wangruiwen2019 – 第 99 页 – 学海无涯走一路学一路

华为S系列交换机二层环路故障【配置错误：端口未退出VLAN1导致端口流量异常业务中断】

组网情况
如图所示，Switch双上行接入路由器，下行为接入层设备。

二层环路导致端口流量异常业务中断案例组网图

现象描述
Switch双上行业务全部中断，重启设备可以短暂恢复，但是问题会再次出现。

原因分析
接入层网络环路，发生网络风暴，导致Switch上行端口带宽被充满，OSPF peer down。Switch设备重启后网络风暴暂时破除，业务正常，再次风暴后故障重现。

操作步骤
1、查看日志文件，可以发现ospf peer down以及down的原因：对端设备没有及时收到ospf hello报文。
NBR_CHG_DOWN(l): Neighbor event:neighbor state changed to Down. (ProcessId=88, NeighborAddress=x.x.x.x, NeighborEvent=KillNbr, NeighborPreviousState=Loading, NeighborCurrentState=Down)

NBR_DOWN_REASON(l): Neighbor state leaves full or changed to Down. (ProcessId=88, NeighborRouterId= x.x.x.x,, NeighborAreaId=0, NeighborInterface=Vlanif4,NeighborDownImmediate reason=Neighbor Down Due to Kill Neighbor, NeighborDownPrimeReason=Physical Interface State Change, NeighborChangeTime=
2、查看诊断日志文件，发现端口流量异常的告警。分析发现，上行口GE1/0/0、GE1/0/1出方向流量告警，同时发现GE1/0/3和GE1/0/4入方向流量告警。
Interface GigabitEthernet1/0/0’s flow is abnormal. (Speed=1000Mbps, CurrentInSpeed=0Mbps, CurrentOutSpeed=849Mbps, File=IFPDT_FUNC_C, Line=13072)
Interface GigabitEthernet1/0/1’s flow is abnormal. (Speed=1000Mbps, CurrentInSpeed=3Mbps, CurrentOutSpeed=850Mbps, File=IFPDT_FUNC_C, Line=13072)
Interface GigabitEthernet1/0/3’s flow is abnormal. (Speed=1000Mbps, CurrentInSpeed=847Mbps, CurrentOutSpeed=846Mbps, File=IFPDT_FUNC_C, Line=13072)
Interface GigabitEthernet1/0/4’s flow is abnormal. (Speed=1000Mbps, CurrentInSpeed=849Mbps, CurrentOutSpeed=849Mbps, File=IFPDT_FUNC_C, Line=13072)
Interface GigabitEthernet1/0/6’s flow is abnormal. (Speed=1000Mbps, CurrentInSpeed=0Mbps, CurrentOutSpeed=849Mbps, File=IFPDT_FUNC_C, Line=13072)
Interface GigabitEthernet1/0/10’s flow is abnormal. (Speed=1000Mbps, CurrentInSpeed=0Mbps, CurrentOutSpeed=849Mbps, File=IFPDT_FUNC_C, Line=13072)
Interface GigabitEthernet1/0/11’s flow is abnormal. (Speed=1000Mbps, CurrentInSpeed=0Mbps, CurrentOutSpeed=849Mbps, File=IFPDT_FUNC_C, Line=13072)
3、分析这些流量异常告警的端口的配置，这些端口只有一个共同的VLAN1。由此可以判断，GE1/0/3和GE1/0/4两个端口VLAN1内进来的流量同时广播到其他几个端口，导致上行端口出方向流量异常，ospf hello报文被丢弃。由此可见，该故障的原因是VLAN1内存在环路。将GE1/0/3和GE1/0/4退出VLAN1，故障解除。

建议与总结
VLAN1环路是比较常见的环路之一。发现端口流量异常时，需要对比分析流量异常的端口的配置，检查是否存在共同的VLAN1，是否端口下广播报文计数较大。

华为Sx300系列交换机典型配置案例

文档目录：

一、综合配置案例

二、基础配置典型配置

三、设备管理典型配置

四、以太网接口典型配置

五、以太网交换典型配置

六、IP业务典型配置

七、IP组播典型配置

八、路由典型配置

九、MPLS VPN典型配置

十、可靠性典型配置

十一、用户接入与认证典型配置

十二、安全典型配置

十三、01-13 QoS典型配置

十四、网络管理与监控典型配置

十五、业务随行典型配置

内容摘选:

