、    

 

分类: 网络

锐捷网管系列交换机【RGOS 12.5(3)B0901】配置指南

本手册包括以下章节:

一、基础配置
命令行界面
零自动部署
基础管理
RBAC
Line
HTTP 服务
系统日志
软件升级
Uboot 操作
Rboot 操作
Time Range
转发表模式管理
管理板冗余
重启进程
Python
软件授权管理

二、虚拟化配置

1. VSU

三、接口配置

1. 管理口
2. 以太网接口
3. 链路聚合口
4. PoE

四、以太网交换配置

1. MAC 地址
2. MAC 回环
3. VLAN
4. MAC VLAN
5. Private VLAN
6. Super VLAN
7. Voice VLAN
8. GVRP
9. QinQ
10. MSTP
11. ERPS
12. LLDP

五、IP 业务配置

1. ARP
2. IPv4 基础配置
3. DHCP
4. DHCP 客户端
5. DHCP Snooping
6. DNS
7. IPv6 基础
8. DHCPv6
9. DHCPv6 客户端
10. DHCPv6 Snooping
11. ND Snooping
12. TCP
13. IP 快转

六、IP 路由配置

1. IP 路由基础
2. 静态路由
3. RIP
4. RIPng
5. OSPFv2
6. OSPFv3
7. IS-IS
8. BGP
9. VRF
10. 路由策略
11. 策略路由
12. 密钥

七、组播配置

1. 组播基础
2. IPv4 组播路由管理
3. IGMP
4. PIM-SM
5. PIM-DM
6. IGMP Snooping
7. MSDP
8. IPv6 组播路由管理
9. MLD
10. PIM-SMv6
11. MLD Snooping

八、MPLS配置

1. MPLS 基础
2. MPLS L3VPN
3. MPLS RAS(可靠性)

九、ACL和QoS 配置

1. ACL
2. QoS
3. 队列缓存管理

十、安全配置

1. AAA
2. RADIUS
3. TACACS
4. 802.1x
5. Web 认证
6. SCC(安全控制中心)
7. Password Policy
8. SSH
9. 全局 IP 和 MAC 绑定
10. 端口安全
11. IP Source Guard
12. IPv6 Source Guard
13. SAVI
14. ARP Check
15. 动态 ARP 检测
16. 防网关 ARP 欺骗
17. CPP(CPU 保护策略)
18. NFPP(网络基础保护策略)
19. 风暴控制
20. uRPF(单播反向路径转发)
21. DoS 保护
22. 安全日志审计

十一、可靠性配置

1. REUP
2. RLDP
3. DLDP
4. VRRP
5. VRRP Plus
6. BFD
7. Track
8. 路由接口震荡抑制
9. HAM
10. EFM

九、网管与监控配置

1. 网络连通性检测
2. 一键收集
3. 镜像
4. sFlow
5. 查看设备重启原因
6. NTP
7. SNTP
8. FTP 服务器
9. FTP 客户端
10. TFTP 服务器
11. TFTP 客户端
12. SNMP
13. RMON
14. NETCONF
15. CWMP
16. gRPC
17. OpenFlow

详细内容如有需要,请添加站长微信,发送设备型号获取(注:需付费0.5元)

学海无涯 走一路学一路 站长微信

锐捷网管系列交换机【RGOS 12.5(3)B0901】命令参考手册

本手册介绍系统配置命令参考相关内容,包括以下章节:

一、基础配置命令参考
1. 命令行界面
2. 零配置自动部署
3. 基础管理
4. RBAC
5. Line
6. 文件系统管理
7. HTTP 服务
8. 系统日志
9. 软件升级
10. Time Range
11. 转发表模式管理
12. 管理板冗余
13. 重启进程
14. Python
15. 软件授权管

二、虚拟化命令参考

1. VSU

三、接口命令参考

1. 管理口
2. 以太网接口
3. 链路聚合口
4. PoE

四、以太网交换命令参考

1. MAC 地址
2. MAC 回环
3. VLAN
4. MAC VLAN
5. Private VLAN
6. Super VLAN
7. Voice VLAN
8. GVRP
9. QinQ
10. MSTP
11. ERPS
12. LLDP

