学海无涯 走一路学一路

根据产品设计，PSU会在以下几种情况下关闭电源风扇。因此，您会观察到此时电源风扇是不转的，这是正常现象。
1、如果使用的电源设备电源为 15% 或更少，则电源设备风扇会关闭，以确保较低的噪声级别。服务器将继续正常工作，不会导致电源设备过热。
2、如果服务器使用的电源设备电源超过 15%，则电源设备风扇将开启，并以适当的转速旋转，以确保适当的工作温度。
3、当服务器开机或运行 ePSA 诊断程序时，电源设备风扇不会旋转。
4、在低额定功率情况下出现同样的症状时，PSU风扇不会旋转。

以Dell PowerEdge T40服务器为例：
T40 PSU LED 可帮助判断 PSU 功能状态。要验证电源设备工作是否正常，可以按电源设备上的内置自检 (BIST) 开关按钮。
如果您发现电源风扇转速为0而又不符合新功能定义的几种特殊情况下关闭电源风扇的，可以通过以下步骤对电源设备做检查。
1、关闭服务器。
2、断开电源线与电源设备的连接，并等待 15 秒钟。
3、15 秒钟后，将电源线重新连接至 PSU。
4、按 PSU BIST 按钮。
如果按 BIST 按钮时 LED 亮起并保持亮起状态，则表示电源装置正常工作。
如果 LED 未亮起，则表示 PSU 出现故障。
我们可以继续执行相应步骤来确定有故障的电源设备。
1、断开电源线与电源装置的连接。
2、断开内部 PSU 线缆与主板和每个内部设备的连接。
3、将电源线连接到 PSU。
4、按“PSU BIST”按钮。
如果按 BIST 按钮时 LED 亮起并保持亮起状态，则表示电源装置正常工作。
如果 LED 未亮起，则表示电源设备出现故障。

开机提示：
Memory/battery problems were detected.The adapter has recovered, but cached data was lost.Press any key to continue”（检测到内存/电池问题。适配器已恢复，但缓存数据丢失。按任意键继续）错误及其它内存相关的错误进行故障诊断。

故障相关：
操作系统指示异常关机
操作系统指示出现错误（Windows出现蓝屏）
自行断电情况

故障诊断：
一、重新引导至操作系统
如果操作系统引导成功，则再次重新引导应该不会再显示消息。
二、清除控制器高速缓存
SCSI控制器（PERC 3、PERC 4）：按CTRL-M。
SAS/SATA控制器（PERC 5、PERC 6和更新的控制器）：按CTRL-R。
等待5分钟以清除缓存内容。
重新引导至控制器BIOS。
如果错误消除，则引导至操作系统。
如果操作系统引导仍然不成功和/或错误仍然存在，这可能表明是操作系统问题。
三、检查物理PERC控制器
检查DIMM和DIMM插槽是否损坏。
1.关机并拔下电源线。
2.等待 30秒钟，让系统释放弱电。
3.卸下PERC控制器。有关卸下和更换此系统中的部件的详细说明，请参阅戴尔支持站点上的“User’s Guide”（用户指南）。
4.卸下RAID内存电池。请记住，插入DIMM后再重新安装内存电池。
5.从控制器中取出内存DIMM（如果适用）。
6.检查DIMM插槽的针脚是否弯曲或有其它损坏。检查内存DIMM的边缘连接器是否有任何损坏。
如果控制器具有嵌入式内存或内存插槽已损坏，将需要更换PERC控制器。
如果内存已损坏，则需要更换控制器内存。
如果没有损坏，则更换内存DIMM，然后重新安装控制器。
将控制器内存与已知良好的内存交换（如果可能）。
没有已知良好的内存可用：联系支持人员。
已知良好的内存没有发生错误：更换内存。
已知良好的内存仍然出现错误：更换PERC控制器。