二层交换机与防火墙对接上网配置示例

●二层交换机简介
二层交换机指的是仅能够进行二层转发，不能进行三层转发的交换机。也就是说仅支
持二层特性，不支持路由等三层特性的交换机。
二层交换机一般部署在接入层，不能作为用户的网关。

●配置注意事项
本举例中的交换机配置适用于S系列交换机所有产品的所有版本。
本举例中的防火墙配置以USG6650 V500R001C60为例，其他防火墙的配置方法请参
见对应的文档指南。

●组网需求
如图所示，某公司拥有多个部门且位于不同网段，各部门均有访问Internet的需
求。现要求用户通过二层交换机和防火墙访问外部网络，且要求防火墙作为用户的网
关。

二层交换机与防火墙对接上网组网图

●配置思路
采用如下思路进行配置：
1. 配置交换机基于接口划分VLAN，实现二层转发。
2. 配置防火墙作为用户的网关，通过子接口或VLANIF接口实现跨网段的三层转发。
3. 配置防火墙作为DHCP服务器，为用户PC分配IP地址。
4. 开启防火墙域间安全策略，使不同域的报文可以相互转发。
5. 配置防火墙PAT功能，使内网用户可以访问外部网络。

●操作步骤

步骤1 配置交换机
# 配置下行连接用户的接口。

<HUAWEI>system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 2 3
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access //配置接口接入类型为access
[Switch-GigabitEthernet0/0/2] port default vlan 2 //配置接口加入VLAN 2
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 3
[Switch-GigabitEthernet0/0/3] quit # 配置上行连接防火墙的接口。

# 配置上行连接防火墙的接口。

[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 3 //配置接口以trunk方式透传VLAN 2和VLAN
3
[Switch-GigabitEthernet0/0/1] quit

步骤2 配置防火墙

防火墙的配置有两种方式，配置子接口或者配置VLANIF接口，两种方式选择其一即
可。
● 配置防火墙通过子接口终结VLAN，实现跨网段的三层转发。
# 配置终结子接口。

<USG6600>system-view
[USG6600] interface gigabitethernet 1/0/1.1
[USG6600-GigabitEthernet1/0/1.1] vlan-type dot1q 2
[USG6600-GigabitEthernet1/0/1.1] ip address 192.168.1.1 24
[USG6600-GigabitEthernet1/0/1.1] quit
[USG6600] interface gigabitethernet 1/0/1.2
[USG6600-GigabitEthernet1/0/1.2] vlan-type dot1q 3
[USG6600-GigabitEthernet1/0/1.2] ip address 192.168.2.1 24
[USG6600-GigabitEthernet1/0/1.2] quit

# 配置DHCP功能，为内网用户分配IP地址并指定DNS服务器地址。
[USG6600] dhcp enable
[USG6600] interface gigabitethernet 1/0/1.1

[USG6600-GigabitEthernet1/0/1.1] dhcp select interface //开启接口采用接口地址池的DHCP Server功能

[USG6600-GigabitEthernet1/0/1.1] dhcp server dns-list 114.114.114.114 223.5.5.5 //配置的DNSList 114.114.114.114是公用的DNS服务器地址，是不区分运营商的。在实际应用中，请根据运营商分配的 DNS进行配置

[USG6600-GigabitEthernet1/0/1.1] quit
[USG6600] interface gigabitethernet 1/0/1.2
[USG6600-GigabitEthernet1/0/1.2] dhcp select interface
[USG6600-GigabitEthernet1/0/1.2] dhcp server dns-list 114.114.114.114 223.5.5.5 [USG6600-GigabitEthernet1/0/1.2] quit # 配置公网接口的IP地址和静态路由。 [USG6600] interface gigabitethernet 1/0/2

