NE80NE40系列路由器产品与特性.pptVIP

NE80 NE40系列路由器 产品与特性,2,学习目标,了解NE80/NE40系列路由器的体系结构及业务单板 清楚NE80/NE40系列路由器业务特性 熟悉NE80/NE40系列路由器典型组网 掌握NE80/NE40系列路由器常用维护手段,学习完本课程，您应该能够：,3,课程内容,第一章 NE80/NE40体系结构 第二章 NE80/NE40各业务单板 第三章 NE80/NE40业务特性 第四章 NE80/NE40典型组网 第五章 NE80/NE40维护手段,4,第一章 NE80/NE40体系结构,NE80机框 NE80主控板及交换网板 NE40-8、NE40-4、NE40-2机框 NE40-8、NE40-4、NE40-2主控板,本章主要内容,5,NE80路由器简介,交换容量 128Gbps 转发性能 96Mpps 业务槽位数 16 端口容量 128Gbps 体系结构 机柜式、双主控板 双交换网板,6,NE80主要模块组成,满配置NE80由以下模块组成： 电源系统框（直流配电或交流配电） 风扇框 2块MPU板(1+1冗余设计) 16块LPU板(可配FE、GE、ATM、POS、RPR、CPOS、cE1等业务接口板） 2块NET/CLK(1+1冗余设计),7,NE80外观,假面板,直流配电框,母板插框风扇框,假面板,母板插框,进风框,假面板,假面板,假面板,假面板,母板插框风扇框,母板插框,进风框,电源系统风扇框,交流电源系统,进风框,假面板,直流机柜,交流机柜,8,NE80机柜内气流走向示意图,9,NE80母板插框布局和结构,10,NE80主控板,是整个系统的协议处理、系统管理和设备监控中心，MPU通过高速FE管理、数据通道实现对各个业务板的运行控制，共同完成路由和协议处理功能 高性能的处理器-MPC750,11,NE80交换网板及时钟板,交换机网板与时钟板集成在一张板卡上,采用共享缓存式大容量交换网芯片 容量达56Gbps的宽带交换网络 提供16个外部端口，每个端口最大带宽3.54Gbps（即每LPU板与交换网间的单向带宽）,12,NE80交换网板及时钟板,交换网板与时钟板集成在一张板卡上,三级时钟精度：向各业务接口板提供38.88MHz的同步时钟信号，向下游设备提供2路2048KHz或者2048Kbps的同步信号 工作方式有自动和手动两种,13,NE40路由器简介,交换容量 16Gbps 64Gbps 64Gbps 转发性能 12Mpps 24Mpps 48Mpps 业务槽位数 2 4 8 端口容量 16Gbps 32Gbps 64Gbps 体系结构 机箱式 机箱式 机箱式 单路由交换板 双路由交换板 双路由交换板,Quidway NE40-2,Quidway NE40-4,Quidway NE40-8,14,NE40-8主要模块组成,满配置NE40-8由以下模块组成： 一体化机箱，高18U 1200W电源模块（11备份，交流或直流） 风扇框 2块SRU板(1+1冗余设计) 8块LPU(可配FE、GE、ATM、POS、RPR、CPOS、 cE1等业务接口板）,15,NE40-8外观,16,NE40-8路由器外观图,(1) 接口线路板槽位（槽位号1 4） (2) 路由交换板专用槽位（槽位号9 10） (3) 接口线路板槽位（槽位号5 8） (4) 风扇框 (5) 一体化机箱 (6) 防静电手腕插孔 (7) 两侧拉手 (8) 电源模块的一体化风扇（外面附有防尘网） (9) 电源模块 (10) 机箱防尘网 (11) 走线槽槽盖 (12) 防静电手腕插孔 (13) 走线槽 (14) 堵条,17,NE40-8风扇框,(1) 按钮 (2) 风扇正常指示灯（FAN OK） (3) 风扇故障指示灯（FAN FAIL）,18,NE40-4主要模块组成,满配置NE40-4由以下模块组成： 一体化机箱，高8U 600W电源模块（11备份，交流或直流） 风扇框 2块SRU板(1+1冗余设计) 4块LPU(可配FE、GE、ATM、POS、RPR、CPOS、cE1等业务接口板）,19,NE40-4外观,20,NE40-4路由器外观,路由交换板专用槽位（槽位号5 6） 接口线路板槽位（槽位号1 4） 走线架 挂耳 电源模块 一体化机箱 堵条 风扇框 防静电手腕插孔,21,NE40-4风扇框,(1) 固定螺钉孔 (2) 风扇故障指示灯（FAN FAIL） (3) 风扇正常指示灯（FAN OK）,22,NE40-2主要模块组成,满配置NE40-2由以下模块组成： 一体化机箱，高5U 600W电源模块（11备份，交流或直流） 风扇框 1块SRU板 2块LPU(可配FE、GE、ATM、POS、CPOS、cE1等业务接口板）,NE40-2和NE40-4采用相同的电源模块 和类似的结构设计,23,NE40-2外观,24,NE40-2路由器外观,路由交换板专用槽位（槽位号3） 接口线路板槽位（槽位号12） 走线架 电源模块 挂耳 一体化机箱 堵条 风扇框 防静电手腕插孔,25,NE40-2风扇框,(1) 固定螺钉孔 (2) 风扇故障指示灯（FAN FAIL） (3) 风扇正常指示灯（FAN OK）,26,NE40主控板,主控板、交换网板与时钟板集成在一张板卡上 其硬件结构与NE80相同,SRU板兼容NE40系列三款路由器，而SRUC板只适用于NE40-2路由器。