在设备面板上对应两个接口:Combo光口和Combo电口。Combo光口和Combo电口不能同时工作。当用户需要对Combo光口或Combo电口进行属性配置时,都只需要进入同一接口视图GE0/0/1进行配置即可。 图1 Combo接口示例图  关于Combo接口在设备面板上的具体位置,请参见《硬件描述》中的外观结构。  说明: 仅S2720-12TP-EI、S2720-12TP-PWR-EI、S2720-28TP-EI、S2720-28TP-PWR-EI、S2720-28TP-PWR-EI-L、S5720-12TP-LI-AC、S5720-12TP-PWR-LI-AC、S5720-28TP-LI-AC、S5720-28TP-PWR-LI-AC、S5720-28TP-PWR-LI-ACL、S5720S-12TP-LI-AC、S5720S-12TP-PWR-LI-AC、S5720S-28TP-PWR-LI-ACL、S5720S-28X-LI-24S-AC、S5720-28P-SI-AC、S5720-28X-SI-AC、S5720-28X-SI-DC、S5720-28X-PWR-SI-AC、S5720-28X-PWR-SI-DC、S5720-28X-SI-24S-AC、S5720-28X-SI-24S-DC、S5721-28X-SI-24S-AC、S5720-52X-SI-48S、S5720-36C-EI-AC、S5720-36C-EI-DC、S5720-36C-EI-28S-AC、S5720-36C-EI-28S-DC、S5720-36C-PWR-EI-AC、S5720-36C-PWR-EI-DC、S5720-36PC-EI-AC、S5720-32C-HI-24S-AC、S5730-36C-HI-24S和S5730-44C-HI-24S支持配置Combo接口工作模式。
system-view interface gigabitethernet interface-number 配置Combo接口工作模式。 combo-port { auto | copper | fiber } display interface [ interface-type [ interface-number ] ] 或接口视图下执行命令display this interface,查看接口当前运行状态信息。具体可查看回显信息中的Port Mode字段。
缺省情况下,Combo接口工作模式为auto,即自动选择模式为光口模式或电口模式。 指定Combo接口工作模式为自动选择模式时,系统将检测Combo光口是否有光模块插入,并根据如下情况进行模式选择: Combo电口没有连接网线,当Combo光口插上光模块时,则Combo接口选择光口模式。 Combo电口已经连接网线,且Combo接口处于UP状态,此时即使Combo光口插上光模块,Combo接口仍选择为电口模式。但是设备重启后,Combo接口工作模式将变为光口模式。 Combo电口已经连接网线,且Combo接口处于DOWN状态,此时Combo光口插上光模块时,Combo接口将选择光口模式。 综上所述,Combo接口工作模式为自动选择模式时,只要Combo光口已插上光模块,则设备重启后,Combo接口都将选择光口模式。 强制指定Combo接口的工作模式时,需要根据本端与对端设备连接的接口类型进行配置。如果本端Combo电口与对端电口相连,则需要强制指定Combo接口的工作模式为copper;如果本端Combo光口与对端光口相连,则需要强制指定Combo接口的工作模式为fiber。
配置接口进行二三层模式切换
基于设备的硬件构造,某些形态设备上接口只能作为二层以太网接口,某些形态设备上接口只能作为三层以太网接口,而还有一些接口则比较灵活,可以改变其二三层模式:在二层模式下,该接口作为一个二层以太网接口使用;在三层模式下,该接口作为一个三层以太网接口使用。 当有较多接口需要进行二三层模式切换时,可以在系统视图下执行命令portswitch batch进行批量切换。 说明: 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持二层模式与三层模式切换。 工作在三层模式的以太网接口支持配置IP地址。 缺省情况下,设备的以太网接口工作在二层模式,并且已经加入VLAN1。将接口转换为三层模式后,该接口并不会立即退出VLAN1,只有当三层协议Up后,接口才会退出VLAN1。 以太网接口的二三层模式既可以在以太网接口视图下配置也可以在系统视图下配置。当两种视图下配置的二三层模式不同时,最新配置生效。
以太网接口视图下,配置单个以太网接口切换到三层模式
system-view interface interface-type interface-number 缺省情况下,以太网接口处于二层模式。 使用该命令进行接口的二三层模式切换时,接口下只能存在属性配置信息(例如shutdown、description配置),模式切换功能才可以生效。如果已经有业务配置存在时(例如port link-type trunk配置),需要先将该接口下的业务配置全部清除再执行该命令。 undo portswitch
以太网接口视图下,配置单个三层模式的以太网接口切换到二层模式
system-view interface interface-type interface-number 配置接口切换到二层模式。 缺省情况下,以太网接口处于二层模式。 使用该命令进行接口的二三层模式切换时,接口下只能存在属性配置信息(例如shutdown、description配置),模式切换功能才可以生效。如果已经有业务配置存在时(例如port link-type trunk配置),需要先将该接口下的业务配置全部清除再执行该命令。 portswitch
系统视图下,配置以太网接口批量切换到三层模式
system-view 配置接口批量切换到三层模式。 缺省情况下,以太网接口处于二层模式。 undo portswitch batch interface-type { interface-number1 [ to interface-number2 ] } &<1-10>
系统视图下,配置三层模式的以太网接口批量切换到二层模式
system-view 配置接口批量切换到二层模式。 缺省情况下,以太网接口处于二层模式。 portswitch batch interface-type { interface-number1 [ to interface-number2 ] } &<1-10>
检查配置结果
任意视图下执行命令display interface [ interface-type [ interface-number ] ] 或接口视图下执行命令display this interface,查看接口当前运行状态信息。 回显信息中出现Switch Port字段表示接口是二层接口; 出现Route Port字段表示接口是三层接口
配置光/电口通用属性
配置双向流量控制
网络拥塞易引发丢包,流量控制是一种防止出现丢包现象的技术。配置流量控制功能后,如果本端设备发生拥塞,它将向对端设备发送消息,通知对端设备暂时停止发送报文。对端设备在接收到该消息后,无论其接口工作速率高低,都将暂时停止向本端发送报文,避免拥塞。此时,设备不仅具有接收Pause帧的能力,也具有发送Pause帧的能力。 如图1所示,SwitchA通过SwitchB,与SwitchC进行通信。流量控制功能实现机制如下: SwitchA上接口GE0/0/1和SwitchB上接口GE0/0/2相连,自协商速率为1000Mbit/s。接口之间以速率1000Mbit/s来发送数据报文。 由于SwitchB出接口Eth0/0/3最大传输速率仅为100Mbit/s,当转发报文出现拥塞时,SwitchB会缓冲接收的报文。缓冲报文达到一定值后,将超过了接口Eth0/0/3的转发能力,就会出现报文丢包现象。 SwitchA上接口GE0/0/1和SwitchB上接口GE0/0/2均配置流量控制功能后,接口GE0/0/2会向对端设备接口GE0/0/1发送Pause帧,通知GE0/0/1暂时停止发送报文;GE0/0/1在接收到该Pause帧后会暂时停止向GE0/0/2发送报文,暂停时间长短信息由Pause帧携带。当拥塞仍然存在时,GE0/0/2就会一直向GE0/0/1发送Pause帧。 接口Eth0/0/3仍然继续发送先前缓存的数据报文,直至拥塞解除。 拥塞解除后,SwitchB不再向SwitchA发送Pause帧,SwitchA可以继续以速率1000Mbit/s发送数据报文。 图1 流量控制示例图  当对端设备不支持自协商功能时,用户可以在链路两端均配置流量控制功能;当链路两端设备均支持自协商功能时,用户可以在链路两端均配置流量控制自协商功能,设备将根据网络拥塞情况,和对端相互协商是否打开流量控制开关。  说明: 以太网接口支持的流量控制情况,请参见以太网接口配置注意事项。 以太网接口支持配置流量控制、接收流量控制、流量控制自协商和接收流量控制自协商功能,但不能同时配置。 流量控制自协商功能都需要链路两端均配置才能生效。 接口的双工模式为半双工时,流量控制功能不生效。 当XGE光接口插入GE光电模块后支持配置流量控制自协商。 当GE光接口插入GE光模块或GE光电模块后支持配置流量控制自协商。 对于S2720-52TP-EI、S5720-52P-LI-AC,如果在其接口序号为0~23的接口作为流量入接口(或出接口)配置流量控制自协商功能,其接口序号为24~47的接口作为流量的出接口(或入接口)配置流量控制自协商功能,则流量控制自协商功能不生效。
配置流量控制
system-view interface interface-type interface-number 配置流量控制。 缺省情况下,未配置以太网接口的流量控制。 flow-control
配置接口流量控制自协商功能
system-view interface interface-type interface-number negotiation auto 配置接口的流量控制自协商功能。 缺省情况下,未配置以太网接口的流量控制自协商功能。 flow-control negotiation
检查配置结果
任意视图下执行命令display interface [ interface-type [ interface-number ] ] 或接口视图下执行命令display this interface,查看接口当前运行状态信息。具体可查看回显信息中的Flow-control字段。
配置单向流量控制
网络拥塞易引发丢包,流量控制是一种防止出现丢包现象的技术。在单向通信网络中,在发送端的以太网接口配置接收流量控制功能,在接收端的以太网接口配置流量控制功能后,如果接收端设备发生拥塞,它将向发送端设备发送消息,通知该设备暂时停止发送报文。发送端设备在接收到该消息后,无论其接口工作速率高低,都将暂时停止向接收端发送报文,避免拥塞。此时,发送端设备具有接收Pause帧的能力,但不具有发送Pause帧的能力;接收端设备不仅具有接收Pause帧的能力,也具有发送Pause帧的能力。 如图1所示,SwitchA通过SwitchB,与SwitchC进行通信。接收流量控制功能实现机制如下: SwitchA上接口GE0/0/1和SwitchB上接口GE0/0/2相连,自协商速率为1000Mbit/s。接口之间以速率1000Mbit/s来发送数据报文。 由于SwitchB出接口Eth0/0/3最大传输速率仅为100Mbit/s,当转发报文出现拥塞时,SwitchB会缓冲接收的报文。缓冲报文达到一定值后,将超过了接口Eth0/0/3的转发能力,就会出现报文丢包现象。 SwitchA上接口GE0/0/1配置接收流量控制功能,SwitchB上接口GE0/0/2配置流量控制功能,接口GE0/0/2会向对端设备接口GE0/0/1发送Pause帧,通知GE0/0/1暂时停止发送报文;GE0/0/1在接收到该Pause帧后会暂时停止向GE0/0/2发送报文,暂停时间长短信息由Pause帧携带。当拥塞仍然存在时,GE0/0/2就会一直向GE0/0/1发送Pause帧。 接口Eth0/0/3仍然继续发送先前缓存的数据报文,直至拥塞解除。 拥塞解除后,SwitchB不再向SwitchA发送Pause帧,SwitchA可以继续以速率1000Mbit/s发送数据报文。 图1 流量控制示例图  当发送端设备不支持自协商功能时,用户可以在链路流量入接口(发送端)配置接收流量控制功能,流量的出接口(接收端)配置流量控制功能;当链路两端设备均支持自协商功能时,用户可以在链路流量入接口(发送端)配置接收流量控制自协商功能,流量的出接口(接收端)配置流量控制自协商功能,设备将根据网络拥塞情况,和对端相互协商是否打开流量控制开关。  说明: 以太网接口支持的接收流量控制情况,请参见以太网接口配置注意事项。 以太网接口支持配置流量控制、接收流量控制、流量控制自协商和接收流量控制自协商功能,但不能同时配置。 接收端设备接口需要打开流量控制开关才能实现流量控制。 接口的双工模式为半双工时,接收流量控制功能不生效。 当XGE光接口插入GE光电模块后支持配置接收流量控制自协商。 当GE光接口插入GE光模块或GE光电模块后支持配置接收流量控制自协商。 对于S2720-52TP-EI、S5720-52P-LI-AC,如果在其接口序号为0~23的接口作为流量入接口配置接收流量控制自协商功能,其接口序号为24~47的接口作为流量的出接口配置流量控制自协商功能,则接收流量控制自协商功能和流量控制自协商功能不生效。
配置接收流量控制功能
system-view interface interface-type interface-number 配置以太网接口接收流量控制功能。 缺省情况下,未配置以太网接口接收流量控制功能。 flow-control receive
配置接收流量控制自协商功能
system-view interface interface-type interface-number negotiation auto 配置以太网接口接收流量控制自协商功能。 缺省情况下,未配置以太网接口的接收流量控制自协商功能。 flow-control negotiation receive
检查配置结果
任意视图下执行命令display interface [ interface-type [ interface-number ] ] 或接口视图下执行命令display this interface,查看接口当前运行状态信息。具体可查看回显信息中的Flow-control字段。
配置上报物理状态变化延时时间
system-view interface interface-type interface-number 配置接口上报状态变化延时时间。 缺省情况下,上报Up事件延时时间为2000毫秒,上报Down事件延时时间为0毫秒。 carrier { up-hold-time | down-hold-time } interval
用户在配置上报状态变化延时时间时,具体取值取决于网络连接情况。 配置接口上报状态变化延时时间为较大值。 例如,接口短时间内频繁Up/Down,并且这些频繁Up/Down时间小于IP路由收敛时间,这种情况下物理状态变化对于上层协议来说可以不感知。可设置较大的上报状态变化延时时间,以防止这些频繁Up/Down造成不必要的路由表项刷新。 配置接口上报状态变化延时时间为较小值。 例如,端口保护组中主用接口物理状态由Up变为Down后,系统需要立即通知上层业务转发协议,使业务从备用接口传送。这种情况下,可设置较小的上报状态变化延时时间,以保证业务实时切换。
配置接口流量统计信息采样周期
网管通过iftable和ifxtable两个MIB表获取接口流量统计信息时,实时查询接口统计信息耗时较长,当设备上存在大量接口时,导致网管查询效率低下。为解决该问题,交换机支持定时采样接口的流量统计信息。此后,网管可以直接获取接口的流量统计信息的采样值,从而提高网管的查询效率。
system-view 配置接口流量统计信息采样周期。缺省情况下,上述周期为60秒。 set if-mib sample-interval interval-value
配置链路振荡保护功能
网络抖动或链路网线故障等原因会引起本端设备接口物理状态频繁Up/Down变化,导致链路振荡,致使网络拓扑结构频繁变化,影响用户通信。例如,主备链路应用中当主链路接口物理状态频繁Up/Down变化时,流量将在主备链路之间来回切换,不仅会增加设备负担,还可能造成数据流量丢失。 为了解决上述问题,用户可以配置链路振荡保护功能,将物理状态频繁Up/Down变化的接口关闭,使之处于Down状态,这样网络拓扑结构将停止来回频繁变化。上述主备链路应用举例中,用户在主链路接口上配置链路振荡保护功能后,当主链路接口物理状态频繁Up/Down变化时,系统将直接关闭该接口,业务切换到备用链路后,可一直维持在备用链路上稳定传输。链路振荡保护功能涉及如下参数: 链路振荡次数:接口状态Up/Down切换一次,记为一次链路振荡。 链路振荡时间间隔:系统需要统计单位时间内链路振荡的次数,单位时间记为链路振荡时间间隔。 如果在链路振荡时间间隔内,链路振荡次数达到了设定值,则将该接口关闭,记录为ERROR DOWN(link-flap)状态(即由于链路振荡导致接口处于Down状态)。缺省情况下,使能链路振荡保护功能后,10秒内接口Up/Down状态变化5次,接口就将变为Down状态。
system-view interface interface-type interface-number 使能接口的链路振荡保护功能。缺省情况下,没有使能接口的链路振荡保护功能。 port link-flap protection enable 配置接口的链路振荡时间间隔。缺省情况下,接口的链路振荡时间间隔为10秒。 port link-flap interval interval-value 配置接口的链路振荡次数。缺省情况下,接口的链路振荡次数为5次。 port link-flap threshold threshold-value 查看处于Error-down状态的接口的相关信息。 display error-down recovery [ interface interface-type interface-number ]
后续处理
接口Error-down后可以通过如下两种方式恢复状态。 手动恢复。当处于Error-down状态的接口数量较少,且需要强制开启接口时,可在该接口视图下依次执行命令shutdown和undo shutdown;也可以执行命令restart,重启接口。 自动恢复。当处于Error-down状态的接口数量较多,如果逐一手动配置重启接口命令将产生大量重复工作,并且可能遗漏个别接口未配置重启命令。为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause link-flap interval interval-value,使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,当接口Error-down后,经过指定延时时间后能够自动恢复。
配置接收的错误报文超过阈值触发接口Error-down
以太网接口接收过多的错误报文时,会出现业务丢包等故障。由于接口仍处于Up状态,因此即使该以太网接口配置了备份链路,业务也无法及时切换到备份链路。为了不影响业务的正常运行,可配置接口错误报文超过阈值触发Error-down功能,当接口接收的错误报文超过设置的阈值上限时,系统将该接口关闭,记录为ERROR DOWN(error-statistics)状态(即由于接口接收的错误报文超过阈值导致接口处于Down状态),这样业务就可以及时切换到备份链路。
system-view interface interface-type interface-number 配置错误报文告警阈值和错误报文告警时间间隔。缺省情况下,错误报文告警阈值为3个,错误报文告警时间间隔为10秒。 trap-threshold error-statistics threshold-value interval interval-value 配置接口由于接收到的错误报文超过阈值而触发Error-down功能。缺省情况下,未配置接口由于接收到的错误报文超过阈值而触发Error-down功能。 error-statistics threshold-event trigger error-down 配置触发Error-Down的错误报文数的阈值和触发Error-down的单位时间间隔。 缺省情况下,触发Error-down的错误报文数的阈值为3个,触发Error-down的单位时间间隔为10秒。 error-down-threshold error-statistics threshold-value interval interval-value 查看处于Error-down状态的接口的相关信息。 display error-down recovery [ interface interface-type interface-number ]
 说明: 建议配置的触发Error-down的错误报文数的阈值大于等于错误报文告警阈值。
后续处理
接口Error-down后可以通过如下两种方式恢复状态。 手动恢复。当处于Error-down状态的接口数量较少,且需要强制开启接口时,可在该接口视图下依次执行命令shutdown和undo shutdown;也可以执行命令restart,重启接口。 自动恢复。当处于Error-down状态的接口数量较多,如果逐一手动配置恢复命令将产生大量重复工作,并且可能遗漏个别接口未配置恢复命令。为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause error-statistics interval interval-value,使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,当接口Error-down后,经过指定延时时间后能够自动恢复。
配置包括帧间隙和前导码的流量统计
用户可执行命令display interface,查看接口当前运行状态和接口统计信息。回显信息中的Last 300 seconds input rate或Last 300 seconds output rate字段表示接口在最近300秒内入方向或出方向的接口流量统计速率。 如果用户希望了解接口单位时间内通过的总字节数,即包含报文字节数以及帧间隙和前导码固定开销时,可配置包括帧间隙和前导码的流量统计。此时,接口流量统计速率 = (原始报文长度 + 帧间隙 + 前导码)× 每秒通过的报文个数。 如果用户仅希望了解接口单位时间内通过的报文字节数,即排除帧间隙和前导码固定开销时,可配置不包括帧间隙和前导码的流量统计。此时,接口流量统计速率 = 原始报文长度 × 每秒通过的报文个数。 帧间隙和前导码长度一般为固定值,即帧间隙为12字节,前导码为8字节。
system-view interface interface-type interface-number 配置接口流量统计时包括对帧间隙和前导码的统计。 set flow-statistics include-interframe
缺省情况下,接口流量统计时对帧间隙和前导码进行统计。用户可执行命令display interface,查看接口当前运行状态和接口统计信息。回显信息中的Last 300 seconds input rate或Last 300 seconds output rate字段表示接口在最近300秒内入方向或出方向的接口流量统计速率。
配置接口允许通过的超大帧长度
长度大于1518字节的以太网帧和长度大于1522字节的VLAN帧称为超大帧,即JUMBO帧。 以太网接口在进行文件传输、视频报文传送等大吞吐量数据交换的时候,可能会收到超过普通报文长度的超大帧。当接收的超大帧长度超过接口默认可处理的数据帧长时,设备将不进行处理直接丢弃。用户可根据接口实际需要处理的报文长度,调整接口允许通过的超大帧长度。 配置接口允许超大帧通过功能可以使报文转发长度不再局限于普通的以太网报文长度,给用户提供了一个更加灵活的应用。当传送相同长度的数据报文信息时,如果使用多个普通以太帧传输时会有很多帧间隙和前导码等冗余信息,而使用超大帧传输时,帧数量较少,这样就减少了无用帧间隙及前导码的传送,提高了带宽的利用率。 当然,接口允许通过的超大帧长度也不能都设置为最大值,因为报文在网络传输过程中,需要途经的每台设备均支持转发该超大帧,否则报文将在转发途中丢弃。
system-view interface interface-type interface-number 配置接口允许通过的最大帧长。 缺省情况下,交换机允许通过的最大帧长度为9216字节。 当接口使能jumboframe enable且没有设置value值时,交换机允许最大长度为9216字节的帧通过以太网接口。 jumboframe enable [ value ]
 说明: 如果接口出方向的报文长度超过该接口允许的最大帧长,接口可以直接转发该报文。
配置接口的最大传输单元
最大传输单元MTU(Maximum Transmission Unit)的大小决定了发送端一次能够发送IP报文的最大字节数。IP报文的MTU是指从整个报文的IP首部到数据之间的字节数。 任何时候IP层接收到一份要发送的IP数据时,它要判断向本地哪个接口发送数据,并查询该接口获得其MTU。IP层把MTU与要发送的数据包长度进行比较,如果数据包的长度比MTU值大,则IP层就需要进行分片,分片后的数据可以小于等于MTU。如果设置强制不分片,IP层在传输数据时可能会出现丢包现象。即,当需要保证网络中的大报文不丢失时,需要对大报文进行强制分片。 网络层一般要限制每次发送数据帧的最大长度。正确配置MTU值,是保证设备之间正常、高效通信的前提: 如果MTU配置过小而报文尺寸较大,当报文经过硬件转发时,会丢弃;当经过CPU转发时,会造成分片过多,从而影响数据正常传输。 如果MTU配置过大,就会超过了接收端所能够承受的最大值,或者是超过了发送路径上途经的某台设备所能够承受的最大值,也会造成报文分片甚至丢弃,加重网络传输的负担,影响数据正常传输。 MTU值建议使用缺省值,当传输报文尺寸或报文接收设备发生变化时,用户可根据具体网络环境调整MTU值大小。  说明: 配置的MTU值仅对控制平面的数据报文生效。 对于S5720HI、S5730HI、S5732H、S6730H、S6730S、S6730S-S、S5731H、S5731S-H、S5731S、S5731S-S和S6720HI,需要执行ipv4 fragment enable命令使能报文分片功能后,配置的MTU值才对转发平面的数据报文生效(GRE报文无需执行该命令即可生效)。对于以上描述之外的设备,配置MTU值对转发平面的数据报文无法生效。
system-view interface interface-type interface-number 配置以太网接口从二层模式切换到三层模式。 undo portswitch 配置接口的最大传输单元。 缺省情况下,MTU取值为1500字节。 配置接口的MTU值会影响发送端一次能够发送IP报文的最大字节数,进而会影响发送的以太报文的最大帧长,该以太报文的大小不能超过对端接口允许通过的最大帧长,对端接口允许通过的最大帧长可以通过jumboframe enable命令配置。 mtu mtu 重启接口 restart
配置出/入带宽利用率日志和告警阈值
用户可通过带宽利用率了解当前设备的负载状况,如果带宽利用率超过一定阈值则表明带宽资源已经难以满足当前的业务需求,需要对设备进行扩容。如果带宽利用率告警阈值设置过大(例如设置为95%),由于带宽利用率已经接近饱和,从发现到设备升级扩容这段时间很可能会造成部分业务中断。 此时用户可以设置两级阈值,低阈值(日志阈值)产生日志提示,高阈值(告警阈值)产生告警提示,保证用户可以提前进行扩容等应对处理,避免因为带宽耗尽造成业务中断。 如图1所示,假设带宽利用率日志阈值设置为75%,告警阈值设置为80%,接口带宽利用率每隔1T时间段统计一次。 在1T~4T时间内,接口带宽利用率低于日志阈值设置75%,系统将不进行提示操作。 在时间为5T时,接口带宽利用率达到75%,此时系统将通过日志提示用户是否需要扩容处理。 如果用户仍未进行处理,则当时间为6T时,带宽利用率已经达到80%,此时系统将通过告警再次提示用户进行处理,避免业务中断。 图1 带宽利用率日志和告警阈值示例图 
system-view interface interface-type interface-number 配置接口的出、入带宽利用率日志阈值。缺省情况下,接口出、入带宽利用率的日志阈值是80。 log-threshold { input-rate | output-rate } bandwidth-in-use [ resume-rate resume-threshold ] 配置接口的出、入带宽利用率告警阈值。缺省情况下,带宽利用率的告警阈值是80。 trap-threshold { input-rate | output-rate } bandwidth-in-use [ resume-rate resume-threshold ]
 说明: 为了避免日志、告警信息震荡,bandwidth-in-use和resume-threshold的取值应尽量保持差距。
配置接口流量突变告警阈值
如果需要感知接口流量的实时变化,接口流量变化百分比超过指定阈值(即threshold参数的值)且带宽利用率百分比不低于设置的下限值(即bandwidth-usage-threshold参数的值)就产生告警,请在设备上进行如下配置。 接口流量变化百分比 = |当前统计周期的接口速率-上一个统计周期的接口速率|/上一统计周期的接口速率。
system-view 配置接口流量突变告警的起始带宽占用率百分比的下限值。缺省情况下,起始带宽利用率百分比的下限值为20%。 set flow-change-ratio start-check bandwidth-usage bandwidth-usage-threshold 配置接口流量突变告警阈值。 缺省情况下,接口流量突变告警的阈值为50%。 set flow-change-ratio { input-threshold | output-threshold } upper-limit threshold 配置接口的流量统计周期。 缺省情况下,接口的流量统计周期为300秒。 set flow-stat interval
配置set flow-change-ratio命令后,如果用户打开了流量突变告警开关(通过snmp-agent trap enable feature ifpdt trap-name hwInputRateChangeOverThresholdNotice或snmp-agent trap enable feature ifpdt trap-name hwOutputRateChangeOverThresholdNotice打开),当接口流量比上个周期的变化率超过了指定的阈值(即threshold参数的值)且带宽利用率百分比不低于下限值(即bandwidth-usage-threshold参数的值)时,会产生告警。
去使能接口入方向广播流量突变检测功能
缺省情况下设备会检测接口入方向广播流量是否突变,当检测到接口入方向广播流量突变超过阈值(20000pps)时会产生告警,方便用户维护网络。 当设备接口数目较多时,接口入方向广播流量突变检测功能会占用一定的CPU和内存,用户可以去使能接口入方向广播流量突变检测功能。
system-view 去使能接口入方向广播流量突变检测功能。 缺省情况下,接口入方向广播流量突变检测功能处于使能状态。 set flow-change-ratio input-broadcast-detect disable
打开记录接口出/入方向拥塞丢包的日志开关
system-view 打开所有接口的拥塞丢包记录日志开关。 log-threshold { input-discard | output-discard }*
配置光接口属性
配置接口的拆分与合并