[USG6600-GigabitEthernet1/0/2] ip address 203.0.113.2 255.255.255.0 //配置连接公网的接口 GE0/0/2的IP地址203.0.113.2

[USG6600-GigabitEthernet1/0/2] quit
[USG6600] ip route-static 0.0.0.0 0.0.0.0 203.0.113.1 //配置静态缺省路由的下一跳指向公网提供的IP 地址203.0.113.1 # 配置安全区域。
[USG6600] firewall zone trust //配置trust域
[USG6600-zone-trust] add interface gigabitethernet 1/0/1
[USG6600-zone-trust] add interface gigabitethernet 1/0/1.1
[USG6600-zone-trust] add interface gigabitethernet 1/0/1.2
[USG6600-zone-trust] quit
[USG6600] firewall zone untrust //配置untrust域
[USG6600-zone-untrust] add interface gigabitethernet 1/0/2
[USG6600-zone-untrust] quit # 配置安全策略，允许域间互访。
[USG6600] security-policy
[USG6600-policy-security] rule name policy1
[USG6600-policy-security-rule-policy1] source-zone trust
[USG6600-policy-security-rule-policy1] destination-zone untrust

[USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0

[USG6600-policy-security-rule-policy1] action permit
[USG6600-policy-security-rule-policy1] quit
[USG6600-policy-security] quit # 配置PAT地址池，开启允许端口地址转换。 [USG6600] nat address-group addressgroup1
[USG6600-address-group-addressgroup1] mode pat

[USG6600-address-group-addressgroup1] route enable
[USG6600-address-group-addressgroup1] section 0 203.0.113.2 203.0.113.2 //转换的公网IP地址
[USG6600-address-group-addressgroup1] quit

# 配置源PAT策略，实现私网指定网段访问公网时自动进行源地址转换。
[USG6600] nat-policy
[USG6600-policy-nat] rule name policy_nat1
[USG6600-policy-nat-rule-policy_nat1] source-zone trust
[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0 //允许进行PAT转换的源IP地址
[USG6600-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1
[USG6600-policy-nat-rule-policy_nat1] quit
[USG6600-policy-nat] quit
[USG6600] quit

●配置防火墙通过配置VLANIF接口，实现跨网段的三层转发。

# 配置VLANIF接口。

system-view [USG6600] vlan batch 2 3
[USG6600] interface gigabitethernet 1/0/1

[USG6600-GigabitEthernet1/0/1] portswitch //将以太网接口从三层模式切换到二层模式。如果接口已经是二层模式，跳过该步骤

[USG6600-GigabitEthernet1/0/1] port link-type hybrid
[USG6600-GigabitEthernet1/0/1] port hybrid tagged vlan 2 to 3
[USG6600-GigabitEthernet1/0/1] quit
[USG6600] interface vlanif 2

[USG6600-Vlanif2] ip address 192.168.1.1 24 //配置VLANIF2的IP地址作为PC1的网关

[USG6600-Vlanif2] quit
[USG6600] interface vlanif 3
[USG6600-Vlanif3] ip address 192.168.2.1 24 //配置VLANIF3的IP地址作为PC2的网关

[USG6600-Vlanif3] quit

剩余内容如有需要，请添加站长微信，发送设备型号获取（注：需付费0.5元）

学海无涯走一路学一路站长微信

华为S系列园区交换机快速配置指南【小型园区、中小园区组网场景】(V600)

文档目录

文档目录

主体内容

小型园区组网场景
本举例中的接入交换机ACC1、ACC2以V600R022C10版本的S5735-L-V2为例、核心交换机CORE以V600R022C10版本的S8700-4为例、出口路由器Router以AR651 V300R022C10为例。

