山东网通城域网Foundry设备操作手册

Foundry 设备操作手册 Page 1 of 57 上海竞天科技股份有限公司 Foundry 设备操作手册 Foundry 设备操作手册 Page 2 of 57 上海竞天科技股份有限公司 目录 第一部分 日常检测 .4 1 全面自检 dm diag .4 2 模块检查 Show module.4 3 光口类型检查 Show media .5 4 内存检查 show memory .5 5 cpu 检查 Show cpu .6 6 操作系统检查 show flash .6 7 版本检查 show version.7 8 所有接口的简明检查 show interface brief .8 9 单个接口状态显示 show interface ethernet solt / number .9 10 接口日常检测其它命令 . 10 11 显示路由表 show ip route . 10 12 查看路由信息还有以下常用命令 . 11 13 检查 log 信息 Show log . 11 第二部分 数据配置 . 13 1 端口物理配置 . 13 2 路由配置 . 15 3 安全配置 . 24 4 策略路由 . 26 5 组播 . 27 第三部分 系统操作 . 31 1 console 口 . 31 2 命令行接口（ Cli） . 31 3 账号设置 . 32 4 Telnet/SSH 配置 . 34 5 SNMP 配置 . 35 6 Syslog 设置 . 36 7 权限控制 . 36 8 软件升级 . 37 9 硬件板卡更换 . 38 10 配置文件上传 . 39 11 数据备份 . 39 第四部分 常用诊断命令 . 41 1 show flash . 41 2 show version . 41 3 show module . 42 4 show chassis . 43 5 show statistic . 43 6 show interface brief . 44 7 show interface . 44 8 show cpu. 45 9 show log . 45 10 show tech . 46 11 ping . 46 12 traceroute . 46 Foundry 设备操作手册 Page 3 of 57 上海竞天科技股份有限公司 13 show mac . 46 14 show mac statistic. 47 15 show mac e x/x . 47 16 show mac vlan x. 47 13 show arp. 48 14 show arp x.x.x.x . 48 15 show arp eth x/x . 48 16 show arp mac xxxx.xxxx.xxxx . 48 17 show ip route . 48 18 show ip cache . 49 19 show ip interface . 49 20 show ip ospf interface . 50 21 show ip ospf neighbor . 51 22 show ip bgp neighbor . 51 23 设置镜像端口 . 52 24 抓包工具 dm raw . 53 Foundry 设备操作手册 Page 4 of 57 上海竞天科技股份有限公司 第一部分 日常检测 硬件 1 全面自检 dm diag dm diag 命令是一条 foundry 公司的硬件检测命令。该命令用在特权模式下。用于检测整个机框及机框上所有模块的硬件诊断。它不同于其他厂商的健康检查。在检查期间。设备将停止一些应用 。并且键入该命令后需要 重起才能开始自检 。 操作如下： bigiron router # dm diag bigiron router # reload 当设备自检发现问题时 会出现如下信息 FATAL ERROR: did not pass diagnosis, for more detail error message, please check the output above for lines start with ? SYSTEM STOPPED, Please Check with Foundry Networks Support #FAIL DIAG 当设备自检完毕。未发现硬件问题的时候时。设备会自动结束自检。回到普通模式。 该条命令使用是需要注意 2 点。 1 设备将停止一些应用。停止所有数据转发。 2 在键入 dm diag 之后需要重起之后才开始重起。 2 模块检查 Show module 该条命令用在特权模式下 bigiron # show module 用于显示机框上所使用模块的类型及对应槽位。以及模块的状态 端口数量 。及模块的 mac 地址。 bigiron # show module Module Status Ports Starting MAC S1: B4GMR4 M4 Management Module, SYSIF 2 M4, ACTIV 4 0004.8017.f100 S2: B4GMR4 M4 Management Module, SYSIF 2 M4, STAND 4 0004.8017.f120 S3: S4: B8G Fiber Switch Module OK 8 0004.8017.f100 S5: B8G Fiber Switch Module, OK 8 0004.8017.f100 Foundry 设备操作手册 Page 5 of 57 上海竞天科技股份有限公司 S6: S7: S8: B24E Copper Switch Module OK 24 0004.8017.f100 如图显示 机筐的一号和二号槽位上使用着 2 快 4 型管理模块。互为备份。他们各有 4 个端口。一号曹位的管理模块现在处于活动状态（ active）。而二号曹位的管理模块处于备用状态（ stand）。4 号和 5 号曹位上使用的是 2 块 8 个光口的接口模块。状态是 ok 即正常状态。 8 号曹位上使用的是是一块 包含 24 个 rj45 端口的接口模块。 3 光口类型检查 Show media 该条命令用于显示设备上所有的千兆光口的数量。类型。对应模块的位子。 Bigiron router #show media 1/1:G-LH 1/2:G-LH 1/3:G-LH 1/4:G-SX 2/1:G-SX 2/2: 2/3: 2/4: 4/1:LHB 4/2:LHB 4/3:LHB 4/4:LHB 4/5:LX 4/6:LX 4/7:LX 4/8:LX 5/1:M-LX 5/2:M-LX 5/3: 5/4: 5/5: 5/6: 5/7: 5/8: 如图显示 一号模块上使用了 3 块 中距和一块短距的 gbic 四号模块上有 4 块长距和 4 快中距模块 五号模块上使 用了 2 块 mini 中距的 gbic 模块 4 内存检查 show memory 该条命令用在特权模式下。用于显示内存的占用率 bigiron #show memory Total DRAM: 536813568 bytes Dynamic memory: 515842048 bytes total, 376293268 bytes free, 27% used BGP memory: 812800 bytes (1%) used from dynamic memory OSPF memory: 990832 bytes (1%) used from dynamic memory 如图所示。 内存总共为 512mb 此时机器还有 376mb 的内存为空闲还未被使用。 Foundry 设备操作手册 Page 6 of 57 上海竞天科技股份有限公司 5 cpu 检查 Show cpu 该条命令显示 cpu 的利用率 有当前的利用率 5 秒中的利用律及 1 分钟和 5 分钟之内的平均利用律。并且该条命令还显示 cpu 最高时候的利用律大小及时间。 telnet878hexin1#show cpu 96 percent busy, from 3328163 sec ago Its been more than 50 hours since last call, the CPU utilization data collected may have wrapped around and result in high utilization 1 sec avg: 8 percent busy 5 sec avg: 8 percent busy 60 sec avg: 8 percent busy 300 sec avg: 8 percent busy 如图显示 现在 cpu 的利用律是 8% 利用律最高的时候是发生在 3328163 秒之前。那时 cpu 的利用律是 96% 软件 6操作系统检查 show flash 该条命令在特权模式下使用。用于显示主备管理模块 flash 中存放的操作系统版本。引导文件的版本。 bigiron#show flash Active management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image size = 251628, Version 07.05.04 (M2B07504.bin) Standby management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image Version 07.05.04 (M2B07504.bin) Foundry 设备操作手册 Page 7 of 57 上海竞天科技股份有限公司 如图显示 该机器在 2 个 flash 中 。主 flash 和备 flash 中均使用了版本号为 07.5.05uT53 的软件。并且使用了 M2B07504.bin 版本的引导文件（ bootcode） 7 版本检查 show version 该条命令显示机器当前使用模块的哪个 flash 和使用什么操作系统 。以及机器运行的时间 （最近一次重起到现在为止的时间） .并且显示了模块和机器的序列号。 Bigiron #show version SW: Version 07.5.05uT53 Copyright (c) 1996-2002 Foundry Networks, Inc. Compiled on Nov 20 2003 at 03:30:23 labeled as B2R07505u (3583481 bytes) from Primary B2R07505u.bin HW: NetIron 800 Router, SYSIF version 21 = SL 1: B4GMR4 M4 Management Module, SYSIF 2, M4, ACTIVE Serial #: Non-exist. 8192 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 0, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 1, version 0209 = SL 2: B4GMR4 M4 Management Module, SYSIF 2, M4, STANDBY Serial #: Non-exist. 8192 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 4, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 5, version 0209 = SL 4: B8G Fiber Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 1, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 12, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 13, version 0209 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 14, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 15, version 0209 = SL 5: B8G Fiber Switch Module, SYSIF 2 (Mini GBIC) Serial #: CH05030843 2048 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 16, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 17, version 0209 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 18, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 19, version 0209 = SL 8: B24E Copper Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 2, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 28, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 29, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 30, version 0808 Foundry 设备操作手册 Page 8 of 57 上海竞天科技股份有限公司 = Active management module: 466 MHz Power PC processor 750 (version 8/8302) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 512 MB DRAM Standby management module: 466 MHz Power PC processor 750 (version 8/8300) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 512 MB DRAM The system uptime is 36 days 18 hours 15 minutes 44 seconds The system started at 06:34:46 GMT+08 Thu Feb 19 2004 如图显示 该机器现在使用的是 Primary flash 中的 B2R07505u.bin 版本 。