Combo接口是一个光电复用的逻辑接口，一个Combo接口对应设备面板上一个GE电接口和一个GE光接口。电接口与其对应的光接口是光电复用关系，两者不能同时工作（0当激活其中一个接口时，另一个接口就自动处于禁用状态），用户可根据组网需求选择使用电接口或者光接口。
电接口和光接口共用一个接口视图。当用户需要激活电接口或者光接口、配置电接口
或者光接口的属性（如速率、双工模式等）时，只需要在同一接口视图下配置即可。

配置注意事项
1、Combo接口中的电接口与光接口是光电复用关系，Combo光口不支持使用光
电模块。
2、Combo接口工作模式为自动选择模式时，只要Combo光口已插上光模块，则
设备重启后，Combo接口都将选择光口模式。
3、强制指定Combo接口的工作模式时，需要根据本端与对端设备连接的接口类
型进行配置。如果本端Combo电口与对端电口相连，则需要强制指定Combo
接口的工作模式为copper；如果本端Combo光口与对端光口相连，则需要强
制指定Combo接口的工作模式为fiber。若选择的模式与对端接口不一致，会
导致与对端接口对接失败。

组网需求
如图所示，用户主机PC1、PC2和PC3分别与Switch的接口GE1/0/1、GE1/0/2和
GE1/0/3相连，Switch通过Combo接口GE1/0/4上行接入Internet网络。用户可根据
Internet网络侧接口类型（本例中对端Internet网络侧接口为电接口）选择使用Combo
接口工作模式。

配置接口强制工作在电口模式，实现Combo接口工作模式稳定，不会随对外连接
介质变更（例如插上GE光模块）而改变其工作模式。

配置步骤

以图中所示的接入交换机ACC1（S2750），核心交换机CORE（S5700）和出口路由器Router（AR系列路由器）为例。

注：
1、在中小园区中，S2700&S3700通常部署在网络的接入层，S5700&S6700通常部署在网络的核心，出口路由器一般选用AR系列路由器。
2、核心交换机配置VRRP保证网络可靠性，配置负载分担有效利用资源。
3、每个部门业务划分到一个VLAN中，部门间的业务在CORE上通过VLANIF三层互通。
4、核心交换机作为DHCPServer，为园区用户分配IP地址。
5、接入交换机上配置DHCPSnooping功能，防止内网用户私接小路由器分配IP地址；同时配置IP报文检查功能，防止内网用户私自更改IP地址。

数据规划

快速配置中小园区

配置管理IP和Telnet

配置网络互连互通

配置DHCP
a.配置DHCP服务器
网络管理员为每个终端配置固定的IP地址，当网络规模逐渐增大，为终端手工配置地址变得繁琐和难以管理。为减轻管理负担，管理员决定所有终端用户全部改为自动从DHCP服务器获取地址，除了个别必须固定地址的终端。
配置核心交换机作为DHCP Server，使所有部门的用户都能动态获取到正确的IP地址。以下以CORE1作为主用DHCP Server，以部门A为例，说明DHCP Server的配置步骤

b.配置DHCPsnooping和IPSG
配置了DHCP功能之后，部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能，导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网，还需要配置DHCPSnooping功能。
以下以部门A为例，说明DHCPSnooping的配置过程。

完成上述配置之后，部门A的用户就可以从合法的DHCP服务器获取IP地址，内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络，在接入交换机开启DHCPSnooping功能后，还需要开启IP报文检查功能，具体配置以ACC1为例。

这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配，放行匹配的报文，丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查，可以只在连接某个终端的接口上开启IP报文检查功能。

配置OSPF

由于内网互联使用的是静态路由，在链路出现故障之后需要管理员手动配置新的静态路由，造成网络长时间中断，影响业务。为了减少这种故障的发生，使用动态路由协议是一种不错的选择。动态路由有自己的算法，在链路出现故障之后动态路由根据自己的算法及时把流量切换到正常的链路，等到故障恢复之后流量又切过来。下面以动态路由协议OSPF为例进行配置：