小型园区组网图

● 在小型园区中，S5735-L-V2通常部署在网络的接入层，S8700-4通常部署在网络
的核心，出口路由器一般选用AR系列路由器。
● 接入交换机与核心交换机通过Eth-Trunk组网保证可靠性。
● 每个部门业务划分到一个VLAN中，部门间的业务在CORE上通过VLANIF三层互
通。
● 核心交换机作为DHCP Server，为园区用户分配IP地址。
● 接入交换机上配置DHCP Snooping功能，防止内网用户私接小路由器分配IP地
址；同时配置IPSG功能，防止内网用户私自更改IP地址。

中小园区组网场景
本举例中的接入交换机ACC1、ACC2、ACC3、ACC4以V600R022C10版本的S5735-L-V2为例、核心/汇聚交换机CORE1和CORE2以V600R022C10版本的S8700-4为例、出口路由器Router以AR651 V300R022C10为例。

中小园区组网图

● 在中小园区中，S5735-L-V2通常部署在网络的接入层，S8700-4通常部署在网络
的核心，出口路由器一般选用AR系列路由器。
● 核心交换机配置VRRP保证网络可靠性，配置负载分担有效利用资源。
● 每个部门业务划分到一个VLAN中，部门间的业务在CORE上通过VLANIF三层互
通。
● 核心交换机作为DHCP Server，为园区用户分配IP地址。
● 接入交换机上配置DHCP Snooping功能，防止内网用户私接小路由器分配IP地
址；同时配置IP报文检查功能，防止内网用户私自更改IP地址。

详细内容如有需要，请添加站长微信，发送设备型号获取（注：需付费0.5元）

学海无涯走一路学一路站长微信

英威腾GD200A系列变频器说明书

详细内容如有需要，请添加站长微信（内容末尾）

发送设备型号获取（注：需付费0.5元）

—————————————————————————————————-

内容摘选

电气安装

1、主回路接线图

GD200A系列变频器主回路接线图

注意：
●熔断器、直流电抗器、制动单元、制动电阻、输入电抗器、输入滤波器、输出电抗器、输出滤波器均为选配件，详情请参见附录 C 外围选配件。
● 380V 7R5G/011P 及以上变频器可选配 A1、A2（外接 220V 控制电源）。
●P1 端和（+）端出厂时已短接，如需外接直流电抗器时，请取下 P1 端和（+）端的短接片。
●接制动电阻时，请将端子排上标有 PB，(+)，(-)黄色警示标签取下，再接制动电阻线，否则会导致接触不良。

2、并机回路接线

GD200A系列变频器并机主回路接线

注意：
●并机数量根据实际功率而定，最多支持 6 台并机。
●主机和从机输入端和输出端均需接等长的并机线。

3、主回路端子示意图

主回路端子示意图

380V 7R5G/011P~015G/018P 主回路端子

380V 7R5G/011P~015G/018P 主回路端子380V 018G/022P 主回路端子

380V 022G/030P~030G/037P 主回路端子

380V 022G/030P~030G/037P 主回路端子

380V 037G/045P~055G/075P 主回路端子

380V 037G/045P~055G/075P 主回路端子

380V 075G/090P~110G/132P 主回路端子

380V 075G/090P~110G/132P 主回路端子

380V 132G/160P~200G/220P 主回路端子

380V 132G/160P~200G/220P

380V 220G/250P~315G/355P 主回路端子

380V 220G/250P~315G/355P 主回路端子

380V 355G/400P~500G 主回路端子

380V 560G~630G 主回路端子

380V 560G~630G 主回路端子

380V 710G~3000G 主回路端子

380V 710G~3000G 主回路端子

主回路端子说明

主回路端子说明

注意：
● 不建议使用不对称电机电缆。如果电机电缆中除了导电的屏蔽层之外，还有一根对称接地导体，那么请将接地导体在变频器端和电机端接地。
● 将电机电缆、输入动力电缆和控制电缆分开走线。
●“无该端子”表示变频器没有提供该端子作为外接端子。
● 共直流母线使用时，变频器功率必须相同，并且同时上电和断电。
●共直流母线使用时，接线时需考虑变频器输入侧的均流，建议配置均流电抗器。

详细内容如有需要，请添加站长微信，发送设备型号获取（注：需付费0.5元）

学海无涯走一路学一路站长微信