光纖鏈路排錯(cuò)經(jīng)驗(yàn)一、 組網(wǎng)：用戶采用4臺(tái)S5500作為接入交換機(jī)、1臺(tái)S5500作為核心交換機(jī)組網(wǎng)，4臺(tái)接入交換機(jī)分別在三個(gè)倉(cāng)庫(kù)以及門衛(wèi)處與核心機(jī)房都是通過2根八芯單模光纖走地井連接，在這5個(gè)機(jī)房

光纖鏈路排錯(cuò)經(jīng)驗(yàn)

一、 組網(wǎng)：

用戶采用4臺(tái)S5500作為接入交換機(jī)、1臺(tái)S5500作為核心交換機(jī)組網(wǎng)，4臺(tái)接入交換機(jī)分別在三個(gè)倉(cāng)庫(kù)以及門衛(wèi)處與核心機(jī)房都是通過2根八芯單模光纖走地井連接，在這5個(gè)機(jī)房再通過跳纖來(lái)連接到交換上。用戶要求實(shí)現(xiàn)內(nèi)網(wǎng)的用戶主機(jī)訪問公共服務(wù)器資源，并實(shí)現(xiàn)全網(wǎng)互通。組網(wǎng)如下圖所示：

二、 問題描述：

PC現(xiàn)無(wú)法訪問server 服務(wù)器，進(jìn)一步發(fā)現(xiàn)S5500光纖端口燈不亮，端口信息顯示down 狀態(tài)。在核心交換機(jī)端通過自環(huán)測(cè)試發(fā)現(xiàn)該端口以及光模塊正常，接入交換機(jī)端也同樣測(cè)試發(fā)現(xiàn)正常。監(jiān)控網(wǎng)絡(luò)正常使用，再將網(wǎng)絡(luò)接口轉(zhuǎn)接到監(jiān)控主干鏈路上，發(fā)現(xiàn)網(wǎng)絡(luò)同樣無(wú)法正常使用。

三、 過程分析：

想要恢復(fù)鏈路，首先要排查出故障點(diǎn)，根據(jù)故障點(diǎn)情況結(jié)合實(shí)際恢復(fù)鏈路通暢。在這里主要分析光纖通路，光信號(hào)從接入交換機(jī)光口出來(lái)通過跳線，

轉(zhuǎn)接到

主干光纖，然后再通過核心跳線轉(zhuǎn)接到核心交換上。由于該鏈路不通，首先要排除兩端接口以及光模塊問題，這里使用自環(huán)檢測(cè)(如果是超遠(yuǎn)距離傳輸光纖線纜需要接光衰然后在自環(huán)，防止燒壞光模塊) 。當(dāng)檢測(cè)完成發(fā)現(xiàn)無(wú)問題，再測(cè)試接入端的光纖跳纖：如果是多模光纖可以將一端接到多模光纖模塊的tx 口，檢測(cè)對(duì)端是否有光；單模光纖如果沒有光功率計(jì)可以使用光電筆檢測(cè)(該方法只能檢測(cè)出中間無(wú)斷路，并不能檢測(cè)出線路光衰較大的情況) 。最后再檢測(cè)主線路部分，檢測(cè)方式同跳線一樣。光路走向流程如圖所示：

四、 解決方法：

從上述的分析可以看出，只要保證了光信號(hào)一出一收兩條路徑都能正常就可以解決用戶無(wú)法訪問服務(wù)器的問題。為了保證光路正常通路，最好的解決方法就是，通過使用光功率計(jì)來(lái)檢測(cè)對(duì)端發(fā)射光在本端的光功率是否在光口可接受范圍內(nèi)。由于用戶組網(wǎng)使用了一些監(jiān)控設(shè)備來(lái)接入該主干光纜，并且該光路現(xiàn)正常使用，通過將網(wǎng)絡(luò)光纖轉(zhuǎn)接到該監(jiān)控主干光纜，發(fā)現(xiàn)網(wǎng)絡(luò)光路仍然不通；并且兩端端口自環(huán)檢測(cè)正常。由此可以判斷出主要問題在兩端的跳纖上。

如圖所示：

在沒有光功率計(jì)并且客戶業(yè)務(wù)又比較著急恢復(fù)的情況，可以先將兩端的接入跳纖更換。有光功率計(jì)時(shí)就可以直接檢測(cè)跳纖的光衰是否正常。

五、 說(shuō)明及注意事項(xiàng)：

1、光纖的連接需要注意以下幾點(diǎn)：(1)光纖接口有沒有插緊完全對(duì)接上；(2)光纖接口端面是否受灰塵等污染；(3)光纖中間是否存在物

理?yè)p壞，部分損傷或者斷開；(4)光纖彎曲是否半徑小于8cm ；(5)

其他相關(guān)問題。

2、該案例適用于光纖網(wǎng)絡(luò)基本排錯(cuò)。

某大學(xué)城防病毒案例

問題描述：

某大規(guī)模教育園區(qū)網(wǎng)絡(luò)中，采用兩臺(tái)萬(wàn)兆交換機(jī)FORCE 10作為網(wǎng)絡(luò)核心，三個(gè)分校區(qū)各采用兩臺(tái)FORCE 10作為校區(qū)核心，而采用我司的S6506共22臺(tái)做為三級(jí)匯聚層交換機(jī)，并接入800多臺(tái)接入交換機(jī)S 3026E ，接園區(qū)一萬(wàn)多個(gè)信息點(diǎn)，承載整個(gè)校園INTERNET 業(yè)務(wù)。

