NE系列路由器培训课件

1、1引入Quidway NetEngine20（简称NE20）系列路由器作为下一代集中式高速转发路由器，是华为技术有限公司自主开发的面向运营商及企业网的产品系列。NE20系列路由器具备丰富的接入方式和业务特性，既可以在IP骨干网络、城域网中作为汇聚层设备，也可以在边缘网络或企业网中作为核心设备，提供强大的业务和灵活的组网能力。第1页，共89页。2学习目标学习完本课程，您应该能够：了解 NE20系列路由器硬件特性以及单板类型清楚 NE20系列路由器软件特性熟悉 NE20系列路由器组网配置以及基本维护第2页，共89页。3课程内容第一章 硬件规格第二章 软件特性第三章 典型配置第四章 基本维护第3页，

2、共89页。4NE20简介NE20是新一代路由器中的集中式转发产品,其硬件结构是基于NP进行转发,采用了CPU和NP共同处理的机制。硬件平台： CPU+NP硬件平台软件平台： VRP软件平台兼容性：早期的版本可以兼容AR46和Eudemon的部分线卡，但是大部分线卡都不支持第4页，共89页。5NE20与EudemonNE20和Eudemon的外观区别是： E1000借用NE20-4，但颜色不同。NE20为白色E1000为黑色，并添加盾型修饰第5页，共89页。6NE20物理规格无源中置背板，主控板(前插)/NP板(后插)，高度为1.2英寸接口卡高度为1.6英寸(1U), 新的软件平台即将支持热拔插

3、定制电源(板式)后插，高度为1U，电源11备份，支持热插拔定制风扇(板式)后侧插，厚度1U，交/直流供电。支持热插拔。第6页，共89页。7NE20的家族成员包括NE20-8、NE20-4、NE20-2。NE20-8高度5U，支持8个槽位NE20-4高度3U，支持4个槽位。NE20-2高度3U，支持2个槽位。第7页，共89页。8NE20的家族成员NE20-2交换容量：8Gbps包处理能力：3MppsNE20-4交换容量：8Gbps包处理能力：4.5MppsNE20-8交换容量：8Gbps包处理能力：4.5Mpps第8页，共89页。9NE20的家族成员新加入的成员：NE20E：交换容量：16Gbp

4、s包交换能力：6Mpps主控模块：1:1冗余热备NP模块：1:1冗余热备管理总线：1:1冗余热备第9页，共89页。10NE20的槽位分布主控板-slot0接口模块（高/低速）-slot1接口模块（高/低速）-slot2接口模块（低速）-slot3接口模块（高/低速）-slot4接口模块（低速）-slot5接口模块（低速）-slot6接口模块（低速）-slot7接口模块（低速）-slot8风扇NP板电源1电源2NP（网络处理器）：是专门为处理数据包而设计的可编程处理器，它的特点是内含了多个数据处理引擎，这些引擎可以并发进行数据处理工作，在处理2到4层的分 组数据上比通用处理器具有明显的优势。第1

5、0页，共89页。11NE20的接口卡CPU低速接口NP高速交换转 发Logic高速接口低速接口低速接口低速接口高速接口高速接口2G PCI共享数据总线2G D_bus交换总线高速？低速？简单来说，高速接口或者高速卡就是可以直接通过NP进行数据包转发，而低速接口或者低速卡数据包处理必须上送到CPU。第11页，共89页。12NE20的接口卡3个DMU接口NE20-8支持8个PCI卡同一个槽位支持混插只支持PCI卡的槽位均有防误插结构支持三个高速接口(slot1、2和4)，支持高/低速卡混插，并有防误插结构第12页，共89页。13NE20的接口卡高速卡高速卡描述NE-HIC-GE-SFP1端口千兆以

6、太网高速接口模块,SFP接口NE-HIC-2xGE-SFP2端口千兆以太网高速接口模块,SFP接口NE-HIC-8xFE-RJ458端口百兆以太网高速接口模块（RJ45）NE-HIC-4xFE-RJ454端口百兆以太网高速接口模块（RJ45）NE-HIC-2xFE-RJ452端口百兆以太网高速接口模块（RJ45）NE-HIC-8xFE-SFP8端口百兆以太网高速接口模块(SFP光口)NE-HIC-4xFE-SFP4端口百兆以太网高速接口模块(SFP光口)NE-HIC-2xFE-SFP2端口百兆以太网高速接口模块(SFP光口)NE-HIC-STM1/POS-SFP1端口POS/155M高速接口模