并且已经运行了 36天 18 小时 15 分钟 44 秒。 接口 8 所有接口的简明检查 show interface brief 该条命令用于显示所有端口的简要信息 telnet878hexin1#show interface brief Port Link State Dupl Speed Trunk Tag Priori MAC Name 1/1 Down None None None 1 Yes level0 0004.8017.f100 1/2 Up Forward Full 1G 1 Yes level0 0004.8017.f100 1/3 Up Forward Full 1G None Yes level0 0004.8017.f100 1/4 Up Forward Full 1G None No level0 0004.8017.f100 2/1 Up Forward Full 1G None Yes level0 0004.8017.f120 4/1 Up Forward Full 1G None Yes level0 0004.8017.f100 4/2 Up Forward Full 1G None Yes level0 0004.8017.f100 4/3 Down None None None None Yes level0 0004.8017.f100 4/4 Up Forward Full 1G None Yes level0 0004.8017.f100 4/5 DisabNone None None None No level0 0004.8017.f100 4/6 Up Forward Full 1G None Yes level0 0004.8017.f100 4/7 Up Forward Full 1G None Yes level0 0004.8017.f100 4/8 Up Forward Full 1G None No level0 0004.8017.f100 如图 Foundry 设备操作手册 Page 9 of 57 上海竞天科技股份有限公司 Port 表示端口的位子 Link State 表示链路的状态 up 起来 down 不通 disable 被禁用 Dupllex 表示是否是全双工 Speed 表示接口的速率 Trunk 表示此端口是否与其他端口做了链路棒定 Tag 该端口是否是一个打过标记的端口 Priori MAC 表示该端口的 mac 地址 Name 端口的名称 9 单个接口状态显示 show interface ethernet solt / number 该条命令用于显示单个端口或虚接口的信息 包括状态 ， 收到和发出包的总数。 300 秒内平均 接口上收到和发出的数据量和包的数量。以及收到的一些错误包的信息。并且还显示了该端口的利用率 bigiron#show interface ethe 2/1 GigabitEthernet2/1 is up, line protocol is up Hardware is GigabitEthernet, address is 0004.8017.f120 (bia 0004.8017.f120) Configured speed 1Gbit, actual 1Gbit, configured duplex fdx, actual fdx Member of 173 L2 VLANs, port is tagged, port state is FORWARDING STP configured to ON, priority is level0, flow control enabled mirror disabled, monitor disabled Not member of any active trunks Not member of any configured trunks No port name MTU 1500 bytes, encapsulation ethernet 300 second input rate: 52393320 bits/sec, 9219 packets/sec, 5.37% utilization 300 second output rate: 42003616 bits/sec, 8905 packets/sec, 4.33% utilization 190495871039 packets input, 137190393592587 bytes, 0 no buffer Received 12300155 broadcasts, 12115 multicasts, 190483558769 unicasts 0 input errors, 0 CRC, 0 frame, 43 ignored 0 runts, 0 giants, DMA received 190495620045 packets 197334575599 packets output, 62124697648963 bytes, 0 underruns Transmitted 1792726054 broadcasts, 1196844157 multicasts, 194345005388 unicasts 0 output errors, 0 collisions, DMA transmitted 197334575675 packets mtu: 1518 Foundry 设备操作手册 Page 10 of 57 上海竞天科技股份有限公司 10 接口日常检测其它命令 show interface : 显示所有借口的状态 show ip interface solt/number 显示 3 层物理接口的状态和配置在该接口上的 ip 地址和掩码 show interface pos solt / number 显示 pos 模块上的接口信息 show interface atm solt / number 显示 atm 模块上的接口信息 路由 11 显示路由表 show ip route 该命令显示机 器中的路由表信息 bigiron router #show ip route Total number of IP routes: 814 B:BGP D:Connected R:RIP S:Static O:OSPF *:Candidate default Destination NetMask Gateway Port Cost Type 97 v210 B 1 97 v210 B 2 97 v210 B 3 97 v210 B 4 97 v210 B 如图显示 Destination ： 表示目的网络号 NetMask ： 表示目的网络的子网掩码 Geteway ： 表示去达目的网络的可用网关 Port ： 表示去达目的网络通过的接口 Foundry 设备操作手册 Page 11 of 57 上海竞天科技股份有限公司 Cost ： 表示去达目的网络的路由代价值 Type ： 表示该条路由使用了哪种协议 类型其中： B:表示 BGP 协议 D:表示直连网段 R:表示 RIP 协议 S:静态路由协议 O:表示 ospf 协议 *: 表示缺省路由 12 查看路由信息还有以下常用命令 show ip ospf route 显示 ospf 协议的路由。 show ip static route 显示静态路由。 show ip bgp route 显示 bgp 协议路由。 show ip route 显示缺省路由。 Log 信息 13 检查 log信息 Show log 用于显示机器中的 log 信息 bigiron#show log Syslog logging: enabled (0 messages dropped, 0 flushes, 26 overruns) Buffer logging: level ACDMEINW, 500 messages logged level code: A=alert C=critical D=debugging M=emergency E=error I=informational N=notification W=warning Dynamic Log Buffer (500 lines): Feb 26 02:08:18:N:OSPF intf retransmit, rid , intf addr 7, nbr rid 6, pkt type is link state update, LSA type 1, LSA id , LSA rid Feb 20 06:35:54:N:OSPF intf retransmit, rid , intf addr 7, nbr rid 6, pkt type is link state update, LSA type 5, LSA id 4, LSA rid 29 Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Foundry 设备操作手册 Page 12 of 57 上海竞天科技股份有限公司 Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Foundry 设备操作手册 Page 13 of 57 上海竞天科技股份有限公司 第二部分 数据配置 1 端口物理配置 改变端口速度： 城域网中常用的端口分百兆口和千兆口，对百兆口来说，默认的情况是 10/100M 自适应的，协商也是自动的。可以通过如下命令来改动 bigiron(config)# interface e 3/12 bigiron(config)#speed-duplex 100-full (全双工 100M) 这一点在和其 他厂商互联时，为避免双方的协商问题，通常会强制制定 对千兆口来说，速度是固定的，所以只需改变 802.3x 流控协商方式 bigiron(config)# interface e 1/8 bigiron(config)#gig-default neg-off （缺省为 auto-gig） 给端口加注释 bigiron(config)# interface e 1/8 bigiron(config)# port-name xiaoqu-hexin8000 注释的长度对 bigiron 来说不能超过 255 个字符，对小交 换机来说不能超过 64 个字符 disable 或 enable 开端口 端口在缺省状态下都是打开的，你可以根据需要来禁止它 bigiron(config)# interface e 1/8 bigiron(config)# disable 如果重新打开端口 bigiron(config)# interface e 1/8 bigiron(config)# enable route-only 端口配置了 route-only 后，该端口就无法转发广播包，属于路由器端口，做交换机使用时不建议打开 bigiron(config)# interface e 1/8 bigiron(config)# route-only 配置接口地址 作为路由器使用时，可在端口上直接配置地址 bigiron(config)# interface e 1/8 bigiron(config)# ip address 端口镜像 端口镜像可用来做抓包分析，具体配置如下 首先，指定一个镜像端口，该端口用来接分析仪 bigiron(config)# mirror e 1/7 在要镜像的端口下，打开进 或出的流量 bigiron(config)# interface e 1/8 bigiron(config)# monitor both 端口捆绑 Foundry 设备操作手册 Page 14 of 57 上海竞天科技股份有限公司 端口捆绑可以用来扩展带宽并且提供冗余 ,它允许 2 到 4 个口捆绑在一起 bigiron(config)# trunk switch e 1/7 to 1/8 VLAN 的配置 Vlan 是用来隔离广播域的技术。 