,27,小节,NE80、NE40整机性能 NE80、NE40机框及其组成 NE80、NE40主控板、交换网,28,课程内容,第一章 NE80/NE40体系结构 第二章 NE80/NE40各业务单板 第三章 NE80/NE40业务特性 第四章 NE80/NE40典型组网 第五章 NE80/NE40维护手段,29,第二章 NE80/NE40业务单板,NE80/NE40共用业务单板 NE40专用业务单板,本章主要内容,30,NE80/NE40共用业务单板,以太网接口线路板业务单板,31,NE80/NE40共用业务单板,POS接口线路板业务单板,32,NE80/NE40共用业务单板,POS/CPOS接口线路板业务单板,33,NE80/NE40共用业务单板,ATM接口线路板业务单板,34,NE80/NE40共用业务单板,RPR接口卡业务单板,35,NE80/NE40共用业务单板,E1接口业务单板,36,NE80/NE40共用业务单板,NAT业务单板,注：NE80和NE40使用NAT功能，必须配置NAT业务单板,37,NE40专用业务单板-灵活插卡业务单板,插接NE40背板,灵活插卡母卡,灵活插卡子卡,灵活插卡系列板件，是LPU改进型，目前在NE40上使用。与一般LPU类似，灵活插卡也有两部分： （1）灵活插卡母卡，LPUF （2）灵活插卡子卡，PIM 与一般LPU不同的是，灵活插卡的子卡（PIM）可以让用户灵活选配，提供了更加灵活的选择方式,LPUF,子卡,子卡,物理接口,物理接口,灵活插卡是一种节省槽位，更加经济实用的新型板卡。灵活插卡，配置更灵活。,NE80和NE40一般接口线路板（LPU）有两部分：母卡、扣卡，一个母卡可配1-2个扣卡，线路板出厂时扣卡已经在母卡上固定好。,38,NE40以太网二层业务单板,通常情况下，二层板只支持二层转发，如果需要三层的转发，需要创建三层的逻辑接口VLANIF。 GSR、USR都支持MPLS/MPLS VPN，对二层板（LAN板），支持PE-CE接入，不支持上行MPLS转发。,以太网二层与三层业务单板区别,NE40支持以太网二层业务单板，该单板其特性与三层交换机一致，可以把多个物理端口划分到一个VLAN中，同时也支持生成树协议,二层业务单板所有接口的MAC地址相同，而三层业务单板每个接口都有一个单独MAC地址,39,小节,NE80、NE40通用业务板 NE40专用业务板二层业务板、灵活插卡业务板,40,课程内容,第一章 NE80/NE40体系结构 第二章 NE80/NE40各业务单板 第三章 NE80/NE40业务特性 第四章 NE80/NE40典型组网 第五章 NE80/NE40维护手段,41,第三章 NE80/NE40软件特性,软件特性慨述 MPLS特性 QoS特性 组播特性 安全特性 IPv6特性 网管特性,本章主要内容,42,系统支持的功能、业务(1),接口功能 POS接口：PPP，HDLC，IP Trunk ETH接口：ARP，802.1q，802.1ad 路由功能 单播协议：RIP/RIPng、OSPFv2/v3、IS-IS/IS-ISv6、BGP4/BGP4+ 多播协议：IGMP、PIM-SM/DM、MSDP QOS功能 QOS： 支持DiffServ/InterServ模型 流量监管：每线路板64K流 调度策略：8K流队列/slot 流量整形：8K Shaper，基于流队列、优先级队列和端口实施整形 拥塞避免：WRED，SARED，对于不同优先级或不同协议实施WRED MPLS功能 MPLS信令 ：LDP, RSVP-TE/cr-LDP MPLS VPN : RFC2547bis, Martini, Kompella, VPLS-BGP, VPLS-LDP 流量工程 ：CSPF，OSPF-TE，ISIS-TE,43,系统支持的功能、业务(2),可靠性 冗余备份：主控板、电源、风扇、监控模块等 保护机制：SCSR、MPLS FRR、IP FRR、链路捆绑、ECMP等，冗余路由保护VRRP IGP/EGP/LDP快速路由收敛 安全性 访问控制： 扩展ACL 流处理策略：过滤、采样、镜像 用户访问： 优先级、AAA、SSH 路由协议： 明文、MD5等密码验证 设备防DoS：交CPU报文分8个优先级队列，按不同报文类型做CAR； 管理功能 命令行：Console, Telnet, XModem 网管：SNMP v1/v2/v3,44,支持MPLS VPN MPLS BGP VPN(RFC2547bis) MPLS L2 VPN (Martini Kompella) MPLS L2 VPN ( VPLS-BGP, VPLS-LDP) 支持MPLS TE OSPF-TE、IS-IS-TE RSVP-TE、CR-LDP MPLS Fast Reroute 注：部分特性需要VRP5支持,MPLS特性,45,电信级的QoS解决方案,稳定的高性能：启动QoS时，系统性能不下降 MPLS队列管理同IP队列管理分离，MPLS的QoS和IP的QoS相互不影响 支持基于流和端口的调度方式，每接口板可以支持8k个流 多播IP的QoS同单播一样出色,46,组播协议： IGMP PIMDM/SM MSDP 支持16K个组播组 支持多个组播协议间的互操作性 支持组播路由策略处理 高速端口组播线速转发 支持可控组播,提供组播效率和安全性,视频服务器,10,10,10,组播 Multicast,NE路由器组播能与MPLS VPN以及QoS等业务组合起来同时应用，为在数据网络上实现流媒体等增值业务提供坚实的基础,大容量组播,47,报文过滤： 支持用户制订复杂的ACL，对系统或接口进行报文过滤，每板32K个线速流 流量攻击防范 线路板与主控板之间增加了流控机制，确保整机系统的CPU资源，不会因为恶意攻击导致系统瘫痪 配置安全 支持本地与远端认证，提供分权、分级的用户管理机制，支持SSH 协议认证 支持常用路由协议的MD5认证，支持网管协议SNMPv3加密 安全审计 提供大量安全相关的统计信息和系统日志 TCP安全 完全解决NISCC发布的TCP协议的安全漏洞 其他 自主产权，杜绝后门,全方位安全特性,48,支持IPv4向IPv6网络平滑过渡,IPv4网络,IPv6骨干网络,IPv4/IPv6双栈网络,IPv6网络,NAT-PT转换,IPv4接入,IPv6接入,隧道接入,完善支持纯IPv6网络、IPv4/IPv6双栈网络建设 IPv4/IPv6线速转发技术、内置千兆线速NAT-PT技术 完整支持DiffServ、TE、6PE、L2VPN等核心网技术,IPv4网络,过渡技术 双栈 NAT-PT 自动隧道 配置隧道 6to4隧道 ,IPv6协议栈 ICMPv6 PathMTU ND 自动配置 DNS Client,NE80/40,NE80/40,NE80/40,NE80/40,路由技术 BGP4 & BGP4 ISIS & ISISv6 RIP & RIPng OSPFv2 & OSPFv3 ,49,利用厂商网管完成厂商设备的配置网管 通过独立的专业管理软件（如Micromuse等）完成故障网管、性能网管 提供VPN Manager、QoS Manager、SLA Manager等系列业务管理系统,统一网管系统,SNMP,Telnet,iMAP,Quidview组件,Ftp,组合包,HGMP Mgr,Watchman,TrafficView,NSC&NDA,iManager N2000 DMS,50,小节,NE80、NE40丰富的业务特性 软件特性慨述 MPLS特性 QoS特性 组播特性 安全特性 IPv6特性 网管特性,51,课程内容,第一章 NE80/NE40体系结构 第二章 NE80/NE40各业务单板 第三章 NE80/NE40业务特性 第四章 NE80/NE40典型组网 第五章 NE80/NE40维护方法,52,双出口NAT,具体配置,NE80/40路由器两个接口分别连接教育网网络和电信网网络。 实现当用户访问教育网资源通过教育网出口；访问电信网资源通过电信网出口,教育网,电信网,Internet,,,校园网,53,双出口NAT-典型配置,#配置两条默认路由，分别通向教育网出口和电信网出口。教育网出口的路由优先级高于电信网出口。 # 配置两个公网地址池，分别使用教育网和电信网的地址 Quidwaynat address-group edupool mask 48 slot 2 no-pat Quidwaynat address-group telpool mask 48 slot 2 no-pat #定义nat策略 Quidwaynat-policy number 1 ip nat address-group edupool Quidwaynat-policy number 2 ip nat address-group telpool #定义流分类 Quidwayrule-map intervlan rule1 ip 55 any Quidwayrule-map intervlan rule2 ip 55 any,54,双出口NAT-典型配置,#定义act Quidwayflow-action f1 nat 2 1 注：此命令相当于重定向，强制路由先走nat策略路由2，2不通了再走1。 