7、块(SFP)NE-HIC-2xSTM1/POS-SFP2端口POS/155M高速接口模块(SFP)NE-HIC-4xSTM1/POS-SFP4端口POS/155M高速接口模块(SFP)第13页，共89页。14NE20的接口卡低速卡低速卡描述NE-FIC-2xFE-RJ452端口十/百兆以太网电接口模块（RJ45）NE-FIC-FE-MM/1310-2km-SC1端口百兆多模光接口以太网模块(1310nm,2km, SC)NE-FIC-4xE1-120ohm4端口-E1-DB68-120ohm-接口模块NE-FIC-4xE1-75ohm4端口-E1-DB68-75ohm-接口模块NE-FIC-8

8、xE1-120ohm8端口E1 DB68 120ohm接口模块 NE-FIC-8xE1-75ohm8端口E1 DB68 75ohm 接口模块 NE-FIC-4xcT1-100ohm4端口-通道化 T1-DB68-100ohm-接口模块NE-FIC-4xcE1-75ohm4端口-通道化 E1-DB68-75ohm-接口模块NE-FIC-4xcE1-120ohm4端口-通道化 E1-DB68-120ohm-接口模块NE-FIC-8xcT1-100ohm8端口-通道化T1-DB68-100ohm-接口模块注：NE-FIC-2xFE-RJ45逐步将被NE-HIC-2xFE-RJ45所取代第14页，共8

9、9页。15NE20的接口卡低速卡低速卡描述NE-FIC-8xcE1-75ohm8端口-通道化 E1-DB68-75ohm-接口模块NE-FIC-8xcE1-120ohm8端口-通道化 E1-DB68-120ohm-接口模块NE-FIC-CE31-端口E3/CE3兼容接口模块-SMB接口NE-FIC-CPOS-E1路由器1端口155M cPOS E1制式模块-(SFP）RT-FIC-4SAE4端口增强型同/异步接口模块(DB28)NE-FIC-SMT1/ATM-MM/1310-2km-SC1端口ATM/155M多模光接口模块(1310nm,2km,SC)NE-FIC-SMT1/ATM-SM/13

10、10-15km-SC1端口ATM/155M单模光接口模块(1310nm,15km,SC)NE-FIC-SMT1/ATM-SM/1310-30km-SC1端口ATM/155M单模长距离光接口模块(1310nm,30km,SC)NE-FIC-ATM-E31端口ATM over E3接口模块-SMB接口注：NE-FIC-CPOS-E1是新增加的单板，部分功能仍在完善中。NE-FIC-ATM-E3属于受控销售，需要特别申请。第15页，共89页。16高速卡和低速卡的区分方法高速的2FE和低速的2FE如何区分？外观上，拉手条上表示的FIC的是低速2FE，HIC开头的是高速2FE卡。在命令行中，使用disp

11、lay version 命令后，对应的板卡信息中的board的字段信息中，用 rtb表示的为低速2FE，为rtm表示的为高速2FE。判断方法可以应用在其他接口卡的判别上。第16页，共89页。17 NE20的硬件转发流程高速卡之间转发，CPU不参与，NP查表，直接转发高/低速卡之间转发，NP查表，经过一次DeviceBUS低速卡之间转发，NP查表，经过两次DeviceBUS目前不支持没有NP板的情况NP负责所有的转发表查找及部分业务处理第17页，共89页。18基本转发原理第18页，共89页。19基本转发过程低速接口与低速接口之间报文转发。CPU从低速接口收到报文后，做适当处理交给NP，NP查找F

12、IB，发现出接口是低速接口，发给CPU从低速接口发送出去。低速接口与高速接口之间转发。 CPU（NP）从低速接口收到报文后，做适当处理交给NP，NP查找FIB，发现出接口是高速接口，NP直接处理。从高速接口收到报文后， NP查找FIB，发现出接口是低速接口，发给CPU从低速接口发送出去。高速接口与高速接口之间转发。由NP查找FIB直接处理。第19页，共89页。20NE20的硬件告警指示灯绿色为正常，正常时除了RPU灯1秒左右的频率闪烁外，其他指示灯均常亮；红色为异常CP板（前）：通过前面板，可以监视到所有部件的运转RPU(主控板指示灯)：RUN、ALMNPU(NP板指示灯) ：RUN、ALMF

13、AN(风扇指示灯) ：RUN、ALMPWR1(电源1指示灯) ：RUN、ALMPWR2(电源2指示灯) ：RUN、ALMNP板（后）：RUN、ALM电源板（后）：RUN、ALM、AC OK(交直流电源指示)第20页，共89页。21NE20硬件知识小结NE20的硬件知识：四位家族成员高速/低速槽位分布高速卡和低速卡的类型指示灯的识别第21页，共89页。22课程内容第一章 硬件规格第二章 软件特性第三章 典型配置第四章 基本维护第22页，共89页。23软件架构VRP：路由、MPLS、VPN、安全等VRP适配(ADM)设备管理(SRM)NPS & NP可测试性(DBG)添加、拨号、X25、ISDN、