Bigiron 支持基于 2 层端口的 vlan ,也支持基于协议的 vlan,常用的就是基于端口的 vlan 创建一个 vlan bigiron(config)# vlan 200 (200 是 vlan ID 号 ) 给 vlan 添加注释 bigiron(config)# vlan 200 name testvlan 给 vlan 添加端口 bigiron(config)# vlan 200 bigiron(config)# untag e 1/7 to 1/8 (untag 指不加 802.1q 标记 ) bigiron(config)# tag e 2/1 （指该端口需要加 8021.q 的标记，通常该端口需要和其他 vlan 公用，加标记就是为区分）下图就是未加标记的包和加了 802.1q 的 包的区别 如果希望在不同的 vlan 之间通信的话，就需要在 vlan 上创建一个虚接口，通过这个虚接口，不同的 vlan 用户之间才能通信 给 vlan 添加一个 virtual interface(VE)虚接口 bigiron(config)# vlan 200 bigiron(config)# router-interface ve 200 给虚接口 ve 配置一个 IP 地址 bigiron(config)# interface ve 200 bigiron(config)# ip address Foundry 设备操作手册 Page 15 of 57 上海竞天科技股份有限公司 2 路由配置 RIP 是 routing information protocol 的简称。它是所有路由协议中最简单的协议。 RIP 是基于距离矢量算法的协议，他的协议信息封装在 UDP 数据报文中。 当路由器启动后，首先通过运行 RIP 协议的接口分别向外发送一个 RIP request 报文。在此以后，每隔 30 秒向外发送一次更新报文。对于某一条从其他路由器学习的路由信息，如果在 180 秒内没有收到这条路由信息的更新报文，就将这条路由信息标志为不可达，若在其后 120 秒内仍未收到更新报文，就将 该条路由从路由表中删除。 RIP 使用跳数（ Hop Count）来衡量到达目的网段的距离，称为路由代价。在 RIP 中，路由器和它直接相连网络的跳数是 0，每通过一个路由器跳数加一， RIP 规定 metric 取值 0-15，大于或等于 16 的跳数被定义为无穷大，即目的网络不可达。 RIP 包括 RIP-1 和 RIP-2 两个版本， RIP-2 支持可变长掩码和认证， RIP-1 不支持，目前，主要采用 RIP-2 为防止 RIP 协议产生环路， RIP 采用了一些措施来提高这方面的性能： RIP 支持水平分割（ split horizon）和 Poison reverse. 尽管 RIP 协议存在一些缺陷，但在简单的网络中， RIP 协议可以很快收敛，另外， RIP 协议配置简单，易于使用。 RIP 协议的配置方法如下： 在全局启动 RIP 协议 bigiron(config)#router rip 在接口上配置 rip 协议，注意，对端设备也要配置相同的协议，才能保证正常通信 NetIron(config-if-1)# int e 2 NetIron(config-if-2)# ip addr 01 NetIron(config-if-2)# ip rip v2-only 接口上可以指定 RIP 的版本 其他和主机相连的接口无需指定 RIP 协议 配置 OSPF OSPF(Open Shortest Path First)是一个自治系统内部路由协议，用于在单一自治系统 (autonomous system,AS)内计算产生路由。与 RIP 等距离向量路由协议不同的是， OSPF 是基于链路状态的路由协议。它能够在网络链路变化时快速产生新路由，并能够管理比 RIP 范围更大的网络自治系统。 OSPF 协议从命名上看，显然它有两个基本特点。首先它 是开放的，区别于 CISCO 的 IGRP，EIGRP 协议，所以它被更广泛的应用。第二个特点就是 OSPF 协议使用最短路径优先（ SPF）算法进行路由计算工作。也就是我们在图论所说的 Dijkstra 算法。 OSPF 是自治系统内部使用的链路状态路由协议， OSPF 通过路由器之间通告链路状态信息（ LSA），来建立链路状态数据库，然后就可以根据 SPF 算法计算出到每个结点的最短路径树了，进而可计算出路由。它的工作方式与我们熟悉的 RIP 和 IGRP 协议不同， OSPF 只须发送当前结点到相邻结点的路由结构信息，而 RIP 和 IGRP 需要结 点把自己保留的路由表或路由表的一部分全部发送到相邻结点，相邻结点根据这些信息更新自己的路由表，显然 OSPF 协议发送的信息量少，而 RIP 的发送的信息量较多。在通告的链路状态结构中， OSPF 协议支持 IP 子网结构。 OSPF 使用 Hello 协议向相邻的路由器定期发送一个问候包，缺省是 10 秒，并接收邻居路由器发来的 hello 信息。这个 hello 包不但可以帮助路由器在初始工作时了解相邻结构，而且可以在Foundry 设备操作手册 Page 16 of 57 上海竞天科技股份有限公司 运行中了解相邻路由器的工作情况，如果相邻的路由器关机了，或链路不通了，就不会从相应邻居那里收到回应 hello 信息了 , 从而能够很快知道哪些路由器不能工作了，能够对网络拓扑结构的变化做到快速反应。 如果网络支持多个路由器，通过 Hello 协议可以实现在一个网段的诸多 OSPF 路由器中选择一个主控路由器 DR 和一个备份路由器 BDR，在进行链路数据库同步时，由主控路由器向整个网络发送 LSA, 以减少流量开销。 可以通过在接口上设置优先级来决定哪个路由器成为 DR, 如果两个邻居优先级相同时，那个 routerid 最高的路由器将作为 DR, 次高的作为 BDR OSPF 允许将自治系统内的网络划分成区域来管理。域间传输更加抽象的链路状态宣告 LSA。这样可以进一步减少网络开销。由此 OSPF 路由器可分为： 1、 内部路由器 :所有端口在同一区域的路由器，维护一个链路状态数据库。 2、 区域边界路由器 (ABR): 具有连接多区域端口的路由器，一般作为一个区域的出口。 ABR为每一个所连接的区域建立链路状态数据库，负责将所连接区域的路由摘要信息发送到主干区域，而主干区域上的 ABR 则负责将这些信息发送到各个区域。 3、 自治系统边界路由器 (ASBR): 至少拥有一个连接外部自治域网络（如非 OSPF 的网络）端口的路由器，负责将非 OSPF 网络信息传入 OSPF 网络。 OSPF 路由器之间交换的链路状态公告 (LSA)信息也相应分为 : LSA TYPE 1,router lsa：由每台路由器为所属的区域产生的 LSA，描述本区域路由器链路到该区域的状态和代价。一个边界路由器可能产生多个 LSA TYPE 1. LSA TYPE 2,network lsa：由 DR 产生，含有连接某个区域路由器的链路状态和代价信息。只有DR 可以监测该信息。 LSA TYPE 3, summary ABR lsa：由 ABR 产生，含有 ABR 与本地内部路由器连接信息，可以描述本区域到主干区 域的链路信息。它通常传送汇总的 OSPF 信息给其他 LSA TYPE 4, summary ASBR lsa：由 ABR 产生，由主干区域发送到其他 ABR, 含有 ASBR 的链路信息，与 LSA TYPE 3 的区别在于 TYPE 4 描述到 OSPF 网络的外部路由，而 TYPE 3 则描述区域内路由。 LSA TYPE 5：由 ASBR 产生，含有关于自治域外的链路信息。除了根区域（ stub 区域） ,LSA TYPE 5 在整个网络中发送。 OSPF 的区域由骨干区域 (域 0)连接，所有区域都必须在逻辑上连接。对于物理上分开的区 域 , 我们提供需连接 virtual link 来使域间具有逻辑上的连通性。 virtual link 的两端必须都是 ABR。 OSPF routerid 的选择 Foundry 的 router id 首先选用配在最低号的 loopback 上的地址 如果没有配置 loopback 地址，那么系统就选用设备上的最小的接口地址 配置 OSPF 需要以下 4 个基本步骤： 1 全局打开 OSPF foundry(config)# router ospf 2 定义一个或多个 OSPF area foundry(config)# router ospf foundry(config)# area 或 area 0 都可以 ,具体的配置格式如下 foundry(config)# area nssa | stub 3 给接口指定 IP 地址和掩码 foundry(config)# int ve 1 foundry(config)# ip add 52 Foundry 设备操作手册 Page 17 of 57 上海竞天科技股份有限公司 4 把接口指定到 area 中 foundry(config-if)# ip ospf area 0 给出一个具体的配置例子： 其他可选的配置参数还有： 等价路径的负载均衡 BigIron(config)#ip load-sharing 4 Foundry 缺省支持 4 条等价路径，最多支持 8 条 路由重分发 foundry(config)# router ospf foundry(config)# redistribution rip foundry(config)# redistribution static Foundry 设备操作手册 Page 18 of 57 上海竞天科技股份有限公司 area 的地址总结 BigIron(config)#router ospf BigIron(config-ospf-router)#area 2 range 2 40 BigIron(config-ospf-router)#area 0 range 4 40 外部路由的地址总结 BigIron(config)#router ospf BigIron(config-ospf-router)#summary-address /22 OSPF stub 域的配置 BigIron(config)#router ospf BigIron(config-ospf-router)#area 3 stub 1 OSPF 路由重分发的过滤 BigIron(config)#router ospf BigIron(config-ospf-router)#permit redistribute 1 rip address /24 BigIron(config-ospf-router)#deny redistribute 2 rip BGP 的配置 BGP（ Border Gateway Protocol）是自治系统之间动态发现路由的协议，是目前唯一可用的外部网关协议（ EGP）。 BGP 协议常用于 ISP 之间。它通过交换带有自治系统号（ AS）序列属性的路径可达性信息，来构造自治区域的拓扑图，为自治系统（ AS）提供一个无环的路由环境。从算法角度来说， BGP 也是距离矢量算法，只不过它是采用 AS 路径来替代了通常意义上的距离，称之为路径矢量算法更合适些。 Foundry 设备操作手册 Page 19 of 57 上海竞天科技股份有限公司 BGP 协议是在 RFC1163、 1267、 1654、 1655 和 1771 中定义的一个 IETF 标准，最新的标准称为 BGP 4，即版本 4， HOS 支 持 BGP-4。 BGP-4 正迅速成为事实上的 internet 外部路由协议标准，其特性描述如下： 与内部协议不同， BGP 协议的侧重点在于控制路由的传播和选择最佳路由，而不在于发现和计算路由。 通过在路由中携带 AS 路径信息来彻底消除路由环路。 使用 TCP 作为其传输层协议，提高了协议的可靠性。 BGP-4 支持无类域间路由 CIDR（ Classless Interdomain Routing）。 CIDR 的引入简化了路由聚合（ Routes Aggregation）。 路由更新时只是 发送增量路由，极大地减少了 BGP 传播路由时所占用的带宽，适合于在internet 上传播大量的路由信息。 BGP-4 提供丰富的路由策略。使得 BGP 便于扩展，以支持 internet 网络的新发展。 BGP 在路由器上以下列两种模式运行： IBGP(InternaI BGP) EBGP(ExternaI BGP) 当 BGP 运行于同一自治系统 (AS)内部时，称为 IBGP；当 BGP 运行于不同自治系统之间时，称为 EBGP。处于不同模式时，协议的运行有所不同，这也是在配置中要注意的一点。其他的 IGP没有类似的概念。 BGP 协议有四类消息： Open Message Update Message Notification Message Keepalive Message Open Message是连接建立后第一个发送的消息，它用于建立 BGP邻居间的连接关系。 Notification Message 是错误通告消息。 Keepalive Message 是用于检测连接有效性的消息。 Update Message是 BGP 系统中最重要的信息，用于在邻居之间交换路由信息，它 最多由三部分构成：不可达路由 (unreachable)、路径属性 (Path Attributes)、网络可达性信息 (NLRI， Network Layer Reachability Inforrnation)。 