五、IP 业务命令参考

1. ARP
2. IPv4 基础
3. DHCP
4. DHCP 客户端
5. DHCP Snooping
6. DNS
7. IPv6 基础
8. DHCPv6
9. DHCPv6 客户端
10. DHCPv6 Snooping
11. ND Snooping
12. TCP
13. IP 快转

六、IP 路由命令参考

1. IP 路由基础
2. 静态路由
3. RIP
4. RIPng
5. OSPFv2
6. OSPFv3
7. IS-IS
8. BGP
9. VRF
10. 路由策略
11. 策略路由
12. 密钥

七、组播命令参考

1. IPv4 组播路由管理
2. IGMP
3. PIM-SM
4. PIM-DM
5. IGMP Snooping
6. MSDP
7. IPv6 组播路由管理
8. MLD
9. PIM-SMv6
10. MLD Snooping

八、MPLS命令参考

1. MPLS 基础
2. MPLS L3VPN
3. MPLS RAS(可靠性)

九、ACL和QoS 命令参考

1. ACL
2. QoS
3. 队列缓存管理

十、安全命令参考

1. AAA
2. RADIUS
3. TACACS
4. 802.1x
5. Web 认证
6. SCC(安全控制中心)
7. Password Policy
8. SSH
9. 全局 IP 和 MAC 绑定
10. 端口安全
11. IP Source Guard
12. IPv6 Source Guard
13. SAVI
14. ARP Check
15. 动态 ARP 检测
16. 防网关 ARP 欺骗
17. CPP(CPU 保护策略)
18. NFPP(网络基础保护策略)
19. 风暴控制
20. uRPF(单播反向路径转发)
21. DoS 保护
22. 安全日志审

十一、可靠性命令参考

1. REUP
2. RLDP
3. DLDP
4. VRRP
5. VRRP Plus
6. BFD
7. Track
8. 路由接口震荡抑制
9. HAM
10. EFM

九、网管与监控命令参考

1. 网络连通性检测
2. 一键收集
3. 镜像
4. sFlow
5. 查看设备重启原因
6. NTP
7. SNTP
8. FTP 服务器
9. FTP 客户端
10. TFTP 服务器
11. TFTP 客户端
12. SNMP
13. RMON
14. NETCONF
15. CWMP
16. gRPC
17. OpenFlow

详细内容如有需要,请添加站长微信,发送设备型号获取(注:需付费0.5元)

学海无涯 走一路学一路 站长微信

锐捷网管系列交换机【RGOS 11.4(1)B74P18】配置指南

本手册介绍系统配置配置指南相关内容,包括以下章节:

一、系统配置
1. 命令行界面
2. 基础管理
3. LINE
4. TIME RANGE
5. HTTP服务
6. 系统日志
7. SECURITY-LOG
8. CWMP
9. CA-MONITOR
10. ZAM
11. 模块热插拔
12. 管理板冗余
13. PKG_MGMT
14. SF-APP

二、以太网交换配置 

1. 接口
2. MAC 地址
3. Aggregate Port
4. VLAN
5. MAC VLAN
6. Protocol VLAN
7. Private VLAN
8. Voice VLAN
9. MSTP
10. GVRP
11. LLDP
12. QINQ
13. ERPS

三、IP 路由配置

1. RIP
2. OSPFv2
3. OSPFv3
4. RIPNG
5. 路由管理
6. 密匙
7. 策略

四、IP 地址及应用配置

1. IP 地址/服务
2. ARP
3. IPv6
4. DHCP
5. DHCPv6
6. DNS
7. FTP-Server
8. FTP Client
9. TFTP-Server
10. 网络连通性测试工具
11. TCP
12. 软件 IPv4/v6 快转

五、组播配置

1. IP组播
2. IGMP Snooping

六、安全配置

1. AAA
2. RADIUS
3. TACACS+
4. 802.1x
5. Web 认证
6. SCC
7. 全局 IP+MAC 绑定
8. PASSWORD-POLICY
9. 端口安全
10. STORM-CONTROL
11. SSH
12. GSN
13. CPP
14. DHCP Snooping
15. DHCPv6 Snooping
16. ARP Check
17. 动态ARP检测
18. IP Source Guard
19. IPv6 Source Guard
20. 防网关 ARP 欺骗
21. NFPP
22. DoS 保护