14、防火墙特性高层软件产品软件第23页，共89页。24版本信息NE20到目前为止，对外发布的版本主要分为一下两个主线版本：B03版本：主要为03xx版本，如0330等。这些版本较老，基本已经不再维护，可以直接升级到目前最新的B05版本。B05版本：主要为05xx版本，如0521等。是目前主要使用的版本，比起B03来，增加了大量的特性，并且在系统稳定性上也有了很大的提高。我们所说的03xx或者05xx为对外版本号，一般为4位。如果是解决问题或者增加特性的补丁版本，一般就不止4位，格式为05xxspxx，如0521sp04等，也可以写作0521.04。第24页，共89页。25版本信息如何判断版本信息？

15、ne20display version Huawei Versatile Routing Platform Software VRP (R) Software, Version 3.30, Release 0521.04 Copyright (c) 2002-2006 HUAWEI TECH CO., LTD. Quidway NetEngine 20-4 Router uptime is 0 week(s), 0 day(s), 0 hour(s), 34 minute(s) 从上面的版本信息可以看到版本为0521.04，即为B05版本中的0521版本的第四个补丁版本。第25页，共89页。2

16、6版本比较单板B03版本B05版本FE单板支持支持ATM单板支持支持E1/cE1单板支持，但是逻辑较老，容易出问题支持，逻辑已经修改，非常稳定POS单板支持，但是逻辑较老，容易出问题支持，逻辑已经修改，非常稳定cPOS单板不支持新版本（0521.03）开始支持B05版本不仅增加了部分单板，而且对于已有单板的逻辑进行了修改，使其更加稳定，满足客户长时间大流量运行的需要 。强烈建议在可能的情况下都升级到最新的B05版本！第26页，共89页。27软件基本特性网络互连IP和IP性能路由协议安全MPLS/VPN拨号/可靠性网络管理第27页，共89页。28软件基本特性版本特性特性说明网络互联支持Ether

17、net、VLAN支持PPP、多链路绑定、链路质量检测，支持PPPoE Server支持HDLC支持Frame Relay、X.25、X.25交换、X.25 over TCP支持ATM、PPPoA、PPPoEoAIP和IP性能支持IP转发、IP报文选项、IP地址管理、IP地址借用支持IP组播、ICMP、单播策略路由、组播策略路由、FIB表支持TCP、UDP协议支持ARP、代理ARP支持IP 地址借用支持静态域名解析支持DHCP服务器、DHCP中继功能支持Van Jacobson TCP报文头压缩路由协议支持静态路由支持动态路由协议（RIP、IS-IS、OSPF、BGP、MBGP），并支持路由之间

18、的相互引入支持IP路由策略支持路由迭代、路由管理第28页，共89页。29软件基本特性版本特性特性说明安全支持本地用户管理、计费支持RADIUS认证、授权、计费支持HWTACACS认证、授权、计费支持域的认证、授权、计费支持标准、扩展ACL规则支持基于接口、时间段的ACL规则支持自动深度优先排序MPLS/VPNMPLS基本能力（LDP、LSPM）支持L2TP协议，作为LAC或LNS支持GRE协议（兼容多种路由协议），承载MPLS报文支持MPLS/BGP VPN拨号/可靠性支持基于AUX口的拨号支持点对点、点对多点呼叫支持VRRP协议网络管理支持标准网管 SNMPv3，并且兼容SNMPv2c、SN

19、MPv1支持私有MIB第29页，共89页。30新增重要特性新增特性开始支持的版本BT限速0520.03L2tp0520.03AAA RADUIS0520.03策略路由0520.03注：L2tp和策略路由在0520.03版本之前也支持，但是从0520.03开始，实现方式有了很大的不同，因此将其特别提出。第30页，共89页。31BT简介BT是什么？BT：BT是一种用来进行文件下载的共享软件，全名叫BitTorrent。BT首先在上传者端把一个文件分成了Z个部分，甲在服务器随机下载了第N各部分，乙在服务器随机下载了第M个部分，这样甲的BT就会根据情况到乙的电脑上去拿乙已经下载好的M部分，乙的BT就会

20、根据情况去到甲的电脑上去拿甲已经下载好的N部分，这样就不但减轻了服务器端得负荷，也加快了用户方（甲乙）的下载速度，效率也提高了，更同样减少了地域之间的限制。比如说丙要连到服务器去下载的话可能才几K，但是要是到甲和乙的电脑上去拿就快得多了。所以说用的人越多，下载的人越多，大家也就越快，BT的优越性就在这里。而且，在你下载的同时，你也在上传（别人从你的电脑上拿那个文件的某个部分），所以说在享受别人提供的下载的同时，你也在贡献。第31页，共89页。32BT带来的影响带宽利用模式的影响，一般来说上下行带宽是不均衡的，比如ADSL，如果不限速，下行比上行大的多，但是有了BT，情况大变，经常遇到上行大于下