启动 BGP 协议 启动 BGP 协议时应指定本地的自治系统号。 Foundry(config)# router bgp Foundry(config)# local-as 64982 (64982 指的是自治系统号 ) 要使本地路由器主动向相邻路由器发出 BGP 连接请求，请参照 neighbor 的配置。 BGP协议基于 TCP连接，要与其他设备通讯， BGP必须配置邻居。 这一点与其他路由协议不同。一般的路由协议都能通过类似发送组播包之类的机制自动发现邻居，只有在 NBMA网络上才需要配置邻居。而 BGP的邻居配置是必须的。另外在配置邻居时还需要指定邻居的 AS号，使本设备能决定是建立 IBGP连接还是 EBGP连接。 Foundry(config)# router bgp Foundry(config)#neighbor remote-as 64071 BGP协议中要求 EBGP连接的邻居之间必 须在一个直接相连的子网内，对于一跳之外的 EBGP邻居发来的报文，都会直接丢弃。但是，在有的组网情况下， EBGP邻居不能够在一个直接相连的子网内。针对这种情况 ,需要采用 ebgp-multihop的配置 Foundry(config)#neighbor ebgp-multihop 3 Foundry 设备操作手册 Page 20 of 57 上海竞天科技股份有限公司 向 BGP 发布本网的网络 可以通过 network 命令或 redistribute rip/ospf 来向 bgp 发布本地网络，通常不建议用 redistribute的方式向 BGP 发布路由，而是通过 network 发布 ，最多通过 network 可以指定 600 条，注意，用 network 通告的时候，必须在本地路由表中存在一条和 network 完全一致的路由 Foundry(config)# router bgp Foundry(config)#network BGP 与 IGP 的同步 BGP 协议规定：一个 BGP 路由器不将从内部 BGP 邻居得知的目的地通告给外部邻居，除非该目的地也能通过 IGP 得知的。若一个路由器能通过 IGP 得知该目的地，则可认为路由能在 AS中传播，内部可达性已有 了保证。 BGP 的主要任务之一就是向其它自治系统发布该自治系统的网络可达性信息。 因此， BGP 必须与 IGP(如 RIP、 OSPF 等 )同步来通告路由。同步是指 BGP 必须等待直到 IGP 在其所在自治系统中成功传播该选路信息后，才向其它自治系统通告过渡信息。也就是说，当一个路由器从 IBGP 邻居收到一个关于目的地的更新信息、在把它通告给其它 EBGP 邻居之前，要试图验证该目的地通过自治系统内部能否到达 (即验证该目的地是否存在于 IGP，若 IGP 认识这个目的地，才通告给其它的 EBGP 邻居，否则将把这个路由当作与 IGP不同步 来处理，不进行通告 )。缺省情况下， BGP 与 IGP 是同步的。 使 BGP 与 IGP 同步的简单方法是将 BGP 发现的网络路由导入到 IGP 路由表中，再由 BGP 发布出去。有关 BGP 与 IBGP 同步更详细的描述，请参考有关的 RFC 文档。 在下列情况下，可将边界路由器上的同步选项安全地关掉： 当 AS 中所有的路由器能组成 IBGP 全连通网时。在这种情况下，通过任何边界路由器中的 EBGP得知的路由都可通过 IBGP 自动传递到其它所有路由器， AS 内部的可达性可以得到保证。 当该 AS 不是一个过渡 AS。 要配置 BGP 不与 IGP 同步，请在 BGP 协议配置模式下执行下列命令Foundry(config)# router bgp Foundry(config)#no synchronization BGP的路径属性 BGP 路径属性是用来记录与路由相关的参数的，它可以记录路径的信息、路由的优先级、下一跳、路由聚合信息等等。 BGP 路径属性在 Update 报文中随同 NLRI 信息一起发送，在 BGP 路由过滤和路由选择过程中起作用。每个 Update 报文中携带的路径属性可以不同。每个路径属性由以下三部分组成：路径属性类型、路径属性长度、路径属性数 据。 BGP 路径属性可以分成四类： 1. 强制的（ well-known mandatory）：这种属性每个 Update 报文中必须存在。所有的厂家设备都要能识别。一旦发现收到的报文中少了一个必遵的属性，马上就发送 Notification 报文拆除邻居关系。像 AS_path 就是个必遵属性。 2. 可选的（ well-know discretionary）：这种属性所有厂家设备必须都能识别，但是不要求每个Update 报文都包含。像 Local_Pref 就是个可选属性。 3. 过渡的（ optional transitive）：这种 属性不要求所有厂家设备都能识别。不管是否能识别，在收到后要转发给其他设备。 4. 非过渡的（ optional nontransitive）：这种属性不要求所有厂家设备都能识别。对于不能识别的情况，直接丢弃。 常见的属性有以下这些 Origin（ well-known mandatory， Type Code 1） AS-Path（ well-known mandatory， Type Code 2） Next hop（ well-known mandatory， Type Code 3） Foundry 设备操作手册 Page 21 of 57 上海竞天科技股份有限公司 MED（ optional nontransitive， Type Code 4） Local-Preference （ well-know discretionary， Type Code 5） Atomic-Aggregate （ well-know discretionary， Type Code 6） Aggregator （ optional transitive， Type Code 7） Community （ optional transitive， Type Code 8） Originator_ID （ optional nontransitive， Type Code 9） Cluster List （ optional nontransitive， Type Code 10） MED 属性 多出口鉴别器（ Multiple exit discriminator, MED或 MULTI_EXIT_DISC）属性是在 BGP Update报文中可选的一个路径参数，主要是在自治系统之间交换路由时的一个辅助判别标准。自治系统内部使用本地优先级属性 (LocaI Preference)进行出自治系统路由的选择；而 MED属性用于判断进入该自治系统的最佳路由。当一个运行 BGP的自治系统得到目的地址相同、下一跳不同的多条路由时，在其它条件相同的情况下， MED值最小的路由将被优先选作进入该自治系统的外部路由。在缺省情况下，自治系统的 MED值为 0。 协议要求：路由器通过 EBGP随路由更新收到的 MED，会不做任何改变地传送给所有 IBGP邻居 foundry(config)# router bgp foundry(config)# default-metric 30 比较来自不同自治系统的路由的 MED值 一般情况下，路由器只比较来自同一自治系统路由的 MED属性，不比较来自不同自治系统路由的 MED值。若非得要比较的话，请用“ bgp always-compare-med”命令来实现。缺省情况下，不允许比较来自不同自治系路由的 MED属性值。 foundry(config)# router bgp foundry(config)#bgp always-compare-med 配置本地优先级 local-preference IBGP 收到了其他选择条件一样的路由后，根据 IBGP 的 Update 报文中一个叫 LOCAL_PREF 的路径属性来在 AS 内部区别路由的优先级。我们称为本地优先级。 本地优先级高的优先选择。缺省情况下，本地优先级值为 100 foundry(config)# router bgp foundry(config)# default-local-preference 200 路由聚合 在很多组网情况下， AS内部的网络可以通过无类域间路由（ CIDR（ Classless Interdomain Routing）来聚合成一条路由，从而减少 AS之间路由的数目。 比如以下网络都在一个 AS 1中： /24 /24 /24 /24 我们就可以把它们聚合成 /22的路由通告其他 AS。 在使用路由聚合时要小心确认，包含在聚合路由里的网络是否在一起，不要造成路由重叠的情况。 我们可以利用aggregate-address可以对 BGP路由进行聚合。在配置路由聚合的同时，还可进行一系列参数的配置。 要聚合 BGP路由，请在 BGP协议配置模式下执行下列命令： foundry(config)# router bgp foundry(config)#aggregate-address Foundry 设备操作手册 Page 22 of 57 上海竞天科技股份有限公司 要注意：聚合路由不是配置后马上就产生的。至少得有一条满足在指定范围内的具体路由生效后，才会产生聚合路由。 如果有可用的符合指定范围的具体 BGP 路由，用不带参数的 aggregate address 命令就可以在BGP 路由选择表中创建一条聚合记录。它是本地聚合的，而且设置了原子聚合属性以表示可能在聚合中丢失了信息 (除非指定了 as-set 关键字，否则缺省情况下是设定原子聚合属性的 )。 使用 as-set 关键字可以创建一条聚合记录，该路由的 AS 路径会包含一个 AS 集合，它综合了所 Foundry 设备操作手册 Page 23 of 57 上海竞天科技股份有限公司 有具体路由的 AS路径信息。建议在聚合较多 AS路径时不要使用此关键字，因为当具体路由的 AS路径或可达性信息发生变化时，该路由必须不断撤销和重新更新。 BGP 的路由策略 发送缺省路由 缺省情况下，不向邻居发布缺省路由。使用该命令，向邻居发布缺省路由 foundry(config)# router bgp foundry(config)# neighbor default-originate 将自身作为下一跳 BGP 在向邻居发布路由时，把自身地址作为所发布路由的下一跳。当 BGP 运行于非全连通的网络环境（例如 x.25 和帧中继）时，该功能非常有用，因为在这种网络环境下，某个邻居可能不能直接访问同一子网内的其他邻居。 foundry(config)# router bgp foundry(config)# neighbor next-hop-self 配置邻居的路由策略 foundry(config)# router bgp foundry(config)# neighbor route-map test in/out 案例说明 在目前的城域网中，主要的 BGP配置如下，城域网的连接拓扑见下图 router bgp default-metric 50 local-as 64988 neighbor remote-as 64988 neighbor next-hop-self neighbor update-source loopback 1 neighbor 13 remote-as 65010 neighbor 13 route-map out SETINBOUND network network network network network network network network network network access-list 1 permit 55 access-list 1 permit 55 Foundry 设备操作手册 Page 24 of 57 上海竞天科技股份有限公司 access-list 1 permit 55 route-map SETINBOUND permit 10 match ip address 1 set metric 20 route-map SETINBOUND permit 20 3 安全配置 交换机的安全配置包括访问控制列表 (access control list)，防止 DoS（ deny of service）攻击等 访问控制列表 访问控制列表可以根据源 IP 或目的 IP 以及 TCP/UDP 的应用端口来允许或拒绝数据包。主要分为标准的和扩展的 2 种。 ACL 的 ID 是在全局定义的，而 acl 只有施加到端口才有效。 ACL 的默认行为就是拒绝任何没有明确允许的流量，所以千万不能把一个空的 acl 加到端口下，否则会导致系统无法管理。 