设备支持的部分40GE光接口既可以作为一个单独的接口,又可以拆分成四个10GE接口使用。这样40GE设备可以作为高密度万兆设备使用,用户只需要购买一款设备,就可以实现和多个接口类型的对端设备对接,从而增加组网灵活性,减少用户购置成本。 单个接口拆分后,原来的接口将不存在。拆分出来的10GE光接口或者40GE光接口除了接口编号方式(编号规则请详见接口编号规则)与普通的光接口有差别之外,支持的配置和特性均和普通光接口相同。  说明: 仅S5730S-EI、S5730SI、S5730HI、S5731H、S6720LI、S6720SI、S6720S-SI、S6720S-LI、S6720S-EI和S6720EI支持接口的拆分与合并。
配置接口拆分
■将一个40GE接口拆分成四个10GE接口 system-view interface 40ge interface-number 将一个40GE接口拆分成为四个10GE接口。 缺省情况下,40GE接口作为一个接口使用,不拆分。 port split split-type 40GE:4*XGE
说明: 拆分操作后需保存配置重启设备以使配置生效。
配置接口合并
■将四个10GE接口合并成一个40GE接口 system-view 进入任意一个拆分生成的10GE接口视图。 interface xgigabitethernet interface-number 将四个10GE拆分接口合并成一个40GE接口。 用户只需要进入拆分后的接口中的任意一个接口视图,配置该命令接口即可实现接口合并成一个40GE接口,不需要对拆分后的接口分别配置。 undo port split
检查配置结果
查看接口拆分信息。 display port split [ slot slot-id ],
配置单纤单向通信
在网络管理和维护中,管理员可以将用户的流量发送到指定服务器进行分析和处理。如果服务器不仅可以接收报文,还可以对外发送报文,将可能造成分析报文外传,降低了数据的安全性。通过配置单纤单向通信功能可以解决这一问题。“单纤”是指光模块之间只通过一根光纤连接,“单向”是指报文只能由发送端向接收端发送报文,无法反向发送。该功能可以实现交换机只发送报文,无法接收报文;分析服务器只接收报文,无法发送报文,从而保证了分析服务器的数据安全。 光模块一般包含发送端(TX)和接收端(RX)。光接口对接时需要使用两根光纤将一端光模块TX端与另一端RX连接,一端光模块RX端与另一端TX连接。设备分别通过两根独立光纤进行报文的发送和接收。接口未使能单纤通信功能时,如果光接口之间仅连接一根光纤,设备之间将无法通信。配置单纤单向通信功能后,设备之间可实现单向通信功能。 如图1所示,SwitchA通过接口XGE0/0/1与上游分流设备连接,上游分流设备分过来的流量从接口XGE0/0/1进入SwitchA。SwitchA上接口XGE0/0/2作为报文发送端,对端报文分析服务器的光接口作为报文接收端。接口XGE0/0/2上配置单纤单向通信功能后,管理员仅需要通过一根光纤将接口XGE0/0/2的光模块发送端TX和报文分析服务器接口的光模块接收端RX相连后,接口XGE0/0/2就可以支持通过单根光纤向分析服务器发送报文,分析服务器也可以通过该光纤接收报文。由于分析服务器对外发送报文的TX端没有连接光纤,对外发送报文将无法实现,从而保证了分析服务器的数据安全。 图1 单纤单向通信组网图   说明: S5720HI、S5730HI、S5731H、S5731S、S5731S-H和S5731S-S不支持配置单纤单向通信功能。 对于XGE光接口,只有光模块不在位或者插上XGE光模块时支持配置单纤单向通信功能,且不需要License支持。特殊地,S5720-EI、S6720-EI、S6720S-EI的XGE光接口插入GE光模块也支持配置此功能,且不需要License支持。 对于40GE光接口,只有光模块不在位或者插上40GE光模块时才支持配置单纤单向通信功能。 对于100GE光接口,只有光模块不在位或者插上40GE/100GE光模块时才支持配置单纤单向通信功能。 对端设备接口要求工作在非自协商模式,且与本端设备配置的速率相同。 光接口插入电缆不支持此功能。
system-view interface interface-type interface-number 配置单纤单向通信。缺省情况下,未使能单纤单向通信。 single-fiber enable
配置接口的Training功能
随着信号传输速率/频率的增加,信号中高频分量的衰减也越加严重,为了保障信号的传输性能,需要对信号进行补偿,常用的补偿技术有预加重技术和均衡技术。预加重技术通过在传输线的发送端增强信号的高频分量,以补偿高频分量在传输过程中的衰减。预加重技术将高频分量放大的同时,也增大了串扰的危害,由此出现了均衡技术。均衡技术在接收端使用,相当于一个滤波器,用于滤除高频串扰。 接口开启Training功能后,发送端和接收端之间将通过帧交互自动设置预加重和均衡参数,提高预加重和均衡技术的处理效率。需要注意的是,接口使能Training功能得到的参数是当时环境条件下的结果,如果环境条件发生变化,例如由高温环境变为低温环境,则参数有可能不准确。因此,使用Training功能存在出现误码的风险。在IEEE802.3标准中Training功能作为一个可选的功能,不同厂商不同类型的产品之间可能有不同的实现。 在设备对接时,必须保证两端接口同时开启或者关闭Training功能。缺省情况下,接口的Training功能已经开启。如果对端设备未使能或不支持Training功能,则需要执行training disable或undo training enable命令去使能该功能。  说明: 仅S6720EI、S6720S-EI设备上的40GE接口支持配置Training功能。 S5730HI、S5730S-EI、S5730SI、S6720LI、S6720S-LI、S6720S-SI和S6720SI设备上40GE接口的Training功能默认开启,不能修改。 S6720HI设备上100GE接口的Training功能默认开启,不能修改。
system-view interface interface-type interface-number 配置关闭接口的Training功能。 缺省情况下,接口的Training功能已经开启。 training disable或undo training enable
注意事项 只有40GE接口在使用高速线缆,并且该接口为非堆叠物理成员端口时,命令training disable和undo training enable才可以配置。 如果接口下没有training disable的配置,40GE接口插入电缆后,接口下会自动生成training enable的配置。 当接口没有连接线缆时,仅命令training enable和undo training disable可以配置。 当接口插入线缆后,接口下执行命令行display this include-default查看Training配置时始终显示默认配置training enable,该显示不随Training的配置变更。 接口下Training功能的配置仅当接口插入电缆时才生效。当接口换插光模块时,接口下的training disable和training enable配置将会被自动清除。 将40GE接口配置为堆叠物理成员端口时,接口下的training disable和training enable配置将会被自动清除。 已经作为堆叠物理成员端口使用的40GE接口,Training功能默认关闭且无法开启。 S6720S-26Q-EI-24S-AC、S6720S-26Q-EI-24S-DC的40GE接口插入电缆后配置training disable或undo training enable,与对端未使能或不支持Training功能的接口对接时,两端接口可能无法Up或延迟Up。所以除对端接口未使能或不支持Training功能时需要配置training disable或undo training enable,其余情况不建议关闭Training功能。 对于V200R009C00及之前版本的设备,如果端口下没有training的配置,那么设备升级到V200R010C00及之后版本,接口下会自动生成一条training disable的配置;如果已经有training的配置,那么设备升级到V200R010C00及之后版本,配置不做变动。
配置光功率低触发Error-down
以太网光接口的光功率降低时,会出现业务丢包等故障。由于接口仍处于Up状态,因此即使该以太网光接口配置了备份链路,业务也无法及时切换到备份链路。为了不影响业务的正常运行,可配置接口光功率低触发Error-down功能,当接口光功率低于设置的告警下限阈值时,系统将该接口关闭,记录为ERROR DOWN(transceiver-power-low)状态(即由于光功率低于告警下限阈值导致接口处于Down状态),这样业务就可以及时切换到备份链路。
system-view interface interface-type interface-number 设置接口由于光功率低触发Error-down功能。 缺省情况下,系统未使能以太光接口由于光功率低触发Error-down功能。 transceiver power low trigger error-down 查看处于Error-down状态的接口的相关信息。 display error-down recovery [ interface interface-type interface-number ]
后续处理
接口Error-down后可以通过如下两种方式恢复状态。 手动恢复。当处于Error-down状态的接口数量较少,且需要强制开启接口时,可在该接口视图下依次执行命令shutdown和undo shutdown;也可以执行命令restart,重启接口。 自动恢复。当处于Error-down状态的接口数量较多,如果逐一手动配置恢复命令将产生大量重复工作,并且可能遗漏个别接口未配置恢复命令。为避免这一问题,用户可在系统视图下执行error-down auto-recovery cause transceiver-power-low interval interval-value命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,当接口Error-down后,经过指定延时时间后能够自动恢复。
配置电接口的MDI类型
连接以太网设备的双绞线(网线)有两种: 直通网线:用于连接不同类型设备,比如连接交换机和PC、交换机和路由器等。 交叉网线:用于连接同种类型设备,比如连接交换机和交换机、路由器和路由器、PC和PC等。 通常说来,使用双绞线互连的两个端口必须将本端的接收线连接到对端的发送线,本端的发送连接到对端的接收线,这样才能使得链路连通。由于双绞线存在直连和交叉两种不同的线序,为了使以太网电接口均支持使用这两种线缆,就必须支持收发引脚的协商和翻转。设备实现了三种介质相关接口MDI(Medium Dependent Interface)类型:auto、normal和across。 通常情况下,链路两端接口均使用auto类型时,无论连接网线是直通网线还是交叉网线,均可以正常通信;只有当设备不能获取网线类型参数时,才需要将类型手工设置为across或normal。手工设置MDI类型方法如下: 使用直通网线时,设备两端应该配置不同的参数(如一端为across,另一端为normal)。 使用交叉网线时,设备两端应该配置相同的参数(如同时为across或normal,或者至少有一端是auto)。  说明: 电接口均支持此配置。 S5720EI的ES5D21X02T01插卡以及S5730HI和S5731H的ES5D21X08T00插卡的XGE电口仅支持配置MDI类型为auto。 当XGE光接口插入GE光电模块后支持配置MDI类型。 当GE光接口插入GE光电模块后支持配置MDI类型。
system-view interface interface-type interface-number 配置以太网接口MDI类型。 缺省情况下,以太网接口MDI类型为auto,即自动识别所连接网线的类型。 mdi { across | auto | normal },
检查配置结果
任意视图下执行命令display interface [ interface-type [ interface-number ] ] 或接口视图下执行命令display this interface 查看接口当前运行状态信息。具体看查看回显信息中的Mdi字段。
维护以太网接口
查看以太网接口的简要信息
用户在检查接口的故障原因时,可通过查看以太网接口的简要信息获取接口的物理状态、自协商方式、双工模式、接口速率、接口接收方向和发送方向最近一段时间的平均带宽利用率,并根据这些信息进行接口的故障诊断。  说明: 为避免之前的报文统计信息影响故障原因分析,用户可先通过命令reset counters interface [ interface-type [ interface-number ] ],清除接口的统计信息后,再查看以太网接口的简要信息。
查看以太网接口的简要信息。 display interface ethernet brief [ main ]
清除接口统计信息
接口统计信息有助于分析接口的故障原因和接口的工作状态。当您需要统计一定时间内以太网接口的流量信息时,需要在统计开始前清除该接口下原有的统计信息。  清除统计信息后,以前的统计信息将无法恢复,务必仔细确认。
清除指定接口的统计信息。 reset counters interface [ interface-type [ interface-number ] ] 清除网管的接口流量统计信息。 reset counters if-mib interface [ interface-type [ interface-number ] ] 清除接口的速率峰值记录。 reset statistics-peak interface interface-type interface-number 清除接口的电缆检测结果。 reset virtual-cable-test { interface-type interface-number | all }
一键清除接口下的配置
执行命令一键式清除接口下配置后,接口的状态将被置为shutdown状态。
# 在系统视图下执行命令clear configuration interface清除GE0/0/1接口下的配置。 <HUAWEI> system-view [HUAWEI] clear configuration interface gigabitethernet 0/0/1 Warning: All configurations of the interface will be cleared, and its state will be shutdown. Continue? [Y/N] :y Info: Total 5 command(s) executed, 5 successful, 0 failed.
# 在接口视图下执行命令clear configuration this清除GE0/0/1接口下的配置。 <HUAWEI> system-view [HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] clear configuration this Warning: All configurations of the interface will be cleared, and its state will be shutdown. Continue? [Y/N] :y Info: Total 3 command(s) executed, 3 successful, 0 failed.
配置电缆检测
电缆检测采用虚电缆检测VCT(Virtual Cable Test)技术,使用时域反射TDR (Time Domain Reflectometry)检测电缆状态。脉冲信号在电缆中传输时,如果遇到电缆末端或其它故障点,部分能量会被反射回来,这种现象称为时域反射。VCT算法测量脉冲在电缆中传输、达到故障点及返回的时间,把测量到的时间转换成距离。 如图1所示,SwitchA上接口GE0/0/1与SwitchB接口GE0/0/2通过网线连接,网线之间存在一个故障点,在接口GE0/0/1上配置VCT检测后,系统将产生脉冲信号,并且在到达故障点后,部分能量反射回来。设定SwitchA到故障点长度为L,发出脉冲和接收到反射脉冲的时间间隔为T,信号在电缆中传播的速度为V,则故障点距离接口GE0/0/1长度计算公式如下: L = ( V × T )/ 2 图1 VCT检测示例图  利用电缆检测功能,不仅能够测出网线的故障类型,并且能够给出故障点的位置,方便定位网线问题。
system-view interface interface-type interface-number 配置电缆检测。 virtual-cable-test 查看以太网接口最近一次电缆检测的结果。 display virtual-cable-test interface-type interface-number
 说明: 测试结果不能保证对所有厂商生产的网线都准确,测试结果仅供参考。 执行本命令时,可能会在短时间内影响该接口的业务正常使用,也可能导致UP的接口发生震荡。 Combo电口支持电缆检测功能,但是不建议Combo电口配置电缆检测功能,否则会导致业务中断。 建议将对端接口关闭或拔掉对端接口的网线,以免对端信号对测试结果产生影响。 当XGE光接口插入GE光电模块后支持配置电缆检测。 当GE光接口插入GE光电模块后支持配置电缆检测。
配置网线质量检测
利用网线质量检测功能,可以方便定位网线质量的问题并及时做出调整,防止出现丢包影响业务。  说明: 仅S5730HI设备插板ES5D21X08T00的XGE电口、S5720I-SI的GE电口以及S5720-28X-PWH-LI-AC、S5720-28X-PWH-LI-ACF、S6720-32C-SI-AC、S6720-32C-SI-DC、S6720-32C-PWH-SI-AC、S6720-32C-PWH-SI、S6720-52X-PWH-SI、S6720-56C-PWH-SI-AC、S6720-56C-PWH-SI的MultiGE电口支持此命令。
system-view interface multige interface-number 配置网线质量检测。 cable-snr-test
 说明: 该命令行检测的是接口网线质量的实时数据,网线质量会随外界环境改变而变化。 仅当MultiGE电口工作速率在2.5Gbit/s及以上时,支持对网线质量进行检测。 仅当XGE电口工作速率在10Gbit/s时,支持对网线质量进行检测。 仅当GE电口工作速率在1Gbit/s时,支持对网线质量进行检测。 接口处于Down或环回检测模式时,不支持网线质量的检测。
配置内环回检测功能
在进行某些特殊功能测试时,例如初步定位以太网故障时,需要开启以太网接口环回检测功能,测试接口功能是否异常。开启环回检测功能后,如果以太网接口无故障,接口物理状态将始终处于Up状态;如果以太网接口出现故障,则接口物理状态仍为Down状态。 内环回检测是指本端发出的报文通过系统内部发回给本端,即接口对内自环,以检测接口与内部芯片连接是否正常;外环回检测是指接口发送出去的报文利用插在接口上的自环头将报文直接返回给该接口,即接口对外自环,以检测接口对外收发报文是否正常。目前设备仅支持内环回检测功能。如图1所示,接口GE0/0/1设置为内环回模式后,芯片将产生一定的测试报文,这些报文通过待测试接口建立的自环最终又回到该芯片,完成一次内环回检测。 图1 内部环回检测示例图   配置内环回检测功能会影响其他功能使用。测试完毕后,请您及时执行undo loopback命令取消环回,关闭环回检测功能后将恢复原有配置。
system-view interface interface-type interface-number 配置以太网接口的内环回检测功能。 缺省情况下,以太网接口的内环回检测功能处于关闭状态。 loopback internal
 说明: 配置环回功能后,display this interface回显中Speed字段表示用户配置的接口速率或者接口插入的光模块、光电模块、网线的速率,display interface ethernet brief回显中Bandwidth字段表示接口的实际工作速率。
检查配置结果
任意视图下执行命令display interface [ interface-type [ interface-number ] ],或接口视图下执行命令display this interface,查看接口当前运行状态信息。具体可查看回显信息中的Loopback字段。
以太网接口的配置举例
配置Combo接口工作模式示例
组网图形 图1 配置Combo接口工作模式组网图  组网需求 如图1所示,用户主机PC1、PC2和PC3分别与Switch的接口GE0/0/1、GE0/0/2和GE0/0/3相连。PC网卡限制接口GE0/0/1、GE0/0/2和GE0/0/3的最大传输速率为100Mbit/s。Switch通过Combo接口GE0/0/4上行接入Internet网络。用户可根据Internet网络侧接口类型(本例中对端Internet网络侧接口为电接口)选择使用Combo接口工作模式。 配置思路 配置思路如下: 配置接口强制工作在电口模式,实现Combo接口工作模式稳定,不会随对外连接介质变更(例如插上GE光模块)而改变其工作模式。 操作步骤 配置Combo接口GE0/0/4强制工作在电口模式。 <HUAWEI> system-view [HUAWEI] sysname Switch [Switch] interface gigabitethernet 0/0/4 [Switch-GigabitEthernet0/0/4] combo-port copper [Switch-GigabitEthernet0/0/4] quit 验证配置结果 在任意视图下执行命令display interface GigabitEthernet 0/0/4,检查Combo接口工作模式。 [Switch] display interface gigabitethernet 0/0/4 ... Port Mode: FORCE COPPER Speed : 1000, Loopback: NONE Duplex: FULL, Negotiation: ENABLE Mdi : AUTO, Flow-control: DISABLE ... 由上述回显字段看出Combo接口工作模式为强制电口模式。 配置文件 Switch的配置文件 # sysname Switch # interface GigabitEthernet0/0/4 combo-port copper # return
配置非自协商模式下速率和双工模式示例
图1 配置非自协商模式下速率和双工模式组网图  组网需求 如图1所示,服务器群(Server1、Server2和Server3)分别与Switch的接口GE0/0/1、GE0/0/2和GE0/0/3相连,Switch通过接口GE0/0/4上行接入Internet网络。 由于服务器网卡的特殊限制,接口GE0/0/1、GE0/0/2和GE0/0/3只能自协商为半双工模式,在该双工模式下,当业务数据流量较大时将会产生丢包现象;同时,接口GE0/0/1、GE0/0/2和GE0/0/3速率自协商为最大速率1000Mbit/s,当服务器群同时以1000Mbit/s速率对外发送数据时,就会造成出接口GE0/0/4拥塞。用户希望解决数据丢包和拥塞问题。 配置思路 配置思路如下: 配置接口工作在非自协商模式,避免服务器网卡影响设备接口的最终工作速率。 在非自协商模式下强制指定接口工作速率为100Mbit/s,避免发生数据拥塞现象。 在非自协商模式下强制指定接口双工模式为全双工,避免发生数据丢包现象。 操作步骤 创建端口组,并将接口GE0/0/1、GE0/0/2和GE0/0/3加入端口组。 <HUAWEI> system-view [HUAWEI] sysname Switch [Switch] port-group portgroup1 [Switch-port-group-portgroup1] group-member gigabitethernet 0/0/1 to gigabitethernet 0/0/3 批量配置接口GE0/0/1、GE0/0/2和GE0/0/3工作在非自协商模式、双工模式为全双工、工作速率为100Mbit/s。 [Switch-port-group-portgroup1] undo negotiation auto [Switch-GigabitEthernet0/0/1] undo negotiation auto [Switch-GigabitEthernet0/0/2] undo negotiation auto [Switch-GigabitEthernet0/0/3] undo negotiation auto [Switch-port-group-portgroup1] speed 100 [Switch-GigabitEthernet0/0/1] speed 100 [Switch-GigabitEthernet0/0/2] speed 100 [Switch-GigabitEthernet0/0/3] speed 100 [Switch-port-group-portgroup1] duplex full [Switch-GigabitEthernet0/0/1] duplex full [Switch-GigabitEthernet0/0/2] duplex full [Switch-GigabitEthernet0/0/3] duplex full [Switch-port-group-portgroup1] quit 验证配置结果。 在任意视图下执行命令display interface GigabitEthernet 0/0/1,检查接口当前工作速率及双工模式。 [Switch] display interface gigabitethernet 0/0/1 ... Port Mode: COMMON COPPER Speed : 100, Loopback: NONE Duplex: FULL, Negotiation: DISABLE Mdi : AUTO, Flow-control: DISABLE ... 由上述回显字段看出接口工作在非自协商模式,工作速率为100Mbit/s,双工模式为全双工。 同理,对于GE0/0/2和GE0/0/3也可以通过display interface GigabitEthernet 0/0/2和display interface GigabitEthernet 0/0/3查看接口当前工作信息。 配置文件 Switch的配置文件。 # sysname Switch # interface GigabitEthernet0/0/1 undo negotiation auto speed 100 # interface GigabitEthernet0/0/2 undo negotiation auto speed 100 # interface GigabitEthernet0/0/3 undo negotiation auto speed 100 # port-group portgroup1 group-member GigabitEthernet0/0/1 group-member GigabitEthernet0/0/2 group-member GigabitEthernet0/0/3 # return
配置接口切换到三层模式示例
组网图形 图1 配置非自协商模式下速率和双工模式组网图  组网需求 如图1所示,PC1、PC2、PC3和PC4分别属于不同网段,SwitchB、SwitchC、SwitchD、SwitchE分别为这四个网段的接入层交换机。用户希望使用SwitchA上的四个以太网物理接口作为这四个网段的网关接口。 说明: 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持二层模式与三层模式切换。 配置思路 配置思路如下: 将接口的工作模式切换为三层模式。 配置三层以太网接口的IP地址作为网关。 操作步骤 配置接口切换到三层模式 # 配置单个接口切换到三层模式 <HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] undo portswitch [SwitchA-GigabitEthernet0/0/1] quit # 配置以太网接口批量切换到三层模式 [SwitchA] undo portswitch batch gigabitethernet 0/0/2 to 0/0/4 配置三层接口的IP地址作为网关 # 以配置GE0/0/1接口的IP地址作为网关为例。GE0/0/2、GE0/0/3、GE0/0/4的配置与GE0/0/1的类似,详见配置文件。 [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] ip address 10.10.1.1 24 [SwitchA-GigabitEthernet0/0/1] quit 验证配置结果 在任意视图下执行命令display interface GigabitEthernet 0/0/1,检查接口当前工作模式 [SwitchA] display interface GigabitEthernet 0/0/1 ... Description: Route Port,The Maximum Frame Length is 9216 Internet protocol processing : disabled ... 由上述回显字段看出接口工作在三层模式。 配置文件 SwitchA的配置文件。 # sysname SwitchA # interface GigabitEthernet0/0/1 undo portswitch ip address 10.10.1.1 255.255.255.0 # interface GigabitEthernet0/0/2 undo portswitch ip address 10.10.2.1 255.255.255.0 # interface GigabitEthernet0/0/3 undo portswitch ip address 10.10.3.1 255.255.255.0 # interface GigabitEthernet0/0/4 undo portswitch ip address 10.10.4.1 255.255.255.0 # return
以太网接口FAQ
链路两端接口如何通过自协商功能确定工作速率及双工模式?
自协商功能就是给互连设备提供一种交换信息的方式,使物理链路两端的设备通过交互信息自动选择同样的工作参数,以使其传输能力达到双方都能够支持的最大值。例如GE接口和FE接口对接,最终工作速率为100Mbit/s,这个100Mbit/s即链路两端接口均支持的最大速率。
链路两端接口均工作在自协商模式,双工模式协商为半双工,并且有丢包,怎么处理?
用户可以配置本端和对端设备均工作在非自协商模式,并强制指定接口双工模式为全双工,以避免发生数据丢包现象。 具体操作步骤如下: <HUAWEI> system-view [HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] undo negotiation auto [HUAWEI-GigabitEthernet0/0/1] duplex full
Combo接口和普通接口的区别是什么?
Combo接口是一个光电复用接口,一个Combo接口对应设备面板上一个GE电接口和一个GE光接口,而在设备内部只有一个转发接口。电接口与其对应的光接口是光电复用关系,两者不能同时工作(例如,当激活光接口时,对应的电接口就自动处于禁用状态),用户可根据对端接口类型选择使用电接口或光接口。电接口和光接口共用一个接口视图。当用户需要激活电接口或光接口,配置电接口或光接口的属性(比如速率、双工模式等)时,只需要在同一接口视图下配置。 例如,图1所示面板中的第3部分包括8个Combo接口,一个Combo接口分别是由面板上的一个电接口和一个光接口组成。电接口和光接口共用一个接口视图,且两者不能同时工作。 图1 设备面板 
接口没有对外连线,为什么还处于Up状态?
