华为交换机配置与故障排除手册

华为交换机配置与故障排除手册2.5ACL与QoS基础配置ACL（访问控制列表）用于对网络流量进行过滤和控制。华为交换机支持多种ACL类型，如基本ACL、高级ACL、二层ACL等。配置ACL后，需在接口上应用才能生效，应用时需注意方向（入方向/出方向）。QoS（服务质量）则用于对不同类型的流量进行差异化处理，保障关键业务的带宽和延迟。常见的QoS手段包括流量分类、流量标记（如802.1p、DSCP）、拥塞管理（如PQ、CQ、WFQ）和拥塞避免（如WRED）。第三篇：故障排除3.1故障排除方法论故障排除是一个系统性的过程，通常遵循以下步骤：1.故障现象收集与确认：详细了解故障表现，如无法上网、部分业务中断、网速慢等，并确认故障发生的范围和时间。2.信息收集：查看设备指示灯状态、收集相关配置、查看日志信息（`displaylogbuffer`）、使用诊断命令（如`ping`、`tracert`、`displayinterface`）。3.故障定位与分析：结合收集到的信息，运用网络原理和经验，缩小故障范围，定位故障点。是物理链路问题、配置错误还是设备硬件故障？4.故障排除：根据定位结果采取相应措施，如修改配置、更换线缆、重启端口等。5.验证与记录：排除故障后，验证业务是否恢复正常，并详细记录故障处理过程，为后续类似问题提供参考。“先物理后逻辑，先简单后复杂”是故障排除时应遵循的基本原则。3.2常见故障案例分析与处理3.2.1物理层故障现象：端口连接指示灯不亮，或端口频繁Up/Down。排查：*检查线缆是否连接牢固，是否损坏。尝试更换线缆。*检查两端端口模式是否匹配（如速率、双工模式，建议配置为`auto`或双方一致的固定模式）。*查看端口是否被shutdown：`displayinterfacebrief`。若为`AdministrativelyDOWN`，则执行`undoshutdown`。*使用`displayinterfaceGigabitEthernetx/x/x`查看端口详细信息，观察是否有大量错包（如CRC错误、输入/输出丢弃）。若有，可能是线缆质量不佳、距离过长或端口硬件问题。3.2.2VLAN相关故障现象：同一VLAN内主机无法通信，或VLAN间无法路由。排查：*同一VLAN不通：*确认主机是否划分到正确的VLAN。查看交换机端口PVID和允许通过的VLAN：`displayportvlan`。*若通过Trunk链路连接，确认Trunk端口是否允许该VLAN通过：`displayinterfacetrunk`。*检查是否存在ACL限制或端口安全策略阻止了通信。*VLAN间路由不通：*确认三层交换机上是否创建了对应VLAN的Vlanif接口，并配置了正确的IP地址。*确认主机的默认网关是否指向了对应Vlanif接口的IP。*查看三层交换机路由表是否有对应VLAN的直连路由：`displayiprouting-table`。*若使用单臂路由，检查路由器子接口配置及交换机Trunk端口配置。3.2.3IP连通性故障现象：主机获取不到IP地址，或获取到IP后无法ping通网关。排查：*DHCP故障：*确认交换机DHCP服务是否启用，地址池是否配置正确且有可用地址。*检查端口是否允许DHCP报文通过（如某些情况下可能配置了DHCPSnooping，需确保信任端口设置正确）。*在主机上手动配置静态IP测试是否能连通网关，以判断是否为DHCP服务问题。*网关不可达：*检查主机IP、子网掩码、网关配置是否正确。*检查网关Vlanif接口状态是否Up：`displayipinterfacebrief`。*在交换机上ping主机IP，或在主机上ping网关IP，观察结果。3.2.4STP故障现象：网络中出现广播风暴，部分端口被STP阻塞导致业务中断。排查：*查看STP状态：`displaystpbrief`，确认根桥、端口角色是否符合预期。*检查是否有异常的BPDU报文攻击，可考虑配置BPDU防护、根保护等安全特性。*若网络拓扑发生变化，STP收敛需要时间，可观察日志确认是否有拓扑变化事件。*检查是否存在环路，例如误将两个Access端口连接到同一台终端或同一VLAN的不同端口。3.2.5链路聚合故障现象：Eth-Trunk接口状态异常，或成员端口未全部激活。排查：*检查Eth-Trunk模式两端是否一致（静态聚合或LACP）。*检查成员端口的速率、双工模式是否一致，是否均为`access`或`trunk`模式（且Trunk参数一致）。*对于LACP聚合，查看系统ID和端口优先级配置，确认活动端口的选择是否符合预期：`displayeth-trunkx`。*检查是否有成员端口因故障被剔除。3.3常用故障排除命令总结*状态查看：`displayinterface`、`displayipinterfacebrief`、`displayvlan`、`displaystp`、`displayeth-trunk`、`displayarp`、`displayiprouting-table`。*连接测试：`ping`、`tracert`（华为设备常用`tracert`或`traceroute`）、`telnet`。*配置查看：`displaycurrent-configuration`、`displaysaved-configuration`。*日志查看：`displaylogbuffer`。*流量统计：`displayinterfacecounters`、`displayaclusage`。第四篇：日常维护与优化建议4.1定期配置备份与检查定期备份交换机配置文件，建议采用自动化工具或脚本。备份的配置文件应妥善保管，并与当前运行配置进行比对，及时发现未授权的配置变更。4.2日志监控与告警启用并配置日志服务器，将交换机日志集中收集和分析。关注关键告警信息，如端口Down、STP拓扑变化、CPU/内存使用率过高、电源故障等，以便及时发现潜在问题。4.3性能监控与优化定期监控交换机CPU、内存使用率，以及各端口的流量、带宽利用率。对于存在瓶颈的端口或链路，可考虑采用链路聚合、调整QoS策略或优化网络拓扑进行缓解。4.4安全加固*启用SSH，禁用Telnet或仅允许在信任网络使用。*使用强密码策略，并定期更换。*配置端口安全（如限制MAC地址学习数量、stickyMAC）。*合理配置ACL，限制不必要的访问。*启用BPDUGuard、RootGuard、DHCPSnooping、IPSourceGuard等安全特性。总结华为交换机功能强大，配置