21、行的情况；由于BT应用中，每个Downloader会把自己的一些信息发到Tracker上，这样存在用户安全方面的很大隐患，很容易被黑客侵入；部分采用防火墙的网络用户不能使用BT，端口号被封；运营商对BT有些恼火，这个软件确实病态，蚕食带宽非常厉害。NE20为了解决企业网用户中BT下载泛滥的情况，特别提出了解决方案：BT限速！第32页，共89页。33BT限速针对目前网上运行的BT业务，出现了各种各样的BT种子以及相应的客户端软件。总结一下，用于BT下载业务的承载报文主要有三种：TCP，带选项的TCP报文，UDP报文。NE20通过识别报文中的协议字段，可以对这三种类样的承载报文都进行限速。目前NE

22、20的BT限速是和NAT在一起实现的。操作命令配置NAT限速nat car-class class-number bandwidth配置NAT限流nat connection-class class-number conn-number配置NAT BT限速nat car-bt cir cir-value配置NAT限流、限速及BT限流 nat flow-control acl-number connect-number conn-class | car-source-ip car-class | car-bt 第33页，共89页。34BT配置举例例1（三个动作一起配置、删除）：Quidwayna

23、t flow-control 2000 connection-number 1 car-source-ip 2 car-bt 该命令便是三个动作一起配置，ACL为2000，限流（连接数限制）等级为1，限速（IP带宽）的等级为2，同时还有限BT流量的功能。 Quidwayundo nat flow-control 2000 connection-number car-source-ip car-bt 该命令是一次删除三个动作：限流（连接数限制）、限速（IP带宽）及BT流量的限制。例2（单个动作的配置和删除）Quidwaynat flow-control 2000 connection-numbe

24、r 1 该命令用来配置限流（连接数限制），等级为1。Quidwayundo nat flow-control 2000 connection-number 该命令是一次删除一个动作（限流（连接数）三个动作（NAT限流（连接数限制）、限速及BT限流）的配置和删除可以任意组合。第34页，共89页。35L2tp简介L2TP协议提供了对PPP链路层数据包的通道（Tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上，并采用包交换网络技术进行信息交互，从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的优点，成为IETF有关二层隧道协议的工业标准。远端分支机构tunnel远

25、端用户LACLNS服务器第35页，共89页。36L2tp的配置序号新版本配置过程（从0520.03开始）旧版本配置过程1创建Loopback接口2配置LNS侧的L2TP连接配置LNS侧的L2TP连接3配置LNS侧的用户验证配置LNS侧的用户验证4为接入用户分配地址为接入用户分配地址注：以前的版本做L2tp的时候都是软件转发，现在可以通过配置Loopback接口，将L2tp隧道关联到Loopback接口，从而实现快速转发。第36页，共89页。37L2tp的相关配置命令步骤操作命令1进入系统视图system-view2创建Loopback接口interface loopback interface

26、-number3配置Loopback接口的ip地址ip address ip address 创建Loopback接口配置LNS侧的L2tp连接步骤操作命令1进入L2TP组视图l2tp-group group-number2设置通道对端的名称（L2TP组不为1）allow l2tp virtual-template virtual-template-number remote remote-name 3配置L2TP组指定环回接口tunnel destination loopback interface-number第37页，共89页。38L2tp相关配置命令 配置LNS侧的用户认证步骤操作命令

27、1进入L2TP组视图l2tp-group group-number2强制LCP重新协商mandatory-lcp3强制本端CHAP验证mandatory-chap4进入AAA视图aaa5设置用户名及密码local-user user-name password simple | cipher password为接入用户分配IP地址步骤操作命令1进入AAA视图aaa2配置分配的IP地址ip pool pool-number first-address last-address 第38页，共89页。39AAA简介AAA是Authentication（认证）、Authorization（授权）和Ac

28、counting（计费）的简称。它提供对用户进行认证、授权和计费三种安全功能。具体如下：认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。授权（Authorization）：授权用户可以使用哪些服务。计费（Accounting）：记录用户使用网络资源的情况。AAA一般采用客户/服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。第39页，共89页。40AAA RADUIS的相关配置序号操作命令1创建RADIUS服务器模板radius-server template template

29、-name 2配置RADIUS认证服务器radius-server authentication ip-address port 3配置RADIUS计费功能radius-server accounting ip-address port 4配置RADIUS服务器的协议版本radius-server type standard | portal 5配置RADIUS服务器的密钥 radius-server shared-key key-string 6配置RADIUS服务器的用户名格式radius-server user-name domain-included第40页，共89页。41策略路由简介