Acl也可被用来控制 telnet, web 管理以及 SNMP 访问等 标准访问控制列表的表示符如下： no access-list deny|permit /|log no access-list deny|permit host |log no access-list deny|permit anylog 注意，当添加了 log 后，系统会用 cpu 往 log 添加被拒绝的包的纪录，如果包的数量大的话，Foundry 设备操作手册 Page 25 of 57 上海竞天科技股份有限公司 会导致交换机 cpu 升高，建议平时不要使用 配置一个标准的访问控制列表的例子： BigIron(config)# access-list 1 deny host 6 BigIron(config)# access-list 1 deny host 2 BigIron(config)# access-list 1 deny host IPHost1 BigIron(config)# access-list 1 permit any BigIron(config)# int eth 1/1 BigIron(config-if-1/1)# ip access-group 1 in 扩展的访问控制列表可以根据 IP 协议类型，源和目的 IP 地址以及 tcp/udp 的应用端口来进行控制，其中常见的协议包括： Internet Control Message Protocol (ICMP) Internet Group Management Protocol (IGMP) Internet Gateway Routing Protocol (IGRP) Internet Protocol (IP) Open Shortest Path First (OSPF) Transmission Control Protocol (TCP) User Datagram Protocol (UDP) 表达格式如下： no access-list deny | permit | | established precedence | tos dscp-marking 802.1ppriority-marking 例子： BigIron(config)# access-list 103 deny tcp /24 /24 BigIron(config)# access-list 103 deny tcp /24 eq ftp /24 BigIron(config)# access-list 103 deny tcp /24 /24 lt telnet neq 5 BigIron(config)# access-list 103 deny udp any range 5 Bigiron(config)# int ve 5 Bigiron(config)#ip access-group 5 in 注意，由于 foundry 的 设备结构，建议 acl 只加到设备的 in 方向，不要添加到 out 方向 每个会话的第一个 tcp/udp 包都将由 cpu 处理，另外，所有的基于 icmp 包的 acl 也由 cpu 处理。 (这是针对 ironcore 的结构来说的 ) 防止 DoS 攻击的配置 防止恶性用户对设备发动 tcp sync 攻击 Bigiron(config)# ip tcp burst-normal 10 burst-max 100 lockup 30 系统会在突发大于 10 个包的时候开始丢弃包，如果突发大于 100 的话，系统就会丢弃所有的包。直到过了 30 秒 Foundry 设备操作手册 Page 26 of 57 上海竞天科技股份有限公司 4 策略路由 所谓策略路由，顾名思义，即是根据一定的策略进行报文转发，因此策略路由是一种比目的路由更灵活的路由机制。在路由器转发一个数据报文时，首先根据配置的规则对报文进行过滤，匹配成功则按照一定的转发策略进行报文转发。这种规则可以是基于标准和扩展访问控制列表，也可以基于报文的长度；而转发策略则是控制报文按照指定的策略路由表进行转发，也可以修改报文的 IP 优先字段。因此，策略路由是对传统 IP 路由机制的有效增强。 策略路由一般可应用在如下目的： 1多个 ISP出口的业务网关 2负载分担 3灵活的路由备份 策 略路由是基于 route-map 表、多策略路由表以及多转发表实现的。 Route-map 在路由策略一章时已经介绍，它是由一组 match 子句和 set 子句构成，当需做策略路由的报文匹配route-map 中的 match 子句定义的规则时，将按照 set 子句的配置决定该报文的路由方式，包括控制报文的发送下一跳 ,发送接口以及设置报文的 IP 优先权字段。 在 route-map表中定义规则和报文所使用的转发表表号，当报文匹配规则（包括访问控制列表和报文长度）时，就按照指定的转发表进行路由查找。如果查找成功，则正常转发；如果查找失 败，则继续在系统转发表中查找，成功则继续转发，失败则丢弃报文。 配置策略路由需要以下 3 个步骤 1 定义一个访问控制列表，把你要进行区分的流量整理出来 BigIron(config)# access-list 99 permit 55 2 配置一个 route-map,把策略的目的用语句表达出来 BigIron(config)# route-map test-route permit 99 BigIron(config-routemap test-route)# match ip address 99 BigIron(config-routemap test-route)# set ip next-hop BigIron(config-routemap test-route)# exit 3 把策略添加到接口下 BigIron(config)# interface ve 1 BigIron(config-vif-1)# ip policy route-map test-route 例如，指定 3 段地址，当满足第一段地址时，下一跳是 , 满足第二段时，下一跳是 , 满足第三段时，下一跳是 ，然后在接口 ve1 下添加该策略 BigIron(config)# access-list 50 permit 55 BigIron(config)# access-list 51 permit 55 BigIron(config)# access-list 52 permit 55 BigIron(config)# route-map test-route permit 50 BigIron(config-routemap test-route)# match ip address 50 BigIron(config-routemap test-route)# set ip next-hop BigIron(config-routemap test-route)# exit BigIron(config)# route-map test-route permit 51 BigIron(config-routemap test-route)# match ip address 51 BigIron(config-routemap test-route)# set ip next-hop Foundry 设备操作手册 Page 27 of 57 上海竞天科技股份有限公司 BigIron(config-routemap test-route)# exit BigIron(config)# route-map test-route permit 52 BigIron(config-routemap test-route)# match ip address 52 BigIron(config-routemap test-route)# set ip next-hop BigIron(config-routemap test-route)# exit BigIron(config)# interface ve 1 BigIron(config-vif-1)# ip address /24 BigIron(config-vif-1)# ip address /24 BigIron(config-vif-1)# ip address /24 BigIron(config-vif-1)# ip policy route-map test-route 5 组播 IP通信主要有三种方式：第一种是在一台源 IP主机和一台目的 IP主机之间进行，即单播（ unicast）；第二种是在一台源 IP主机和网络中所有其它的 IP主机之间进行，即广播（ broadcast）；第三种是在属于同一组的主机之间进行，即组播 (multicast)。当要将信息发送给网络中的多个主机而非所有主机时，如果采用广播方式，不仅会将信息发送给不需要的主机而浪费带宽，也可能由于路由回环引起严重的广播风暴；如果采用单播方式，则由于 IP包的重复发送会白白浪费掉大量带宽，也增加了服务器的负载，而组播通信方式则能 有效地解决这种单点发送、多点接收的问题。 IP 组播是指在 IP网络中将数据包以尽力传送（ best-effort）的形式发送到网络中的某个确定节点子集，这个子集称为组播组（ multicast group）。 IP组播的基本思想是：源主机只发送一份数据，这份数据中的目的地址为组播组地址；组播组中的所有接收者都可接收到同样的数据拷贝，并且只有组播组内的主机（目标主机）所在的网段可以接收该数据，网络中其它网段不能收到。组播组用 D类 IP地址（ 55）来标识 IP组播中，使 用 IGMP（互连网组管理协议）作为主机 -路由器之间的组播成员管理协议；主要使用 PIM-SM（协议无关组播协议稀疏模式）、 PIM-DM（协议无关组播协议密集模式）、 DVMRP（距离向量组播路由协议）等协议作为路由器 -路由器之间的组播路由协议。 IANA将 MAC地址范围 01:00:5E:00:00:00 01:00:5E:7F:FF:FF分配给组播使用，这就要求将28位的 IP组播地址空间映射到 23位的 MAC地址空间中，具体的映射方法是将组播地址中的低 23位放入 MAC地址的低 23位，如下图所示。所以一个组 播 MAC地址对应于 32个组播 IP地址。 IGMP（ Internet Group Management Protocol）协议运行于主机和与主机直连的路由器之间，IGMP 实现的功能是双向的：一方面，通过 IGMP 协议，主机通知本地路由器希望加入并接收某个特定组播组的信息；另一方面，路由器通过 IGMP 协议周期性地查询局域网内某个已Foundry 设备操作手册 Page 28 of 57 上海竞天科技股份有限公司 知组的成员是否处于活动状态（即该网段是否仍有属于某个组播组的成员），实现所连网络组成员关系的收集与维护。通过 IGMP，在路由器中记录的信息是某个组播组是否在本地有组成员，而不是组播 组与主机之间的对应关系。 到目前为止， IGMP 有三个版本： IGMPv1（ RFC1112）中定义了基本的组成员查询和报告过程；目前通用的是 IGMPv2，由 RFC2236 定义，在 IGMPv1 的基础上添加了组成员快速离开的机制； IGMPv3 中增加的主要功能是成员可以指定接收或指定不接收某些组播源的报文。 IGMPv2 中指定三种 IGMP 报文：组成员查询报文（ Membership Query），组成员报告报文（ Membership Report）和组成员离开报文（ Leave Group）。 组播路由协议 根据协 议的作用范围，组播协议分为主机 -路由器之间的协议（组播成员管理协议），以及路由器 -路由器之间协议（组播路由协议）。组成员关系协议包括 IGMP（互连网组管理协议）；组播路由协议又分为域内组播路由协议和域间组播路由协议。域内组播路由协议包括PIM-SM、 PIM-DM、 DVMRP等协议，域间组播路由协议包括 MBGP、 MSDP等协议。同时为了有效抑制组播数据在二层网络中的扩散，引入了 IGMP Snooping等二层组播监听机制。 通过 IGMP和二层组播监听机制，在路由器和交换机中建立起直联网段内的组成员关系信息，具 体地说，就是哪个接口下有哪个组播组的成员。域内组播路由协议根据 IGMP维护的这些组播组成员关系信息，运用一定的组播路由算法构造组播分发树，在路由器中建立组播路由状态，路由器根据这些状态进行组播数据包转发。域间组播路由协议根据网络中配置的域间组播路由策略，在各自治系统（ AS， Autonomous System）间发布具有组播能力的路由信息以及组播源信息，使组播数据能在域间进行转发。 组播路由是一个从数据源端到多个接收端的无环数据传输路径，组播路由协议的任务就是构建组播路由即组播数据分发树。通常，根据网路实际 情况此类路由协议又可以稀疏模式和密集模式两大类 稀疏模式基于以下假设：所有主机都默认不接收组播数据，只有明确要求加入的主机才接收，即只向明确要求组播数据的接口转发。接收点如果需要接收某组播数据，必须向该组“汇集点”（ RP， Rendezvous Point）发送加入消息。组播发送时也必须首先向“汇集点”注册。 PIM-SM（协议无关组播协议稀疏模式）是此模式的典型组播路由协议 密集模式组播路由适用于小型网络，其组建过程基于以下假设：当组播源开始发送组播数据时，域内所有的网络节点都需要接收数据，因此采用“扩散 -剪枝”方式（与稀疏模式的“加入 -剪切”方式不同）进行组播数据包的转发。组播源开始发送数据时，沿途路由器向除组播源对应的 RPF（ Reverse Path Forwarding，逆向路径转发）接口之外的所有接口转发组播数据包。然后剪切掉不要组播的分支 PIM-DM（协议无关组播协议密集模式）和 DVMRP（距离向量组播路由协议）是此模式的典型组播路由协议 在组播中，报文是发送给一组接收者的，这些接收者用一个逻辑地址标识。路由器在接收到报文后，必须根据源和目的地址确定出上游（指向组播源）和下游方向，把报文沿着 远离组播源的方向进行转发。