Quidwayflow-action f2 nat 1 2 #定义eacl Quidwayeacl acl1 rule2 f1 Quidwayeacl acl2 rule1 f2 #将eacl作用于入端口 Quidway-GigabitEthernet4/0/0access-group switch eacl acl1 Quidway-GigabitEthernet4/0/1access-group switch eacl acl2 #配置NAT的地址池地址对应的黑洞路由(一定要配) Quidwayip route-static 48 NULL 0 preference 60 Quidwayip route-static 48 NULL 0 preference 60,55,二层业务卡NAT,具体配置,NE80/40路由器通过二层接口连接互联网络 实现内部网络通过NAT转换访问外部网络,Intranet,Internet,Pos5/0/0,G3/0/0,G3/0/1,注：该方式与其他方式不同在于，这是使用的是VLAN接口，而其他方式使用的物理端口,56,二层业务卡NAT-典型配置,配置NE40各接口。 # 将接入私网的接口加入到Vlan200203中。 NE40 interface GigabitEthernet3/1/0 # 如果接入私网的接口是路由式接口，需要执行命令portswitch将其切换成交换式接口。 NE40-GigabitEthernet3/1/0 port trunk allow-pass vlan 200 to 203 NE40 interface GigabitEthernet3/1/1 # 如果接入私网的接口是路由式接口，需要执行命令portswitch将其切换成交换式接口。 NE40-GigabitEthernet3/1/1 port trunk allow-pass vlan 200 to 203 # 配置接入Internet的端口地址，假定Internet和NE40相连的接口已经配置。 NE40 interface Pos5/0/0 NE40-Pos5/0/0 ip address 创建VLAN，并配置VLAN 1000为aggregate-vlan，其access-vlan为VLAN200VLAN203。 NE40interface vlan 1000 NE40 vlan 1000 NE40-vlan1000 aggregate-vlan NE40-vlan1000 access-vlan 200 to 203 NE40interface vlan 1000 NE40-vlanif1000 ip address NE40-vlanif1000 property routing,57,二层业务卡NAT-典型配置,配置NAT地址池。 NE40 nat address-group g1 2 mask slot 6 配置流分类规则、NAT动作和EACL，并将EACL应用到流量的入接口上。 # 配置流分类规则，所有地址的都主机可以访问Internet。 NE40 rule-map r1 ip any any # 配置NAT动作，地址池为刚配置的address-group g1，服务级别为4，不限制用户数。 NE40 flow-action f1 nat address-group g1 service-class 4 # 配置EACL，将流分类规则与NAT动作关联。 NE40 eacl a1 r1 f1 # 配置与私网连接的端口，并使EACL在该端口生效。 NE40 interface GigabitEthernet3/1/0 NE40-GigabitEthernet3/1/0 access-group switch eacl a1 NE40 interface GigabitEthernet3/1/1 NE40-GigabitEthernet3/1/1 access-group switch eacl a1 # 配置一条到地址池的静态路由，出接口为null0。这一步是必须的。 NE40 ip route-static null0,58,MPLS VPN 用户访问公网,具体配置,某公司建立一个VPN连接两个办事处A和B，在两个办事处内各有一台路由器作为CE，用户内部用户使用私网互访。同时在办事处A设置了一台代理服务器，具有公网地址，办事处A的用户可以通过该代理服务器访问Internet,CE1,CE2,PE1,PE2,P,Proxy server,AS65410,AS65420,AS100,Internet,59,MPLS VPN 用户访问公网-典型配置,配置访问公网所需的静态路由。 配置要点：需要增加静态路由，包括：在CE1上增加一条默认路由，下一跳为PE1；在PE1上增加一条从私网到Internet的默认路由，下一跳为P，并指定下一跳P的地址为公网地址，即在配置该默认路由的命令需要在下一跳地址后面加上关键字public；在PE1上增加一条回到代理服务器的静态路由，下一跳为CE1。 PE1配置： # 配置从私网到Internet默认路由，命令中下一跳的地址后面必须加上关键字public。 