配置可靠性和负载分担
a.配置VRRP联动接口检测链路
当CORE1到出口路由器的链路出现故障后，流量会通过CORE1到CORE2的互联链路经由CORE2到达出口路由器，此时就增加了互联链路负担，对互联链路的稳定性和带宽负载要求都很高。现网环境中我们往往希望主备设备的上行接口出现故障的时候可以实现主备的快速切换，通过配置VRRP与接口状态联动功能可以实现此快速切换。在VRRP备份组中配置对上行接口进行监听，当监听到接口down了，设备会通过降低优先级来实现主备切换。

b.配置负载分担
随着业务的增长，经由CORE1的链路带宽占用率太高，但是经过CORE2的链路是闲置的，这样不但可靠性不好而且浪费资源，有效利用左右两边两条链路显得尤为重要。把VRRP主备备份配置为负载分担，一些VLAN以CORE1为主设备，另一些VLAN以CORE2为主设备，不同VLAN的流量被分配到了左右两条链路上，有效的利用现网资源。此处CORE1继续作为VLAN10的主设备，修改CORE2的优先级使其成为VLAN20的主设备。

配置链路聚合
当CORE1或者CORE2的上行发生故障时，流量经过CORE1和CORE2互联的链路，但是单条链路有可能带宽不够，因而造成数据丢失。为了增加带宽，把多条物理链路捆绑为一条逻辑链路，增加带宽的同时提高了链路的可靠性，具体配置如下：

CORE2的配置同上，只是无需配置系统优先级，使用系统默认的优先级即可。

配置限速
a.基于IP地址限速
由于交换机配置每IP限速不是很方便而且需要消耗大量的硬件ACL资源，所以我们只能在AR路由器上配置每IP限速。
由于带宽有限，不能影响正常办公，需要限制内网每个IP地址上传和下载的网速不能超过512kbit/s，在出口路由器连接内网交换机的物理接口做每IP限速。

b.基于网段总流量限速
随着业务的增长，为了给部门A留有足够的带宽，需要对部门B进行网速限速，要求部门B访问互联网的网速不能超过2M，下载的网速不能超过4M。

接口GE0/0/2及其他网段做限速的方式同上。

配置映射内网服务器和公网多出口
a.配置映射内网服务器
随着业务的发展，内网的WWW服务器和FTP文件服务器不能仅限于内网用户访问，对外也要提供服务，公网和内网用户都要通过公网地址来访问服务器提供的服务

内网接口GE0/0/2的配置同上。

b.配置公网多出口
刚开始企业在运营商只申请了一条链路，随着业务的发展，一条链路不能满足企业的网络带宽，需要在原有链路的基础上再申请一条链路，由原来的单出口改为双出口，对内网不同的网段进行控制让其走指定的链路上网。

配置完策略路由之后，内网192.168.10.0网段的数据访问互联网走的是GE0/0/0接口，而192.168.20.0网段的数据访问互联网走的是GE1/0/0接口，通过PPPoE拨号上网。

业务验证和保存配置
a.业务验证

保存配置
通过命令行配置的数据是临时性的。如果不保存，交换机重启后这些配置都会丢失。
如果要使当前配置在交换机重启后仍然有效，需要将当前配置保存为配置文件。
以CORE1为例：

本文配置步骤以图中所示的接入交换机ACC1（S2750），核心交换机CORE（S5700）和出口路由器Router（AR系列路由器）为例。

说明：
1、在小型园区中，S2700&S3700通常部署在网络的接入层，S5700&S6700通常部署在网络的核心，出口路由器一般选用AR系列路由器。
2、接入交换机与核心交换机通过Eth-Trunk组网保证可靠性。
3、每个部门业务划分到一个VLAN中，部门间的业务在CORE上通过VLANIF三层互通。
4、核心交换机作为DHCPServer，为园区用户分配IP地址。
5、接入交换机上配置DHCPSnooping功能，防止内网用户私接小路由器分配IP地址；同时配置IPSG功能，防止内网用户私自更改IP地址。