这个过程称作 RPF（ Reverse Path Forwarding，逆向路径转发）。 RPF 执行过程中会用到原有的单播路由表以确定上游和下游的邻接结点。只有当报文是从上游邻接结点对应的接口（称作 RPF接口）到达时，才向下游转发，否则丢弃 组播的配置 Foundry 设备操作手册 Page 29 of 57 上海竞天科技股份有限公司 首先需要在全局启动组播功能 BigIron(config)# ip multicast-routing 启动组播路由协议 pim-dm BigIron(config)ip multicast routing BigIron(config)router pim BigIron(config)int e3 BigIron(config)ip address /24 BigIron(config)ip pim 启动组播路由协议 pim-sm PIM-SM（ Protocol Independent Multicast Sparse Mode，协议无关组播协议稀疏模式）是一种典型的稀疏模式组播路由协议。 在 PIM-SM 域中，运行 PIM-SM 协议的路由器周期性地发送 Hello 消息，用以发现邻接的PIM 路由器，并且负责在多 路访问网络中进行 DR 的选举。这里， DR 负责与其直连的组成员向组播树根节点的方向发送 “加入 /剪枝 ”消息，或是将直连组播源的数据发向组播分发树，还负责发起 SPT（最短路径树）切换。同时 PIM-SM 通过设置 “汇聚点 ”（ RP Rendezvous Point）和引导路由器 BSR（ Bootstrap router）向所有的 PIM-SM 路由器通告组播路由信息，控制路由分发树的生成 . 理解共享树和最短路径树 默认情况下，组成员接收的数据都是通过树根为 “汇集点 ”（ RP， Rendezvous Point）的分发树得到组播数 据，发送者总是先将组播数据发送给 RP，然后再由 RP 分发给加入到此分发树的接收者，这种类型的分发树被成为共享树（ Shared Tree，也称 RPT）。如下图所示 . 如果通过叶子路由器的组播数据流量达到一定值，该路由器可以将分发树的根转向源，形成新的转发树，此树叫做最短路径树（ SPT）。 路由器 DR 发现源则会向 RP 注册，发现成员则向 RP 申请加入分发树，成为分发树的叶子 . BigIron(config)ip multicast routing BigIron(config)router pim BigIron(config-pim-router)bsr-candidate eth 2/2 30 255 BigIron(config-pim-router)rp-candidate eth 2/2 Foundry 设备操作手册 Page 30 of 57 上海竞天科技股份有限公司 BigIron(config-pim-router)rp-address BigIron(config)int eth 2/2 BigIron(config)ip address /24 BigIron(config)ip pim-sparse 启动组播路由协议 dvmrp BigIron(config)ip multicast routing BigIron(config)router dvmrp BigIron(config)int eth 2/2 BigIron(config)ip address /24 BigIron(config)ip dvmrp Foundry 设备操作手册 Page 31 of 57 上海竞天科技股份有限公司 第三部分 系统操作 对 foundry 设备的配置可以通过 console 口、 telnet 远程登录、 web 管理方式来进行。当设备是新安装时，必须通过 console 口进行初始配置，给设备设置了 ip 地址以 后，则可采用另外两种方式做配置。 Console 口和 telnet 是通过命令行（ cli）的方式来对设备进行配置或检查设备状态信息。 Web 方式则是图形化的 Web 界面操作。 1 console口 foundry 设备的 console 口是标准的 DB-9 公接头，通过 vt-100 或vt-100 终端仿真软件来连接。出厂连接参数： 9600 波特率、 8数据位、无奇偶校验、 1 停止位、无流控。 连接的线缆采用直通线缆（不是 Null-Modem 线缆）。 另外，该 console 可通过 Modem（调制解调器）方式来连接，这样的话，你就 可以远程电话拨号来连接 console 口。如果在设备端和管理端都具备直线电话，可以方便对设备的控制，特别是在管理 ip 地址误删的情况下，可以保证对设备的配置权。从 console口到 modem 的线缆为交叉的 modem to modem 线缆（通常是DB 9 到 DB 25 线缆） 2 命令行接口（ Cli） Cli 是命令行操作界面，是 console 和 telnet 方式的控制界面。 Foundry 设备操作手册 Page 32 of 57 上海竞天科技股份有限公司 Cli 分为 3 种不同的级别，不同的级别具有不同的控制权利。 User EXEC（用户模式） 你可以显示设备的信息（但不能改变），同时可以执行一 些基本的任务，如：连通性检查的 ping 和traceroute Privileged EXEC（特权模式） 包括了用户模式下的所有命令，另外可以修改部分配置（注意：这些修改的配置不要求保存到系统配置文件，如果要求保存到系统配置文件，则不能在该模式下进行修改），例如：设置系统时钟。 CONFIG（配置模式） 可以对设备进行配置修改，如果要求这些修改后的配置在设备重新启动后仍旧生效，则必须用 write memory 命令把修改的配置保存到系统配置文件。 以上三种配置模式通过相应的命令进行切换： 3 账号设置 账号设置分为“一般账号设置”和“ aaa 账号设置”，“一般账号设置”不含用户名，只须设置密码（最多 3 个账号）；“ aaa 账号设置”可同时设置账号名和密码（最多 16 个账号）。另外，两种方式的密码长度必须在 32 字符以内。 你可以根据自己的要求来决定采用哪种账号设置方式（ aaa 用户模式 特权模式 配置模式 Enable 命令账号信息 Config t 命令 Exit 或 end 命令 Exit 命令 Foundry 设备操作手册 Page 33 of 57 上海竞天科技股份有限公司 authentication 命令用于 aaa 账号设置的验证）。 3.1 一般账号设置（只需设置密码）： 设备初始状态（出厂设置）时，未设置密码。 从用户模式进入特权模式后，根据用户输入的密码可以有不同的权限。 设备可以设置三个不同的 密码，不同级别的密码具备不同的管理权限。 超级用户密码：完全的读写权限，通常由系统管理员使用 BigIron(config)# enable super-user-password SuPswd 端口配置用户密码：允许对端口的配置进行读写。不能改变系统范围内的其它参数。 BigIron(config)# enable port-config-password PCPswd 只读用户密码 允许读设备配置、状态信息。不能修改任何配置： BigIron(config)# enable read-only-password ROPswd 3.2 AAA 账号设置（只需设置密码）： 通过 aaa 账号设置方式，你可以建立本地（最多 16 个）或远程账号（如 radius，账号数量和认证服务器相关， foundry 设备没有限制），每个账号包括用户名和密码。在此列出建立本地账号及应用本地账号的命令。 建立本地账号： 建立本地账号时也可以规定每个账号的权限（超级用户账号、端口配置账号、只读账号设置）。 Foundry 设备操作手册 Page 34 of 57 上海竞天科技股份有限公司 Syntax: no username privilege password | nopassword 其中： privilege 参数指定该账号的权利，有如下三种选项。 0 Full access (super-user) 4 Port-configuration access 5 Read-only access 例如： BigIron(config)# username waldo privilege 5 password whereis 使本地账号生效： Syntax: no aaa authentication snmp-server | web-server | enable | login default 例如： BigIron(config)# aaa authentication enable default local BigIron(config)# username waldo privilege 5 password whereis Method 选项： Table 6.1: Authentication Method Values Method 值 描述 tacacsor tacacs+ 使用 TACACS/TACACS+ server认证 . （需进一步配置 tacacs/tacacs+ 服务器参数） radius 使用 radius server来认证（需进一步配置 radius 服务器参数） local 采用本地建立的账号 （该选项和本节相关） line 使用 telnet 使用的口令。 telnet 使用的口令用 enable telnet password 命令配置。 is enable 略 none 无需认证。用户总是能获得认证成功 4 Telnet/SSH配置 设置 telnet 登录密码： enable telnet password .其中 password 为密码。如果未设置该密Foundry 设备操作手册 Page 35 of 57 上海竞天科技股份有限公司 码，则 telnet 可以不要求认证，用户直接进入 cli 的用户执行模式。如已设置该密码，则用户必须输入该密码（没有用户名要求）才能进入 cli 的执行模式。 另外可以通过 aaa 认证方式，要求用户 telnet 登录时输入 “用户名”“密码”， 如： aaa authentication longin default local username waldo privilege 5 password whereis 用户输入用户名“ waldo”, 和 密码 “ whereis”后，将成功登录。 SSH 配置： Foundry 设备支持 ssh 安全登录方式，配置方法如下： SSH 配置命令： (见 security.pdf 目录： D:hexiaojunproject四川 foundry 技术文档 fastiron II) 1)生成公钥私钥密码对，同时将远程登录调整为 ssh 方式。 BigIron(config)# crypto key generate rsa BigIron(config)# write memory 2)删除公钥私钥密码对；禁止 ssh方式，恢复到 telnet 方式。 BigIron(config)# crypto key zeroize rsa BigIron(config)# write memory 5 SNMP配置 SNMP 配置命令 : FastIron(config)# ip address 5 （设备要求有一个可管理的 ip地址） FastIron(config)# snmp-server contact “Bill Clinton”（配置设备联系方式，该命令可不配置） FastIron(config)# snmp-server location the_white_house（配置设备位置，该命令也可不配置） Foundry 设备操作手册 Page 36 of 57 上海竞天科技股份有限公司 FastIron(config)# snmp-server host 5 *（配置设备 trap server 的 地址及信息的分类， trap server根据 *字段，可对 trap进行分类。该命令必须配置） FastIron(config)# snmp-server community ro （配置设备的可读字符串，该命令必须配置，用于 snmp通信的验证，相当于密码。该密码不具备写的权利，只有读的权利） FastIron(config)# snmp-server community * rw（配置设备的可写字符串，该命令必须配置。用于snmp 通信的验证，相当于密码。该密码具有写的权利） 6 Syslog设置 配置 syslog 相对比较简单，只需说明 syslog 服务器的 ip 地址，此后，系统生成的日志，将发送到该 ip 地址的主机。 logging host *.*.*.* *.*.*.*是日志服务器的 ip 地址 7 权限控制 你可以限制对 web、 telnet、 snmp 的访问。 可以通过单条命令对单台主机进行控制，也可以通过单条命令对一组主机进行控制。 另外，也可以完全关闭部分或全部的服务，禁止所有的用户访问。 