PE1 ip route-static vpn-instance vpna 0 public # 为从Internet返回的流量配置一条到代理服务器的静态路由，是CE1所接的代理服务器的地址。由于下一跳为以太网接口，因此命令中必须指定下一跳地址。 PE1 ip route-static 24 ethernet1/0/0 代理服务器配置： 将代理服务器的IP地址配置成：/24，服务器的缺省网关配置成CE1，即。在代理服务器上还需运行代理软件。 上述配置完成后，在P上能ping通代理服务器。 VPN的内部用户有到达代理服务器的路由，因而可以通过代理服务器访问Internet。,60,MPLSVPN跨域VPN配置举例（ASBR方式）,具体配置,VPN用户在A和B都有站点。A的站点接入A的服务提供商的MPLS/VPN网络，自治系统号为100；而B的站点接入B的服务提供商MPLS/VPN网络，自治系统号为200。用户的VPN网络跨两个AS。,注：该方式也常称为跨域的第二种方式,61,MPLSVPN跨域VPN配置举例-典型配置,配置MBGP协议，包括PE之间的IBGP邻居以及PE和CE之间的EBGP邻居。 配置要点：MBGP的配置包括PE之间的IBGP邻居以及PE和CE之间的EBGP邻居。PE之间的IBGP邻居需要用32位掩码的Loopback接口来建立和连接。 ASBR的BGP需要特殊配置，包括在VPNV4地址族中配置undo policy vpn-target和对域内的IBGP邻居配置next-hop-local。 ASBR-PE1配置： # 配置BGP，ASBR-PE1所在AS号为100 ASBR-PE1 bgp 100 # 配置ASBR-PE的域内PE对等体、AS号及BGP连接所使用的接口（一般用Loopback接口）。 ASBR-PE1-bgp peer as-number 100 ASBR-PE1-bgp peer connect-interface loopback0 # 配置ASBR-PE的域间PE对等体、AS号 ASBR-PE1-bgp peer as-number 200 # 激活域内PE对等体，以及ASBR方式的相关配置。 ASBR-PE1-bgp ipv4-family vpnv4 ASBR-PE1-bgp-af-vpn peer enable ASBR-PE1-bgp-af-vpn peer next-hop-local # 激活域间PE对等体，以及ASBR方式的相关配置。 ASBR-PE1-bgp-af-vpn undo policy vpn-target ASBR-PE1-bgp-af-vpn peer enable,62,MPLSVPN跨域VPN配置举例-典型配置,PE1配置： # 配置BGP，PE1所在AS号为100 PE1 bgp 100 # PE与CE之间运行EBGP协议。 PE1-bgp ipv4-family vpn-instance vpna PE1-bgp-af-vpn-instance peer as-number 65410 PE1-bgp-af-vpn-instance import-route direct PE1-bgp-af-vpn-instance quit # 配置PE的PE对等体、AS号及BGP连接所使用的接口（一般用Loopback接口）。 PE1-bgp peer as-number 100 PE1-bgp peer connect-interface loopback0 # 激活PE对等体。 PE1-bgp ipv4-family vpnv4 PE1-bgp-af-vpn peer enable,63,MPLS优先级进行带宽的共享和竞争,有A，B，C通过以太网交换机汇聚后与ISP的NE40系列通用交换路由器接入Internet。A发来的是EF流量、B发来的是AF4、C发来的都是带有优先级的MPLS流量。A用户优先级为5，申请了50M固定带宽。并希望具有较高的优先级，在出接口拥塞时，能较多的剩余带宽。B用户优先级为4，没有申请固定带宽，但希望有一般的优先级，在出接口拥塞时，能抢占部分未分配带宽。C用户没有申请任何保障。,具体配置,64,MPLS优先级进行带宽的共享和竞争-典型配置,A用户的配置： 配置要点：A用户优先级为5，对应的是EF流，所以将Traffic参数应用在EF流上。 # 配置traffic参数， system-view NE40 traffic tf_A cdr 50m weight 90 # 将入端口使能diffserv NE40 int ethernet 1/0/0 NE40-Ethernet1/0/0 diffserv enable NE40-Ethernet1/0/0 quit # 在出端口为EF流配置traffic参数， NE40 int ethernet 1/0/3 NE40-Ethernet1/0/3 diffserv output-queue ef tf_A 配置完成后，应在NE40上看到如下结果： NE40display diffserv diffserv enable on . Ethernet1/0/0 NE40display queue Ethernet1/0/3 ef: tf_A cdr=50000k, psr=0k, mbs=0, weight=90,65,MPLS优先级进行带宽的共享和竞争-典型配置,针对B用户的配置： 配置要点：B用户优先级为4，对应的是AF4流，所以将Traffic参数应用在AF4流上。 # 配置traffic参数， NE40 traffic tf_B weight 50 # 将入端口使能diffserv NE40 int ethernet 1/0/1 NE40-Ethernet1/0/1 diffserv enable NE40-Ethernet1/0/1 quit # 在出端口为AF4流配置traffic参数， NE40 int ethernet 1/0/3 NE40-Ethernet1/0/3 diffserv output-queue af4 tf_B NE40-Ethernet1/0/3 quit,66,PIM-SM典型配置案例,假设主机A是的接收者，主机B现在开始发送目的地址为的数据，开始时，路由器A通过路由器B接收主机B发送的组播数据，当主机B发送的组播数据的速率超过10kbit/s后，路由器A会加入最短路径树，直接从路由器C接收主机B发送的组播数据包。,具体配置,Router A,Router C,Router B,Router D,Host A,Host B,67,PIM-SM典型配置案例 -典型配置,在接口Pos4/0/0上配置了边界后，路由器Router D就收不到路由器Router B发出的BSR信息，它被排除在本PIM域之外。 假设主机A是的接收者，主机B现在开始发送目的地址为的数据，开始时，路由器A通过路由器B接收主机B发送的组播数据，当主机B发送的组播数据的速率超过10kbit/s后，路由器A会加入最短路径树，直接从路由器C接收主机B发送的组播数据包。 配置路由器Router A： # 启动PIM-SM。 RouterA multicast routing-enable RouterA interface ethernet 2/0/0 RouterA-Ethernet2/0/0 igmp enable RouterA-Ethernet2/0/0 pim sm RouterA interface pos 1/0/0 RouterA-Pos1/0/0 pim sm RouterA interface pos 1/1/0 RouterA-Pos1/1/0 pim sm # 配置特定组播组从共享树切换到最短路径树的阈值为10kbit/s。 RouterA acl number 2005 RouterA-acl-basic-2005 rule permit source 55 RouterA pim RouterA-pim spt-switch-threshold 10 group-policy 2005,68,PIM-SM典型配置案例 -典型配置,# 启动PIM-SM。 RouterB multicast routing-enable RouterB interface pos 1/0/0 RouterB-Pos1/0/0 pim sm RouterB interface pos 1/1/0 RouterB-Pos1/1/0 pim sm RouterB interface pos 4/0/0 RouterB-Pos4/0/0 pim sm # 配置候选BSR。 RouterB pim RouterB-pim c-bsr pos 1/0/0 30 2 # 配置候选RP。 RouterB acl number 2005 RouterB-acl-basic-2005 rule permit source 55 RouterB pim RouterB-pim c-rp pos 1/0/0 group-policy 2005 # 配置PIM边界。 RouterB interface pos4/0/0 RouterB-Pos4/0/0 pim bsr-boundary,69,小节,NAT MPLS VPN 用户访问公网 MPLSVPN跨域VPN配置举例（ASBR方式） MPLS优先级进行带宽的共享和竞争 PIM-SM典型配置案例,70,课程内容,第一章 NE80/NE40体系结构 第二章 NE80/NE40各业务单板 第三章 NE80/NE40业务特性 第四章 NE80/NE40典型组网 第五章 NE80/NE40维护手段,71,NE80/NE40维护手段,NE80/NE40版本配套关系 NE80/NE40升级注意事项 NE80/NE40出现故障，收集信息方法,72,NE80与NE40软件版本区别,型号,注意：请不要错误使用软件版本，避免造成没有必要的故障,73,NE80与NE40软件版本,VRP3 R001 版本名称开始字符均为0，如：0421，0426，0426sp1 VRP3 R002 版本名称开始字符均为2，如：2211，2212，2213,74,NE80/NE40升级注意事项,NE80/NE40升级步骤 NE80/NE40升级注意事项,75,NE80/NE40升级步骤,NE80/NE40升级比较简单，无需升级BootRom。