数据规划，如下表：

配置方式：

配置管理IP和Telnet
配置设备管理IP地址后，可以通过管理IP远程登录设备，下面以交换机CORE为例说明配置管理IP和Telnet的方法。

1、配置管理IP地址。
<HUAWEI> system-view
[HUAWEI] vlan5//创建交换机管理VLAN 5
[HUAWEI-VLAN5] management-vlan
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif5
[HUAWEI-vlanif5] ipaddress 10.10.1.1 24
[HUAWEI-vlanif5] quit

2、将管理接口加入到管理VLAN
[HUAWEI] interface GigabitEthernet0/0/8 //假设连接网管的接口为GigabitEthernet0/0/8
[HUAWEI-GigabitEthernet0/0/8] port link-type trunk
[HUAWEI-GigabitEthernet0/0/8] port trunk allow-pass vlan5
[HUAWEI-GigabitEthernet0/0/8] quit

3、配置Telnet
[HUAWEI] telnet server enable //Telnet出厂时是关闭的，需要打开
[HUAWEI] user-interface vty0 4 //Telnet常用于设备管理员登录，推荐使用AAA认证
[HUAWEI-ui-vty0-4] protocol inbound telnet
//V2R6及之前版本缺省支持telnet协议，但是V2R7及之后版本缺省的
是SSH协议，因此使用telnet登录之前，必须要先配置这条命令。
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] idle-timeout 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789 //配置管理员Telnet登录交换机的用户名和密码。用户名不区分大小写，密码区分大小写
[HUAWEI-aaa] local-user admin privilege level 15
//将管理员的账号权限设置为15（最高）
[HUAWEI-aaa] local-user admin service-type telnet

4、在维护终端上Telnet到交换机。出现用户视图的命令行提示符表示登录成功。
C:\Documents and Settings\Administrator> telnet 10.10.1.1
//输入交换机管理IP，并回车
Login authentication
Username:admin//输入用户名和密码
Password:
Info: The max number of VTY users is 5, and the number
of current VTY users on line is 1.
The current login time is 2014-05-06 18:33:18+00:00.
//用户视图命令行提示符

配置接口与VLAN

一.配置接入层交换机
1、以接入交换机ACC1为例，创建ACC1的业务VLAN10。
<HUAWEI>system-view
[HUAWEI] sysname ACC1//修改设备名称为ACC1
[ACC1] vlanbatch 10//批量创建VLAN

2、配置ACC1连接CORE的Eth-Trunk1，透传部门A的VLAN。
[ACC1]interface eth-trunk 1
[ACC1-Eth-Trunk1] port link-type trunk //配置为trunk模式，用于透传VLAN。
[ACC1-Eth-Trunk1] port trunk allow-pass vlan10
//配置Eth-Trunk1透传ACC1上的业务VLAN
[ACC1-Eth-Trunk1] mode lacp //配置Eth-Trunk1为LACP模式
[ACC1-Eth-Trunk1] quit
[ACC1] interface GigabitEthernet0/0/1 //将成员接口加入Eth-Trunk1
[ACC1-GigabitEthernet0/0/1] eth-Trunk 1
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet0/0/2
[ACC1-GigabitEthernet0/0/2] eth-Trunk 1
[ACC1-GigabitEthernet0/0/2] quit

3、配置ACC1连接用户的接口，使用户加入VLAN，并将接口配置成边缘端口。
[ACC1] interfaceEthernet 0/0/2 //配置连接PC1的接口
[ACC1-Ethernet0/0/2] port link-type access
[ACC1-Ethernet0/0/2] port default vlan10
[ACC1-Ethernet0/0/2] stpedged-port enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interfaceEthernet 0/0/3 //配置连接PC2的接口
[ACC1-Ethernet0/0/3] port link-type access
[ACC1-Ethernet0/0/3] port default vlan10
[ACC1-Ethernet0/0/3] stpedged-port enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interfaceEthernet 0/0/4 //配置连接打印机的接口
[ACC1-Ethernet0/0/4] port link-type access
[ACC1-Ethernet0/0/4] port default vlan10
[ACC1-Ethernet0/0/4] stpedged-port enable
[ACC1-Ethernet0/0/4] quit