一条命令只允许单台机器访问 : BigIron(config)#web-client 9 BigIron(config)#snmp-client 4 BigIron(config)#telnet-client 6 BigIron(config)#all-client 9 for all three types 或一条命令允许一组管理工作站 : BigIron(config)# telnet access-group 10 你也可以完全禁止这些服务的访问 : BigIron(config)#no web-management BigIron(config)#no telnet server BigIron(config)#no snmp-server Foundry 设备操作手册 Page 37 of 57 上海竞天科技股份有限公司 8 软件升级 foundry 设备升级要考虑到两个系统文件的升级。 Boot code（类似 bios） 和 flash code（类似于运行操作系统）。其中 foundry 可以保存两个 flash code（可以是不同版本），可以设置指定设备启动的时候启动哪个版本。要注意的是 flash code 的版本和 boot code 的版本是有关系的，往往较高版本的 flash code 要求较高版本的 boot code。升级 flash code 的时候，要注意 boot code 的一致性。另外就是升级的时候，系统的当前配置不会受影响，升级成功的话，先前的配置仍旧有效。 升级步骤为： 1) 确定系统保存的软件版本信息： show flash 命令输出信息： FastIronshow flash Code Flash Type: AMD 29F016, Size: 32 * 65536 = 2097152, Unit: 1 Boot Flash Type: AMD 29F010, Size: 8 * 16384 = 131072 Compressed Primary Code size = 583323, Version 05.0.01T10（注：第一个 flash code的版本号） Compressed Secondary Code size = 584847, Version 03.8.11T10（注：第二个 flash code的版本号） Boot Image Version 03.02.50 （注： boot code 的版本号） Monitor Image Version 1, for DRAM size 2097152 2) 先备份配置文件和原 boot code 、 flash code 文件 (x.x.x.x 是 tftp server 的 IP 地址 ) #copy startup-config tftp x.x.x.x config0715 #copy flash tftp x.x.x.x boot #copy flash tftp x.x.x.x config0715 secondry（或 primary） 3) 升级 boot code （如果 flash code 要求高版本的 boot code，则先对 boot code 进行升级。否则无需升级 boot code） copy tftp flash x.x.x.x m2b07504.bin boot （用 tftp 上的 m2b07504.bin文件升级 boot Foundry 设备操作手册 Page 38 of 57 上海竞天科技股份有限公司 code） reload （一般要求重新启动） 4) 升级 flash code #copy tftp flash secondry（或 primary）（注：接着会系统提示输入 tftp 服务器的 ip地址、和升级文件名） 5) 命令模式下用新版本引导设备： #boot system flash sec/sec(假如不成功可以通过关开电源恢复到原样 ) 6) 设定启动文件（新升级的版本），并保存配置，重新启动 #conf t boot system flash secondary exit #wri mem # reload 9 硬件板卡更换 foundry 的模块更换分为管理模块更换和接口模块更换。接口模块更换比较简单，因为 foundry 设备支持热插拔，直接拔下旧模块，然后插回新的接口模块就可以了。管理模块更换要复杂一些。如果是单管理模块更换，则设备关电，换上新管理模块，并从先前在 tftp 上保存的配置文件恢复到新管理模 块就可以了。 以下介绍更换管理模块（双管理模块的情况）。 1) 保存当前配置并备份到微机上 wri mem 保存配置：（见 8） 2）确定当前主备模块位置及 flash code/boot code 版本 , show mod Foundry 设备操作手册 Page 39 of 57 上海竞天科技股份有限公司 show flash 4) reset # (#为需要换下的管理模块槽位号 ) 5) reset 以后拔下故障管理模块 6）安装 /插入新管理模块到原槽位 新旧管理模块内存数量是否一样？如不一样，则配置同步不过去， cpu 也会上升到 99% show ver 检查内存是否一样 7）等待系 统文件同步以及新模块启动，业务会有短暂中断。 8）同步 Boot 代码（如果新模块与主模块不一样） sync-standby boot 9） reset 新模块 （让同步后的 boot 代码生效） reset # （ #为更换操作的槽位号） 10）检查主备是否正常 show mod 10 配置文件上传 见“ 8 ”软件升级的第二步，你可以备份配置文件、 boot code 、flash code 文件到 tftp 服务器，也可以从 tftp 服务器下载到foundry 设备 11 数据备份 见“ 8 ”软件升级的第二 步，你可以备份配置文件、 boot code 、Foundry 设备操作手册 Page 40 of 57 上海竞天科技股份有限公司 flash code 文件到 tftp 服务器。也可以从 tftp 服务器下载到foundry 设备 Foundry 设备操作手册 Page 41 of 57 上海竞天科技股份有限公司 第四部分 常用诊断命令 1 show flash show flash命令用于查看交换机存储器中的启动以及系统文件，能够显示出 Foundry交换机所存储的两套软件代码的版本号和文件名称。显示结果如下： #sh flash Active management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image size = 148856, Version 07.02.02 (m2b07202.bin) Standby management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image Version 07.02.02 (m2b07202.bin) 2 show version show version的主要作用是查看交换机当前运行的软件版本 号，另外该命令中还可以查看许多其它的有用信息，可用于对模块及交换机本身的物理诊断： #sh ver SW: Version 07.5.05uT53 Copyright (c) 1996-2002 Foundry Networks, Inc. Compiled on Nov 20 2003 at 03:30:23 labeled as B2R07505u (3583481 bytes) from Primary B2R07505u.bin HW: BigIron 8000 Router, SYSIF version 21 = SL 1: B8GMR Fiber Management Module, SYSIF 2, M3, ACTIVE Serial #: Non-exist. 4096 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 0, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 1, version 0209 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 2, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 3, version 0209 = SL 2: B8GMR Fiber Management Module, SYSIF 2, M3, STANDBY Foundry 设备操作手册 Page 42 of 57 上海竞天科技股份有限公司 Serial #: Non-exist. 4096 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 4, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 5, version 0209 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 6, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 7, version 0209 = SL 3: B8G Fiber Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 1, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 8, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 9, version 0209 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 10, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 11, version 0209 = SL 8: B24E Copper Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 2, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 28, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 29, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 30, version 0808 = Active management module: 400 MHz Power PC processor 740 (version 8/8302) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 256 MB DRAM Standby management module: 400 MHz Power PC processor 740 (version 8/8302) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 256 MB DRAM The system uptime is 67 days 23 hours 16 minutes 14 seconds The system started at 16:16:28 GMT+00 Wed Dec 15 2004 The system : started=cold start 可以看到，在该命令中还显示了交换机上各个模块的类型、工作状态，各模块 CAM表的大小，各管理模块上的内存大小，系统自上次启动以后的 运行时间以及上次启动的原因。 3 show module 该命令用来显示交换机上的所有模块类型及工作状态，在模块工作不正常时应首先用这个命Foundry 设备操作手册 Page 43 of 57 上海竞天科技股份有限公司 令来查看模块的工作状态。其输出如下： #show module Module Status Ports Starting MAC S1: B8GMR Fiber Management Module, SYSIF 2 M3, ACTIV 8 0004.801d.7900 S2: B8GMR Fiber Management Module, SYSIF 2 M3, STAND 8 0004.801d.7920 S3: B8G Fiber Switch Module OK 8 0004.801d.7940 S4: 4 show chassis 是用来显示交换机的机框、电源及风扇的工作状态，由于 Foundry交换机管理模块内部安装有温度传感器，该命令还可以显示交换机当前的运行温度。 #sh chassis power supply 1 ok power supply 2 ok power supply 3 ok power supply 4 not present power supply 1 to 4 from bottom to top fan 1 ok fan 2 ok fan 3 ok fan 4 ok Current temperature : 28.5 C degrees Warning level : 45 C degrees, shutdown level : 55 C degrees Boot Prom MAC: 0004.801d.7900 5 show statistic 这个命令用于查看端口的流量状态，命令的输出结果如下： Ethernet Packets Collisions Errors Port Receive Transmit Recv Txmit InErr OutErr 1/1 191302621930 0 0 0 1/2 164596840010 0 0 0 1/3 58461590567 30196047240 0 0 0 0 1/4 0 0 0 0 0 0 1/5 6928998284 2229892615 0 0 4343 0 1/6 64322816609 79423384951 99174 0 0 0 1/7 12251439173 3019624913 0 0 82 0 1/8 34325533689 4580070287 0 0 0 0 其中第一列是端口号，后面分别是累计的收发包数量、收发的冲突碰撞次数、收发的错误包数量。