在应用程序中，包含了BootRom,系统在启动过程中自动升级BootRom。 升级可通过多种方式进行。（以太网或者Console口） 升级可在多个界面操作。（BootRom菜单或者路由器正常启动后的操作界面） 具体过程见附件,76,NE80/NE40升级注意事项,NE80/NE40的flash只有16M。 从R002软件版本开始，软件的大小已经超过了16M，软件只能够放到硬盘中。 在升级软件版本时，可能出现部分业务板卡无法成功注册，回退软件版本后，也无法注册。这种情况通常需要通过串口线，对业务板卡重新加载BootRom可解决。 具体加载BootRom方法，见附件,77,升级步骤,通过FTP/TFTP等方式将版本上传到硬盘（上传到flash理论上也可以，但是考虑到flash的大小，建议上传到硬盘） 将文件从主板的硬盘复制到备板的硬盘。 copy flash:/ne40.bin slot10#flash:/ne40.bin 指定主板启动文件 bootload from flash flash:/ne40.bin 指定备板启动文件 bootload slave from flash flash:/ne40.bin 整机重启 reboot whole router,78,升级步骤,NE40分双主控和单主控，在双主控环境下，请严格按照升级步骤进行升级。 如果是因为现在的版本不支持新的板卡而需进行升级，必须先升级vrp软件，待升级全部设备起来后，再插入新的板卡。在升级前直接插入板卡，NE40会自动改写板卡的bootrom，且不可恢复。所以先插入板卡再进行升级，新板卡就会无法正常使用。 除非特殊情况，一般建议利用命令行界面进行升级，不轻易使用bootrom环境升级。 升级前，建议备份原版本软件，并记录设备上版本文件详细路径，升级失败时可以恢复。 对于老命令行版本升级到新命令行，注意原配置无法生效，必须按照新版本命令重新配置。,79,查看相关信息,查看主用SRU的启动文件是否正确： display bootload 查看备用SRU的启动文件是否正确： display bootload slave 查看版本信息 display version,80,问题处理,【故障现象一】：路由器的网络地址转换功能不能工作。 故障排除：使用display nat命令显示NAT的运行状态。根据路由器上显示信息，初步定位故障原因。注意观察转换后的源地址，要保证这个地址是希望转换的地址，否则可能会是地址池配置错误。要注意想访问的网络必须要有回到地址池中地址段的路由。 【故障现象二】：内部服务器工作不正常。 故障排除：若外部主机不能正常访问内部服务器，请检查是否是内部服务器主机的配置有错或路由器上对内部服务器的配置有错，如对内部服务器的IP地址指定错误等等。 【故障现象三】：无法对普通的IP报文进行NAT转换。 故障排除：如果对普通的IP报文进行NAT转换，必须把地址池配置成no-pat方式，否则缺省的NAPT方式只对TCP/UDP/ICMP进行转换。,81,问题处理,【故障现象四】：可以进行NAT的正向转换，但是无法收到NAT反向转换的流量。 故障排除：是没有配置基于地址池指向null0的静态路由引起的。添加该路由，并向公网发布。 【故障现象五】：使用NAT功能，一些内部网用户无法通过NAT上网，但另一些用户可以上网。 故障排除：可能是NAT设置的服务级别太低所致。NAT默认的服务级别是2，其限制连接数为100。使用命令nat service-class增加服务级别的连接数或者增大服务级别。 【故障现象六】：NAT策略命令nat-policy无法配置。 故障排除：display nat addr检查配置的地址池是否已经创建，如果不存在，则配置地址池；使用disp nat-policy检查策略索引否已经创建，如果已存在，则改变新的索引。 【故障现象七】：设备配置了两个出接口备份，一个接口故障后，用户就不能做NAT上网。 故障排除：查看是否配置的第二个是否有路由可达项，是否是直连端口，如果没有或不是直连端口，增加配置。