30、与单纯依照IP报文的目的地址查找路由表进行转发不同，策略路由是一种依据用户制定的策略进行路由选择的机制，可应用于安全、负载分担等目的。NE20策略路由支持基于到达报文的源地址、地址长度等信息，灵活地指定路由。 策略路由的配置一般按照以下三个步骤：首先定义需要使用策略路由的报文；然后为这些报文指定路由；最后在接口下应用策略路由。第41页，共89页。42新旧版本策略路由的比较操作新版本命令(从0520.03开始）旧版本命令设置报文下一跳的规则remark ip-next-hop ip-address interfaceremark ip-next-hop ip-address interfacer

31、emark ip-nexthop ip-address interface ip-address-backup interface-backup remark ip-nexthop ip-nexthopaddress interface up-down-check 定义策略traffic policy policy-nameqos policy policy-name将策略应用在接口下traffic-policy policy-name outbound | inbound qos apply policy policy-name outbound | inbound 第42页，共89页。43

32、新版本策略路由的说明如果只有一个下一跳的地址，采用基本的路由策略配置就足够了。一旦这个接口DOWN了，转发到这一个接口将会被丢弃。如果up-down-check参数被配置了，系统在转发数据包之前，将会检查下一跳接口的状态。如果状态是UP,数据包将正常转发。否则的话，系统将查找路由表转发数据。如果有一个备份的下一跳，可以采用策略路由的备份功能。在数据包被转发之前，系统将检查主用外网口的状态。如果状态是UP,数据包将正常转发。否则的话，系统将检查备用外网口的状态。如果状态是UP，数据包将采用备用外网口进行转发。如果两个接口的状态都是DOWN的，系统将查找路由表转发数据包。第43页，共89页。44N

33、E20软件特性小结版本信息 B03版本 B05版本基本特性新增特性BT限速L2tp的新实现AAA RADUIS策略路由的实现方式第44页，共89页。45课程内容第一章 硬件规格第二章 软件特性第三章 典型配置第四章 基本维护第45页，共89页。46NE20典型组网应用（一）NE80/40NE80/40省骨干层地市接入层NE20国家骨干POSGEATMNE20NE20NE20NE20NE16E/08E城域网GE专线用户E1/DDNVPN用户骨干层采用NE80/40核心路由器，地市节点采用NE20；NE20接入专线及VPN用户；用户采用AR46系列与运营商相连。AR46第46页，共89页。47NE

34、20典型组网应用（二）千兆GE155M ATM155M POSE1L2tp拨号连接企业网核心节点NE20AR46AR46AR28AR46R3600第47页，共89页。48NAT简单配置举例FTP serverWWW server1WWW server2SMTP server内网PC外网PCNE20第48页，共89页。49NE20 NAT简单配置一个公司通过路由器的地址转换功能连接到广域网。要求该公司能够通过路由器串口3/0/0访问internet，公司内部对外提供www、ftp和smtp服务，而且提供两台WWW的服务器。公司内部网址为/16。其中，内部ftp服务器地址为，内部www服务器1地址

35、为，内部www服务器2地址为，内部smtp服务器地址为，并且希望可以对外提供统一的服务器的IP地址。内部/24网段可以访问Internet，其它网段的PC机则不能访问Internet。外部的PC可以访问内部的服务器，并且内部用户也能通过公网地址访问内部服务器。公司具有00至 05六个合法的IP地址。选用00做为公司对外的IP地址，www服务器2对外采用8080端口。第49页，共89页。50NAT BT限速的配置FTP serverWWW server1WWW server2内网PC外网PCNE20联通网络电信网络第50页，共89页。51NAT BT限速的配置一个公司通过路由器的地址转换功能连接

36、到广域网。要求该公司能够通过路由器以太口0/0/0连接到电信的internet网络，通过路由器以太口0/0/1连接到联通的internet网络，公司内部对外提供www服务，而且提供三台WWW的服务器，联通和电信internet网络的外部用户可以通过路由器来访问公司内部提供的www服务。公司内部网址为/16。其中，内部www服务器1地址为，内部www服务器2地址为，内部www服务器2地址为，并且希望可以对外提供统一的服务器的IP地址。内部/24网段可以访问电信的Internet网络，其它网段的PC机则不能访问Internet，且对这部分用户的进行限制：一个用户最多可以建立300个连接（限流），每

37、个用户的最大带宽为1Mbps（1048576 bps），并且对这部分用户的BT下载业务进行限速，整体限速在30M（30720kbps）以内。公司具有00至 07七个合法的IP地址。选用00做为公司对外的连接联通internet网络的IP地址，选用01做为公司对外的连接电信internet网络的IP地址，www服务器对外采用80端口。第51页，共89页。52L2tp的配置tunnel出差员工LAC（NE20）LNS（NE20）Server用户通过缺省域（域名为default）接入，使用缺省的本地认证，从地址池分配地址。这种方式下，LNS侧在AAA视图下配置地址池。本例中LAC侧的Ethernet