設(shè)備拓?fù)鋱D如下：

發(fā)生問題時(shí)，客戶反饋S6506 出現(xiàn) VLAN內(nèi)不停的有ARP 掃描（就是6506的VLAN INTERFACE不停的發(fā)本VLAN 內(nèi)每個(gè)IP 地址的ARP REQUEST解析報(bào)文），網(wǎng)絡(luò)速度很慢。

現(xiàn)場(chǎng)抓包記錄如下：

在接入層交換機(jī)S3026E 上的電腦上網(wǎng)發(fā)現(xiàn)網(wǎng)絡(luò)速度緩慢, 且S3026的cpu 占用率也較高

處理過程：

通過使用抓包軟件分析發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)有大量的ARP 解析報(bào)文, 從而導(dǎo)致網(wǎng)絡(luò)速度緩慢, 懷疑可能是網(wǎng)內(nèi)有多臺(tái)電腦感染病毒造成。

解決方案：

在上網(wǎng)PC 機(jī)上安裝天等防火墻個(gè)人版，通過看防火墻的攻擊日志可以得知攻擊是從219.223.180.155和219.223.169.54 這兩臺(tái)電腦來(lái)的（由于是下班時(shí)間，,

可能網(wǎng)內(nèi)還有其它電腦也感染）。所以在S6506上做:

acl number 110

rule 35 deny tcp destination-port eq 135

rule 36 deny udp destination-port eq 135

rule 49 deny tcp destination-port eq 445

rule 50 deny udp destination-port eq 445

int g 1/0/1

qos

packet-filter inbound ip-group 110 not-carefo

以阻止病毒攻擊。

由于是下班時(shí)間，所以無(wú)法得知這兩臺(tái)電腦的更詳細(xì)的信息。如果沒有防火墻個(gè)人版或者沒有明確的病毒信息，可以添加如下列表測(cè)試：

rule 30 deny tcp destination-port eq 3127

rule 31 deny tcp destination-port eq 1025

rule 32 deny tcp destination-port eq 5554

rule 33 deny tcp destination-port eq 9996

rule 34 deny tcp destination-port eq 1068

rule 35 deny tcp destination-port eq 135

rule 36 deny udp destination-port eq 135

rule 37 deny tcp destination-port eq 137

rule 38 deny udp destination-port eq netbios-ns

rule 39 deny tcp destination-port eq 138

rule 40 deny udp destination-port eq netbios-dgm

rule 41 deny tcp destination-port eq 139

rule 42 deny udp destination-port eq netbios-ssn

rule 43 deny tcp destination-port eq 593

rule 44 deny tcp destination-port eq 4444

rule 45 deny tcp destination-port eq 5800

rule 46 deny tcp destination-port eq 5900

rule 48 deny tcp destination-port eq 8998

rule 49 deny tcp destination-port eq 445

rule 50 deny udp destination-port eq 445

rule 51 deny udp destination-port eq 1434

結(jié)論：

對(duì)染毒電腦進(jìn)行殺毒并對(duì)所有電腦加裝微軟的漏洞補(bǔ)丁，并安裝防病毒軟件，已徹底清除病毒對(duì)網(wǎng)絡(luò)的影響。

MSR 系列路由器

QoS CBQ（基于類的隊(duì)列）基本功能的配置

關(guān)鍵字：MSR;QoS;CBQ; 基于類的隊(duì)列;MQC;WRED

一、組網(wǎng)需求：

MSR 路由器是互聯(lián)網(wǎng)出口，下掛2個(gè)網(wǎng)段，對(duì)10網(wǎng)段訪問Internet 作AF 隊(duì)列8k 保證，對(duì)于所有RTP 流則給與EF 隊(duì)列32k 保證 設(shè)備清單：MSR 系列路由器1臺(tái)

二、組網(wǎng)圖：

三、配置步驟：

適用設(shè)備和版本：MSR 系列、Version 5.20, Beta 1202后所有版本。

：

1) CBQ的配置其實(shí)是MQC 配置，需要配置流量類型、流量行為和QoS 策略;

2) 注意流量類型和流量行為的對(duì)應(yīng)關(guān)系;

3) 在同一個(gè)QoS 策略中，所有流量行為的隊(duì)列帶寬統(tǒng)一使用固定值或百分比。

MSR 系列路由器

教育網(wǎng)雙出口NAT 服務(wù)器的典型配置

一、組網(wǎng)需求：

MSR 的G0/0連接某學(xué)校內(nèi)網(wǎng)，G5/0連接電信出口，G5/1連接教育網(wǎng)出口，路由配置：訪問教育網(wǎng)地址通過G5/1出去，其余通過默認(rèn)路由通過G5/0出去。電信網(wǎng)絡(luò)訪問教育網(wǎng)地址都是通過電信和教育網(wǎng)的專用連接互通的，因此電信主機(jī)訪問該校都是從G5/1進(jìn)來(lái)，如果以教育網(wǎng)源地址（211.1.1.0/24）從G5/0訪問電信網(wǎng)絡(luò)，會(huì)被電信過濾。該校內(nèi)網(wǎng)服務(wù)器192.168.34.55需要對(duì)外提供訪問，其域名是test.h3c.edu.cn ，對(duì)應(yīng)DNS 解析結(jié)果是211.1.1.4。先要求電信主機(jī)和校園網(wǎng)內(nèi)部主機(jī)都可以通過域名或211.1.1.4正常訪問，且要求校園網(wǎng)內(nèi)部可以通過NAT 任意訪問電信網(wǎng)絡(luò)或教育網(wǎng)絡(luò)。

設(shè)備清單：MSR 一臺(tái)

二、組網(wǎng)圖：

三、配置步驟：

適用設(shè)備和版本：MSR 系列、Version 5.20, Release 1205P01后所有版本。