七、ACL&QoS 配置

1. ACL
2. QoS

八、可靠性配置

1. REUP
2. RLDP
3. DLDP
4. VRRP
5. VRRP Plus
6. IP Event Dampening
7. VSU

九、网管与监控配置

1. SNMP
2. RMON
3. NTP
4. SNTP
5. SPAN-RSPAN
6. ERSPAN
7. sFlow

详细内容如有需要,请添加站长微信,发送设备型号获取(注:需付费0.5元)

学海无涯 走一路学一路 站长微信

锐捷网管系列交换机【RGOS 11.4(1)B74P18】命令参考手册

本手册介绍系统配置命令参考相关内容,包括以下章节:

一、系统配置
1. 命令行界面
2. 基础配置管理
3. LINE
4. File System
5. SYS
6. TIME RANGE
7. HTTP
8. 系统日志
9. SECURITY-LOG
10. CWMP
11. CA-MONITOR
12. ZAM
13. 模块热插拔
14. 管理板冗余
15. POE 管理
16. PKG_MGMT
17. SF-APP

二、以太网交换 

1. 接口
2. MAC 地址
3. Aggregate Port
4. VLAN
5. MAC VLAN
6. Protocol VLAN
7. Private VLAN
8. Voice VLAN
9. MSTP
10. GVRP
11. LLDP
12. QINQ
13. ERPS

三、IP 路由

1. RIP
2. OSPFv2
3. OSPFv3
4. RIPNG
5. NSM
6. 协议无关

四、IP 地址及应用 

1. IP 地址/服务
2. ARP
3. IPv6
4. DHCP
5. DHCPv6
6. DNS
7. FTP-Server
8. FTP Client
9. TFTP-Server
10. 网络连通性测试工具
11. TCP
12. 软件 IPv4/v6 快转

五、组播

1. IPv4 组播
2. IGMP Snoopin

六、安全

1. AAA
2. RADIUS
3. TACACS+
4. 802.1x
5. Web 认证配置命令
6. SCC
7. 全局 IP+MAC 绑定
8. PASSWORD-POLICY
9. 端口安全
10. STORM-CONTROL
11. SSH
12. GSN
13. CPP
14. DHCP Snooping
15. DHCPv6 Snooping
16. ARP Check
17. DAI
18. IP Source Guard
19. IPv6 Source Guard
20. 防网关 ARP 欺骗
21. NFPP
22. DOS 保护

七、ACL&QoS 

1. ACL
2. QoS

八、可靠性

1. REUP
2. RLDP
3. DLDP
4. VRRP
5. VRRP Plus
6. IP Event Dampening
7. VSU

九、网管与监控

1. SNMP
2. RMON
3. NTP
4. SNTP
5. SPAN-RSPAN
6. ERSPAN
7. sFlow

详细内容如有需要,请添加站长微信,发送设备型号获取(注:需付费0.5元)

学海无涯 走一路学一路 站长微信

华为S系列交换机有线接入认证异常【MAC认证失败】IP地址冲突

执行命令display aaa abnormal-offline-record all,查看User offline reason字段,其取值为IP address conflict。出现IP地址冲突主要有以下两种情况:

一是网络中存在某些终端或者终端上安装了“飞秋”等局域网通信工具同时发送相同IP地址的ARP报文,导致设备不允许使用相同IP地址的终端上线。可以采用如下方法解决问题。

●通过获取报文确认冲突的IP地址,排查这些终端或工具,禁止发送相同IP地址的ARP报文。

●V200R013C00及之后的版本,可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

二是网络中存在某些异常终端,这些终端在关机或者休眠后网卡仍然会有流量,因此在支持流量探测的设备上流量探测成功,用户表一直保持在线,不会老化,但是实际DHCP服务器地址池中的该地址早已释放,后续其他终端获取到该地址在设备上认证时就会检测到IP地址冲突,可以采取如下方法解决
V200R013C00及之后的版本,可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

华为S系列交换机有线接入认证异常【MAC认证失败】ARP探测失败

执行命令display aaa offline-record all,查看User offline reason字段,其取值为ARP detect fail或者AS detect fail(策略联动场景AS上ARP探测失败)。

ARP探测失败

注:
用户下线探测报文使用的源IP地址优先级:

1、用户所在VLAN对应VLANIF接口下的IP地址,且与用户同网段

2、命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address指定的VLAN内用户下线探测报文的源IP地址,其中VLAN为终端上线的VLAN,IP和MAC一般情况下为终端网关的IP和MAC

3、命令access-user arp-detect default ip-address ip-address指定的用户下线探测报文的默认源IP地址。

单机认证场景下,可以执行以下步骤排查问题。

1、检查用户所在VLAN对应VLANIF接口下是否配置IP地址。

●如果未配置,请执行步骤2。

●如果已配置,请确保配置的IP地址与用户同网段。

2、执行命令display current-configuration | include access-user arp-detect vlan检查是否指定的VLAN内用户下线探测报文的源IP地址。

●如果未指定,请执行步骤3。

●如果已指定,请务必确保配置正确。

注:在主备切换场景下,请确保网关的MAC地址不变,否则会导致终端ARP表项错误,造成终端与设备之间网络不通。

3、执行命令display current-configuration | include access-user arp-detect default ip-address检查是否指定用户下线探测报文的默认源IP地址。

●如果未指定,V200R010C00SPC600以及之前版本,ARP探测默认源IP地址为255.255.255.255,绝大多数终端不回应该探测报文导致终端掉线,需将ARP探测源IP地址改为0.0.0.0;从V200R011C10SPC600版本开始,ARP探测默认源IP地址修改为0.0.0.0。

●如果已指定,请务必确保配置正确。一般建议ARP探测源IP地址为0.0.0.0。
故障仍未解决时,执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address,配置网关IP和MAC为ARP探测源IP和源MAC,如果故障仍未解决,请确认终端是否已经关机或离开网络,或者排查设备上是否存在ARP攻击导致CPCAR丢包。

策略联动场景下,可以执行以下步骤排查问题。

1、在控制设备上执行命令display current-configuration | undo authentication handshake检查是否关闭了ARP探测。

●如果已关闭,请执行步骤2。

●如果未关闭,请系统视图执行命令undo authentication handshake关闭控制设备上的ARP探测功能。

2、在接入设备上执行命令display current-configuration | include access-user arp-detect vlan检查是否指定的VLAN内用户下线探测报文的源IP地址。

●如果未指定,请执行步骤3。

●如果已指定,请务必确保配置正确。

注:在主备切换场景下,请确保网关的MAC地址不变,否则会导致终端ARP表项错误,造成终端与设备之间网络不通。

3、在接入设备上执行命令display current-configuration | include access-user arp-detect default ip-address检查是否指定用户下线探测报文的默认源IP地址。

●如果未指定,V200R010C00SPC600以及之前版本,ARP探测默认源IP地址为255.255.255.255,绝大多数终端不回应该探测报文导致终端掉线,需将ARP探测源IP地址改为0.0.0.0;从V200R011C10SPC600版本开始,ARP探测默认源IP地址修改为0.0.0.0。

●如果已指定,请务必确保配置正确。一般建议ARP探测源IP地址为0.0.0.0。

故障仍未解决时,如果是V200R019之前的版本,请在接入设备上执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address,配置网关IP和MAC为ARP探测源IP和源MAC;如果是V200R019及之后的版本,请在控制设备上执行access-user arp-detect control-point mac-ip enable。如果故障仍未解决,请确认终端是否已经关机或离开网络,或者排查设备上是否存在ARP攻击导致CPCAR丢包。

华为S系列交换机有线接入认证异常【MAC认证失败】快速定位

MAC认证失败时,首先需确保AAA认证域、MAC认证等基本配置正确,具体排查措施请参阅:认证域及相关配置错误,然后再通过下面方法快速定位认证失败原因。

查看display aaa online-fail-record all命令的回显字段User online fail reason。

查看trace object mac-address mac-address命令的Trace信息。

常见的MAC认证失败原因

1、Radius authentication reject

RADIUS服务器认证拒绝

该原因为User online fail reason字段显示信息

2、Received a authentication reject packet from radius server(server ip = x.x.x.x).

收到RADIUS服务器的认证拒绝

该原因为Trace打印信息

1、2请参阅:RADIUS服务器认证拒绝

 

3、The radius server is up but has no reply

RADIUS服务器Up但无响应

该原因为User online fail reason字段显示信息

4、The radius server is not reachable

RADIUS服务器不可达

该原因为User online fail reason字段显示信息

请参阅:RADIUS服务器无响应

5、AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(73).