38、1/0/0串口是用户接入接口，与通道相连的串口IP地址为，LNS侧与通道相连接的串口的IP地址为，作为L2TP隧道终点loopback口的IP地址，虚拟模板的IP接口地址为。第52页，共89页。53AAA RADIUS的配置被访问网络用RADIUS服务器进行认证。用户所属的域为huawei。RADIUS服务器6作为主认证和计费服务器，RADIUS服务器7作为备用认证服务器和计费服务器，认证端口号默认为1812，计费端口号默认为1813。第53页，共89页。54策略路由的简单配置NE20局域网通过NE20系列路由器和Internet连接，定义一条名为mypolicy的策略路由，所有从Ethern

39、et3/0/0接口接收的TCP报文都由串口Serial1/0/0发送到Internet，而其它报文仍按照查找路由表的方式转发。 第54页，共89页。55QoS的配置NE20有A，B，C三个用户网络通过以太网交换机汇聚后与ISP的NE20系列通用交换路由器接入Internet。A用户流量不保证带宽，且不得超过40M。B用户流量不保证带宽，且不得超过30M。C用户流量不保证带宽，且不得超过30M。第55页，共89页。56双出口的典型配置NE20CernetTelcom内网正常上网用户Cernet ServerTelcom Server校园内部全部分配 cernet 地址段，因此cernet出口不做

40、NAT，电信出口做NAT。校园网用户通过cernet 出口访问免费地址段不收费，访问其它地址段收费。因此必须保证普通用户上网除免费地址段外，访问其它地址走电信出口。如果电信出口中断，也不将流量备份到cernet出口。配置基于包过滤防火墙 第56页，共89页。57典型配置小结NATNAT BTL2tpAAA RADIUS策略路由QoS企业网双出口的应用第57页，共89页。58课程内容第一章 硬件规格第二章 软件特性第三章 典型配置第四章 基本维护第58页，共89页。59版本配套说明产品子项版本说明主机软件NE20-VRP330-0521.04.binBootROM软件Small_sbg.bin

41、（1.13）Big.bin （2.01）网管软件iManager NSM (COMP) V300R001B06D011iManager NSM (DMA) V300R001B03D017NE20-VRP330-0521.04.bin是NE20系列路由器的主机软件，可通过XModem、FTP和TFTP方式进行动态加载。Big.bin是NE20系列路由器的路由处理板（RPU）的主系统BootROM文件，打包到主机软件中，可实现BootROM的动态加载。当NE20路由器RPU板主系统的BootROM软件升级时，通过在线方式自动写到BootROM芯片中，无需更换BootROM硬件。Small_sbg.

42、bin是NE20系列路由器的路由处理板（RPU）的小系统BootROM文件和内部固化文件的打包集成，直接通过烧片机写到BootROM芯片中，在单板启动时提示相关信息。第59页，共89页。60两种升级方式在线升级步骤操作命令1指定启动版本文件startup system-software system-software.bin2指定启动配置文件startup saved-configuration configuartion-file3重新启动reboot通过BootRom菜单进行升级第60页，共89页。61基本维护命令命令说明display diagnostic-information显示诊断

43、信息display version 显示版本信息display current-configuration 显示当前配置信息display saved-configuration 显示保存配置信息display system restart显示系统重启信息display startup显示系统启动信息display logbuffer显示系统缓存信息display fib显示fib表项信息第61页，共89页。62NAT的维护NE20 NAT是通过NP硬件实现的，同软件NAT不一样，其实现机制受到NP的限制，因而在配置上有一些特殊的要求，配置不合理就会导致NAT故障。配置地址池时必须指定掩码，其

44、目的是使用（地址池地址，掩码）查路由表，在相匹配的路由表上打上“NAT标记位”。在路由表中必须有与地址池相匹配的路由。有两种情况：如果地址池同NAT出接口地址在同一网段，则不必单独再配置地址池的路由；如果地址池同NAT出接口地址不在同一网段，则必须单独为地址池配置一条指向本机的路由，路由的掩码必须同地址池掩码一样，下一跳可以配置为指向NULL0。display firewall session table显示NAT表项信息display firewall session statistic显示NAT统计信息display firewall servermap显示NAT Server表项第62页

45、，共89页。63NAT故障排除NAT配置正确但是内网无法PING通外网 故障排除：NAT的配置正确但是从内网无法PING通外网，可能有以下几个原因，请以此检查确认：内网如果是路由器，是否有到达NAT网关的路由；内网如果是PC，是否有到达NAT网关的缺省网关。如果没有缺省路由或网关，则添加。发送PING包后，在路由器上通过display firewall session table察看是否有转换表项建立，如果有ICMP的SESSION，说明内网的PING包已经到达路由器。检查外网上是否有到地址池的路由，外网如果是路由器，则检查是否有到达地址池的路由；外网如果是PC，则检查是否有到达地址池的缺省网