注：如果把ACC1下接入的用户都加入VLAN 10，为了配置简单，也可以ACC1上不配置VLAN，而是把CORE的Eth-Trunk1以access方式加入VLAN10，这样Eth-Trunk1接入的用户全部属于VLAN10。

4、配置BPDU保护功能，加强网络的稳定性。
[ACC1] stpbpdu-protection

二、配置核心层交换机
1、批量创建CORE与ACC1、ACC2以及园区出口路由器互通的VLAN。
<HUAWEI] system-view
[HUAWEI] sysname CORE //修改设备名称为CORE
[CORE] vlanbatch 10 20 100//批量创建VLAN

2、配置下行接口和VLANIF接口，VLANIF接口用于部门A与部门B之间互访。以CORE连接ACC1的Eth-Trunk1为例。
[CORE] interface eth-trunk 1
[CORE-Eth-Trunk1] port link-type trunk //配置为trunk模式，用于透传VLAN
[CORE-Eth-Trunk1] port trunk allow-pass vlan10
//配置Eth-Trunk1透传ACC1上的业务VLAN
[CORE-Eth-Trunk1] mode lacp //配置为LACP模式
[CORE-Eth-Trunk1] quit
[CORE] interface GigabitEthernet0/0/1 //将成员接口加入Eth-Trunk1
[CORE-GigabitEthernet0/0/1] eth-Trunk 1
[CORE-GigabitEthernet0/0/1] quit
[CORE] interface GigabitEthernet0/0/2
[CORE-GigabitEthernet0/0/2] eth-Trunk 1
[CORE-GigabitEthernet0/0/2] quit
[CORE] interface Vlanif10 //配置VLANIF，使部门A与部门B之间三层互通
[CORE-Vlanif10] ipaddress 10.10.10.1 24
[CORE-Vlanif10] quit
[CORE] interface Vlanif20 //配置VLANIF，使部门B与部门A之间三层互通
[CORE-Vlanif20] ipaddress 10.10.20.1 24
[CORE-Vlanif20] quit

3、配置上行接口和VLANIF接口，使园区网络与Internet互通。
[CORE] interfaceGigabitEthernet0/0/20
[CORE-GigabitEthernet0/0/20] port link-type access //配置为access模式
[CORE-GigabitEthernet0/0/20] port default vlan100
[CORE-GigabitEthernet0/0/20] quit
[CORE] interface Vlanif100 //配置VLANIF，使CORE与路由器之间三层互通
[CORE-Vlanif100] ipaddress 10.10.100.1 24
[CORE-Vlanif100] quit

4、完成接口和VLAN的配置后，可以通过以下命令查看配置结果
displayeth-trunk命令检查ACC1上的Eth-Trunk接口配置结果。
display vlan命令检查ACC1上的VLAN配置结果。
displayeth-trunk命令检查CORE上Eth-Trunk接口配置结果。
display vlan命令检查CORE上VLAN配置结果。

配置DHCP
在CORE上配置DHCP Server，使部门A（VLAN10）和部门B（VLAN20）的用户都能获取到正确的IP地址。
以下以部门A为例，说明DHCP Server的配置步骤。

1、创建全局地址池，配置出口网关、租期（采用缺省值1天，不需配置）并配置为打印机（MAC地址为a-b-c）分配固定的IP地址10.10.10.254。
<CORE> system-view
[CORE] dhcpenable
[CORE] ippool 10
[CORE-ip-pool-10] network 10.10.10.0 mask 24 //配置部门A的用户可分配的地址池
范围
[CORE-ip-pool-10] gateway-list 10.10.10.1 //配置部门A的用户的网关地址
[CORE-ip-pool-10] static-bind ip-address 10.10.10.254 mac-address a-b-c
//配置为打印机分配固定的IP地址
[CORE-ip-pool-10] quit