接口下若配置命令loopback internal使能了以太网接口的内环回检测功能,则接口将处于强制Up状态。 在任意视图下执行命令display interface gigabitethernet 0/0/1,检查接口GE0/0/1当前是否开启内环回检测功能。 <HUAWEI> display interface gigabitethernet 0/0/1 ... Port Mode: FORCE COPPER Speed : 1000, Loopback: INTERNAL Duplex: FULL, Negotiation: ENABLE Mdi : AUTO, Flow-control: DISABLE ... 由上述回显字段看出接口已经开启内环回检测功能。
物理接口是否可以直接配置IP地址
物理接口可以分为管理接口和业务接口。管理接口MEth接口为三层接口,可以直接配置IP地址。管理接口不支持切换为二层模式。 业务接口为二层接口,无法直接配置IP地址,需要配置VLANIF接口,并在该VLANIF接口下配置IP地址。例如: <HUAWEI> system-view [HUAWEI] vlan 10 [HUAWEI-vlan10] quit [HUAWEI] interface vlanif 10 [HUAWEI-Vlanif10] ip address 192.168.1.10 24 V200R005C00及后续版本,在接口使用命令undo portswitch,将以太网接口从二层模式切换到三层模式后,支持配置IP地址。
逻辑接口配置
逻辑接口简介
逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的虚拟接口。本节主要介绍设备支持的几种类型的逻辑接口。 Eth-Trunk接口 具有二层特性和三层特性的逻辑接口,把多个以太网接口在逻辑上等同于一个逻辑接口,比以太网接口具有更大的带宽和更高的可靠性。详细配置信息请参见《S2720, S5700, S6700 V200R019C00 配置指南-以太网交换》 以太网链路聚合配置。 Tunnel接口 具有三层特性的逻辑接口,隧道两端的设备利用Tunnel接口发送报文、识别并处理来自隧道的报文。 VLANIF接口 具有三层特性的逻辑接口,通过配置VLANIF接口的IP地址,不仅可以实现VLAN间互访,还可以部署三层业务。VLAN间互访的详细配置信息请参见《S2720, S5700, S6700 V200R019C00 配置指南-以太网交换》 VLAN配置 中的“配置举例”。 以太网子接口 以太网子接口就是在一个主接口上配置出来的多个逻辑上的虚拟接口,主要用于实现与多个远端进行通信。以太网子接口共用主接口的物理层参数,又可以分别配置各自的链路层和网络层参数。用户可以禁用或者激活以太网子接口,这不会对主接口产生影响;但主接口状态的变化会对以太网子接口产生影响,只有主接口处于连通状态时以太网子接口才能正常工作。 根据是否配置IP地址,以太网子接口可以分为二层以太网子接口和三层以太网子接口: 二层以太网子接口:未配置IP地址,工作在数据链路层,可用于同一网段VLAN内跨隧道的报文转发,例如L2VPN。 三层以太网子接口:配置IP地址,工作在网络层,用于不同网段的报文转发,例如L3VPN。  说明: 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持以太网子接口。 对于上述形态设备的二层接口,仅hybrid和trunk类型接口支持配置以太网子接口。 对于上述形态设备的二层接口,执行命令undo portswitch切换为三层接口后,支持配置以太网子接口。 接口加入Eth-Trunk后,该成员接口上不能配置子接口。 VCMP的角色是Client时,不能配置VLAN终结子接口。 Loopback接口 按TCP/IP协议规定,127.0.0.0网段的地址属于环回地址。包含这类地址的接口属于环回接口。目前,支持以下两种类型的环回接口: Loopback接口 当用户需要一个接口状态永远是Up的接口的IP地址时,可以选择Loopback接口的IP地址。Loopback接口具有以下优点: Loopback接口一旦被创建,其物理状态和链路协议状态永远是Up。即使该接口上没有配置IP地址。 Loopback接口配置IP地址后,就可以对外发布。Loopback接口上可以配置32位掩码的IP地址,以达到节省地址空间的目的。 Loopback接口不能封装任何链路层协议。数据链路层也就不存在协商问题,其协议状态永远都是Up。 对于目的地址不是本地IP地址,出接口是本地Loopback接口的报文,设备会将其直接丢弃。 由于Loopback接口具备如上优点,Loopback接口常用来提高配置的可靠性。Loopback接口通常有两种主要应用: Loopback接口的IP地址被指定为报文的源地址,可以提高网络可靠性。 根据Loopback接口的IP地址控制访问接口和过滤日志等信息,使信息变得简单。 InLoopback0接口 系统在启动时,会自动创建一个InLoopback0接口,它是一个特殊而固定的Loopback接口。 InLoopback0接口使用环回地址127.0.0.1/8接收所有发送给本机的数据包。该接口上的IP地址是不可以改变的,也不通过路由协议对外发布。 NULL接口 任何送到该接口的网络数据报文都会被丢弃,主要用于路由过滤等特性。 NVE接口 用于与其他NVE设备建立VXLAN隧道的逻辑口。详细配置信息请参见《S2720, S5700, S6700V200R019C00 配置指南-VXLAN配置》。 VBDIF接口 基于BD广播域的虚接口,支持三层特性。可以实现不同BD之间、BD与非BD网络之间以及BD与三层网络之间的通信。详细配置信息请参见《S2720, S5700, S6700 V200R019C00 配置指南-VXLAN配置》。 VE接口 主要用于以太网协议承载其它数据链路层协议。支持创建VE子接口,用于L2VPN接入L3VPN。
逻辑接口配置注意事项
配置逻辑接口
配置VLANIF接口
VLANIF接口是三层逻辑接口,配置IP地址后可以实现VLAN间互通和部署三层业务。  说明: VLANIF接口Up的必要条件是: VLANIF接口对应的VLAN,必须已经创建。 必须有Up的物理接口或Eth-Trunk接口已经加入VLANIF对应的VLAN。
system-view 创建VLANIF接口,并进入VLANIF接口视图。 interface vlanif vlan-id 配置VLANIF接口的IP地址。 ip address ip-address { mask | mask-length } [ sub ] (可选)配置延迟VLANIF接口状态变为Down的时间。 缺省情况下,延迟时间为0秒。即当VLAN Down时立即触发VLANIF变为Down状态。 延迟VLANIF接口状态变为Down的时间可避免由于VLANIF接口状态变化而引起的网络震荡,此功能也可称为VLAN Damping功能。 在VLANIF接口上启动VLAN Damping功能。当VLAN中最后一个处于Up状态的成员端口变为Down后,启动VLAN Damping功能的设备会抑制设定的时间后再上报给VLANIF接口。如果在抑制的时间内VLAN中有成员口状态变为Up,则VLANIF接口状态保持Up不变。 damping time delay-time (可选)配置VLANIF接口的MTU。 缺省情况下,MTU取值为1500字节。 mtu mtu 可以查看VLANIF接口的状态信息。 display interface vlanif vlan-id
配置以太网子接口
以太网子接口就是在一个主接口上配置出来的多个逻辑上的虚拟接口,主要用于实现与多个远端进行通信。以太网子接口共用主接口的物理层参数,又可以分别配置各自的链路层和网络层参数。用户可以禁用或者激活以太网子接口,这不会对主接口产生影响;但主接口状态的变化会对以太网子接口产生影响,特别是只有主接口处于连通状态时以太网子接口才能正常工作。在以太网子接口上关联VLAN后,可以实现VLAN间通信,主要应用于Dot1q终结、QinQ终结、VXLAN等场合。  说明: 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持以太网子接口。 对于上述形态设备的二层接口,仅hybrid和trunk类型接口支持配置以太网子接口。 对于上述形态设备的二层接口,执行命令undo portswitch切换为三层接口后,支持配置以太网子接口。 接口加入Eth-Trunk后,该成员接口上不能配置子接口。 VCMP的角色是Client时,不能配置VLAN终结子接口。
system-view 进入指定的以太网子接口视图。subinterface-number是以太网子接口的编号。mode l2表示配置为VXLAN二层模式子接口,只有在配置VXLAN业务时需要指定该参数。 interface interface-type interface-number.subinterface-number [ mode l2 ] 配置以太网子接口接入业务。请根据不同的业务类型选择配置。
二层以太网子接口
二层以太网子接口配置终结子接口。
根据VLAN报文携带的Tag层数可以将VLAN报文分为Dot1q报文(带有一层VLAN Tag)和QinQ报文(带有两层VLAN Tag)。相应的终结也分为两种:Dot1q终结用来终结Dot1q报文,QinQ终结用来终结QinQ报文。您可以根据实际情况选择如下的两条命令之一来进行配置。 执行命令dot1q termination vid low-pe-vid [ to high-pe-vid ],配置以太网子接口对一层Tag报文的终结功能。 执行命令qinq termination pe-vid pe-vid ce-vid ce-vid1 [ to ce-vid2 ],配置以太网子接口对两层Tag报文的终结功能。
二层以太网子接口配置VXLAN接入业务
必须将子接口配置为VXLAN二层模式子接口。 执行命令encapsulation { dot1q { vid pe-vid } | default | untag | qinq { vid vlan-vidce-vid ce-vid } },配置二层子接口允许通过的流封装类型,实现不同的接口接入不同的数据报文。 缺省情况下,二层子接口没有配置允许通过的流封装类型。 执行命令bridge-domain bd-id,将指定二层子接口与BD相关联,实现数据报文在BD内进行转发。 缺省情况下,二层子接口与BD无关联。
三层以太网子接口(IPv4)
执行命令ip address ip-address { mask | mask-length } [ sub ],配置子接口的IP地址。  说明: 当以太网子接口需要配置从IP地址时,需要指定sub参数。 配置终结子接口。 根据VLAN报文携带的Tag层数可以将VLAN报文分为Dot1q报文(带有一层VLAN Tag)和QinQ报文(带有两层VLAN Tag)。相应的终结也分为两种:Dot1q终结用来终结Dot1q报文,QinQ终结用来终结QinQ报文。您可以根据实际情况选择如下的两条命令之一来进行配置。 执行命令dot1q termination vid low-pe-vid [ to high-pe-vid ],配置子接口对一层Tag报文的终结功能。 执行命令qinq termination pe-vid pe-vid ce-vid ce-vid1 [ to ce-vid2 ],配置子接口对两层Tag报文的终结功能。 执行命令arp broadcast enable,使能子接口的ARP广播功能。  说明: 使能或去使能子接口的ARP广播功能,会使该子接口的协议状态发生一次先Down再Up的变化,从而导致整个网络的路由发生一次震荡,影响正在运行的业务。
三层以太网子接口(IPv6)
配置终结子接口。 根据VLAN报文携带的Tag层数可以将VLAN报文分为Dot1q报文(带有一层VLAN Tag)和QinQ报文(带有两层VLAN Tag)。相应的终结也分为两种:Dot1q终结用来终结Dot1q报文,QinQ终结用来终结QinQ报文。您可以根据实际情况选择如下的两条命令之一来进行配置。 执行命令dot1q termination vid low-pe-vid [ to high-pe-vid ],配置子接口对一层Tag报文的终结功能。 执行命令qinq termination pe-vid pe-vid ce-vid ce-vid1 [ to ce-vid2 ],配置子接口对两层Tag报文的终结功能。 执行命令ipv6 enable,终结子接口下使能IPv6服务。 执行命令ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length },配置终结子接口的全球单播IPv6地址。 执行命令ipv6 nd ns multicast-enable,使能终结子接口发送NS组播报文的功能。
查看指定以太网子接口的状态。 display interface [ interface-type [ interface-number [.subnumber ] ] ] 查看配置了dotlq终结的所有接口的名称以及终结子接口对用户报文终结的规则数量。 display dot1q information termination [ interface interface-type interface-number [.subinterface-number ] ] 查看配置了QinQ终结的所有接口的名称以及终结子接口对用户报文终结的规则数量。 display qinq information termination [ interface interface-type interface-number [.subinterface-number ] ]
配置Loopback接口
Loopback接口具有以下特点: Loopback接口创建后将一直保持UP状态,并具有环回特性。 Loopback接口可以配置掩码为全1的IP地址。 基于上述特点,Loopback接口通常有以下几种主要应用: 将Loopback接口的IP地址指定为报文的源地址,可以提高网络可靠性。 在一些动态路由协议中,当没有配置Router ID时,将选取所有Loopback接口上数值最大的IP作为Router ID。 在BGP(Border Gateway Protocol)协议中,将发送BGP报文的源接口配置成Loopback接口可以保证BGP会话不受物理接口故障的影响。 Loopback接口可以配置掩码为全1的IP地址,从而可以节约IP地址。 Loopback接口可以配置IPv4地址,可以用于对源IPv4地址进行校验。
system-view 创建并进入Loopback接口。 用户可以创建或删除Loopback接口。Loopback接口一旦被创建,链路层协议状态将一直是Up,直到被删除。 interface loopback loopback-number 配置Loopback接口的IP地址。 ip address ip-address { mask | mask-length } [ sub ] (可选)配置Loopback接口对源IPv4地址校验。 ip verify source-address 查看Loopback接口的状态信息。 display interface loopback [ loopback-number ]
配置NULL接口
系统会自动创建一个NULL0接口。NULL0接口一直处于UP状态,但是不能转发数据包,任何发送到该接口的网络数据报文都会被丢弃。如果在静态路由中指定到达某一网段的下一跳为NULL0接口,则任何发送到该网段的数据报文都会被丢弃,因此可以将需要过滤掉的报文直接发送到NULL0接口而不必配置访问控制列表。 例如,使用如下的静态路由配置命令丢弃所有去往网段192.168.0.0/24的报文: [HUAWEI] ip route-static 192.168.0.0 255.255.255.0 NULL 0
system-view 进入NULL接口视图。NULL接口一直处于UP状态,但不能转发数据包,也不能配置IP地址或封装其他协议。 interface null 0 可以查看NULL接口的状态信息。 display interface null [ 0 ]
配置虚拟以太网接口
用户可以利用虚拟以太网接口实现多种链路层协议间的承载。  说明: 仅S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720HI、S6730H、S6730S和S6730S-S支持配置虚拟以太网接口。
system-view 创建并进入虚拟以太网接口。 interface virtual-ethernet ve-number 请根据不同的业务需要选择配置。
配置VE接口为二层模式
配置将VE接口从三层模式切换到二层模式。缺省情况,VE接口工作在三层模式。 portswitch
配置VE子接口
在配置L2VPN接入L3VPN时,需要创建VE子接口。 创建L2VE接口或L3VE接口。 ve-group ve-group-id { l2-terminate | l3-access } 退出接口视图。 quit 创建并进入VE子接口 interface virtual-ethernet ve-number.subnumber
查看虚拟以太网接口的状态和统计信息。 display interface virtual-ethernet [ ve-number | main ]
以太网交换配置
以太网交换概述
定义 以太网最早是指由DEC(Digital Equipment Corporation)、Intel和Xerox组成的DIX(DEC-Intel-Xerox)联盟开发并于1982年发布的标准。经过长期的发展,以太网已成为应用最为广泛的局域网,包括标准以太网(10 Mbit/s)、快速以太网(100 Mbit/s)、千兆以太网(1000 Mbit/s)和万兆以太网(10 Gbit/s)等。IEEE 802.3规范则是基于以太网的标准制定的,并与以太网标准相互兼容。 在TCP/IP中,以太网的IP数据报文的封装格式由RFC894定义,IEEE802.3网络的IP数据报文封装由RFC1042定义。当今最常使用的封装格式是RFC894定义的格式,通常称为Ethernet_II或者Ethernet DIX。  说明: 为区别两种帧,本文以Ethernet_II称呼RFC894定义的以太帧,以IEEE802.3称呼RFC1042定义的以太帧。 发展历史 早在1972年,Robert Metcalfe(被尊称为“以太网之父”)作为网络专家受雇于Xerox公司,当时他的第一个任务是把Xerox公司Palo Alto研究中心(PARC)的计算机连接到Arpanet(Internet的前身)。同年底,Robert Metcalfe设计了一套网络,把PARC的计算机连接起来。因为该网络是以ALOHA系统(一种无线电网络系统)为基础的,又连接了众多的Xerox公司Palo Alto研究中心的计算机,所以Metcalfe把它命名为ALTO ALOHA网络。ALTO ALOHA网络在1973年5月开始运行,Metcalfe把这个网络正式命名为以太网(Ethernet),这就是最初的以太网试验原型,该网络运行速率为2.94Mbps,网络运行的介质为粗同轴电缆。1976年6月,Metcalfe和他的助手David Boggs发表了一篇名为《以太网:区域计算机网络的分布式包交换技术》(Ethernet: Distributed Packet Switching for Local Computer Networks)的文章。1977年底,Metcalfe和他的三位合作者获得了“具有冲突检测的多点数据通信系统”("Multipoint data communication system with collision detection")的专利。从此,以太网就正式诞生了。 经过多年的技术发展,以太网是当前应用最普遍的局域网技术,它很大程度上取代了其他局域网标准。如令牌环、FDDI和ARCNET。历经100M以太网在上世纪末的飞速发展后,目前千兆以太网甚至10G以太网正在国际组织和领导企业的推动下不断拓展应用范围。 目的 以太网是当今现有局域网LAN(Local Area Network)采用的最通用的通信协议标准。该标准定义了在局域网中采用的电缆类型和信号处理方法。 以太网是建立在CSMA/CD机制上的广播型网络。冲突的产生是限制以太网性能的重要因素,早期的以太网设备如HUB是物理层设备,不能隔绝冲突扩散,限制了网络性能的提高。而交换机做为一种能隔绝冲突的二层网络设备,极大的提高了以太网的性能,并替代HUB成为主流的以太网设备。然而交换机对网络中的广播数据流量不做任何限制,这也影响了网络的性能。通过在交换机上划分VLAN和采用L3交换机可解决这一问题。 以太网作为一种原理简单,便于实现同时又价格低廉的局域网技术已经成为业界的主流。而更高性能的千兆以太网和万兆以太网的出现更使其成为最有前途的网络技术。
以太网交换
二层交换原理
二层交换设备工作在OSI模型的第二层,即数据链路层,它对数据包的转发是建立在MAC(Media Access Control )地址基础之上的。二层交换设备不同的接口发送和接收数据独立,各接口属于不同的冲突域,因此有效地隔离了网络中物理层冲突域,使得通过它互连的主机(或网络)之间不必再担心流量大小对于数据发送冲突的影响。 二层交换设备通过解析和学习以太网帧的源MAC来维护MAC地址与接口的对应关系(保存MAC与接口对应关系的表称为MAC表),通过其目的MAC来查找MAC表决定向哪个接口转发,基本流程如下: 二层交换设备收到以太网帧,将其源MAC与接收接口的对应关系写入MAC表,作为以后的二层转发依据。如果MAC表中已有相同表项,那么就刷新该表项的老化时间。MAC表表项采取一定的老化更新机制,老化时间内未得到刷新的表项将被删除掉。 设备判断目的MAC地址是不是广播地址: 如果目的MAC地址是广播地址,那么向所有接口转发(报文的入接口除外)。 如果目的MAC地址不是广播地址,根据以太网帧的目的MAC去查找MAC表,如果能够找到匹配表项,则向表项所示的对应接口转发,如果没有找到匹配表项,那么向所有接口转发(报文的入接口除外)。 从上述流程可以看出,二层交换通过维护MAC表以及根据目的MAC查表转发,有效的利用了网络带宽,改善了网络性能。图1是一个二层交换的示例。 图1 二层交换示例 二层交换设备虽然能够隔离冲突域,但是它并不能有效的划分广播域。因为从前面介绍的二层交换设备转发流程可以看出,广播报文以及目的MAC查找失败的报文会向除报文的入接口之外的其它所有接口转发,当网络中的主机数量增多时,这种情况会消耗大量的网络带宽,并且在安全性方面也带来一系列问题。当然,通过路由器来隔离广播域是一个办法,但是由于路由器的高成本以及转发性能低的特点使得这一方法应用有限。基于这些情况,二层交换中出现了VLAN技术。
三层交换原理
三层交换机出现的背景 早期的网络中一般使用二层交换机来搭建局域网,而不同局域网之间的网络互通由路由器来完成。那时的网络流量,局域网内部的流量占了绝大部分,而网络间的通信访问量比较少,使用少量路由器已经足够应付了。 但是,随着数据通信网络范围的不断扩大,网络业务的不断丰富,网络间互访的需求越来越大,而路由器由于自身成本高、转发性能低、接口数量少等特点无法很好的满足网络发展的需求。因此出现了三层交换机这样一种能实现高速三层转发的设备。 路由器的三层转发主要依靠CPU进行,而三层交换机的三层转发依靠硬件完成,这就决定了两者在转发性能上的巨大差别。当然,三层交换机并不能完全替代路由器,路由器所具备的丰富的接口类型、良好的流量服务等级控制、强大的路由能力等仍然是三层交换机的薄弱环节。 三层转发的原理 目前的三层交换机一般是通过VLAN来划分二层网络并实现二层交换,同时能够实现不同VLAN间的三层IP互访。不同网络的主机之间互访的流程简要如下: 源主机在发起通信之前,将自己的IP与目的主机的IP进行比较,如果两者位于同一网段(用网络掩码计算后具有相同的网络号),那么源主机直接向目的主机发送ARP请求,在收到目的主机的ARP应答后获得对方的物理层(MAC)地址,然后用对方MAC地址作为报文的目的MAC地址进行报文发送。 当源主机判断目的主机与自己位于不同网段时,它会通过网关(Gateway)来递交报文,即发送ARP请求来获取网关IP地址对应的MAC,在得到网关的ARP应答后,用网关MAC作为报文的目的MAC发送报文。此时发送报文的源IP是源主机的IP,目的IP仍然是目的主机的IP。 下面详细介绍一下三层交换的过程。 如图1所示,通信的源、目的主机连接在同一台三层交换机上,但它们位于不同VLAN(网段)。对于三层交换机来说,这两台主机都位于它的直连网段内,它们的IP对应的路由都是直连路由。 图1 三层转发原理示意网  图中标明了两台主机的MAC、IP地址、网关,以及三层交换机的MAC、不同VLAN配置的三层接口IP。当 PC A向PC B发起PING时,流程如下:(假设三层交换机上还未建立任何硬件转发表项) 根据前面的描述,PC A首先检查出目的IP地址10.2.1.2(PC B)与自己不在同一网段,因此它发出请求网关地址10.1.1.1对应MAC的ARP请求; L3 Switch收到PC A的ARP请求后,检查请求报文发现被请求IP是自己的三层接口IP,因此发送ARP应答并将自己的三层接口MAC(MAC Switch)包含在其中。同时它还会把PC A的IP地址与MAC地址对应(10.1.1.2与MAC A)关系记录到自己的ARP表项中去(因为ARP请求报文中包含了发送者的IP和MAC); PC A得到网关(L3 Switch)的ARP应答后,组装ICMP请求报文并发送,报文的目的MAC(即DMAC)=MAC Switch、源MAC(即SMAC)=MAC A、源IP(即SIP)=10.1.1.2、目的IP(即DIP)=10.2.1.2; L3 Switch收到报文后,首先根据报文的源MAC+VLAN ID更新MAC表。然后,根据报文的目的MAC+VLAN ID查找MAC地址表,发现匹配了自己三层接口MAC的表项,说明需要作三层转发,于是继续查找交换芯片的三层表项; 交换芯片根据报文的目的IP去查找其三层表项,由于之前未建立任何表项,因此查找失败,于是将报文送到CPU去进行软件处理; CPU根据报文的目的IP去查找其软件路由表,发现匹配了一个直连网段(PC B对应的网段),于是继续查找其软件ARP表,仍然查找失败。然后L3 Switch会在目的网段对应的VLAN 3的所有接口发送请求地址10.2.1.2对应MAC的ARP请求; PC B收到L3 Switch发送的ARP请求后,检查发现被请求IP是自己的IP,因此发送ARP应答并将自己的MAC(MAC B)包含在其中。同时,将L3 Switch的IP与MAC的对应关系(10.2.1.1与MAC Switch)记录到自己的ARP表中去; L3 Switch收到PC B的ARP应答后,将其IP和MAC对应关系(10.2.1.2与MAC B)记录到自己的ARP表中去,并将PC A的ICMP请求报文发送给PC B,报文的目的MAC修改为PC B的MAC(MAC B),源MAC修改为自己的MAC(MAC Switch)。同时,在交换芯片的三层表项中根据刚得到的三层转发信息添加表项(内容包括IP、MAC、出口VLAN、出接口),这样后续的PC A发往PC B的报文就可以通过该硬件三层表项直接转发了; PC B收到L3 Switch转发过来的ICMP请求报文以后,回应ICMP应答给PC A。ICMP应答报文的转发过程与前面类似,只是由于L3 Switch在之前已经得到PC A的IP和MAC对应关系了,也同时在交换芯片中添加了相关三层表项,因此这个报文直接由交换芯片硬件转发给PC A; 这样,后续的往返报文都经过查MAC表到查三层转发表的过程由交换芯片直接进行硬件转发了。 从上述流程可以看出,三层交换机正是充分利用了“一次路由(首包CPU转发并建立三层硬件表项)、多次交换(后续包芯片硬件转发)”的原理实现了转发性能与三层交换的完美统一。
配置MAC表
配置静态MAC表项
设备通过源MAC地址学习自动建立MAC地址表时,无法区分合法用户和非法用户的报文,带来了安全隐患。如果非法用户将攻击报文的源MAC地址伪装成合法用户的MAC地址,并从设备的其他接口进入,设备就会学习到错误的MAC地址表项,于是将本应转发给合法用户的报文转发给非法用户。为了提高安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止非法用户骗取数据。 静态MAC地址表项有如下特性: 静态MAC地址表项不会老化,保存后设备重启不会消失,只能手动删除。 静态MAC地址表项中指定的VLAN必须已经创建并且已经加入绑定的端口。 静态MAC地址表项中指定的MAC地址,必须是单播MAC地址,不能是组播和广播MAC地址。 静态MAC地址表项的优先级高于动态MAC地址表项,对静态MAC地址进行漂移的报文会被丢弃。
system-view 添加静态MAC表项。 mac-address static mac-address interface-type interface-number vlan vlan-id 查看配置的静态MAC表项。 display mac-address static
配置黑洞MAC表项
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址,过滤掉非法MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
system-view 添加黑洞MAC表项。 mac-address blackhole mac-address [ vlan vlan-id ] 查看配置的黑洞MAC表项 display mac-address blackhole
配置动态MAC表项的老化时间
随着网络拓扑的不断变化,交换机将会学习到越来越多的MAC地址。为了避免MAC地址表项爆炸式增长,需要合理配置动态MAC表项的老化时间,及时删除MAC地址表中的废弃MAC地址表项。老化时间越短,交换机对周边的网络变化越敏感,适合在网络拓扑变化比较频繁的环境;老化时间越长,交换机对周边的网络变化越不敏感,适合在网络拓扑比较稳定的环境。
system-view 配置动态MAC表项的老化时间。 老化时间的取值范围是0,10~1000000,单位是秒,缺省值是300秒。0表示动态MAC地址表项不老化。 mac-address aging-time aging-time 查看动态MAC表项的老化时间。 display mac-address aging-time
 说明: 老化时间为0时,可以固化MAC地址,即MAC地址表项永不老化。如果想要清除已经固化的MAC地址,可以先设置老化时间为非0,然后在两倍老化时间后自动清除。
配置关闭MAC地址学习功能
默认情况下,设备的MAC地址学习功能都是开启的。在收到来自周边设备的数据帧时,会解析出数据帧的源MAC地址,然后与接收该数据帧的接口组合成一条MAC地址表项,添加到MAC地址表中。以后设备接收到去往该目的MAC地址的数据帧时,则直接查询MAC地址表就可以得到正确的发送接口,避免广播。若关闭MAC地址学习功能,设备在收到数据帧时将不会进行MAC地址的学习。另外之前学习到的动态表项不会立即删除,需要等待老化时间到达后老化删除,或手工执行删除MAC命令进行删除。
关闭接口的MAC地址学习功能。
system-view interface interface-type interface-number 在接口上关闭MAC地址学习功能。缺省情况下,接口的MAC地址学习功能是使能的。 关闭MAC地址学习功能的缺省动作为forward,即对报文进行转发。当配置动作为discard时,会对报文的源MAC地址进行匹配,当接口和MAC地址与MAC地址表项匹配时,则对该报文进行转发。当接口和MAC地址与MAC地址表项不匹配时,则丢弃该报文。 mac-address learning disable [ action { discard | forward } ]
关闭VLAN的MAC地址学习功能。
system-view vlan vlan-id 在VLAN上关闭MAC地址学习功能。缺省情况下,VLAN的MAC地址学习功能是使能的。 mac-address learning disable