,82,故障信息收集,拓扑图 故障描述 常规信息收集 调试信息或抓包文件等,83,拓扑图,描述网络的拓扑结构 尽可能详细 形式不限,84,故障描述,故障现象描述 故障出现条件 故障出现频率 已经采取的排错方法及结果,85,常规信息收集,诊断信息 display diagnostic-information 日志文件收集 ftp登陆到硬盘，下载距离出故障时间最近的一个log文件,86,调试信息或抓包文件,调试信息收集 debugging ospf packet terminal debug terminal monitor 抓包文件 使用Ethereal，Sniffer等抓包软件 使用hub,端口镜像等方法,87,PPP调试信息的收集,PPP调试信息收集： Quidwayen_ Quidway-diagset lpu debugging-level slot-id Moudel-ID Level debugging lpu slot-id pppcard-id pppport-id all terminal debug terminal monitor,88,案例分析,【案例一】通过路由器互联的两台不同网段的pc可以互ping通但不能在网上邻居互访 。 案例分析：通过两台路由器下挂两台不同网段的pc可以互ping,但在网上邻居或者直接搜索计算机均不能发现对方，输入X.X.X.X 不能找到对方PC。首先抓包分析，发现搜索计算机使用的是netbios，应用的端口号则是139和445，再检查路由器配置，发现路由器上均将两个端口禁用。启用两个端口问题解决。 一般的路由器都会禁用445（震荡波）和139（冲击波）端口，如果要在网上邻居共享文件一定要打开这两个端口。ping 是icmp报文，网上邻居使用netbios协议通讯，能ping通并不代表可以在网上邻居找到对方。,89,案例分析,【案例二】ne40S3552G，两设备配置使用OSPF路由协议。 NE40 pingS3552的loopback地址，丢包很严重，处于基本不通状态。 案例分析：通过disp ip rout查看路由信息以及以上收集的信息，该故障定位为S3552 ospf router id的问题。虽然S3552 router id配置的是2,但是用命令display ospf lsdb self查看发现router id为1。原来造成该问题的原因是：删除原先所配置的router id 1，新配置另一个router id 2后，没有重启ospf。用命令reset ospf 后解决,90,案例分析,【案例三】在一性能测试中，我司NE408与友商设备1000m直连。进行ping包测试中，友商设备ping我方NE40有规律性的丢包，而NE40 ping对端设备没有出现丢包。 案例分析： 1.双方端口协商原因 2.光纤质量原因。 3.ne40的保护机制。为了保护设备，在处理ping报文时采取了主动地限制ping报文接收速度的方式，以保证系统免受ping攻击。,91,案例分析,【案例四】NE40 NAT地址转换后个别用户只有换一个地址才能上网 。 案例分析：现场了解情况，由于个别用户需改变地址才能上网，初期以为其地址被他人误用，断开下接用户的连接网线，便携机配上不能上网的用户地址测试，发现还是不能上网，更改地址后就能上网说明NAT的转换没有问题。在设备上执行display nat session 查看不能上网的用户地址有无转换，发现有转换且有相应的地址转换对应的端口，ping测试该用户的地址能ping通接口地址，再ping上层接口不通。再查看原私网地址转换后的公网地址和更改私网地址（能上网）转换后的公网地址是两个不同的公网地址。再仔细分析原不能上网转换后的公网地址为地址池中和掩码相与后的网段的广播地址，于是认为和该广播地址有关，更改地址池的起止地址，再用原来不能上网的私网地址上网，发现可以上网，再跟踪原私网地址已转换为另外一个公网地址。,92,案例分析,【案例五】组网：NE80（g1/0/1）（VLAN3002 G1/0/0）8016。NE80端口因链路原因DOWN，端口恢复UP后，与8016 OSPF邻居一直不能建立。 案例分析： 1、查看设备有如下相关配置 rule-map crc1 ip 55 55 flow-action crc redirect ip 85 GigabitEthernet1/0/2 eacl acl2 crc1 crc 该EACL应用于8016互连端口，RULE-MAP规则包括了互连端口地址，OSPF建立邻居过程中DD报文，是单播报文被重定向。对端8016无法收到导致OSPF邻居无法建立。 2、端口DOWN之前该EACL已经存在，为什么邻居状态没有影响？原因在于邻居建立后DD报文不再交换，维持邻居关系的HELLO报文为组播报文，该EACL是邻居建立后配置上去的。,93,案例分析,【案例六】NE40与CISCO对接POS2.5G不通。 案例分析： 1、分别在两端给对端打环，看收发是否一致，如果一致可确认链路正常。 2、我们的NE路由器POS接口支持对线路编码的加扰，我司路由器缺省为POS接口允许线路加扰，即 Pos scramble-atm为缺省配置，但是CISCO路由器POS接口缺省不允许接口的线路加扰。注意，两端的路由器应该配置成一致的加扰方式，否则不能互通。 3、POS接口下CRC值的设置我司