这个命令常用来检查端口收发两个方向的流量异常问题或物理链路问题。 Foundry 设备操作手册 Page 44 of 57 上海竞天科技股份有限公司 6 show interface brief 在故障诊断中，此命令也是一个常用命令，其输出如下： #sh int b Port Link State Dupl Speed Trunk Tag Priori MAC Name 8/10 Up Forward Full 100M None Yes level0 0004.801d.79e9 To-7513 8/11 Up Forward Full 100M None No level0 0004.801d.79ea KangLeGongWangB 8/12 Up Forward Full 100M None Yes level0 0004.801d.7900 8/13 Up Forward Full 100M None Yes level0 0004.801d.7900 8/14 Up Forward Full 100M None Yes level0 0004.801d.7900 8/15 Up Forward Full 100M None Yes level0 0004.801d.7900 8/16 Up Forward Full 100M None No level0 0004.801d.79ef ShuiChanJu 8/17 Up Forward Full 100M None Yes level0 0004.801d.7900 8/18 Up Forward Full 100M None Yes level0 0004.801d.7900 8/19 Up Forward Full 100M None No level0 0004.801d.79f2 这个命令以摘要的形式将所有端口的有关状态列了出来。第一列是端口号， link为 up表示端口物理上处于工作状态； state为 Forward表示端口处于数据转发状态； Dupl表示端口工作在全双工或半双工状态； Speed表示端口的工作速率； Trunk表示该端口是否参与端口捆绑的配置； Priori为端口的优先级；后面分别是端口的 MAC地址以及端口命名。 7 show interface 这个命令详细地显示了端口的各种配置参数和运行状态，提供了很多有用信息，因此在故障诊断中这个命令也能够提供很大的帮助。该命令的显示如下： #sh int e 8/11 FastEthernet8/11 is up, line protocol is up Hardware is FastEthernet, address is 0004.801d.79ea (bia 0004.801d.79ea) Configured speed auto, actual 100Mbit, configured duplex fdx, actual fdx Member of L2 VLAN ID 3013, port is untagged, port state is FORWARDING STP configured to ON, priority is level0, flow control enabled mirror disabled, monitor disabled Not member of any active trunks Not member of any configured trunks Port name is KangLeGongWangBa Internet address is 61/30, MTU 1500 bytes, encapsulation ethernet 300 second input rate: 338144 bits/sec, 352 packets/sec, 0.38% utilization 300 second output rate: 200120 bits/sec, 356 packets/sec, 0.25% utilization 689535 packets input, 84509354 bytes, 0 no buffer Received 0 broadcasts, 0 multicasts, 689535 unicasts 0 input errors, 0 CRC, 0 frame, 0 ignored 0 runts, 0 giants, DMA received 689536 packets Foundry 设备操作手册 Page 45 of 57 上海竞天科技股份有限公司 692478 packets output, 48538943 bytes, 0 underruns Transmitted 1722 broadcasts, 129 multicasts, 690627 unicasts 0 output errors, 0 collisions, DMA transmitted 692478 packets mtu: 1518 可以看到从该命令的输出结果中能看到端口类型、工作状态、端口名称、端口速率及异常数据包的累计值等，可以为不同类型的故障提供诊断参考。 8 show cpu 这个命令也是最常用 的命令之一，因为大部分的交换机故障常会伴随有 CPU利用率的异常。这个命令的显示结果中分别列出了 1秒、 5秒、 1分钟、 5分钟内的 cpu平均利用率，显示如下： #sh cpu 13 percent busy, from 5041 sec ago 1 sec avg: 11 percent busy 5 sec avg: 11 percent busy 60 sec avg: 12 percent busy 300 sec avg: 12 percent busy 9 show log 交换机通常会将一些 告警信息或日志信息记录在交换机内存中，可以用 show log命令来查看这些信息，以判断故障发生前后交换机上有哪些异常情况。 #sh log Syslog logging: enabled (0 messages dropped, 2 flushes, 3 overruns) Buffer logging: level ACDMEINW, 100 messages logged level code: A=alert C=critical D=debugging M=emergency E=error I=informational N=notification W=warning Dynamic Log Buffer (100 lines): Feb 21 15:47:19:I:startup-config was changed by linyiman from telnet client 36 Feb 21 15:43:26:I:linyiman login to USER EXEC mode Feb 21 15:39:13:I:Interface ethernet8/7, state up Feb 21 15:39:13:N:OSPF originate LSA, rid , area , LSA type 5, LSA id 8, LSA router id Feb 21 15:39:13:N:OSPF originate LSA, rid , area , LSA type 5, LSA id 4, LSA router id Feb 21 15:38:14:I:Interface ethernet8/7, state down 这里要说明的是， log中的时间要首先用 clock set命令来设置，或者配置使用 NTP服务来获取时间；另外交换机缺省只保存 50条记录，如果想增大这个数值，可以用 logging buffered XXX命令来设置，在新的软件版本中最大可设置为 1000条。 Foundry 设备操作手册 Page 46 of 57 上海竞天科技股份有限公司 10 show tech show tech命令类似一个批处理命令，包含了以下几个命 令功能： show configuration show version show interface show statistics show logging dm statistics dm save_area 这个命令是用来收集交换机当前的软件和硬件信息，用户在遇到故障而自己又无法诊断时，可将 show tech的输出结果导出到文本文件（超级终端和 SecurCRT软件都有此功能），供原厂商（ dm系列的命令是原厂商用于诊断交换机的内部命令）或者专业人员参考。 11 ping ping简单易用，在诊断网络连 通性（三层及以下）的故障时是非常有帮助的，常见的网络故障大多数首先要通过 ping来进行定位和定性。 Foundry支持扩展 ping的功能，其支持的参数如下： ping source count timeout ttl verify no-fragment quiet data numeric size brief max-print-per-sec 其中常用的几个参数有： source ping包使用的源 IP地址 count 连续 ping的数据包个数 size ping出的数据包大小，缺省是 16字节 12 traceroute 同 ping一样， traceroute也是网络排错（尤其是路由问题）中较常使用的一个命令。可以根据其输出结果，验证数据包在到达目的地之前经过哪些路由设备，或者被哪个设备丢弃。 13 show mac 查看交换机当前的 MAC地址列表。 #show mac Total active entries from all ports = 2209 MAC Address Port Age DMA Valid Flags VLAN DMA:CAM Index . 00e0.4cdc.8c3c 4/12 90 00000000-0000700c 3014 2:11993 12:11232 0050.1822.8877 4/9 85 00000000-0000700c 3004 2:10447 12:11942 000a.ebce.6bc3 4/12 65 00000000-0000700c 3014 2:12166 12:12018 Foundry 设备操作手册 Page 47 of 57 上海竞天科技股份有限公司 00d0.f850.888d 2/1 0 00000000-0000003c 3054 2:11075 4:11339 注意该命令前面列出了交换机上当前总共学习到的 MAC地址数量， Foundry交换机缺省最多可以学习 8000个 MAC地址。 14 show mac statistic 查看交换机上各个端口的 MAC地址分布情况。 #sh mac statistic Total entries = 3695 Port MAC Address Count: = Slot Ports 1 1 2 3 4 5 6 7 8 77 1 1457 0 1 140 2019 0 = Slot Ports 2 1 2 3 4 5 6 7 8 0 0 0 0 0 0 0 0 15 show mac e x/x 查看某个物理端口上学习到的 MAC地址列表。 #sh mac e 1/2 Total active entries from slot/port 1/2 = 5 MAC Address Port Age DMA Valid Flags VLAN DMA:CAM Index . 00e0.fc37.e831 1/2 0 00000000-0000000f 2006 0:10270 2:10392 0009.b68b.ed18 1/2 0 00000000-00000003 2003 0:10267 0004.8010.df00 1/2 0 00000000-00000003 129 0:10268 00e0.fc37.e831 1/2 0 00000000-00000003 2003 0:10272 0004.8010.df00 1/2 263 00000000-00000000 1981 16 show mac vlan x 查看交换机通过某个 VLAN中学习到的 MAC地址列表。 #sh mac vlan 106 Total active entries from all ports = 2201 MAC Address Port Age DMA Valid Flags VLAN DMA:CAM Index . 00e0.5211.ab80 2/1 0 00000000-00000030 106 4:10439 00e0.5211.ae8c 2/1 191 00000000-00000000 106 00e0.5211.ab9a