 说明: S5720EI设备,VLAN下配置关闭MAC地址学习功能,同时加入该VLAN的接口配置关闭MAC地址学习功能且动作为丢弃,则该接口对该VLAN的报文不会丢弃。譬如:VLAN2配置关闭MAC地址学习功能,VLAN3不配置关闭MAC地址学习功能,Port1配置关闭MAC地址学习功能且动作为丢弃,同时Port1加入VLAN2和VLAN3。 此时Port1收到VLAN2的报文不会丢弃,收到VLAN3的报文会丢弃。
配置限制MAC地址学习数功能
一些安全性较差的网络容易受到黑客的MAC地址攻击,由于MAC地址表的容量是有限的,当黑客伪造大量源MAC地址不同的报文并发送给交换机后,交换机的MAC表项资源就可能被耗尽。当MAC表被填满后,即使它再收到正常的报文,也无法学习到报文中的源MAC地址。 配置限制MAC地址学习数,当超过限制数时不再学习MAC地址,同时可以配置当MAC地址数达到限制后对报文采取的动作,从而防止MAC地址表资源耗尽,提高网络安全性。
配置基于接口限制MAC地址学习数
system-view interface interface-type interface-number 限制接口的MAC地址学习数。缺省情况下,不限制MAC地址学习数。 mac-limit maximum max-num 配置当MAC地址数达到限制后,对报文应采取的动作。缺省情况下,对超过MAC地址学习数限制的报文采取丢弃动作。 mac-limit action { discard | forward } 配置当MAC地址数达到限制后是否进行告警。缺省情况下,对超过MAC地址学习数限制的报文进行告警。 mac-limit alarm { disable | enable }
配置基于VLAN限制MAC地址学习数
system-view vlan vlan-id 限制VLAN的MAC地址学习数。缺省情况下,不限制MAC地址学习数。 mac-limit maximum max-num 配置当MAC地址数达到限制后是否进行告警。缺省情况下,对超过MAC地址学习数限制的报文进行告警。 mac-limit alarm { disable | enable }
查看MAC地址学习数限制信息。 display mac-limit
配置MAC地址告警功能
通过配置MAC地址告警功能,可以在MAC地址使用率超过阈值,MAC地址变化和MAC地址Hash冲突时发送告警,从而使用户实时掌握MAC地址表的运行状态。 MAC地址表资源属于设备的关键资源,有效的监控MAC地址表的使用状态,可以为设备的正常运行提供保障。交换机目前支持3种MAC地址表的告警功能。 表1 MAC地址表支持的3种告警功能 告警功能 实现说明 MAC地址使用率超过阈值上报告警功能 当MAC地址表使用率大于等于80%时发送超过阈值告警,MAC地址表使用率小于70%时发送低于阈值的恢复告警。 超过阈值的告警和低于阈值的恢复告警,是成对出现的,即只有发送过超过阈值的告警,才会在MAC地址表使用率小于70%时发送低于阈值的恢复告警。 出现该告警时,说明MAC地址表的使用率超过了正常标准,建议用户对网络进行分流或扩容。 MAC地址变化上报告警功能 当新学习到MAC地址表项或MAC地址表项老化时,发送告警。 MAC地址Hash冲突上报告警功能 为了提升MAC转发性能,设备内的MAC地址表是使用Hash链保存的。当出现多个MAC地址根据Hash算法获取到同一个Key值时,就可能会出现有些MAC地址无法保存的现象,这种现象就是MAC地址Hash冲突。 MAC地址发生Hash冲突时,一般表现为:设备MAC地址表空间未满,而MAC地址表项又学习不到。 MAC地址发生Hash冲突时,不会影响流量的转发,只会使目的MAC是该MAC的流量通过广播方式发送,从而占用设备的带宽和资源。用户可以通过更换设备或终端的网卡解决。
使能MAC地址使用率超过阈值上报告警功能。
system-view 配置MAC表资源使用的告警阈值。缺省情况下,MAC地址表使用的告警上下限阈值分别为80%和70%,即当MAC地址表使用率大于等于80%时发送超过阈值告警,MAC地址表使用率小于70%时发送低于阈值的恢复告警。 mac-address threshold-alarm upper-limit upper-limit-value lower-limit lower-limit-value
使能MAC地址变化上报告警功能。
system-view 配置设备对MAC地址发生学习或老化的检查周期。缺省情况下,设备对MAC地址发生学习或老化的检查周期为10秒。 mac-address trap notification interval interval-time interface interface-type interface-number 使能MAC地址学习或老化的告警功能。缺省情况下,未使能MAC地址学习或老化的告警功能。 mac-address trap notification { aging | learn | all }
使能MAC地址Hash冲突上报告警功能。
system-view 使能设备MAC地址Hash冲突上报告警的功能。缺省情况下,设备使能MAC地址Hash冲突上报告警的功能。 mac-address trap hash-conflict enable 配置设备MAC地址Hash冲突每个周期上报的告警条数。缺省情况下,设备MAC地址Hash冲突每个周期上报告警条数为10条。 mac-address trap hash-conflict history history-number 配置设备MAC地址Hash冲突上报告警的周期间隔。缺省情况下,设备MAC地址Hash冲突上报告警的周期间隔为60秒。 mac-address trap hash-conflict interval interval-time
查看交换机是否配置MAC地址告警功能。 display current-configuration
配置MAC Hash模式
为了提升MAC转发性能,设备一般都会通过一定的Hash算法进行MAC地址学习。当出现多个MAC地址匹配到同一个Key值时,就可能出现MAC Hash冲突。MAC Hash冲突一般表现为大量的MAC地址无法学习到,到该MAC的流量只能通过广播方式发送,导致设备上的广播流量很大。出现这种问题后,可以通过尝试配置更合适的MAC Hash算法的方式来降低冲突。  说明: 设备上MAC地址存储方式为Hash桶存储。使用Hash桶存储的设备会对需要存储的MAC地址的VLAN和MAC信息进行Hash运算,得到一个Hash桶索引。相同Hash桶索引的MAC地址存储在一个Hash桶内。如果某个Hash桶内学习到的MAC地址大于Hash桶的最大存储长度,这时称之为产生了MAC地址Hash冲突,该MAC地址将无法存储。所以采用这种存储的设备学习到的MAC地址,可能无法达到该设备可学习的MAC地址规格。 S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720HI、S6730H、S6730S和S6730S-S不支持该配置。 由于MAC地址分布没有规律性,因此无法确定哪种Hash算法最优。在通常情况下,默认算法为最优算法,建议不要轻易变更。 配置合适的MAC Hash模式只能缓解MAC地址学习的Hash冲突,不能彻底解决冲突问题。 更改MAC Hash模式后,必须重启设备使配置生效。
system-view 缺省情况下,S5720EI、S6720EI、S6720S-EI的MAC Hash模式为crc32-lower;其余类型设备的MAC Hash模式为crc。 在S5720EI、S6720EI、S6720S-EI上:执行命令 mac-address hash-mode { crc16-lower | crc16-upper | crc32-lower | crc32-upper | lsb | enhanced } slot slot-id 在除S5720EI、S6720EI、S6720S-EI以外的设备上:执行命令 mac-address hash-mode { xor | crc } slot slot-id 配置MAC表的Hash桶深。缺省情况下,设备MAC表的Hash桶深为4。 mac-address hash-bucket-mode { size4 | size8 | size12 | size16 } 查看当前运行的MAC Hash模式和当前配置的MAC Hash模式。 display mac-address hash-mode
 说明: 仅S5720I-SI、S5720LI、S5720S-LI、S5720S-SI和S5720SI支持配置MAC表的Hash桶深。 随着Hash桶深的变大,设备转发性能会降低。 当Hash桶深由大改小时,需要重启生效。
配置扩展MAC地址表项空间资源功能
当设备承载的业务量很大时,MAC地址表项也会相应增加,但是设备的MAC表项空间有限,当设备的表项空间满足不了设备的业务要求时,会降低业务的运行效率。设备提供扩展表项空间寄存器,通过配置扩展表项空间资源的分配模式,可以扩大MAC表的空间大小,满足业务需求。  说明: 仅S5720EI、S6720EI和S6720S-EI支持此功能。
查看扩展表项空间资源的配置信息。 display resource-mode configuration system-view 配置扩展MAC表项空间资源。 assign resource-mode enhanced-mac slot slot-id 查看配置的表项资源分配模式和当前生效的表项资源分配模式。 display resource-mode configuration
 说明: 配置扩展表项空间资源的分配模式,需要重启生效。
配置MAC地址防漂移
配置接口MAC地址学习优先级
接口配置不同的MAC地址学习优先级后,如果不同接口学到相同的MAC地址表项,那么高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址发生漂移。
对于S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S,使用下面命令进行配置。
system-view interface interface-type interface-number 配置接口学习MAC地址的优先级。缺省情况下,接口学习MAC地址的优先级为0,数值越大优先级越高。 mac-learning priority priority-id 配置禁止MAC地址漂移时报文的处理动作为丢弃。缺省情况下,禁止MAC地址漂移时报文的处理动作是转发。 mac-learning priority flapping-defend action discard
对于S2720EI、S5720I-SI、S5720LI、S5720S-LI、S5720S-SI、S5720SI、S5730S-EI、S5730SI、S6720LI、S6720S-LI、S6720S-SI和S6720SI,使用下面命令进行配置。
system-view 使能全局MAC-spoofing-defend功能。缺省情况下,全局的MAC-spoofing-defend功能为去使能状态。 mac-spoofing-defend enable interface interface-type interface-number 使能接口的MAC-spoofing-defend功能,即将接口配置为信任接口.缺省情况下,没有使能接口的MAC-spoofing-defend功能。 mac-spoofing-defend enable
查看接口MAC地址学习优先级的配置。 display current-configuration
配置不允许相同优先级接口MAC地址漂移
配置不允许相同优先级的接口发生MAC地址表项覆盖,也可以防止MAC地址漂移,提高网络的安全性。 交换机上配置不允许相同优先级的接口发生MAC地址漂移,如果与交换机接口连接的网络设备(例如:服务器)下电后,交换机上另外的接口学习到与该网络设备同样的MAC地址,当网络设备再次上电后不能学习到正确的MAC地址。  说明: 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持该配置。
system-view 配置不允许相同优先级的接口发生MAC地址漂移。缺省情况下,允许相同优先级的接口发生MAC地址漂移。 undo mac-learning priority priority-id allow-flapping 配置禁止MAC地址漂移时报文的处理动作为丢弃。缺省情况下,禁止MAC地址漂移时报文的处理动作是转发。 mac-learning priority flapping-defend action discard 查看交换机是否配置不允许相同优先级的接口发生MAC地址漂移的功能。 display current-configuration
配置MAC地址漂移检测
配置MAC地址漂移检测功能可以检测到设备上所有的MAC地址是否发生了漂移。 说明: 为避免重要上行流量中断,不建议用户在上行接口配置MAC地址漂移处理动作。 MAC地址漂移检测功能只能做单点环路检测,无法获取整个网络的拓扑信息。如果网络支持破环协议,建议使用破环协议来消除环路。 如果下挂网络中可能只是在少量VLAN内出现环路,建议配置MAC地址漂移检测与接口退出VLAN联动机制。 如果下挂网络中大量VLAN会成环,建议直接使用MAC地址漂移检测与接口error-down联动机制。这样可以提升处理性能,而且接口down能够被对端设备感知,若对端设备有冗余保护链路,可以快速切换。
system-view 配置MAC地址漂移检测功能。缺省情况下,已经配置了MAC地址漂移检测功能,对交换机上所有VLAN进行MAC地址漂移检测。 mac-address flapping detection (可选)配置MAC地址漂移检测的VLAN白名单,即指定不检测的VLAN。 缺省情况下,没有配置MAC地址漂移检测的VLAN白名单。在某些特定场景下,如交换机连接双网卡的负载分担服务器时,可能会出现服务器的MAC地址在两个接口上学习到,而这种情况不需要作为MAC地址漂移被检测出来。可以将服务器所在的VLAN加入MAC地址漂移检测白名单,不对该VLAN进行检测。 mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> (可选)配置指定VLAN中MAC地址漂移检测的安全级别。缺省情况下,MAC地址漂移检测的安全级别为middle,即MAC地址发生10次迁移后,系统认为发生了MAC地址漂移。 mac-address flapping detection vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all } security-level { high | middle | low } (可选)配置MAC地址漂移表项的老化时间。 缺省情况下,MAC地址漂移表项的老化时间为300秒。如果用户修改动态MAC表项的老化时间变长,会导致观测到MAC地址漂移的时间变长,为了能够及时检测到MAC地址漂移,可以修改漂移表项的老化时间。 mac-address flapping aging-time aging-time (可选)配置发生漂移后接口的处理动作及优先级。 interface interface-type interface-number 配置接口发生MAC漂移后的处理动作。 缺省情况下,没有配置MAC漂移检测的处理动作。用户网络中由于环路造成了MAC地址漂移,且网络不支持破环协议,可以在相应接口上配置发生MAC地址漂移后的处理动作来实现破环。接口上配置了MAC地址漂移处理动作,如果系统检测到是该接口学习的MAC发生漂移,会将该接口关闭或者退出VLAN。在一个MAC地址漂移表项老化周期内只能关闭一个接口。 mac-address flapping action { quit-vlan | error-down } 配置发生MAC地址漂移时接口动作的优先级。 mac-address flapping action priority priority 查看MAC地址漂移的配置信息。 display mac-address flapping
 说明: MAC漂移检测联动接口退VLAN技术与其他接口动态VLAN技术相冲突,不能同时使用。例如GVRP等具有接口动态VLAN技术的功能不要与MAC漂移检测联动接口退VLAN同时配置。 MAC漂移触发接口error-down与MAC漂移触发接口退VLAN是两个独立的动作,如果配置error-down的接口和配置quit-vlan的接口发生漂移时,两个接口都会执行接口下配置的操作,即配置error-down的接口会被error-down,配置quit-vlan的接口会执行退vlan操作。对于可能出现在同一个环上的接口,建议不要同时配置这两种动作。
发生MAC地址漂移后的处理动作
配置MAC地址漂移检测功能后,在设备发生MAC地址漂移时,会上报告警,在多次出现MAC地址漂移告警时,网络可能出现了环路,管理员可以通过shutdown告警中的漂移端口进行破环。也可以通过在漂移端口配置MAC地址漂移检测后的处理动作,自动进行破环。 如果配置MAC地址漂移检测后的处理动作,自动进行破环,请注意下列几点: MAC地址漂移检测后的处理动作为error-down时,默认情况下,接口关闭后不会自动恢复,只能由网络管理人员先执行shutdown命令再执行undo shutdown命令手动恢复,也可以在接口视图下执行restart命令重启接口。 如果用户希望被关闭的接口可以自动恢复,则必须在接口error-down前通过在系统视图下执行error-down auto-recovery cause mac-address-flapping命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,才可使被关闭的接口经过延时时间后能够自动恢复。 MAC地址漂移检测后的处理动作为quit-vlan时,默认情况下,接口退出VLAN可以自动恢复,恢复时间为10分钟。同时自动恢复时间可以为配置值,在系统视图下执行mac-address flapping quit-vlan recover-time time-value进行配置。
配置丢弃全零MAC地址报文功能
网络中的一些主机或设备发生故障时,会向交换机发送源MAC或目的MAC地址为全0的报文。可配置交换机丢弃这些报文,还可以配置在收到这些报文时上报告警,管理员可根据告警信息来定位故障设备。 配置该功能后,交换机会丢弃源MAC或目的MAC为全0的MAC地址报文。
system-view 使能交换机丢弃全0非法MAC地址报文。缺省情况下,交换机没有使能丢弃全0非法MAC地址报文的功能。 drop illegal-mac enable (可选)配置交换机收到全0非法MAC地址报文时生成一条告警。缺省情况下,交换机收到全0非法MAC地址报文时不生成告警。 drop illegal-mac alarm 查看交换机是否配置丢弃全0非法MAC地址报文的功能。 display current-configuration
 说明: 配置drop illegal-mac alarm命令后只能告警一次。如果需要继续告警,必须重新配置该命令。
配置MAC刷新ARP功能
网络中每台在网设备都有一个IP地址,用于该主机与其他设备的通信。在以太网中,主机或交换设备或路由设备是根据MAC地址来发送、接收以太网数据帧。ARP用于提供IP地址到MAC地址的映射。当不同网段间通信时,需要使用ARP表项来将IP地址映射到正确的MAC地址及相应的出接口上。
system-view 配置MAC刷新ARP功能。缺省情况下,没有使能MAC刷新ARP功能。 mac-address update arp 查看MAC刷新ARP功能是否配置成功。 display current-configuration
 说明: 仅S5720EI、S5720HI、S5720I-SI、S5720S-SI、S5720SI、S5730HI、S5730S-EI、S5730SI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6720S-SI、S6720SI、S6730H、S6730S和S6730S-S支持该命令。 该命令只对动态ARP表项生效,不会更新静态ARP表项。 使用arp anti-attack entry-check enable命令配置ARP表项固化功能后,MAC刷新ARP功能不生效。 使能了MAC刷新ARP功能后,只有MAC表项的出接口发生变化,才会更新对应的ARP表项。
配置端口桥功能
同源同宿报文即源MAC地址和目的MAC地址均在设备的同一接口上学习到的报文。缺省情况下,设备不转发同源同宿报文,当接口收到这种报文时,设备判断为非法报文并直接丢弃该报文。 配置端口桥功能后,当接口收到同源同宿报文时,若设备上的MAC地址表中存在与该报文的目的MAC地址对应的表项,则将报文从本接口转发出去。 端口桥功能主要应用于以下场景: 设备下挂有不具备二层转发能力的设备,当这些无二层转发能力的设备连接的用户有互通需求时,会直接将报文上送到设备,由设备完成转发功能。由于这些报文的源MAC地址和目的MAC地址都是设备的同一接口学习到,此时需要使能端口桥功能,使接口转发同源同宿报文。 在数据中心做接入设备且下挂服务器,一台服务器中启用多个虚拟机,并且虚拟机之间需要进行数据交换。若在服务器内部完成虚拟机之间的数据交换,会大大影响数据交换速度和服务器性能。为了提高数据交换速度和服务器性能,可以使能端口桥功能,由设备来进行数据交换。
system-view interface interface-type interface-number 配置端口桥功能。缺省情况下,没有配置端口桥功能。 port bridge enable 查看端口桥功能是否配置成功。 display current-configuration
配置重新标记报文的目的MAC地址
通过配置重标记,设备对符合流分类规则的报文的指定字段进行设置。重标记报文某些字段,不会影响当前设备对报文的QoS处理,仅会影响下游设备对报文的QoS处理。将指定流分类的报文重标记报文目的MAC地址,方便下游设备对报文进行识别,提供相应的QoS服务。  说明: 仅S5720EI、S6720EI和S6720S-EI支持此配置。
配置关闭MAC实时同步抑制功能
缺省情况下,设备上的MAC地址实时同步抑制功能处于打开状态。如果MAC地址漂移持续存在,导致MAC地址实时同步报文过多,MAC地址实时同步功能就会被抑制。在终端漫游等场景下,这样会造成终端获取DHCP地址慢等问题,此时可以关闭MAC地址漂移触发MAC地址实时同步抑制的功能。
system-view 关闭MAC地址漂移触发MAC实时同步抑制的功能。缺省情况下,MAC地址漂移触发MAC实时同步抑制功能处于打开状态。 mac-address flapping mac-syn-suppress disable
配置去使能未知单播流量抑制功能
缺省情况下,在设备开启MAC地址漂移检测功能后,若检测到MAC地址发生漂移,将触发对漂移接口的流量抑制功能,表现为接口接收到的未知单播流量超过阈值时,将丢弃一半的流量,造成接口流量的丢失。 如果用户不希望因为设备对未知单播流量的抑制而导致流量丢失,可以去使能未知单播流量抑制功能。  说明: 同时满足以下条件,发生MAC地址漂移时接口的未知单播流量抑制功能才会生效: 全局使能MAC地址漂移检测功能。 接口下的MAC地址发生漂移。 全局的未知单播流量抑制功能处于使能状态。 接口下的未知单播流量抑制功能处于使能状态。
去使能全局的未知单播流量抑制功能
system-view 发生MAC地址漂移时,去使能全局的未知单播流量抑制功能。 缺省情况下,发生MAC地址漂移时,全局的未知单播流量抑制功能处于使能状态。 mac-address flapping unicast-suppress all disable
去使能接口的未知单播流量抑制功能
system-view interface interface-type interface-number 发生MAC地址漂移时,去使能接口的未知单播流量抑制功能。 缺省情况下,发生MAC地址漂移时,接口的未知单播流量抑制功能处于使能状态。 mac-address flapping unicast-suppress disable
维护MAC表
查看MAC地址
表1 查看MAC地址的命令 操作 命令 查看所有MAC地址表项 display mac-address 查看静态MAC地址表项 display mac-address static 查看指定VLAN下静态MAC地址表项 display mac-address static vlan vlan-id 查看指定VLAN下学习到的MAC地址表项 display mac-address dynamic vlan vlan-id 查看指定接口下学习到的MAC地址表项 display mac-address dynamic interface-type interface-number 查看指定MAC地址是否存在 display mac-address mac-address 查看动态MAC地址的老化时间 display mac-address aging-time 查看MAC地址表项的统计计数 查看总的统计计数: display mac-address total-number 查看各种类型MAC地址表项的统计计数: display mac-address summary 查看系统MAC地址 display bridge mac-address 查看接口的MAC地址 display interface interface-type interface-number 显示信息中的Hardware address即为该接口的MAC地址 查看VLANIF的MAC地址 display interface vlanif vlan-id 显示信息中的Hardware address即为该VLANIF的MAC地址
清除MAC地址
表1 清除MAC地址的命令 操作 命令 清除所有MAC地址表项 undo mac-address 按照VLAN清除MAC地址表项 undo mac-address vlan vlan-id 按照端口清除MAC地址表项 undo mac-address interface-type interface-number 清除所有动态MAC地址表项 undo mac-address dynamic 清除所有静态MAC地址表项 undo mac-address static
查看MAC漂移信息
表1 查看MAC漂移记录的命令 目的 命令 查看MAC地址漂移告警 使用display trapbuffer查看是否存在下列告警信息: OID 1.3.6.1.4.1.2011.5.25.160.3.7 查看MAC地址漂移详细记录 display mac-address flapping record
设备上无法学习正确的MAC表项
查看是否配置错误导致MAC地址无法正确学习。 检查项 检查方法 后续操作 接口所属的VLAN是否创建 在任意视图下,执行命令display vlan vlan-id,如果提示“Error: The VLAN does not exist.”,则表示该VLAN没有创建。 请在系统视图下,执行命令vlan vlan-id创建VLAN。 接口是否透传对应VLAN 在任意视图下,执行命令display vlan vlan-id,查看显示信息中是否存在该接口名。如果没有该接口名,则表示该接口没有透传对应VLAN。 请在接口视图下,执行下面命令将接口加入对应VLAN。 trunk接口,执行命令port trunk allow-pass vlan,将接口加入VLAN hybrid接口,执行命令port hybrid tagged vlan 或者port hybrid untagged vlan,将接口加入VLAN access接口,执行命令port default vlan,将接口加入VLAN 设备是否配置了黑洞MAC 在任意视图下,执行display mac-address blackhole命令,查看是否配置了黑洞MAC。 如果有黑洞MAC相关配置,请在任意视图下,执行命令undo mac-address blackhole删除黑洞MAC地址。 接口和VLAN是否关闭了MAC地址学习功能 在接口视图和VLAN视图下,分别执行命令display this | include learning查看是否存在mac-address learning disable的配置。如果存在,则说明接口或VLAN关闭了MAC地址学习功能。 请在接口视图或VLAN视图下,执行命令undo mac-address learning disable打开MAC地址学习功能。 接口和VLAN是否配置了MAC地址学习限制数 在接口视图和VLAN视图下,执行display this | include mac-limit查看是否存在MAC地址学习限制数的配置。如果存在,则说明配置了MAC地址学习限制数。 请在接口视图或VLAN视图下,执行命令mac-limit增加MAC地址学习数量。 请在接口视图或VLAN视图下,执行命令undo mac-limit取消MAC地址限制。 接口是否配置了端口安全功能 在接口视图下,执行display this | include port-security查看是否存在端口安全的配置。如果存在,则说明配置了端口安全功能。 在接口视图下执行命令undo port-security enable取消端口安全功能。 在接口视图下执行命令port-security max-mac-num增加端口安全MAC学习限制数量。 执行完上述操作后,故障仍然存在,请执行步骤2。 检查网络中是否存在环路导致MAC地址表项振荡。 一般情况下MAC地址漂移是由环路导致的,在系统视图下执行命令mac-address flapping detection,配置MAC地址漂移检测功能。 配置MAC地址漂移检测功能后,系统将检测VLAN内所有MAC地址是否发生漂移。然后可通过命令display mac-address flapping record来查看MAC地址漂移记录来判断是否有环路。 如果通过命令查看存在MAC地址漂移,可以使用下列两种方法防止MAC地址漂移导致MAC地址表项振荡。 排除环路故障。 在接口视图下执行命令mac-learning priority,配置接口学习MAC地址的优先级,保证在正确的接口上学习到MAC地址。 如果系统中不存在环路,请执行步骤3。 检查MAC地址数是否已达设备支持的最大规格。设备学习到的MAC地址数达到产品支持的规格,将无法继续学习新的MAC地址表项。 如果该接口学习到的MAC地址数小于等于该接口连接的实际运行的主机数,说明设备接入的主机已经超过了设备支持的规格,请调整网络部署。 如果该接口学习到的MAC地址数远大于该接口所连接网络实际运行的主机数,说明该接口所连接的网络可能存在恶意刷新MAC地址表项的攻击,请根据下列方法处理。 场景分类 解决方法 接口与其他设备相连 在该接口连接的设备上执行命令display mac-address查看MAC地址表项,根据MAC地址学习接口找到可能存在攻击的主机所在的接口。如果查找到的接口还下连其他设备,请重复上述操作直至查找到恶意攻击的主机。 接口与主机相连 和管理员确认后先断开该主机,等该主机恶意攻击排除后再接入网络。 和管理员确认后在该接口上执行port-security enable命令配置端口安全功能或执行mac-limit命令配置接口MAC地址学习数量为1。 接口与HUB相连 通过镜像或其他工具分析该接口收到的报文,根据报文的特征找到攻击主机,找到攻击主机后,和管理员确认后先断开该主机,等该主机恶意攻击排除后再接入网络。 和管理员确认后,分别尝试断开HUB连接的主机,通过断开某主机看故障是否存在来判断可能存在攻击的主机,找到攻击主机后,和管理员确认后先断开该主机,等该主机恶意攻击排除后再接入网络。 如果设备学习到的MAC地址数未达到产品支持的规格,但MAC地址依旧无法学习,请执行步骤4。 检查设备上是否存在MAC地址Hash冲突告警。 L2IFPPI/4/MACHASHCONFLICTALARM: OID [oid] A hash conflict occurs in MAC addresses.(IfIndex=[INTEGER], MacAddr=[OPAQUE], VLAN=[GAUGE], VsiName=[OCTET1], InterfaceName=[OCTET2]). 此告警的处理步骤请参见L2IFPPI_1.3.6.1.4.1.2011.5.25.315.3.6 hwMacTrapHashConflictAlarm。
MAC FAQ
如何开启和关闭MAC漂移检测功能?