46、关，如果没有，则添加。第63页，共89页。64NAT故障排除NAPT方式下，用测试仪器发送NAT流量不通故障排除：NAPT方式下的NAT，只支持对TCP、UDP、ICMP报文进行NAT转换，其它类型的IP报文直接丢弃，所以如果用测试仪器发送的非以上三种报文，且NAT配置的是NAPT方式的，数据包会直接被丢弃。内部用户无法通过公网地址访问内部服务器故障排除：需要在路由器上配置一条指向内部服务器的公网地址的路由，路由的出接口为配置NAT Server的接口，并且内部服务器上必须有到他对应的公网地址的路由。第64页，共89页。65L2tp的维护操作命令强制挂断通道 reset l2tp tunnel

47、 peername remote-name | local-id tunnel-id 查看当前的L2TP通道的信息 display l2tp tunnel 查看当前的L2TP会话的信息 display l2tp session 打开所有的L2TP调试信息开关debugging l2tp all打开控制报文调试开关debugging l2tp control打开PPP报文内容的调试开关debugging l2tp dump打开L2TP差错信息的调试开关debugging l2tp error打开L2TP的事件调试信息开关debugging l2tp event打开隐藏AVP的调试信息开关debu

48、gging l2tp hidden打开L2TP数据报文调试开关debugging l2tp payload打开L2TP时间戳信息调试开关debugging l2tp timestamp第65页，共89页。66L2tp故障排除Tunnel建立失败，用户不能正常登录。Tunnel建立失败的可能原因包括LNS和LAC上建立隧道的配置不一致。步骤操作1检查在LAC端设置的LNS地址是否正确2检查LNS（通常为路由器）端allow命令的配置，确认是否设置了可以接收该隧道对端的L2TP组3如果配置了验证，检查双方隧道密码是否一致。不一致将导致Tunnel验证不通过4如果本端强制挂断了连接，而由于网络传输等

49、原因，对端还没有收到相应的Disconnect报文，此时立即发起了一个隧道连接，会连不上，因为对方必须相隔一定的时间才能侦测到链路被挂断，并且，不允许两个来自相同IP地址的对端发起的隧道连接。第66页，共89页。67L2tp故障排除PPP协商不通过，用户不能正常登录。PPP协商不通过，可能原因包括用户的权限设置、地址分配和验证方式。步骤操作1检查LAC端设置的用户名与密码2检查LNS端是否设置了相应的用户3检查LNS端的地址分配设置，是否地址池设置得太小，或没有进行设置。在L2TP支持多实例配置中，为了保证分配地址的合理性，地址池可以重叠分配4检查密码验证类型是否一致。如Windows 200

50、0所创建的VPN连接缺省的验证类型为MSCHAP，如果对端不支持MSCHAP，建议改为CHAP第67页，共89页。68L2tp故障排除在建立连接后数据不能传输，如Ping不通对端。数据传输失败的原因可能是地址错误或网络拥塞。步骤操作1确认用户的地址正确。一般情况下，由LNS分配地址，而用户也可以指定自己的地址。如果指定的地址和LNS所要分配的地址不属于同一个网段，就会发生数据传输失败，建议由LNS统一分配地址2检查是否发生了网络拥塞。L2TP是基于UDP（用户数据报文）进行传输的，UDP不对报文进行差错控制；如果是在线路质量不稳定的情况下进行L2TP应用，有可能会产生Ping不通对端的情况第6

51、8页，共89页。69L2tp故障排除建立L2TP连接后，当报文超过一定大小时Ping不通对端。如果只有当报文的大小超过一定值才出现Ping不通对端的现象，则可能是报文分片导致的问题。建议VT的MTU设置为1450字节。步骤操作1在任意视图下执行display interface命令，分别检查VT的MTU和实际接口的MTU2在系统视图下执行命令interface virtual-template进入VT接口视图，执行命令mtu修改VT的MTU值第69页，共89页。70AAA 的维护在目前AAA的实现中，每个用户都属于一个域，用户属于哪个域是由用户名中带的后的字符串来决定的，比如userhua，就

52、属于hua域；如果用户名中没有带，就属于缺省的default域。所有关于用户采用的认证方法、计费方法、授权方法、采用的RADIUS模板都是在域下配置的认证方案、计费方案来决定的，因此在AAA视图下可以创建认证方案、计费方案、授权方案，在这些方案下可以配置相应的认证方法、计费方法、授权方法。AAA有缺省的认证方案、计费方案、授权方案，分别采用本地认证、不计费、本地授权。如果新创建一个域，不在域下配置新的认证、计费、授权方案，AAA对该域将采用缺省的认证方案、计费方案和授权方案。另外如果想采用RADIUS认证，必须先配置RADIUS模板，然后在相应的域下引用该模板 。第70页，共89页。71AAA