AAA模块收到RAIDIUS服务器无响应的消息

该原因为Trace打印信息

3、4、5请参阅:RADIUS服务器无响应

 

6、User is still in quiet status

用户MAC处于静默状态

该原因为Trace打印信息

请参阅:终端MAC地址静默

 

7、Remote user is blocked

远端用户被锁定

该原因为User online fail reason字段显示信息

8、Local Authentication user block

本地用户被锁定

该原因为User online fail reason字段显示信息

7、8请参阅:MAC认证账号锁定

 

9、IP address conflict

IP地址冲突

该原因为User online fail reason字段显示信息

请参阅:IP地址冲突

 

华为S系列交换机有线接入认证异常【MAC认证失败】IP地址冲突

执行命令display aaa online-fail-record all,查看User online fail reason字段,其取值为IP address conflict。出现IP地址冲突主要有以下两种情况:

一、网络中存在某些终端或者终端上安装了“飞秋”等局域网通信工具同时发送相同IP地址的ARP报文,导致设备不允许使用相同IP地址的终端上线。可以采用如下方法解决问题。

●通过获取报文确认冲突的IP地址,排查这些终端或工具,禁止发送相同IP地址的ARP报文。
●V200R013C00及之后的版本,可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

二、网络中存在某些异常终端,这些终端在关机或者休眠后网卡仍然会有流量,因此在支持流量探测的设备上流量探测成功,用户表一直保持在线,不会老化,但是实际DHCP服务器地址池中的该地址早已释放,后续其他终端获取到该地址在设备上认证时就会检测到IP地址冲突,可以采取如下方法解决

●V200R013C00及之后的版本,可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

华为S系列交换机有线接入认证异常【MAC认证失败】MAC认证账号被锁定

执行命令display aaa online-fail-record all,查看User online fail reason字段,如果是采用远端服务器认证方式,其取值为Remote user is blocked;如果是采用本地认证方式,其取值为Local Authentication user block。可以执行以下步骤排查问题。

√如果是Remote user is blocked

1、执行命令display remote-user authen-fail blocked,确认远端认证账号被锁定是否需要立即激活。

●如果需要,V200R019C00之前版本,请在AAA视图下执行命令undo remote-aaa-user authen-fail关闭AAA远端认证失败后账号锁定功能;V200R019C00及之后版本,请在AAA视图下执行命令undo access-user remote authen-fail关闭接入用户远端认证失败后账号锁定功能。

●如果不需要,请执行步骤2。
执行命令display aaa online-fail-record,根据User online fail reason字段检查其他上线失败原因来定位问题。

√如果是Local Authentication user block

1、执行命令display local-user state block,根据State、BlockTime字段检查本地用户是否被配置为block状态。BlockTime表示本地用户被锁定时间,如果无值,本地用户被配置为block状态。

●如果是,请执行步骤2。

●如果不是,请执行步骤3。

2、检查本地用户为block状态是否合理。

●如果合理,无需关注。

●如果不合理,请在AAA视图下执行命令local-user state active激活该用户。

3、输错多次被锁定时检查本地账户是否需要立即激活。

●如果需要,请在AAA视图下执行命令local-user state active激活该用户。如果确认输入的用户名和密码正确但是认证仍然失败,请执行步骤4。

●如果不需要,请执行步骤4。

4、执行命令display aaa online-fail-record,根据User online fail reason字段检查其他上线失败原因来定位问题。

华为S系列交换机有线接入认证异常【MAC认证失败】终端MAC地址静默

在系统视图下执行命令trace object mac-address mac-address可以看到提示User is still in quiet status,说明终端处于静默状态。

执行命令trace object mac-address mac-address
可以执行以下步骤进行排查。
1、执行命令display dot1x quiet-user all,查看用户MAC处于静默状态的剩余静默时间。
执行命令display dot1x quiet-user all
该终端用户在60s内连续802.1X认证失败达到一定次数,需等到用户MAC退出静默状态后再重新尝试。也可以在系统视图下执行命令dot1x timer quiet-period quiet-period-times调小802.1X用户被静默的时间。

2、执行命令display aaa online-fail-record,根据User online fail reason字段检查其他上线失败原因来定位问题。

ICP备案号:晋ICP备18007549号-1