版本 开启MAC漂移检测的命令 关闭MAC漂移检测的命令 V200R001之前版本,只能基于VLAN进行MAC地址漂移检测 在VLAN视图下执行loop-detect eth-loop alarm-only命令 在VLAN视图下执行undo loop-detect eth-loop alarm-only命令 V200R001及以后版本,可以基于全局对所有VLAN进行MAC地址漂移检测,缺省设备已经开启MAC地址漂移检测功能 在系统视图下执行mac-address flapping detection命令 在系统视图下执行undo mac-address flapping detection命令
怎么查看MAC漂移信息?
版本 查看命令 V200R001之前版本 display trapbuffer V200R001及以后版本 display trapbuffer或display mac-address flapping record
如何配置基于VLAN的黑洞MAC地址表项
配置基于VLAN的黑洞MAC地址表项的步骤如下: # 例如:在MAC地址表中增加黑洞MAC地址表项:MAC地址为0004-0004-0004,用户VLAN属于VLAN 10。 <HUAWEI> system-view [HUAWEI] vlan 10 [HUAWEI-vlan10] quit [HUAWEI] mac-address blackhole 0004-0004-0004 vlan 10 但是,在S2720EI、S5720I-SI、S5720LI、S5720S-LI、S5720S-SI、S5720SI、S5730S-EI、S5730SI、S6720LI、S6720S-LI、S6720S-SI或S6720SI上配置基于VLAN的黑洞MAC地址表项且设备上同时配置了基于流策略的重定向行为时,如果源MAC或者目的MAC为黑洞MAC地址的报文匹配到配置的重定向策略,设备将不会丢弃该报文。对于该场景建议将黑洞MAC地址配置成全局黑洞MAC地址表项,或者配置基于ACL的简化流策略来丢弃指定报文。 # 在MAC地址表中增加全局黑洞MAC地址表项:MAC地址为0004-0004-0004。 <HUAWEI> system-view [HUAWEI] mac-address blackhole 0004-0004-0004 # 配置基于ACL的简化流策略的丢弃指定报文:MAC地址为0004-0004-0004,用户VLAN属于VLAN 10。 <HUAWEI> system-view [HUAWEI] vlan 10 [HUAWEI-vlan10] quit [HUAWEI] acl number 4000 [HUAWEI-acl-L2-4000] rule 5 deny source-mac 0004-0004-0004 vlan-id 10 [HUAWEI-acl-L2-4000] rule 10 deny destination-mac 0004-0004-0004 vlan-id 10 [HUAWEI-acl-L2-4000] quit [HUAWEI] traffic-filter inbound acl 4000
以太网链路聚合配置
以太网链路聚合简介
以太网链路聚合Eth-Trunk简称链路聚合,通过将多个物理接口捆绑为一个逻辑接口,可以在不进行硬件升级的条件下,达到增加链路带宽的目的。 链路聚合技术主要有以下三个优势: 增加带宽 链路聚合接口的最大带宽可以达到各成员接口带宽之和。 提高可靠性 当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,从而提高链路聚合接口的可靠性。 负载分担 在一个链路聚合组内,可以实现在各成员活动链路上的负载分担。
链路聚合原理描述
基本概念
链路聚合组和链路聚合接口 链路聚合组LAG(Link Aggregation Group)是指将若干条以太链路捆绑在一起所形成的逻辑链路。 每个聚合组唯一对应着一个逻辑接口,这个逻辑接口称之为链路聚合接口或Eth-Trunk接口。链路聚合接口可以作为普通的以太网接口来使用,与普通以太网接口的差别在于:转发的时候链路聚合组需要从成员接口中选择一个或多个接口来进行数据转发。 成员接口和成员链路 组成Eth-Trunk接口的各个物理接口称为成员接口。成员接口对应的链路称为成员链路。 图1 链路聚合组与链路聚合接口、成员接口和成员链路的关系示意图  活动接口和非活动接口、活动链路和非活动链路 链路聚合组的成员接口存在活动接口和非活动接口两种。转发数据的接口称为活动接口,不转发数据的接口称为非活动接口。 活动接口对应的链路称为活动链路,非活动接口对应的链路称为非活动链路。 活动接口数上限阈值 设置活动接口数上限阈值的目的是在保证带宽的情况下提高网络的可靠性。当前活动接口数目达到上限阈值时,再向Eth-Trunk中添加成员接口,不会增加Eth-Trunk活动接口的数目,超过上限阈值的链路状态将被置为Down,作为备份链路。 例如,有8条无故障链路在一个Eth-Trunk内,每条链路都能提供1G的带宽,现在最多需要5G的带宽,那么上限阈值就可以设为5或者更大的值。其他的链路就自动进入备份状态以提高网络的可靠性。  说明: 手工模式链路聚合不支持活动接口数上限阈值的配置。 活动接口下限阈值 设置活动接口数下限阈值是为了保证最小带宽,当前活动链路数目小于下限阈值时,Eth-Trunk接口的状态转为Down。 例如,每条物理链路能提供1G的带宽,现在最小需要2G的带宽,那么活动接口数下限阈值必须要大于等于2。 链路聚合模式 根据是否启用链路聚合控制协议LACP(Link Aggregation Control Protocol),链路聚合分为手工模式和LACP模式,具体请参见手工模式链路聚合和LACP模式链路聚合。 链路聚合方式 同一设备:是指链路聚合时,同一聚合组的成员接口分布在同一设备上。 堆叠设备:是指在堆叠场景下,成员接口分布在堆叠的各个成员设备上。具体请参见堆叠环境下的链路聚合。 跨设备:是指E-Trunk基于LACP(单台设备链路聚合的标准)进行了扩展,能够实现多台设备间的链路聚合。具体请参见跨设备链路聚合E-Trunk。
手工模式链路聚合
手工模式下,Eth-Trunk的建立、成员接口的加入由手工配置,没有链路聚合控制协议LACP的参与。该模式下所有活动链路都参与数据的转发,平均分担流量。如果某条活动链路故障,链路聚合组自动在剩余的活动链路中平均分担流量。 当需要在两个直连设备之间提供一个较大的链路带宽,而其中一端或两端设备都不支持LACP协议时,可以配置手工模式链路聚合。
链路聚合负载分担方式
背景 在使用Eth-Trunk转发数据时,由于聚合组两端设备之间有多条物理链路,可能会产生同一数据流的第一个数据帧在一条物理链路上传输,而第二个数据帧在另外一条物理链路上传输的情况。这样一来同一数据流的第二个数据帧就有可能比第一个数据帧先到达对端设备,从而产生接收数据包乱序的情况。 为了避免这种情况的发生,Eth-Trunk采用逐流负载分担的机制,把数据帧中的地址通过HASH算法生成HASH-KEY值,然后根据这个数值在Eth-Trunk转发表中寻找对应的出接口,不同的MAC或IP地址HASH得出的HASH-KEY值不同,从而出接口也就不同,这样既保证了同一数据流的帧在同一条物理链路转发,又实现了流量在聚合组内各物理链路上的负载分担。逐流负载分担能保证包的顺序,但不能保证带宽利用率。 转发原理 如图1所示,Eth-Trunk位于MAC与LLC子层之间,属于数据链路层。 图1 Eth-Trunk接口在以太网协议栈的位置  Eth-Trunk模块内部维护一张转发表,这张表由以下两项组成。 HASH-KEY值 HASH-KEY值是根据数据包的MAC地址或IP地址等,经HASH算法计算得出。 接口号 Eth-Trunk转发表表项分布和设备每个Eth-Trunk支持加入的成员接口数量相关,不同的HASH-KEY值对应不同的出接口。 例如,某设备每Eth-Trunk支持最大加入接口数为8个,将接口1、2、3、4捆绑为一个Eth-Trunk接口,此时生成的转发表如图2所示。其中HASH-KEY值为0、1、2、3、4、5、6、7,对应的出接口号分别为1、2、3、4、1、2、3、4。 图2 Eth-Trunk转发表示例  Eth-Trunk模块根据转发表转发数据帧的过程如下: Eth-Trunk模块从MAC子层接收到一个数据帧后,根据负载分担方式提取数据帧的源MAC地址/IP地址或目的MAC地址/IP地址。 根据HASH算法进行计算,得到HASH-KEY值。 Eth-Trunk模块根据HASH-KEY值在转发表中查找对应的接口,把数据帧从该接口发送出去。 负载分担方式 用户可以根据流量模型设置不同的负载分担方式,流量中某个参数变化越频繁,选择对应负载分担方式的流量就越均衡。例如,在网络中,如果报文的IP地址变化较频繁,那么选择基于目的IP地址、源IP地址或源IP和目的IP地址的负载分担模式更有利于流量在各物理链路间合理的负载分担;如果报文的MAC地址变化较频繁,IP地址比较固定,那么选择基于目的MAC地址、源MAC地址或源MAC和目的MAC地址的负载分担模式更有利于流量在各物理链路间合理的负载分担。 交换机可以基于报文的以下参数进行负载分担: 源MAC地址 目的MAC地址 源MAC地址和目的MAC地址 源IP地址 目的IP地址 源IP地址和目的IP地址 VLAN、源物理端口等(对L2、IPv4、IPv6和MPLS报文进行增强型负载分担) 例如,DeviceA的一条TCP报文流的源IP地址为192.168.1.1(MAC地址:a-a-a,源端口号:50),目的IP地址为172.16.1.1(MAC地址:b-b-b,目的端口号:2000),另一条TCP报文流的源IP地址为192.168.1.1(MAC地址:a-a-a,源端口号:60),目的IP地址为10.1.1.1(MAC地址:c-c-c,目的端口号:2000)。如果在DeviceA上配置基于报文的源MAC地址进行负载分担,则报文出接口仅有1个;如果在DeviceA上配置基于报文的目的IP地址进行负载分担,则报文出接口有两个,去往不同目的IP的报文会从不同的出接口转发。 配置负载分担方式时,请注意: 负载分担方式只在流量的出接口上生效,如果发现各入接口的流量不均衡,请修改上行出接口的负载分担方式。 尽量将数据流通过负载分担在所有活动链路上传输,避免数据流仅在一条链路上传输,造成流量拥堵,影响业务正常运行。 例如,数据报文的目的MAC和IP地址只有一个,则应选择根据报文的源MAC和IP地址进行负载分担,如果选择根据报文的目的MAC和IP地址进行负载分担则会造成流量只在一条链路上传输,造成流量拥堵。
堆叠环境下的链路聚合
跨框Eth-Trunk接口 如图1所示,DeviceB和DeviceC通过堆叠,对外呈现为一台设备。跨框Eth-Trunk接口是指将堆叠系统不同设备中的物理接口聚合到一个逻辑接口Eth-Trunk接口中。当堆叠设备中某台设备故障或加入Eth-Trunk接口中的物理成员口故障,可通过堆叠设备间线缆跨框传输数据流量,从而保证了数据流量的可靠传输,同时实现了设备间的备份。 图1 跨框Eth-Trunk接口组网  跨框Eth-Trunk接口流量本地优先转发 在设备堆叠情况下,为了保证流量的可靠传输,流量的出接口设置为Eth-Trunk接口。那么Eth-Trunk接口中必定存在跨框成员口。当堆叠设备转发流量时,Eth-Trunk接口通过HASH算法可能会选择跨框的成员口。由于堆叠设备间线缆带宽有限,跨框转发流量增加了堆叠设备之间的带宽承载压力,同时也降低了流量转发效率。为了解决这个问题,可以使能Eth-Trunk接口流量本地优先转发。 如图2所示,DeviceB和DeviceC组成堆叠,堆叠设备和DeviceA之间用Eth-Trunk连接。 图2 跨框Eth-Trunk接口流量本地优先转发  通过在堆叠设备上部署接口流量本地优先转发功能,可实现: 入本设备流量从本设备转发 当Eth-Trunk接口在DeviceB有出接口且出接口无故障时,DeviceB的Eth-Trunk接口转发表中将只包含DeviceB的出接口。这样DeviceB到DeviceA的流量在通过HASH算法选择出接口时只能选中DeviceB的接口,流量从DeviceB本设备转发出去。 入本设备流量跨框转发 当Eth-Trunk接口在DeviceB本设备无出接口或者出接口全部故障时,DeviceB的Eth-Trunk转发表中将包含Eth-Trunk接口中所有可转发的出接口。这样DeviceB到DeviceA的流量在通过HASH算法选择出接口时将选中DeviceC上的出接口,流量将通过DeviceC跨框转发。  说明: 接口流量本地优先转发功能只对已知单播报文有效,不对未知单播、广播和组播报文生效。 使能Eth-Trunk接口流量本地优先转发功能前必须确保本设备Eth-Trunk接口出接口的带宽足以承载本设备转发的流量,防止发生丢包。
跨设备链路聚合E-Trunk
E-Trunk(Enhanced Trunk)是一种实现跨设备链路聚合的机制,基于LACP(单台设备链路聚合的标准)进行了扩展,能够实现多台设备间的链路聚合,从而把链路可靠性从单板级提高到了设备级。 E-Trunk机制主要应用于CE双归接入网络时,CE与PE间的链路保护以及对PE设备节点故障的保护。如图1所示,在没有使用E-Trunk前,CE通过Eth-Trunk链路只能单归到一个PE设备。如果Eth-Trunk出现故障或者PE设备故障,CE将无法与PE设备继续进行通信。使用E-Trunk后,CE可以双归到PE上,从而实现设备间保护。 图1 Eth-Trunk与E-Trunk对比示意图   说明: 仅S5720EI、S5720HI、S5720I-SI、S5720S-SI、S5720SI、S5730HI、S5730S-EI、S5730SI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720LI、S6720S-EI、S6720S-LI、S6720S-SI、S6720SI、S6730H、S6730S和S6730S-S支持E-Trunk。 基本概念 E-Trunk的一些基本概念如表1所示。 表1 E-Trunk基本概念 概念 含义 系统LACP优先级 用于区分Eth-Trunk两端设备的优先级的高低。值越小优先级越高。 系统ID 当Eth-Trunk两端的LACP优先级相同时,用于决策两端设备优先级的高低。系统ID值较小的优先级更高。 系统ID缺省使用Eth-Trunk接口的MAC地址。 E-Trunk的优先级 用于在聚合组中决策两台设备的主备状态。E-Trunk的优先级取值越小优先级越高。 E-Trunk的ID 用于唯一标识一个E-Trunk。此ID为整数形式。 Eth-Trunk的工作模式 加入E-Trunk的Eth-Trunk有三种工作模式: 自动 强制主用 强制备用 超时时间 正常情况下,E-Trunk中的主用设备和备用设备相互周期性地发送Hello报文。当备用设备在规定的时间内没有收到Hello报文,则转为主用。 E-Trunk工作原理 如图2所示,CE分别与PE1和PE2直连,PE1和PE2之间运行E-Trunk。 在PE侧:PE1和PE2设备上分别创建ID相同的E-Trunk和Eth-Trunk,并且Eth-Trunk加入到E-Trunk。 在CE侧:CE设备上配置LACP模式的Eth-Trunk,此Eth-Trunk分别与PE1和PE2设备相连。对CE设备而言,E-Trunk不可见。 图2 E-Trunk示意图  以图2为例,介绍E-Trunk的工作过程。 主备协商 确定E-Trunk的主备状态 PE1与PE2设备之间通过E-Trunk报文进行主备协商,确定E-Trunk的主备状态。正常情况下两台PE的协商结果是一个为主用一个为备用。 PE设备上E-Trunk主备状态是根据报文中所携带的E-Trunk优先级和E-Trunk系统ID确定的。优先级的数值越小,优先级越高,优先级高的为主用。如果E-Trunk优先级相同,那么E-Trunk系统ID小的为主用。 确定成员Eth-Trunk的主备状态。 由E-Trunk的主备状态以及对端成员Eth-Trunk的链路信息,决定本端E-Trunk中成员Eth-Trunk的主备状态。 如图2所示,E-Trunk分为PE1和PE2两端。如果将PE1认为是E-Trunk的本端,那么PE2就为E-Trunk的对端。 成员Eth-Trunk的主备状态确定逻辑如表2所示。 表2 E-Trunk与成员Eth-Trunk的主备状态逻辑关系表 本端E-Trunk状态 成员Eth-Trunk模式 对端Eth-Trunk状态 本端Eth-Trunk状态 - 强制主用 - 主用 - 强制备用 - 备用 主用 自动 Down 主用 备用 自动 Down 主用 备用 自动 Up 备用 正常情况下,PE1为主,PE1的Eth-Trunk 10为主,链路状态为Up。PE2为备,PE2的Eth-Trunk 10为备,链路状态为Down。 如果CE到PE1间的链路出现故障,PE1会向对端发送E-Trunk报文,报文中携带PE1的Eth-Trunk 10故障的信息。PE2收到E-Trunk报文后,发现对端Eth-Trunk 10故障,则PE2设备上Eth-Trunk 10的状态将变为主。然后经过LACP协商,PE2设备上的Eth-Trunk 10的状态变为Up。这样PE2设备的Eth-Trunk状态变为Up,CE的流量会通过PE2转发,以达到对CE的流量进行保护的目的。 E-Trunk报文的收发。 E-Trunk报文采用本端配置的Source IP及端口号发送,采用UDP发送。触发E-Trunk报文发送的因素有: 发送计时器超时。 配置改变(E-Trunk优先级改变、报文发送周期改变、超时时间倍数改变、成员Eth-Trunk的加入/退出和E-Trunk的源IP或者目的IP改变)。 成员Eth-Trunk故障/恢复。 E-Trunk报文中需要携带超时时间,对端从报文中获取超时时间作为本端的超时时间。 回切机制。 当E-Trunk的本端设备处于主用状态时,由于本端的Eth-Trunk的物理状态变为Down或本端设备故障,经过E-Trunk和成员Eth-Trunk的主备状态确定,对端设备变为主用状态,对端的成员Eth-Trunk的物理状态变为Up。 当本端故障消除需要恢复为主用状态时,本端E-Trunk的成员Eth-Trunk进入协商状态。在协商期间,本端E-Trunk收到LACP上报的协商能力Up的事件后,启动回切延时定时器。回切延时定时器超时后,本端E-Trunk的成员Eth-Trunk恢复为主用状态。经过LACP协商后,Eth-Trunk链路状态变为Up。 E-Trunk的约束条件 如图2所示,为了提高CE与PE之间链路的可靠性,使得CE直连PE的链路能够自动切换,必须遵循以下规则: PE1与PE2上E-Trunk的配置必须一致。PE1与CE直连的Eth-Trunk,和PE2与CE直连的Eth-Trunk的工作速率和双工模式必须相同,即保证key值相同,且必须加入ID相同的E-Trunk。Eth-Trunk加入E-Trunk之后,必须保证PE上的LACP优先级、LACP系统ID相同。CE上直连PE1与PE2的接口应该加入同一Eth-Trunk,可以和PE端的Eth-Trunk ID不相同,如CE端配置Eth-Trunk 1,两台PE设备配置Eth-Trunk 10。 PE两台设备所指定的地址互为对端和本端IP地址,保证三层可达即可,建议使用环回地址。 PE两台设备上设置的报文密码(可配)必须相同。
链路聚合应用场景
交换机之间通过链路聚合互联(交换机之间直连)
如图1所示,不同业务的数据流量经UPE设备、PE-AGG设备进入核心网,不同业务的数据流量具有不同的优先级。为保证UPE和PE-AGG之间的链路带宽及可靠性,在它们之间建立Eth-Trunk 1。 图1 链路聚合组网图  Eth-Trunk的工作模式根据以下两种情况选择: 如果两端设备均支持LACP协议,推荐使用LACP模式链路聚合。 如果对端设备不支持LACP协议,必须使用手工模式链路聚合。 建立Eth-Trunk接口后,可以把该逻辑接口当作普通接口实施QoS策略。在链路聚合组接口Eth-Trunk 1两端(即UPE和PE-AGG)分别对该接口上的发送流量进行流量整形、拥塞管理、拥塞避免等,保证高优先级的报文被及时发送。
交换机之间通过链路聚合互联(交换机之间跨传输设备)
如图1所示,由于两台交换机距离较远,需要在设备之间使用传输设备保证能够通信,同时在它们之间做链路聚合保证设备之间的链路带宽及可靠性。 交换机两端必须配置为LACP模式链路聚合。 交换机之间的传输设备必须配置为可以透明传输LACPDU报文。 图1 交换机之间跨传输设备链路聚合组网图 
交换机与传输设备通过链路聚合互联
如图1所示,部署有一个核心站点和多个接入站点,由于站点之间的距离较远,需要在设备之间使用传输设备保证能够通信,同时各站点的设备和传输设备之间通过链路聚合提高可靠性。 传输设备上配置的链路聚合模式要和交换机上的链路聚合模式保持一致。传输设备的配置请参考具体型号传输设备的操作指导。 图1 交换机与传输设备链路聚合组网图 
交换机与服务器通过链路聚合互联
如图1所示,为了提高服务器的接入带宽和可靠性,将两个或者更多的物理网卡聚合成一个网卡组,以提供负载均衡或者网卡冗余。 除了链路聚合配置注意事项中的注意事项外,还需要特别注意如下事项: 服务器的网卡型号必须是相同的。 服务器和接入设备的链路聚合模式要匹配。 这里以Intel网卡为例,服务器一般采用静态链接聚合和IEEE 802.3ad动态链接聚合两种方式。当服务器选择静态链接聚合方式,对应接入设备应该选择手工模式;当服务器选择IEEE 802.3ad动态链接聚合方式,对应接入设备应该选择LACP模式。 当服务器需要通过交换机从远端服务器获取配置文件后才可以启动链路聚合时,交换机的链路聚合口需要配置lacp force-forward。  说明: 由于不同型号网卡的聚合配置不同,服务器的配置请参考具体型号网卡的操作指导。 图1 交换机与服务器链路聚合组网图 
交换机与堆叠系统通过链路聚合互联
如图1所示,交换机与堆叠系统通过链路聚合互联,同时使能Eth-Trunk接口流量本地优先转发功能,在保证数据流量可靠传输的同时可以减小堆叠设备之间的带宽承载压力,提高了流量转发效率。 图1 接口流量本地优先转发示意图 
通过E-Trunk实现跨设备的链路聚合
 说明: 仅S5720EI、S5720HI、S5720I-SI、S5720S-SI、S5720SI、S5730HI、S5730S-EI、S5730SI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720LI、S6720S-EI、S6720S-LI、S6720S-SI、S6720SI、S6730H、S6730S和S6730S-S支持E-Trunk。 如图1所示,E-Trunk应用于CE1接入网络时,在CE1与双PE间实现链路保护。CE1分别通过一条LACP模式的Eth-Trunk与PE1、PE2相连。这两个Eth-Trunk构成一个E-Trunk,在PE1与PE2之间实现链路聚合组的备份,提高网络可靠性。 图1 E-Trunk组网示意图 
链路聚合配置任务概览
以太网链路聚合的配置任务如表1所示。 表1 以太网链路聚合配置任务概览 应用场景 对应任务 交换机之间通过链路聚合互联(交换机之间直连) 下面两种方式,任选一种: 配置手工模式链路聚合 配置LACP模式链路聚合 交换机之间通过链路聚合互联(交换机之间跨传输设备) 配置LACP模式链路聚合 交换机与服务器通过链路聚合互联 下面两种方式,任选一种: 配置手工模式链路聚合 配置LACP模式链路聚合 通过E-Trunk实现跨设备的链路聚合 说明: 仅S5720EI、S5720HI、S5720I-SI、S5720S-SI、S5720SI、S5730HI、S5730S-EI、S5730SI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720LI、S6720S-EI、S6720S-LI、S6720S-SI、S6720SI、S6730H、S6730S和S6730S-S支持E-Trunk。 配置LACP模式链路聚合 配置E-Trunk
链路聚合配置注意事项
特性依赖和限制 配置链路聚合一般注意事项 端口加入Eth-Trunk注意事项 S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720HI、S6730H、S6730S和S6730S-S每个Eth-Trunk接口下最多可以加入32个成员接口,S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI和S6720S-SI每个Eth-Trunk接口下最多可以加入16个成员接口,其他形态每个Eth-Trunk接口下最多可以加入8个成员接口(对于S6720EI和S6720S-EI,每个Eth-Trunk接口下最多可加入的成员接口数目可灵活配置,参见扩展链路聚合规格相关注意事项)。 如果本端设备接口加入了Eth-Trunk,与该接口直连的对端接口也必须加入Eth-Trunk,两端才能正常通信。 Eth-Trunk接口不能嵌套,即Eth-Trunk接口的成员接口不能是Eth-Trunk接口。 在V200R011C10之前的版本,端口只支持将速率相同的接口加入到同一Eth-Trunk接口,如GE电接口和GE光接口可以加入同一个Eth-Trunk接口。在V200R011C10及之后的版本,配置mixed-rate link enable命令后,速率不同的接口也能加入到同一Eth-Trunk接口。 设备聚合组进行负载分担计算时不支持以端口速率作为计算权重。因此,当端口支持速率不同的接口加入同一聚合组时,成员接口的带宽只能以聚合组中成员接口的最小速率进行计算。例如,一个GE接口与一个10GE接口加入到同一聚合组,以GE接口速率进行计算,聚合组实际带宽为2G。 当某一接口为Eth-Trunk接口的成员接口时,不要配置该成员接口为观察端口,如果确实需要,请确保该成员接口所承载的业务流量以及镜像流量占用的带宽未超过该接口带宽。 一个以太网接口只能加入到一个Eth-Trunk接口,如果需要加入其它Eth-Trunk接口,必须先退出原来的Eth-Trunk接口。 当成员接口加入Eth-Trunk后,学习MAC地址或ARP地址时是按照Eth-Trunk来学习的,而不是按照成员接口来学习。 使用Eth-Trunk组网时注意事项 Eth-Trunk链路两端相连的物理接口的数量、双工方式、流控配置必须一致。 两台设备对接时需要保证两端设备上链路聚合的模式一致。 删除聚合组时需要先删除聚合组中的成员接口。 在成员接口下无法对部分命令行(例如port link-type access)和静态MAC地址进行配置,如果配置设备会报错。 城域网FTTx场景用户一般采用PPPoE拨号上网,若通过交换机做链路聚合进行流量汇聚时需要保证对PPPoE报文进行负载分担。在该场景下推荐使用S5700EI、S5700HI、S5710EI、S5710HI、S5720EI、S5720HI、S5730HI、S5730S-EI、S5730SI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6700EI、S6720EI、S6720HI、S6720LI、S6720S-EI、S6720S-LI、S6720S-SI、S6720SI、S6730H、S6730S和S6730S-S,其他形态不推荐使用。 不同应用场景的特殊注意事项 应用场景 注意事项 交换机之间通过链路聚合互联(交换机之间跨传输设备) 交换机两端必须配置为LACP模式链路聚合。 交换机之间的传输设备必须配置为可以透明传输LACPDU报文。 交换机与传输设备通过链路聚合互联 传输设备上配置的链路聚合模式要和交换机上的链路聚合模式保持一致。传输设备的配置请参考具体型号传输设备的操作指导。 交换机与服务器通过链路聚合互联 服务器的网卡型号必须是相同的。 服务器和接入设备的链路聚合模式要匹配。 这里以Intel网卡为例,服务器一般采用静态链接聚合或IEEE 802.3ad动态链接聚合两种方式。当服务器选择静态链接聚合方式,对应接入设备应该选择手工模式;当服务器选择IEEE 802.3ad动态链接聚合方式,对应接入设备应该选择LACP模式。 当服务器需要通过交换机从远端服务器获取配置文件后才可以启动链路聚合时,交换机的链路聚合口需要配置lacp force-forward。 扩展Eth-Trunk规格 具体注意事项参考扩展链路聚合规格相关注意事项。 扩展链路聚合规格相关注意事项 V200R009及之后版本,对于S6720EI和S6720S-EI,可以通过assign trunk { trunk-group group-number| trunk-member member-number }*命令灵活配置交换机支持的链路聚合组数目和每个链路聚合组中成员接口的最大数目。 当通过命令assign trunk { trunk-group group-number | trunk-member member-number }*配置的Eth-Trunk规格member-number超过16时,对于已知单播默认采用增强方式进行负载分担,负载分担方式的配置可以通过load-balance命令执行,注意必须使用增强方式进行负载分担,否则会出现丢包、负载分担不均等问题;对于非已知单播仍然默认基于报文的源MAC地址和目的MAC地址进行负载分担。 更改Eth-Trunk规格后,请保存配置并重启设备以使配置生效。 使用该命令更改Eth-Trunk规格可能会导致当前Eth-Trunk配置失效或丢失,请谨慎操作。当配置的Eth-Trunk规格由大减小时,如果设备存在超过当前配置规格的Eth-Trunk,会导致超出规格部分的配置失效。
链路聚合缺省配置
表1 链路聚合参数缺省值 参数 缺省值 链路聚合模式 手工模式 活动接口数上限阈值 S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720HI、S6730H、S6730S和S6730S-S为32,S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI和S6720S-SI为16,其它款型为8。 对于S6720EI和S6720S-EI,该取值还可通过命令assign trunk灵活配置,并通过命令display trunk configuration查看配置结果。 活动接口数下限阈值 1 系统LACP优先级 32768 接口LACP优先级 32768 LACP抢占 去使能 LACP抢占等待时间 30s 接收LACP报文超时时间 90s Eth-Trunk接口流量本地优先转发 使能
配置手工模式链路聚合
(可选)扩展链路聚合规格
一般情况下,交换机支持配置的链路聚合组数和每个链路聚合组加入的成员接口数都是固定的。但对于S6720EI和S6720S-EI,可通过assign trunk命令来灵活分配设备支持的链路聚合组数和每个链路聚合组加入的成员接口数,从而实现灵活组网,满足多样的业务需求。
system-view 配置设备支持的链路聚合组数目和每个链路聚合组中成员接口的数目。 缺省情况下,设备支持的链路聚合组数group-number为128,每个链路聚合组支持加入的成员接口数member-number为8。member-number必须取值为8、16、32或64,且该取值与group-number的取值乘积不能超过2048。 assign trunk { trunk-group group-number | trunk-member member-number }* 查看交换机支持的链路聚合组数目和每个链路聚合组中成员接口的最大数目的缺省规格、当前生效的规格以及配置的规格信息。 display trunk configuration