53、 RADUIS的维护命令操作命令查看AAA的概要信息display aaa configuration查看计费方案的配置情况display accounting-scheme scheme-name 查看认证方案的配置情况display authentication-scheme scheme-name 查看授权方案的配置情况display authorization-scheme scheme-name 查看记录方案的配置情况display recording-scheme scheme-name 查看RADIUS服务器信息display radius-server configuratio

54、n template template-name 查看地址池使用情况display ip pool global | domain domain-name 查看RADIUS服务器的计费停止报文情况display radius-server accounting-stop-packet all | number | ip ip-address 第71页，共89页。72AAA故障排除用户本地认证总被拒绝 检查是否配置了相应的域，域配置的认证方案中是否采用的是本地认证，如果是想采用本地认证最好采用默认值。检查local-user命令是否配置正确的口令。检查配置的授权服务类型（service-type

55、）是否正确。用户RADIUS认证总被拒绝。检查相应的域下的RADIUS模板是否配置正确。检查RADIUS服务器是否在属性字典中加入了华为公司的特有属性。检查RADIUS服务器对该用户设置的用户名、口令、使用服务是否正确。检查RADIUS服务器是否能够ping通，路由器配置的RADIUS服务器地址、端口号、key是否与使用的RADIUS服务器一致。 第72页，共89页。73AAA故障排除并没有配置认证，仍然对用户进行认证。 AAA默认都是本地认证，如果想不认证，必须配置一个新的认证方案，在该方案下配置认证方法为不认证，然后在相应的域下采用此认证方案。Telnet用户采用RADIUS认证，认证通过

56、但是上线后不能进入系统视图。这个是因为在RADIUS上没有配置此用户的权限。如果是采用shiva做为RADIUS服务器，配置exec-privilege这个属性；如果是其他类型的服务器，我们采用自己的扩展属性exec-privilege，是标准属性26下的扩展属性（28），请在相应的属性字典中加入该属性，并进行配置。对于FTP用户也是一样，如果是shiva，请配置ftp-directory属性；如果是其他类型的服务器，我们采用自己的扩展属性ftp-directory，是标准属性26下的扩展属性（29），请在相应的属性字典中加入该属性，并进行配置。其它方法：检查用户是否正常上线及正常计费，可以使

57、用命令display access-user。如果是PPP用户，并且要求AAA给分配地址，可以使用display ip pool来查看是否给用户正确分配了地址。第73页，共89页。74QoS的维护操作命令显示路由器配置的类信息display traffic classifier system-defined | user-defined tcl-name 显示路由器配置的流行为信息display traffic behavior system-defined | user-defined behavior-name 显示指定策略中指定类及与类关联的行为的配置信息display traffic

58、policy system-defined | user-defined 显示端口Diff-Serv队列带宽配置信息display qos gts interface interface-name 显示RED参数配置信息display drop-level class class | type type 显示EXP和DSCP的映射表display mpls dscp-exp-map第74页，共89页。75异常情况需要收集的信息有的时候，设备出现异常情况，如重启或者单板复位等等，当时根据实地情况无法立即准确定位，需要在现场收集部分信息，提交研发人员进一步分析。需要现场工程师配合收集的信息有：故障

59、情况详细说明版本信息（display version)配置文件 (display current-configuration)日志文件 (display logbuffer)诊断信息 (display diagnostic)登陆方式第75页，共89页。76案例分析【案例一】某大学采用NE20作为出口路由器做策略路由，当使用8FE单板正常时，更换为2FE单板，结果发现策略路由不通，不能正常访问。更换为8FE单板，又可以恢复。案例分析：既然开始可以正常访问，基本排除是配置问题。检查相应的arp表项，并且抓包分析，发现对端设备发出来的mac地址一直为8FE的mac地址，判断为对端设备mac表项没有老

60、化。手动更新对端设备的arp表项，或者发送免费arp报文，让对端设备更新表项，问题解决。第76页，共89页。77案例分析【案例二】NE20和AR46通过ATM接口互连，ping 700字节以上的报文不通。 案例分析：NE20通过其他厂家的ATM交换机连接AR46。查看其他厂家ATM交换机的配置发现配置的PVC类型是CBR。在NE20和AR46查看PVC的类型，发现是UBR。 由于ATM交换机与路由器的PVC类型不匹配，导致路由器接口发包过快时，在ATM交换机上丢失信元，造成大字节的数据包不通。 将其他厂家ATM交换机的pvc的类型改为UBR后问题解决。第77页，共89页。78案例分析【案例三】