 说明: 当配置的Eth-Trunk规格member-number超过16时,对于已知单播默认采用增强方式进行负载分担,负载分担方式的配置可以通过load-balance命令执行,注意必须使用增强方式进行负载分担,否则会出现丢包、负载分担不均等问题;对于非已知单播仍然默认基于报文的源MAC地址和目的MAC地址进行负载分担。 更改Eth-Trunk规格后,请保存配置并重启设备以使配置生效。 使用该命令更改Eth-Trunk规格可能会导致当前Eth-Trunk配置失效或丢失,请谨慎操作。当配置的Eth-Trunk规格由大减小时,如果设备存在超过当前配置规格的Eth-Trunk,会导致超出规格部分的配置失效。
创建链路聚合组
每个链路聚合组唯一对应一个逻辑接口,即Eth-Trunk接口。配置链路聚合时首先要创建一个Eth-Trunk接口。
system-view 创建Eth-Trunk接口,并进入Eth-Trunk接口视图 interface eth-trunk trunk-id
trunk-id为Eth-Trunk编号,取值范围如下: S2720EI、S5720I-SI、S5720SI、S5720S-SI、S5720LI和S5720S-LI:0~119 S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S:0~127 S5730SI、S5730S-EI、S6720SI、S6720S-SI、S6720LI和S6720S-LI:0~249 对于S6720EI和S6720S-EI,该取值还可通过命令assign trunk灵活配置,并通过命令display trunk configuration查看配置结果。 如果该Eth-Trunk已经存在,本命令用来进入Eth-Trunk接口视图。
配置链路聚合模式为手工模式
当需要在两个直连设备之间提供一个较大的链路带宽,而其中一端或两端设备都不支持LACP协议时,可以配置手工模式链路聚合。手工模式下,Eth-Trunk的建立、成员接口的加入完全由手工来配置,所有活动链路都参与数据的转发,平均分担流量。
system-view 进入Eth-Trunk接口视图。 interface eth-trunk trunk-id 配置Eth-Trunk的工作模式。 缺省情况下,Eth-Trunk的工作模式为手工模式。 配置时需要保证本端和对端的聚合模式一致。即如果本端配置为手工模式,那么对端设备也必须要配置为手工模式。 mode manual load-balance
 说明: 存在成员接口的情况下,可以将Eth-Trunk的工作模式由手工模式切换为LACP模式,也可以由LACP模式切换为手工模式。但是如果Eth-Trunk加入了E-Trunk,则工作模式不能更改。
将成员接口加入聚合组
将成员接口加入Eth-Trunk前,您需要了解一些注意事项,具体请参见链路聚合配置注意事项。 向聚合组中加入成员接口可基于Eth-Trunk接口视图配置,也可基于成员接口视图配置,用户根据需要选择其一即可。
在Eth-Trunk接口视图下向聚合组中加入成员接口
system-view interface eth-trunk trunk-id (可选)使能允许不同速率端口加入同一Eth-Trunk接口的功能。缺省情况下,设备未使能允许不同速率端口加入同一Eth-Trunk接口的功能。 mixed-rate link enable 增加成员接口。 trunkport interface-type { interface-number1 [ to interface-number2 ] } &<1-8> [ mode { active | passive } ]
 说明: 批量增加成员接口时,若其中某个接口加入失败,则排在此接口之后的接口也不会加入到Eth-trunk接口中。
在成员接口视图下向聚合组中加入成员接口
system-view (可选)使能设备允许不同速率端口加入同一Eth-Trunk接口的功能 a. interface eth-trunk trunk-id b. 使能允许不同速率端口加入同一Eth-Trunk接口的功能。 缺省情况下,设备未使能允许不同速率端口加入同一Eth-Trunk接口的功能。 mixed-rate link enable c. quit interface interface-type interface-number 将当前接口加入Eth-Trunk。 eth-trunk trunk-id [ mode { active | passive } ]
将成员接口加入Eth-Trunk后,需要注意以下问题: 一个以太网接口只能加入到一个Eth-Trunk接口,如果需要加入其它Eth-Trunk接口,必须先退出原来的Eth-Trunk接口。 当成员接口加入Eth-Trunk后,学习MAC地址或ARP地址时是按照Eth-Trunk来学习的,而不是按照成员接口来学习。 删除聚合组时需要先删除聚合组中的成员接口。
(可选)配置活动接口数下限阈值
为保证Eth-Trunk接口的状态和带宽,可以设置活动接口数的下限阈值,以减小成员链路的状态变化带来的影响。当活动链路数目小于下限阈值时,Eth-Trunk接口的状态转为Down。
system-view interface eth-trunk trunk-id 配置链路聚合活动接口数下限阈值。 缺省情况下,活动接口数下限阈值为1。 本端和对端设备的活动接口数下限阈值可以不同。 least active-linknumber link-number
(可选)配置负载分担方式
Eth-Trunk的负载分担是逐流进行的,逐流负载分担能保证包的顺序,保证了同一数据流的帧在同一条物理链路转发。而不同数据流在不同的物理链路上转发从而实现分担负载。 配置普通负载分担模式,可以基于报文的IP地址或MAC地址来分担负载;对于L2报文、IP报文和MPLS报文还可以配置增强型的负载分担模式。 由于负载分担只对出方向的流量有效,因此链路两端接口的负载分担模式可以不一致,两端互不影响。 Eth-Trunk的负载分担模式配置不合理,会导致数据流量在Eth-Trunk各活动链路的负载分担不均衡。配置负载分担模式时,需要关注: 实际业务中用户需要根据业务流量特征选择配置合适的负载分担方式。业务流量中某种参数变化越频繁,选择与此参数相关的负载分担方式就越容易实现负载均衡。例如,如果报文的IP地址变化较频繁,那么选择基于dst-ip、src-ip或src-dst-ip的负载分担模式更有利于流量在各物理链路间合理的负载分担;如果报文的MAC地址变化较频繁,IP地址比较固定,那么选择基于dst-mac、src-mac或src-dst-mac的负载分担模式更有利于流量在各物理链路间合理的负载分担。 当业务流量中主要为MPLS报文时,需要选择配置增强型负载分担方式,并在负载分担模板视图中通过mpls field命令配置MPLS报文的负载分担模式。 在堆叠和Eth-Trunk综合组网中,当设备上Eth-Trunk接口下配置了流量本地优先转发功能时(通过local-preference enable命令配置),从本设备进入的流量优先通过本设备的成员口转发。如果本设备没有成员口,再从跨设备成员口转发。这样可以有效地节省堆叠设备间带宽,提高流量转发效率。
配置普通负载分担方式
system-view interface eth-trunk trunk-id 配置Eth-Trunk负载分担方式。 缺省情况下,交换机上Eth-Trunk接口的负载分担模式为src-dst-ip。 load-balance { dst-ip | dst-mac | src-ip | src-mac | src-dst-ip | src-dst-mac }
 说明: 无论选择src-dst-ip与否,S2720EI、S5720I-SI、S5720LI、S5720S-LI、S5720S-SI、S5720SI、S5730S-EI、S5730SI、S6720LI、S6720S-LI、S6720S-SI和S6720SI都会将src-dst-ip和TCP/UDP源端口号、目的端口号作为负载分担HASH算法的参数。 S2720EI、S5720I-SI、S5720LI、S5720S-LI、S5720S-SI、S5720SI、S5730S-EI、S5730SI、S6720LI、S6720S-LI、S6720S-SI和S6720SI设备全局只支持一种负载分担方式,即修改一个Eth-Trunk接口下配置的负载分担方式,将在所有的Eth-Trunk接口上生效。如果创建一个新的Eth-Trunk接口,该Eth-Trunk接口的负载分担方式使用设备上原有Eth-Trunk接口的负载分担方式。
配置增强型负载分担方式
system-view 创建负载分担模板,并进入模板视图。设备全局公用一个负载分担模板。 load-balance-profile profile-name 对于L2、IPv4、IPv6、MPLS报文,可以分别配置负载分担模式,以下步骤可不选、选择其一或多选,请根据网络转发报文的实际情况选择。 配置指定负载分担模板中二层报文的负载分担模式。缺省情况下,二层报文的负载分担模式为smac、dmac。 l2 field [ dmac | l2-protocol | smac | sport | vlan ] * 配置指定负载分担模板中IPV4报文负载分担模式。缺省情况下,IPV4报文负载分担模式为sip、dip。 ipv4 field [ dip | l4-dport | l4-sport | protocol | sip | sport | vlan ] * 配置指定负载分担模板中IPV6报文负载分担模式。缺省情况下,IPV6报文负载分担模式为sip、dip。 ipv6 field [ dip | l4-dport | l4-sport | protocol | sip | sport | vlan ] * 配置指定负载分担模板中的MPLS报文负载分担模式。缺省情况下,MPLS报文负载分担模式为top-label、2nd-label。 mpls field [ 2nd-label | 3rd-label | dip | dmac | l4-dport | l4-sport | protocol | sip | smac | sport | top-label | vlan ] * quit 进入Eth-Trunk接口视图。 interface eth-trunk trunk-id 应用配置的负载分担模板。 load-balance enhanced profile profile-name
 说明: 无论选择src-dst-ip与否,S2720EI、S5720I-SI、S5720LI、S5720S-LI、S5720S-SI、S5720SI、S5730S-EI、S5730SI、S6720LI、S6720S-LI、S6720S-SI和S6720SI都会将src-dst-ip和TCP/UDP源端口号、目的端口号作为负载分担HASH算法的参数。 S2720EI、S5720I-SI、S5720LI、S5720S-LI、S5720S-SI、S5720SI、S5730S-EI、S5730SI、S6720LI、S6720S-LI、S6720S-SI和S6720SI设备全局只支持一种负载分担方式,即修改一个Eth-Trunk接口下配置的负载分担方式,将在所有的Eth-Trunk接口上生效。如果创建一个新的Eth-Trunk接口,该Eth-Trunk接口的负载分担方式使用设备上原有Eth-Trunk接口的负载分担方式。  说明: 对于S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720HI、S6730H、S6730S和S6730S-S,配置Eth-Trunk的增强型负载分担方式时,对于已知单播报文,例如GRE报文,可以使用unicast load-balance enhanced { inner-ip | outer-ip } *命令配置已知单播报文负载分担的内外层IP模式,指定具体是根据报文的内层IP、外层IP还是内层IP+外层IP进行负载分担。  说明: 对于S6720EI和S6720S-EI,当通过命令assign trunk { trunk-group group-number | trunk-member member-number } *配置的Eth-Trunk规格member-number超过16时,只能使用增强方式进行负载分担,否则会出现丢包、负载分担不均等问题。 仅S5720EI、S5720HI、S5730HI、S5730S-EI、S5730SI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720LI、S6720S-EI、S6720S-LI、S6720S-SI、S6720SI、S6730H、S6730S和S6730S-S支持增强型负载分担方式。 上述负载分担方式仅针对已知单播。对于非已知单播,可在系统视图下执行命令unknown-unicast load-balance { dmac | smac | smacxordmac | enhanced [ lbid ] }来配置其负载分担方式。只有S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持配置非已知单播的负载分担。仅S5720EI、S6720EI和S6720S-EI支持lbid参数。
检查手工模式链路聚合配置结果
查看Eth-Trunk的配置信息。 display eth-trunk [ trunk-id [ interface interface-type interface-number | verbose ] ] 查看Eth-Trunk的成员接口信息。 display trunkmembership eth-trunk trunk-id 查看Eth-Trunk接口的负载分担方式。 display eth-trunk [ trunk-id ] load-balance 查看指定负载分担模板的详细信息。 display load-balance-profile [ profile-name ]
配置LACP模式链路聚合
(可选)扩展链路聚合规格
创建链路聚合组
配置链路聚合模式为LACP模式
LACP模式下,需手工创建Eth-Trunk,手工加入Eth-Trunk成员接口,但活动接口的选择是由LACP协商确定的,配置相对灵活。
system-view interface eth-trunk trunk-id 配置Eth-Trunk的工作模式。缺省情况下,Eth-Trunk的工作模式为手工模式。 配置时需要保证本端和对端的聚合模式一致。即如果本端配置为LACP模式,那么对端设备也必须要配置为LACP模式。 存在成员接口的情况下,可以将Eth-Trunk的工作模式由手工模式切换为LACP模式,也可以由LACP模式切换为手工模式。但是如果Eth-Trunk加入了E-Trunk,则工作模式不能更改。 mode lacp
删除已存在的成员接口请在相应接口视图下执行命令undo eth-trunk或在Eth-Trunk视图下执行命令undo trunkport interface-type interface-number。
将成员接口加入聚合组
(可选)配置活动接口数上限和下限阈值
为保证Eth-Trunk接口的状态和带宽,可以设置活动接口数的上限和下限阈值,以减小成员链路的状态变化带来的影响。 活动接口数下限阈值:目的是为了保证最小带宽,当前活动链路数目小于下限阈值时,Eth-Trunk接口的状态转为Down。 活动接口数上限阈值:目的是在保证带宽的情况下提高网络的可靠性。当前活动链路数目达到上限阈值时,再向Eth-Trunk中添加成员接口,不会增加Eth-Trunk活动接口的数目,超过上限阈值的链路状态将被置为Down。
system-view interface eth-trunk trunk-id 配置链路聚合活动接口数下限阈值。 缺省情况下,活动接口数下限阈值为1。本端和对端设备的活动接口数下限阈值可以不同。如果下限阈值不同,以下限阈值数值较大的一端为准。 least active-linknumber link-number 配置链路聚合活动接口数上限阈值。 max active-linknumber link-number (可选)配置Eth-Trunk接口进行链路负载分担计算时使用的接口数。 load-distribution active-linknumber-change link-number1 to link-number2
执行命令max active-linknumber link-number,配置链路聚合活动接口数上限阈值 缺省情况下,S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720HI、S6730H、S6730S和S6730S-S链路聚合组活动接口数的上限阈值是32,S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI和S6720S-SI链路聚合组活动接口数的上限阈值是16,其他形态是8。 对于S6720EI和S6720S-EI,该取值还可通过命令assign trunk灵活配置,并通过命令display trunk configuration查看配置结果。 为了保证Eth-Trunk活动接口故障的时候Eth-Trunk接口不会震荡,使用max active-linknumber命令在本端设备和对端设备上的配置需要相同。 活动接口数上限阈值必须大于等于活动接口数下限阈值。 (可选)执行命令load-distribution active-linknumber-change link-number1 to link-number2,配置Eth-Trunk接口进行链路负载分担计算时使用的接口数。 缺省情况下,Eth-Trunk接口进行负载分担计算时使用的接口数为该Eth-Trunk接口的活动接口数。 如果设备的活动接口数小于8且Eth-Trunk接口流量出现负载分担不均时,可以通过load-distribution active-linknumber-change命令手动调大Eth-Trunk接口负载分担计算的接口数来使流量更好的在活动链路间分担。仅S2720EI、S5720I-SI、S5720LI、S5720S-LI、S5720S-SI和S5720SI支持配置Eth-Trunk接口进行链路负载分担计算时使用的接口数。  说明: 您也可以在系统试图下执行命令load-distribution active-linknumber-changelink-number1 to link-number2 global,配置所有Eth-Trunk接口进行链路负载分担计算时使用的接口数。如果在系统视图和Eth-Trunk接口视图下同时配置了Eth-Trunk接口进行负载分担计算时的接口数,以Eth-Trunk接口视图下的配置为准。 load-distribution active-linknumber-change link-number1 to link-number2和load-distribution active-linknumber-change link-number1 to link-number2 global命令对于不同的link-number1支持重复配置,当设备上实际的活动接口数匹配到配置中的link-number1时,该配置生效。对于相同的link-number1,重复配置时会覆盖之前的配置。 在堆叠系统中组建跨设备Eth-Trunk时,通过命令local-preference enable配置Eth-Trunk接口流量本地优先转发功能后,配置Eth-Trunk接口进行链路负载分担计算使用的接口数时实际活动接口数以本设备的活动接口数为准。
(可选)配置负载分担方式
(可选)配置系统LACP优先级
为了区分链路聚合两端设备优先级的高低,可以配置系统LACP优先级。 LACP模式下,两端设备所选择的活动接口必须保持一致,否则链路聚合组就无法建立。而要想使两端活动接口保持一致,可以使其中一端具有更高的优先级,另一端根据高优先级的一端来选择活动接口即可。
system-view 配置当前设备的系统LACP优先级。 系统LACP优先级值越小优先级越高,缺省情况下,系统LACP优先级为32768。 在两端设备中选择系统LACP优先级较小一端作为主动端,如果系统LACP优先级相同则选择MAC地址较小的一端作为主动端。 lacp priority priority
(可选)配置接口LACP优先级
LACP模式下可以通过配置接口LACP优先级来区分不同接口被选为活动接口的优先程度,优先级高的接口将优先被选为活动接口。
system-view interface interface-type interface-number 配置当前接口的LACP优先级。 缺省情况下,接口的LACP优先级是32768。接口优先级取值越小,接口的LACP优先级越高。 系统缺省情况下依照接口的优先级高低来选择活动接口,但有时这样会选中速率低的成员接口作为活动接口,如果希望选中速率高的成员接口,可以通过命令lacp selected { priority | speed }更改LACP模式Eth-Trunk依据接口速率来选择活动接口。 lacp priority priority
 说明: 如果Eth-Trunk接口视图下配置了命令max active-linknumber link-number,还需要执行命令lacp preempt enable使能当前Eth-Trunk接口的LACP抢占功能,否则可能会导致LACP优先级高的接口没有被选成活动接口。
(可选)配置LACP抢占
使能LACP抢占功能可以保持接口LACP优先级最高的接口为活动接口。例如:当一条高优先级的接口因故障切换为非活动状态而后又恢复时,如果使能了抢占,则高优先级的接口将重新成为活动接口;如果未使能抢占,该接口不能重新成为活动接口。 抢占延时即抢占等待时间,是指在LACP模式的Eth-Trunk中非活动接口切换为活动接口需要等待的时间。配置抢占延时可以避免由于某些链路状态频繁变化而导致Eth-Trunk数据传输不稳定的情况。
system-view interface eth-trunk trunk-id 使能当前Eth-Trunk接口的LACP抢占功能。 缺省情况下,LACP抢占处于去使能状态。为保证Eth-Trunk正常工作,要求Eth-Trunk两端统一配置LACP抢占使能或去使能。 lacp preempt enable 配置当前Eth-Trunk接口的LACP抢占等待时间。 缺省情况下,LACP抢占等待时间为30秒。当链路两端设备配置的抢占等待时间不一致时,以等待时间最长的作为实际抢占等待时间。 lacp preempt delay delay-time
(可选)配置接收LACP报文超时时间
为了及时感知对端链路聚合组成员口状态的变化,避免在对端成员接口发生自环或其它故障时,本端转发数据时仍按照本端链路组中活动接口进行负载分担,造成数据流量的丢失,可以配置接口接收LACP报文的超时时间。如果本端成员口在设置的超时时间内未收到对端发送的LACP协议报文,则认为对端不可达,本端成员口状态立即变为Down,不再转发数据。
system-view interface eth-trunk trunk-id 配置当前接口接收LACP协议报文的超时时间。 lacp timeout { fast[ user-defined user-defined ] | slow }
缺省情况下,Eth-Trunk接口接收报文的超时时间是90秒。 配置此命令后,本端将接收报文的超时时间通过LACP报文通知对端。配置为fast,对端发送LACP报文的周期为1秒。配置为slow,对端发送LACP报文的周期为30秒。 LACP协议报文的超时时间为LACP报文发送周期的3倍,即:配置为fast,接收LACP协议报文的超时时间为3秒。配置为slow,接收LACP协议报文的超时时间为90秒。 两端配置的超时时间可以不一致。但为了便于维护,建议用户配置一致的LACP协议报文超时时间。 链路聚合组的每个成员接口每秒最多处理20个LACP协议报文,设备全局每秒最多处理100个LACP协议报文,超过的协议报文将会被丢弃。
(可选)配置交换机与服务器直连的成员口可以转发报文
当交换机使用LACP模式的Eth-Trunk接口与服务器直连时,为避免服务器侧在获取配置文件前,直连接口由于没有配置LACP而导致两端协商失败,可以在交换机的Eth-Trunk接口下配置lacp force-forward命令。当Eth-Trunk成员口处于物理Up的状态,虽然对端没有使能LACP协议,该端口仍可以转发数据报文。
system-view interface eth-trunk trunk-id 配置物理状态为Up的成员口,在对端没有加入Eth-Trunk时可以转发数据报文。 缺省情况下,物理状态为Up的成员口,在对端没有加入Eth-Trunk时不能转发数据报文。 lacp force-forward
 说明: 该命令不支持三层转发,仅支持处于ForceFwd状态的成员口进行二层流量的转发。ForceFwd状态指的是通过命令display eth-trunk查看Eth-Trunk信息时,Status状态显示为ForceFwd。该状态在LACP协商失败后自动设置,不可手动修改。 仅支持Eth-Trunk接口以access、hybrid、trunk、dot1q-tunnel链路类型加入VLAN的场景。 生成树协议(包括STP、RSTP、MSTP)阻塞端口时,不会阻塞ForceFwd状态的成员口,该成员口可以继续转发数据报文。而其他破环协议(例如ERPS、RRPP等)阻塞端口时,会阻塞ForceFwd状态的成员口,该成员口不能再继续转发数据报文。 该命令和E-Trunk功能互斥,加入E-Trunk的Eth-Trunk成员口不能再配置此命令。 该命令和max active-linknumber以及least active-linknumber互斥,配置了Eth-Trunk接口成员链路上下限阈值后不能再配置此命令。
检查LACP模式链路聚合配置结果
查看Eth-Trunk的配置信息。 display eth-trunk [ trunk-id [ interface interface-type interface-number | verbose ] ] 查看Eth-Trunk的成员接口信息。 display trunkmembership eth-trunk trunk-id 查看Eth-Trunk接口的负载分担方式。 display eth-trunk [ trunk-id ] load-balance 查看指定负载分担模板的详细信息。 display load-balance-profile [ profile-name ]
配置LACP模式Eth-Trunk接口备份成员口和主用成员口的联动功能
在连通性检测(Port CC)场景下(未绑定任何业务),两台设备之间配置LACP模式的Eth-Trunk,为了保证业务不中断,配置备份成员口和主用成员口的联动功能,当主用链路质量差时,及时切换到备用链路。  说明: 仅S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720HI、S6730H、S6730S和S6730S-S支持该配置。 前提条件 完成LACP模式链路聚合配置,并且Eth-Trunk接口两端配置的最大活动链路数为1且各自加入两个成员口。具体请参考配置LACP模式链路聚合。 完成Y.1731基本的配置,包括:MA(Maintenance Association)、MD(Maintenance Domain)、MEP(Maintenance Association End Point)和测试实例。具体请参考《S2720, S5700, S6700 V200R019C00 配置指南-可靠性》 的“Y.1731配置”。本场景下配置时需要注意如下几点: 不能将MA与业务绑定,即不能执行命令map vlan vlan-id,配置当前MA与VLAN进行绑定。 创建MEP时,只能创建outward型MEP。 操作步骤
system-view 进入Eth-Trunk主动端的主用成员接口视图。 interface interface-type interface-number 请根据实际情况选择如下配置: a. 配置基于test-id统计实例的时延或时延抖动越限时联动接口ETHOAM down。 delay-measure two-way { delay-threshold | variation-threshold } test-id test-id trigger if-down b.配置基于test-id统计实例的近端丢包率或远端丢包率越限时联动接口ETHOAM down。 loss-measure single-ended-synthetic { local-ratio-threshold | remote-ratio-threshold } test-id test-id trigger if-down quit 进入Eth-Trunk主动端的备份成员接口视图。 interface interface-type interface-number 配置备份成员口和主用成员口的联动功能,并动态修改备份成员口的优先级。 主用链路质量恢复正常时,如果没有配置抢占或使能抢占但延时时间未到时,可以通过在Eth-Trunk接口视图执行lacp force-switch命令手工执行强制倒换。 lacp track interface interface-type interface-number priority-reduced value
配置Eth-Trunk接口流量本地优先转发(堆叠)
在堆叠和Eth-Trunk综合组网中,使能Eth-Trunk接口流量本地优先转发功能可以减少堆叠设备之间的带宽承载压力,提高流量转发效率。  说明: S5720I-10X-PWH-SI-AC和S5720I-6X-PWH-SI-AC不支持此配置。 前置任务 在配置Eth-Trunk接口流量本地优先转发功能之前,需完成以下任务: Eth-Trunk已经创建,并已经加入物理接口。 已经搭建好设备堆叠环境。 确保本设备Eth-Trunk出接口的带宽足以承载本设备转发的流量,防止发生丢包。
system-view 进入需要使能流量本地优先转发功能的Eth-Trunk接口视图。 interface eth-trunk trunk-id 使能Eth-Trunk接口流量本地优先转发功能。 缺省情况下,已经使能了Eth-Trunk接口流量本地优先转发功能。 local-preference enable
 说明: 流量本地优先转发功能只对已知单播有效,对广播、组播和未知单播均不生效。
配置Eth-Trunk子接口
背景信息 当二层网络中的交换设备划分到不同的VLAN中,为了保证不同VLAN间的用户正常通信,需要在三层设备与二层设备相连的Eth-Trunk接口上创建子接口与下游用户的VLAN分别对应,并在子接口上配置IP地址。 在Eth-Trunk子接口上封装802.1Q并关联VLAN后,VLAN可以通过Eth-Trunk子接口与VLAN外的设备通信。Eth-Trunk子接口也应用于Dot1q终结、QinQ终结等场合。 使用二层Eth-Trunk子接口后,Eth-Trunk主接口上运行二层功能,二层Eth-Trunk子接口上运行三层功能。  说明: 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持配置Eth-Trunk子接口。 图1 二层Eth-Trunk子接口典型应用场景 
system-view interface eth-trunk trunk-id quit 创建Eth-Trunk接口的子接口,并进入Eth-Trunk子接口视图。 subnumber是Eth-Trunk子接口的编号,取值范围是1~4096。 interface eth-trunk trunk-id.subnumber 配置Eth-Trunk子接口的IP地址。 当为一个Eth-Trunk接口配置两个乃至两个以上的IP地址时,对第二个及以后的IP地址可以用关键字sub指示。 ip address ip-address { mask | mask-length } [ sub ]
 说明: 仅S5720EI、S5720HI、S5730HI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6730H、S6730S和S6730S-S支持以太网子接口。 对于上述形态设备的二层接口,仅hybrid和trunk类型接口支持配置以太网子接口。 对于上述形态设备的二层接口,执行命令undo portswitch切换为三层接口后,支持配置以太网子接口。 接口加入Eth-Trunk后,该成员接口上不能配置子接口。 VCMP的角色是Client时,不能配置VLAN终结子接口。
配置E-Trunk
配置E-Trunk的LACP系统ID和优先级
在E-Trunk中,为了使CE设备认为对端的两台PE设备是一台设备,两台设备中同一E-Trunk的LACP优先级、系统ID都需要保持一致。
system-view 配置E-Trunk的LACP系统ID。缺省情况下,使用以太口MAC地址作为E-Trunk的LACP系统ID。同一个E-Trunk中主备两台设备的LACP优先级、系统ID都需要保持一致。 lacp e-trunk system-id mac-address 配置E-Trunk的LACP优先级。缺省情况下,E-Trunk的LACP优先级是32768。同一个E-Trunk中主备两台设备的LACP优先级、系统ID都需要保持一致。 lacp e-trunk priority priority
创建E-Trunk并配置优先级
E-Trunk的优先级用于在聚合组中决策两台设备的主备状态。
system-view 创建E-Trunk。当E-Trunk存在时,执行本命令直接进入E-Trunk视图。在一个E-Trunk内,两端设备上配置的e-trunk-id必须相同。一台设备上最多创建16个E-Trunk。 e-trunk e-trunk-id 配置E-Trunk的优先级。 优先级用于两台设备间进行主备协商,优先级高的为主用设备,值越小优先级越高。 如果优先级相同,那么比较两台设备的系统ID,ID较小的为主用设备。 缺省情况下,E-Trunk的优先级为100。 priority priority
配置本端和对端的IP地址
E-Trunk协议报文采用本端配置的Source IP及协议端口号发送。如果要修改地址则两台设备需要同时修改,否则会导致协议报文丢弃。
system-view 进入E-Trunk视图 e-trunk e-trunk-id 配置对端和本端的IP地址。 对端和本端上的IP地址互为对端和源端。例如,设备A和设备B之间建立E-Trunk,设备A上的对端IP为10.2.2.2,源端IP为10.1.1.1。那么,设备B上的对端IP为10.1.1.1,源端IP为10.2.2.2。 peer-address peer-ip-address source-address source-ip-address
配置E-Trunk与BFD会话绑定
通过报文接收超时无法快速感知对端是否故障,可以使用快速检测协议BFD快速感知。每个E-Trunk都需要指定对端的IP,通过创建检测对端路由是否可达的BFD会话,E-Trunk可感知到BFD通告的故障,并快速处理。  说明: 仅S5720EI、S5720HI、S5720I-SI、S5720S-SI、S5720SI、S5730HI、S5730S-EI、S5730SI、S5731H、S5731S、S5731S-H、S5731S-S、S5732H、S6720EI、S6720HI、S6720S-EI、S6720S-SI、S6720SI、S6730H、S6730S和S6730S-S支持该功能。
system-view e-trunk e-trunk-id 绑定BFD会话。 BFD用于实现E-Trunk的两台设备之间控制协议链路的快速故障检测。 缺省情况下,系统不允许删除已经跟E-Trunk绑定的BFD会话,如果要删除,则可以配置bfd session nonexistent-config-check disable命令去使能检查被绑定的BFD会话是否被删除的功能。 e-trunk track bfd-session session-name bfd-session-name
将Eth-Trunk加入E-Trunk
当E-Trunk配置成功,必须向E-Trunk中加入成员Eth-Trunk,才能实现两台设备上的链路聚合协议。从而实现跨设备的链路聚合组冗余,提高网络可靠性。
system-view 进入Eth-Trunk接口视图。仅LACP模式的Eth-Trunk才能加入E-Trunk。 interface eth-trunk trunk-id 将Eth-Trunk加入到指定E-Trunk中。 一个Eth-Trunk只能加入一个E-Trunk。 一个E-Trunk中,两端设备上所加入的Eth-Trunk ID可以不一致,当两台PE设备上创建的Eth-Trunk ID不一样,如果用户通过本命令将两端PE设备上不同ID的LACP模式的Eth-Trunk加入同一个E-Trunk时,必须选择remote-eth-trunk参数指定远端Eth-Trunk ID,能保证E-Trunk正常工作。 e-trunk e-trunk-id [ remote-eth-trunk eth-trunk-id ]
(可选)配置Eth-Trunk在E-Trunk中的工作模式
只能对已经加入E-Trunk的Eth-Trunk配置工作模式,Eth-Trunk的工作模式分为:自动模式、强制主用模式和强制备用模式。
system-view 进入Eth-Trunk接口视图。仅LACP模式的Eth-Trunk才能加入E-Trunk。 interface eth-trunk trunk-id 配置Eth-Trunk在E-Trunk中的工作模式。 缺省情况下,Eth-Trunk在E-Trunk中工作在自动模式。 只能对已经加入E-Trunk的Eth-Trunk执行本命令。当Eth-Trunk退出E-Trunk时,该配置将自动清除。 当设置工作模式为自动模式或者工作模式由强制模式切换为自动模式后,根据本端E-Trunk的主备状态和对端Eth-Trunk的故障信息决定本端成员Eth-Trunk的状态。 本端E-Trunk状态为主用,则本端Eth-Trunk的工作模式为主用。 本端E-Trunk状态为备用,对端成员Eth-Trunk为故障,则本端Eth-Trunk的工作模式为主用。当本端收到对端Eth-Trunk故障恢复消息后,该Eth-Trunk进入备用状态。 e-trunk mode { auto | force-master | force-backup }
 说明: 在E-Trunk正常工作期间,改变报文发送周期或超时时间,会引起主备状态振荡。因此建议在改变报文发送周期或超时时间前,先将成员Eth-Trunk的工作模式设置为强制主/备模式,待新的配置生效后,再恢复自动模式。
(可选)配置密码
为了提高系统的安全性可配置加密密码。E-Trunk中的两端设备上的加密密码必须配置为一致。
system-view e-trunk e-trunk-id 配置加密报文的密码。 security-key { simple simple-key | cipher cipher-key }
 如果使用simple选项,密码将以明文形式保存在配置文件中,以低级别登录的用户可以通过查看配置方式获取密码,造成安全隐患。因此,建议使用cipher选项,将密码加密保存。 为充分保证设备安全,请用户定期修改密码。
(可选)配置超时时间
如果处于备用状态的E-Trunk在超时时间内没有收到对端发送的Hello报文,则在定时器超时后进入主用状态。此处的超时时间是对端报文中所携带的超时时间,而不是本端设置的超时时间。
system-view e-trunk e-trunk-id 配置Hello报文的发送周期。 缺省情况下,Hello报文发送周期值为10,单位为100毫秒,即1秒。 timer hello hello-times 配置检测Hello报文的时间倍数。 对端利用接收到的报文中携带的超时时间来检测本端是否超时。如果对端处于备用状态,在超时时间内没有收到由本端发送的Hello报文,则在定时器超时后进入主用状态。 超时时间 = 发送周期 × 时间倍数。建议将时间倍数设置为3倍以上。 缺省情况下,检测Hello报文的时间倍数为20。 timer hold-on-failure multiplier multiplier
 说明: 在E-Trunk正常工作期间,改变报文发送周期或超时时间,会引起主备状态振荡。因此建议在改变报文发送周期或超时时间前,先将成员Eth-Trunk的工作模式设置为强制主/备模式,待新的配置生效后,再恢复自动模式。
(可选)配置延时回切时间
当E-Trunk与其他业务配合使用时,如果E-Trunk状态为主用的设备发生故障恢复后,成员Eth-Trunk状态恢复早于其他相关业务恢复。如果马上将E-Trunk成员的流量回切,将会导致业务流量中断。 配置E-Trunk的延时回切时间后,必须等待延时回切定时器超时,本端成员Eth-Trunk状态才能Up,E-Trunk的本端设备才能恢复为主用状态。从而延迟了E-Trunk成员的流量回切时间,保证业务流量不会中断。
system-view e-trunk e-trunk-id 配置回切延迟时间。 缺省情况下,E-Trunk延时回切的时间为120秒。 timer revert delay delay-value
(可选)配置E-Trunk不回切功能
部署E-Trunk的两端设备,当原来E-Trunk状态为主用的一端设备故障恢复后,为了避免回切流量再次丢失,可配置E-Trunk不回切功能。
system-view e-trunk e-trunk-id 配置E-Trunk不回切功能。 缺省情况下,E-Trunk回切功能处于使能状态。 revert disable
(可选)配置E-Trunk序列号校验功能
通过配置E-Trunk序列号校验功能,可以防止当E-Trunk的主用设备发生故障时,非法用户通过获取主用设备发出的E-Trunk报文攻击备用设备。
system-view e-trunk e-trunk-id 使能E-Trunk序列号校验功能。 缺省情况下,E-Trunk序列号校验功能处于去使能状态。 E-Trunk的主设备和备设备必须都执行sequence enable命令使能E-Trunk序列号校验功能,否则单端配置会导致序列号校验失败而丢弃报文,引起E-Trunk双主。 sequence enable
检查E-Trunk配置结果
查看E-Trunk的信息。 display e-trunk e-trunk-id
删除链路聚合配置
将指定成员接口从聚合组中删除 删除成员接口有如下两种方式,请根据需要选择其一即可。 在Eth-Trunk接口视图下执行命令undo trunkport interface-type { interface-number1 [ to interface-number2 ] } &<1-8>。 <HUAWEI> system-view [HUAWEI] interface eth-trunk 1 [HUAWEI-Eth-Trunk1] undo trunkport gigabitethernet 0/0/1 在成员接口视图下执行命令undo eth-trunk。 <HUAWEI> system-view [HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] undo eth-trunk 删除聚合组 将所有的成员接口从聚合组中删除,然后在系统视图下执行命令undo interface eth-trunk trunk-id。 <HUAWEI> system-view [HUAWEI] undo interface eth-trunk 10
维护链路聚合
维护项 具体操作 查看指定流量的出入接口 在用户视图或系统视图下执行命令collect forward-path { { sip source-ip-address dip destination-ip-address [ sport source-port dportdestination-port [ protocol { protocol-number | gre | icmp | igmp | ip | ipinip | ospf | tcp | udp } ] ] } | { smac source-mac-address | dmac dest-mac-address | vlan vlan-id | l2-protocol { protocol-value | arp | ip | ipv6 | mpls | rarp } } * } { ingress | egress | both } [ interval interval-time ],配置设备采集包含指定五元组信息的报文的出入接口及流量信息。 执行命令display forward-path,查看collect forward-path的配置信息及对应流量的条目ID,即命令display forward-path report report-id中的report-id。 执行命令display forward-path report report-id,查看指定流量的出入接口及流量统计信息。 查看Eth-Trunk接口的配置信息 执行display eth-trunk [ trunk-id [ interface interface-type interface-number | verbose ] ]命令。 查看Eth-Trunk接口的状态信息 执行display interface eth-trunk [ trunk-id ]命令。 查看Eth-Trunk的成员接口信息 执行display trunkmembership eth-trunk trunk-id命令。 查看LACP模式下的LACP报文收发统计信息 执行display lacp statistics eth-trunk [ trunk-id [ interface interface-type interface-number ] ]命令。 清除LACP统计信息 注意: 清除LACP的统计信息后,以前的统计信息将无法恢复。 在用户视图下,执行reset lacp statistics eth-trunk [ trunk-id [ interfaceinterface-type interface-number ] ]命令。
链路聚合配置举例
配置手工模式链路聚合示例(交换机之间直连)
组网图形 图1 配置手工模式链路聚合组网图  组网需求 配置思路 操作步骤 配置文件 组网需求 如图1所示,SwitchA和SwitchB通过以太链路分别都连接VLAN10和VLAN20的网络,且SwitchA和SwitchB之间有较大的数据流量。 用户希望SwitchA和SwitchB之间能够提供较大的链路带宽来使相同VLAN间互相通信。同时用户也希望能够提供一定的冗余度,保证数据传输和链路的可靠性。 配置思路 采用如下的思路配置负载分担链路聚合: 创建Eth-Trunk接口并加入成员接口,实现增加链路带宽。 创建VLAN并将接口加入VLAN。 配置负载分担方式,实现流量在Eth-Trunk各成员接口间的负载分担,增加可靠性。 操作步骤 在SwitchA和SwitchB上创建Eth-Trunk接口并加入成员接口。 <HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] interface eth-trunk 1 [SwitchA-Eth-Trunk1] trunkport gigabitethernet 0/0/1 to 0/0/3 [SwitchA-Eth-Trunk1] quit <HUAWEI> system-view [HUAWEI] sysname SwitchB [SwitchB] interface eth-trunk 1 [SwitchB-Eth-Trunk1] trunkport gigabitethernet 0/0/1 to 0/0/3 [SwitchB-Eth-Trunk1] quit 创建VLAN并将接口加入VLAN。 # 创建VLAN10和VLAN20并分别加入接口。SwitchB的配置与SwitchA类似,不再赘述。 [SwitchA] vlan batch 10 20 [SwitchA] interface gigabitethernet 0/0/4 [SwitchA-GigabitEthernet0/0/4] port link-type trunk [SwitchA-GigabitEthernet0/0/4] port trunk allow-pass vlan 10 [SwitchA-GigabitEthernet0/0/4] quit [SwitchA] interface gigabitethernet 0/0/5 [SwitchA-GigabitEthernet0/0/5] port link-type trunk [SwitchA-GigabitEthernet0/0/5] port trunk allow-pass vlan 20 [SwitchA-GigabitEthernet0/0/5] quit # 配置Eth-Trunk1接口允许VLAN10和VLAN20通过。SwitchB的配置与SwitchA类似,不再赘述。 [SwitchA] interface eth-trunk 1 [SwitchA-Eth-Trunk1] port link-type trunk [SwitchA-Eth-Trunk1] port trunk allow-pass vlan 10 20 [SwitchA-Eth-Trunk1] quit 配置Eth-Trunk1的负载分担方式。SwitchB的配置与SwitchA类似,不再赘述。 [SwitchA] interface eth-trunk 1 [SwitchA-Eth-Trunk1] load-balance src-dst-mac [SwitchA-Eth-Trunk1] quit 验证配置结果 在任意视图下执行display eth-trunk 1命令,检查Eth-Trunk是否创建成功,及成员接口是否正确加入。 [SwitchA] display eth-trunk 1 Eth-Trunk1's state information is: WorkingMode: NORMAL Hash arithmetic: According to SA-XOR-DA Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8 Operate status: up Number Of Up Port In Trunk: 3 -------------------------------------------------------------------------------- PortName Status Weight GigabitEthernet0/0/1 Up 1 GigabitEthernet0/0/2 Up 1 GigabitEthernet0/0/3 Up 1 从以上信息看出Eth-Trunk 1中包含3个成员接口GigabitEthernet0/0/1、GigabitEthernet0/0/2和GigabitEthernet0/0/3,成员接口的状态都为Up。Eth-Trunk 1的“Operate status”为Up。 配置文件 SwitchA的配置文件 # sysname SwitchA # vlan batch 10 20 # interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 10 20 load-balance src-dst-mac # interface GigabitEthernet0/0/1 eth-trunk 1 # interface GigabitEthernet0/0/2 eth-trunk 1 # interface GigabitEthernet0/0/3 eth-trunk 1 # interface GigabitEthernet0/0/4 port link-type trunk port trunk allow-pass vlan 10 # interface GigabitEthernet0/0/5 port link-type trunk port trunk allow-pass vlan 20 # return SwitchB的配置文件 # sysname SwitchB # vlan batch 10 20 # interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 10 20 load-balance src-dst-mac # interface GigabitEthernet0/0/1 eth-trunk 1 # interface GigabitEthernet0/0/2 eth-trunk 1 # interface GigabitEthernet0/0/3 eth-trunk 1 # interface GigabitEthernet0/0/4 port link-type trunk port trunk allow-pass vlan 10 # interface GigabitEthernet0/0/5 port link-type trunk port trunk allow-pass vlan 20 # return
配置LACP模式的链路聚合示例(交换机之间直连)
组网图形 图1 配置LACP模式链路聚合组网图  组网需求 配置思路 操作步骤 配置文件 相关信息 组网需求 如图1所示,SwitchA和SwitchB通过以太链路分别都连接VLAN10和VLAN20的网络,且SwitchA和SwitchB之间有较大的数据流量。用户希望SwitchA和SwitchB之间能够提供较大的链路带宽来使相同VLAN间互相通信。在两台Switch设备上配置LACP模式链路聚合组,提高两设备之间的带宽与可靠性,具体要求如下: 两条活动链路具有负载分担的能力。 两设备间的链路具有1条冗余备份链路,当活动链路出现故障时,备份链路替代故障链路,保持数据传输的可靠性。 同VLAN间可以相互通信。 配置思路 采用如下的思路配置LACP模式链路聚合: 创建Eth-Trunk,配置Eth-Trunk为LACP模式,实现链路聚合功能。 将成员接口加入Eth-Trunk。 配置系统优先级,确定主动端,按照主动端设备的接口选择活动接口。 配置活动接口上限阈值,实现保证带宽的情况下提高网络的可靠性。 配置接口优先级,确定活动链路接口,优先级高的接口将被选作活动接口。 创建VLAN并将接口加入VLAN。 操作步骤 在SwitchA上创建Eth-Trunk1并配置为LACP模式。SwitchB的配置与SwitchA类似,不再赘述 <HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] interface eth-trunk 1 [SwitchA-Eth-Trunk1] mode lacp [SwitchA-Eth-Trunk1] quit 配置SwitchA上的成员接口加入Eth-Trunk。SwitchB的配置与SwitchA类似,不再赘述 [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] eth-trunk 1 [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2] eth-trunk 1 [SwitchA-GigabitEthernet0/0/2] quit [SwitchA] interface gigabitethernet 0/0/3 [SwitchA-GigabitEthernet0/0/3] eth-trunk 1 [SwitchA-GigabitEthernet0/0/3] quit 在SwitchA上配置系统优先级为100,使其成为LACP主动端 [SwitchA] lacp priority 100 在SwitchA上配置活动接口上限阈值为2 [SwitchA] interface eth-trunk 1 [SwitchA-Eth-Trunk1] max active-linknumber 2 [SwitchA-Eth-Trunk1] quit 在SwitchA上配置接口优先级确定活动链路 [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] lacp priority 100 [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2] lacp priority 100 [SwitchA-GigabitEthernet0/0/2] quit 创建VLAN并将接口加入VLAN。 # 创建VLAN10和VLAN20并分别加入接口。SwitchB的配置与SwitchA类似,不再赘述。 [SwitchA] vlan batch 10 20 [SwitchA] interface gigabitethernet 0/0/4 [SwitchA-GigabitEthernet0/0/4] port link-type trunk [SwitchA-GigabitEthernet0/0/4] port trunk allow-pass vlan 10 [SwitchA-GigabitEthernet0/0/4] quit [SwitchA] interface gigabitethernet 0/0/5 [SwitchA-GigabitEthernet0/0/5] port link-type trunk [SwitchA-GigabitEthernet0/0/5] port trunk allow-pass vlan 20 [SwitchA-GigabitEthernet0/0/5] quit # 配置Eth-Trunk1接口允许VLAN10和VLAN20通过。SwitchB的配置与SwitchA类似,不再赘述。 [SwitchA] interface eth-trunk 1 [SwitchA-Eth-Trunk1] port link-type trunk [SwitchA-Eth-Trunk1] port trunk allow-pass vlan 10 20 [SwitchA-Eth-Trunk1] quit 验证配置结果 # 查看各Switch设备的Eth-Trunk信息,查看链路是否协商成功。 [SwitchA] display eth-trunk 1 Eth-Trunk1's state information is: Local: LAG ID: 1 WorkingMode: LACP Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP System Priority: 100 System ID: 00e0-fca8-0417 Least Active-linknumber: 1 Max Active-linknumber: 2 Operate status: up Number Of Up Port In Trunk: 2 -------------------------------------------------------------------------------- ActorPortName Status PortType PortPri PortNo PortKey PortState Weight GigabitEthernet0/0/1 Selected 1GE 100 6145 2865 11111100 1 GigabitEthernet0/0/2 Selected 1GE 100 6146 2865 11111100 1 GigabitEthernet0/0/3 Unselect 1GE 32768 6147 2865 11100000 1 Partner: -------------------------------------------------------------------------------- ActorPortName SysPri SystemID PortPri PortNo PortKey PortState GigabitEthernet0/0/1 32768 00e0-fca6-7f85 32768 6145 2609 11111100 GigabitEthernet0/0/2 32768 00e0-fca6-7f85 32768 6146 2609 11111100 GigabitEthernet0/0/3 32768 00e0-fca6-7f85 32768 6147 2609 11110000 [SwitchB] display eth-trunk 1 Eth-Trunk1's state information is: Local: LAG ID: 1 WorkingMode: LACP Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP System Priority: 32768 System ID: 00e0-fca6-7f85 Least Active-linknumber: 1 Max Active-linknumber: 8 Operate status: up Number Of Up Port In Trunk: 2 -------------------------------------------------------------------------------- ActorPortName Status PortType PortPri PortNo PortKey PortState Weight GigabitEthernet0/0/1 Selected 1GE 32768 6145 2609 11111100 1 GigabitEthernet0/0/2 Selected 1GE 32768 6146 2609 11111100 1 GigabitEthernet0/0/3 Unselect 1GE 32768 6147 2609 11100000 1 Partner: -------------------------------------------------------------------------------- ActorPortName SysPri SystemID PortPri PortNo PortKey PortState GigabitEthernet0/0/1 100 00e0-fca8-0417 100 6145 2865 11111100 GigabitEthernet0/0/2 100 00e0-fca8-0417 100 6146 2865 11111100 GigabitEthernet0/0/3 100 00e0-fca8-0417 32768 6147 2865 11110000 通过以上显示信息可以看到,SwitchA的系统优先级为100,高于SwitchB的系统优先级。Eth-Trunk的成员接口中GigabitEthernet0/0/1、GigabitEthernet0/0/2成为活动接口,处于“Selected”状态,接口GigabitEthernet0/0/3处于“Unselect”状态,同时实现M条链路的负载分担和N条链路的冗余备份功能。 配置文件 SwitchA的配置文件 # sysname SwitchA # vlan batch 10 20 # lacp priority 100 # interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 10 20 mode lacp max active-linknumber 2 # interface GigabitEthernet0/0/1 eth-trunk 1 lacp priority 100 # interface GigabitEthernet0/0/2 eth-trunk 1 lacp priority 100 # interface GigabitEthernet0/0/3 eth-trunk 1 # interface GigabitEthernet0/0/4 port link-type trunk port trunk allow-pass vlan 10 # interface GigabitEthernet0/0/5 port link-type trunk port trunk allow-pass vlan 20 # return SwitchB的配置文件 # sysname SwitchB # vlan batch 10 20 # interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 10 20 mode lacp # interface GigabitEthernet0/0/1 eth-trunk 1 # interface GigabitEthernet0/0/2 eth-trunk 1 # interface GigabitEthernet0/0/3 eth-trunk 1 # interface GigabitEthernet0/0/4 port link-type trunk port trunk allow-pass vlan 10 # interface GigabitEthernet0/0/5 port link-type trunk port trunk allow-pass vlan 20 # return
配置Eth-Trunk接口流量本地优先转发示例(堆叠)
组网图形 图1 接口流量本地优先转发组网图  组网需求 配置思路 操作步骤 配置文件 组网需求  说明: S5720I-10X-PWH-SI-AC和S5720I-6X-PWH-SI-AC不支持此配置。 如图1所示,为了增加设备的容量采用设备堆叠技术,将Switch3和Switch4通过专用的堆叠电缆链接起来,对外呈现为一台逻辑交换机。为了实现设备间的备份、提高可靠性,采用跨堆叠设备Eth-Trunk接口技术,将不同设备上的物理接口加入同一个Eth-Trunk接口。在网络无任何故障情况下,在PE设备上查看成员口信息时,发现VLAN2的数据流量会通过成员口GE1/0/1和GE1/0/2转发,VLAN3的数据流量通过成员口GE1/0/1和GE1/0/2转发。增加了堆叠设备之间的带宽承载能力,也降低了流量转发效率。 为了有效保证VLAN2的数据流量通过成员口GE1/0/1转发,VLAN3的数据流量通过成员口GE1/0/2转发,可在堆叠设备上使能Eth-Trunk接口流量本地优先转发功能。 配置思路 采用如下的思路配置Eth-Trunk接口流量本地优先转发功能: 创建Eth-Trunk接口。 加入Eth-Trunk的成员接口。 使能Eth-Trunk接口流量本地优先转发功能。 配置各接口加入相应VLAN,实现二层互通。 操作步骤 创建Eth-Trunk接口,并配置允许通过的VLAN # 配置Stack。 <HUAWEI> system-view [HUAWEI] sysname Stack [Stack] interface eth-trunk 10 [Stack-Eth-Trunk10] port link-type trunk [Stack-Eth-Trunk10] port trunk allow-pass vlan all [Stack-Eth-Trunk10] quit # 配置PE。 <HUAWEI> system-view [HUAWEI] sysname PE [PE] interface eth-trunk 10 [PE-Eth-Trunk10] port link-type trunk [PE-Eth-Trunk10] port trunk allow-pass vlan all [PE-Eth-Trunk10] quit 加入Eth-Trunk的成员接口 # 配置Stack。 [Stack] interface gigabitethernet 1/0/4 [Stack-GigabitEthernet1/0/4] eth-trunk 10 [Stack-GigabitEthernet1/0/4] quit [Stack] interface gigabitethernet 2/0/4 [Stack-GigabitEthernet2/0/4] eth-trunk 10 [Stack-GigabitEthernet2/0/4] quit # 配置PE。 [PE] interface gigabitethernet 1/0/1 [PE-GigabitEthernet1/0/1] eth-trunk 10 [PE-GigabitEthernet1/0/1] quit [PE] interface gigabitethernet 1/0/2 [PE-GigabitEthernet1/0/2] eth-trunk 10 [PE-GigabitEthernet1/0/2] quit 在堆叠设备上使能Eth-Trunk接口流量本地优先转发功能 [Stack] interface eth-trunk 10 [Stack-Eth-Trunk10] local-preference enable [Stack-Eth-Trunk10] quit 配置二层转发功能 # 配置Stack。 [Stack] vlan batch 2 3 [Stack] interface gigabitethernet 1/0/3 [Stack-GigabitEthernet1/0/3] port link-type trunk [Stack-GigabitEthernet1/0/3] port trunk allow-pass vlan 2 [Stack-GigabitEthernet1/0/3] quit [Stack] interface gigabitethernet 2/0/3 [Stack-GigabitEthernet2/0/3] port link-type trunk [Stack-GigabitEthernet2/0/3] port trunk allow-pass vlan 3 [Stack-GigabitEthernet2/0/3] quit # 配置Switch1。 <HUAWEI> system-view [HUAWEI] sysname Switch1 [Switch1] vlan 2 [Switch1-vlan2] quit [Switch1] interface gigabitethernet 0/0/1 [Switch1-GigabitEthernet0/0/1] port link-type trunk [Switch1-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 [Switch1-GigabitEthernet0/0/1] quit [Switch1] interface gigabitethernet 0/0/2 [Switch1-GigabitEthernet0/0/2] port link-type trunk [Switch1-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 [Switch1-GigabitEthernet0/0/2] quit # 配置Switch2。 <HUAWEI> system-view [HUAWEI] sysname Switch2 [Switch2] vlan 3 [Switch2-vlan3] quit [Switch2] interface gigabitethernet 0/0/1 [Switch2-GigabitEthernet0/0/1] port link-type trunk [Switch2-GigabitEthernet0/0/1] port trunk allow-pass vlan 3 [Switch2-GigabitEthernet0/0/1] quit [Switch2] interface gigabitethernet 0/0/2 [Switch2-GigabitEthernet0/0/2] port link-type trunk [Switch2-GigabitEthernet0/0/2] port trunk allow-pass vlan 3 [Switch2-GigabitEthernet0/0/2] quit 检查配置结果 上述配置成功后,在任意视图下执行命令display trunkmembership eth-trunk,可以看到Eth-Trunk接口的成员口信息。例如: 以Stack的显示为例。 <Stack> display trunkmembership eth-trunk 10 Trunk ID: 10 Used status: VALID TYPE: ethernet Working Mode : Normal Number Of Ports in Trunk = 2 Number Of Up Ports in Trunk = 2 Operate status: up Interface GigabitEthernet1/0/4, valid, operate up, weight=1 Interface GigabitEthernet2/0/4, valid, operate up, weight=1 配置文件 Stack的配置文件 # sysname Stack # vlan batch 2 3 # interface Eth-Trunk10 port link-type trunk port trunk allow-pass vlan 2 to 4094 # interface GigabitEthernet1/0/3 port link-type trunk port trunk allow-pass vlan 2 # interface GigabitEthernet2/0/3 port link-type trunk port trunk allow-pass vlan 3 # interface GigabitEthernet1/0/4 eth-trunk 10 # interface GigabitEthernet2/0/4 eth-trunk 10 # return PE的配置文件 # sysname PE # interface Eth-Trunk10 port link-type trunk port trunk allow-pass vlan 2 to 4094 # interface GigabitEthernet1/0/1 eth-trunk 10 # interface GigabitEthernet1/0/2 eth-trunk 10 # return Switch1的配置文件 # sysname Switch1 # vlan batch 2 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 2 # return Switch2的配置文件 # sysname Switch2 # vlan batch 3 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 3 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 3 # return
链路聚合常见配置错误
负载分担方式配置错误导致链路聚合出接口流量不均衡
故障现象 Eth-Trunk的负载分担模式配置不合理,导致数据流量在Eth-Trunk各活动链路的负载分担不均衡。
检查Eth-Trunk接口的负载分担模式和实际组网环境的匹配情况,比如二层组网的场景下不适合使用基于源IP地址与目的IP地址进行负载分担。 display eth-trunk 配置与实际流量相符的负载分担模式。 load-balance
配置活动接口下限阈值错误导致链路聚合两端不能Up
故障现象 配置活动接口下限阈值错误,导致Eth-Trunk接口的状态为Down。
查看Eth-Trunk接口下是否配置了活动接口数目的下限阈值。 如果Eth-Trunk接口下Up状态的成员口数目少于配置的活动接口数目的下限阈值时,Eth-Trunk状态会变为Down。 display eth-trunk trunk-id 配置链路聚合活动接口数下限阈值小于Eth-Trunk接口下Up状态的成员口数目。 本端和对端设备的活动接口数下限阈值可以不同。如果下限阈值不同,以下限阈值数值较大的一端为准。 least active-linknumber link-number
链路聚合FAQ
链路聚合接口能配置IP地址吗?
默认情况下,Eth-Trunk接口是一个二层口,不能直接配置IP地址。如果将Eth-Trunk接口切换成三层口,可以配置IP地址。
如何在已启用的链路聚合组中加入成员接口?
在加入新的成员接口前,需要确保接口类型与其他成员接口一致且接口下没有任何配置。 在接口视图下执行shutdown命令,将需要增加的成员接口配置为Down状态。 这样做是为了防止成员接口加入时产生短暂环路,影响业务正常工作。 将新的成员接口加入到聚合组中,可以采用如下任一方式。 在接口视图下执行eth-trunk trunk-id命令。 在Eth-Trunk视图下执行trunkport interface-type { interface-number1 [ to interface-number2 ] } &<1-8>命令。 两端设备的成员接口均加入聚合组后,在接口视图下执行undo shutdown命令,开启新加入的成员接口。
如何在已启用的链路聚合组中删除成员接口?
在接口视图下执行shutdown命令,将需要删除的成员接口配置为Down状态。 删除聚合组中的成员接口,可以采用如下任一方式。 在接口视图下执行undo eth-trunk命令。 在Eth-Trunk视图下执行undo trunkport interface-type { interface-number1 [ to interface-number2 ] } &<1-8>命令。 在接口视图下执行undo shutdown命令,将删除的成员接口配置为Up状态。
如何选择Eth-Trunk接口的成员口个数
为了保证Eth-Trunk接口上突发流量的正常转发,Eth-Trunk接口的总带宽需要比接口正常转发流量带宽大30%以上,为了使Eth-Trunk成员口之间能够负载分担均匀,成员口个数需要为2/4/8。
修改命令级别
command-privilege level
command-privilege level 命令功能 command-privilege level命令用来设置指定视图内的命令的级别。 undo command-privilege命令用来恢复命令为缺省级别。 缺省情况下,各个视图下的每条命令都有指定的级别。 命令格式 command-privilege levellevelviewview-namecommand-key undo command-privilege [ levellevel ] viewview-namecommand-key 参数说明 参数 参数说明 取值 levellevel 指定命令的级别。 整数形式,取值范围是0~15。 viewview-name 指定视图名称。可在终端界面上键入“?”获取该命令视图下所有可选择的视图名称。 例如: shell:表示用户视图 system:表示系统视图 vlan:表示VLAN视图 - command-key 指定设置的命令,目前不支持联想,需手动完整输入。 - 视图 系统视图 缺省级别 3:管理级 使用指南 应用场景 系统将命令进行分级管理,各个视图下的每条命令都有指定的级别。设备管理员可以根据用户需要重新设置命令的级别,以实现低级别用户可以使用部分高级别命令的需求,或者将命令的级别提高,增加设备的安全性。 注意事项 在没有专业人员指导下建议用户不要修改命令的缺省级别,以免造成操作和维护上的不便甚至给设备带来安全隐患。 使用实例 # 设置save命令的级别为5。 <HUAWEI> system-view [HUAWEI] command-privilege level 5 view shell save
command-privilege level rearrange
command-privilege level rearrange 命令功能 command-privilege level rearrange用来批量提升命令级别。 undo command-privilege level rearrange用来批量恢复命令为缺省级别。 缺省情况下,命令处于注册级别下。 命令格式 command-privilege level rearrange undo command-privilege level rearrange 参数说明 无 视图 系统视图 缺省级别 3:管理级 使用指南 应用场景 设备中每条命令,在注册时都有个缺省级别,分别为0~3级别,对应参观级、监控级、配置级和管理级。使用command-privilege level rearrange命令可以将设备所有2、3级命令分别批量提升到10、15级,0级和1级的命令不受影响,级别保持不变。 注意事项 被提升的命令必须是没有被命令command-privilege level单独修改过的。被command-privilege level单独修改过的命令,维持原来级别不作提升。 命令级别恢复的操作对象只能是被批量提升的命令级别。被command-privilege level单独修改过的命令,维持原来级别不作修改。 在执行命令command-privilege level rearrange之前,需要用户确保自己的级别为15级,否则无法执行该命令。 命令被批量提升后,在没有被恢复之前,如果用户再次进行命令级别批量提升操作,此操作将会无效,不会改变当前的命令状态。 使用实例 # 将当前的命令级别批量提升。 <HUAWEI> system-view [HUAWEI] command-privilege level rearrange
配置用户级别
当使用command-privilege level命令提升级别后,对应的命令就是需要对应的用户级别才能访问,super是提升用户的级别以使用户能使用对应的命令,super password是设置用户级别的密码.如: [Huawei]command-privilege level 10 view shell system-v [Huawei]super password level 10 cipher huawei [Huawei]quit <Huawei>system-v ^ Error: Unrecognized command found at '^' position. <Huawei>super 10 Password: Now user privilege is 10 level, and only those commands whose level is equal to or less than this level can be used. Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE <Huawei>system-v Enter system view, return user view with Ctrl+Z. [Huawei]
super
super 命令功能 super命令用来使用户从当前级别切换到level级别。 用户级别指登录用户的分类,共划分为16个级别,与命令级别对应,即不同级别的用户登录后,只能使用等于或低于自己级别的命令。 命令格式 super [ level ] 参数说明 参数 参数说明 取值 level 指定用户的级别。 整数形式,取值范围是0~15。缺省级别是3级。 视图 用户视图 缺省级别 0:参观级 使用指南 用户级别指登录用户的分类,共划分为16个级别,与命令级别对应,即不同级别的用户登录后,只能使用等于或低于自己级别的命令。 为了防止未授权用户的非法侵入,在从低级别用户切换到高级别用户时,要进行用户身份验证,即需要输入高级别用户密码;可以执行命令super password设置切换低级别用户到高级别用户的密码。 用户键入的密码不显示在屏幕上,如果三次以内输入正确的密码,则切换到高级别用户,否则保持原用户级别不变。  说明: 用户输入的密码必须符合以下要求: 输入的密码为字符串形式,区分大小写,长度范围是8~16。 输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。特殊字符不包括“?”和空格。 使用实例 # 用户切换到级别3。 <HUAWEI> super 3 Password: Now user privilege is 3 level, and only those commands whose level is equal to or less than this level can be used. Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
super password
super password 命令功能 super password命令用来设置低级别用户切换到高级别用户的密码。 undo super password命令用来删除低级别用户切换到高级别用户的密码。 缺省情况下,未配置密码,即低级别用户切换到高级别时必须设置密码,否则无法切换成功。 命令格式 super password [ leveluser-level ] [ cipherpassword ] undo super password [ leveluser-level ]  说明: 仅V200R005C00SPC500版本支持此命令。 参数说明 参数 参数说明 取值 leveluser-level 指定需要切换的用户级别。 整数形式,取值范围是1~15。缺省情况下,系统对切换到3级的用户设置密码。 cipherpassword 指定设置切换级别的密码。 不选择cipher关键字时,密码以交互式输入,系统不回显密码。 输入的密码为字符串形式,区分大小写,长度范围是8~16。输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。 特殊字符不包括“?”和空格。 选择cipher关键字时,密码可以以明文形式输入,也可以以密文形式输入。 密码以明文形式输入,密码设置要求与不选择cipher关键字时一样。 密码以密文形式输入,密码的长度必须是56个连续字符串。 说明: 如果升级前版本支持设置长度为24或32的密文密码,则升级后会自动兼容。 无论是明文输入还是密文输入,配置文件中都以密文形式体现。 视图 系统视图 缺省级别 3:管理级 使用指南 应用场景 由于权限的重新划分,需要执行命令super将低级别用户提升到高级别。为了防止未授权用户的非法侵入,在从低级别用户切换到高级别用户时,要进行用户身份验证。可执行命令super password设置切换低级别用户到高级别用户的密码,以进行用户身份验证。 注意事项 执行本命令,无论是否选择cipher关键字设置切换低级别用户到高级别用户的密码,用户输入的密码都将以密文形式保存在配置文件中。因此设置了密码后,无法从系统取回,请妥善保管。 用户执行本命令设置切换低级别用户到高级别用户的密码时,可键入“Ctrl+C”取消操作。 使用实例 # 设置低级别登录的用户切换到3级别,选择cipher关键字设置切换密码“Abcd@123”。 <HUAWEI> system-view [HUAWEI] super password level 3 cipher Abcd@123 # 设置低级别登录的用户切换到3级别,不选择cipher关键字设置切换密码“Abcd@123”。 <HUAWEI> system-view [HUAWEI] super password level 3 Please configure the login password (8-16) Enter Password: Confirm Password:
super password complexity-check disable
super password complexity-check disable 命令功能 super password complexity-check disable命令用来关闭低级别用户切换到高级别用户所需密码的复杂度检查功能。 undo super password complexity-check disable命令用来开启低级别用户切换到高级别用户所需密码的复杂度检查功能。 缺省情况下,开启低级别用户切换到高级别用户所需密码的复杂度检查功能。 命令格式 super password complexity-check disable undo super password complexity-check disable  说明: 仅V200R005C00SPC500版本支持此命令。 参数说明 无 视图 系统视图 缺省级别 3:管理级 使用指南 应用场景 设备对低级别用户切换到高级别用户所需密码的要求如下: 缺省情况下,最小密码长度为8个字符。当set password min-length命令配置的最小密码长度大于8时,最小长度为set password min-length命令的配置值。 密码至少包含2种字符,包括:大写字母、小写字母、数字、特殊字符。 特殊字符不包括“?”和空格。 为了保证低级别用户切换到高级别用户所需密码的安全性,建议使能低级别用户切换到高级别用户所需密码复杂度检查功能。此时配置密码时,系统会对配置的密码进行复杂度检查,如果检查不通过,则配置不成功。在对网络安全性要求较低的环境中,可以关闭低级别用户切换到高级别用户所需密码的复杂度检查功能,此时可以配置super password complexity-check disable命令进行关闭。 注意事项 关闭低级别用户切换到高级别用户所需密码的复杂度检查功能后,简单的密码可能会有安全风险。 使用实例 # 关闭低级别用户切换到高级别用户所需密码的复杂度检查功能。 <HUAWEI> system-view [HUAWEI] super password complexity-check disable
过滤命令行显示信息
display
正则表达式(regular-expression)是一种模式匹配工具,用户根据一定的规则构建匹配模式,然后将匹配模式与目标对象进行匹配。 正则表达式格式上是由1~256个普通字符和特殊字符组成的字符串。 正则表达式用来过滤和筛选信息. 通过"|"管道符实现显示信息过滤功能,如display interface brief | exclude Ethernet|NULL|Tunnel | beginregular-expression 输出匹配正则表达式的行之后的所有行 | excluderegular-expression 输出除匹配到正则表达式的所有行 | include regular-expression 输出匹配到正则表达式的所有行 表1 特殊字符及其语法意义描述 特殊字符 功能 举例 \ 转义字符。将下一个字符(特殊字符或者普通字符)标记为普通字符。 \*匹配* ^ 匹配行首的位置。 ^10匹配10.10.10.1,不匹配20.10.10.1 $ 匹配行尾的位置。 1$匹配10.10.10.1,不匹配10.10.10.2 * 匹配前面的子正则表达式零次或多次。 10*可以匹配1、10、100、1000、…… (10)*可以匹配空、10、1010、101010、…… + 匹配前面的子正则表达式一次或多次。 10+可以匹配10、100、1000、…… (10)+可以匹配10、1010、101010、…… ? 匹配前面的子正则表达式零次或一次。 说明: 当前,在华为公司数据通信设备上运用正则表达式输入?时,系统显示为命令行帮助功能。华为公司数据通信设备不支持正则表达式输入?特殊字符。 10?可以匹配1或者10 (10)?可以匹配空或者10 . 匹配任意单个字符。 0.0可以匹配0x0、020、…… .oo.可以匹配book、look、tool、…… () 一对圆括号内的正则表达式作为一个子正则表达式,匹配子表达式并获取这一匹配。圆括号内也可以为空。 100(200)+可以匹配100200、100200200、…… x|y 匹配x或y。 100|200匹配100或者200 1(2|3)4匹配124或者134,而不匹配1234、14、1224、1334 [xyz] 匹配正则表达式中包含的任意一个字符。 [123]匹配255中的2 [^xyz] 匹配正则表达式中未包含的字符。 [^123]匹配除123之外的任何字符 [a-z] 匹配正则表达式指定范围内的任意字符。 [0-9]匹配0到9之间的所有数字 [^a-z] 匹配正则表达式指定范围外的任意字符。 [^0-9]匹配所有非数字字符 特殊字符的退化 某些特殊字符如果处在如下的正则表达式的特殊位置时,会引起退化,成为普通字符。 特殊字符处在转义符号‘\’之后,则发生转义,变为匹配该字符本身。 特殊字符“*”、“+”、“?”,处于正则表达式的第一个字符位置。例如:+45匹配+45,abc(*def)匹配abc*def。 特殊字符“^”,不在正则表达式的第一个字符位置。例如:abc^匹配abc^。 特殊字符“$”,不在正则表达式的最后一个字符位置。例如:12$2匹配12$2。 右括号“)”或者“]”没有对应的左括号“(”或“[”。例:abc)匹配abc),0-9]匹配0-9]。  说明: 除非特别说明,特殊字符的退化也适用于括号“()”内包含的子正则表达式。  说明: 并非所有的display命令均支持指定过滤方式,一般只有显示信息较多的命令才支持。 regular-expression为字符串形式(不包括中文),长度范围是1~255。
fig_dc_cfg_istack_ccase8_02[2]