2、配置部门A的用户从全局地址池获取IP地址。[CORE] interface vlanif10
[CORE-Vlanif10] dhcpselect global //配置部门A的用户从全局地址池获取IP地址
[CORE-Vlanif10] quit

3、使用display ip pool命令，分别查看全局地址池10的配置和使用信息。

注：

配置完动态分配地址之后，刚开电脑获取地址的时间比较长，这是因为对于开启了生成树协议的交换机，每当有电脑接入之后导致生成树重新收敛，所以需要的时间比较长；通过关闭接口的生成树协议或者把连接终端的交换机接口配置为边缘端口即可解决。
下面以ACC1为例，说明配置步骤。

关闭接口的生成树协议
[ACC1] interface GigabitEthernet0/0/1
[ACC1-GigabitEthernet 0/0/1] stpdisable //undo stp enable命令也可完成该功能

配置连接终端设备的交换机接口为边缘端口
[ACC1] interface GigabitEthernet0/0/1
[ACC1-GigabitEthernet 0/0/1] stpedged-port enable

根据以上任意一种方法，终端电脑刚开机获取地址速度慢的问题就可以有效解决。

配置核心交换机路由
1、在CORE上配置一条到园区出口网关的缺省静态路由，使内网数据可以发到出口路由器。
[CORE] iproute-static 0.0.0.0 0 10.10.100.2

2、在CORE上使用display ip routing-table命令查看IP路由表。

在配置出口路由器之前需要准备如下数据：公网IP地址：1.1.1.2/30，公网网关地址：1.1.1.1，DNS地址：8.8.8.8，这些参数在申请宽带的时候由运营商提供，实际网络中请以运营商提供的数据为准。

1、配置出口路由器内网接口和公网接口的IP地址。
[Router] interface GigabitEthernet 0/0/1[Router-GigabitEthernet0/0/1] ip address 1.1.1.2 30[Router] interface GigabitEthernet 1/0/0[Router-GigabitEthernet1/0/0] ip address 10.10.100.2 24
2、配置允许上网的acl，将所有允许访问Internet的用户网段写入该acl。
[Router] acl 2000
[Router-acl-basic-2000] rule permit source 10.10.10.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.20.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.100.0 0.0.0.255
3、在连接公网的接口配置NAT转换实现内网用户访问Internet。
[Router] interface GigabitEthernet0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 2000
4、配置到内网的明细路由和到公网的静态缺省路由。

[Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
[Router] ip route-static 10.10.20.0 255.255.255.0 10.10.100.1
[Router] ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
5、配置DNS地址解析功能，DNS服务器地址为运营商给的。
[Router] dns resolve
[Router] dns server 8.8.8.8
[Router] dnsproxy enable

配置DHCPSnooping和IPSG
配置了DHCP功能之后，部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能，导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网，还需要配置DHCPSnooping功能。
以下以部门A为例，说明DHCPSnooping的配置过程。
1、在接入交换机ACC1上开启DHCPSnooping功能。
<ACC1>system-view
[ACC1] dhcpenable //使能DHCP功能
[ACC1] dhcpsnooping enable //使能DHCPSnooping功能
2、在连接DHCP服务器的接口上使能DHCPSnooping功能，并将此接口配置为信任接口。
[ACC1] interface eth-trunk 1
[ACC1-Eth-Trunk1] dhcpsnooping enable //使能DHCPSnooping功能
[ACC1-Eth-Trunk1] dhcp snooping trusted //配置为信任接口
[ACC1-Eth-Trunk1] quit
3、在连接终端的接口上使能DHCPSnooping功能。
[ACC1] interfaceethernet0/0/2 //配置连接PC1的接口
[ACC1-Ethernet0/0/2] dhcpsnooping enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interfaceethernet0/0/3 //配置连接PC2的接口
[ACC1-Ethernet0/0/3] dhcp snooping enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interface ethernet 0/0/4 //配置连接打印机的接口
[ACC1-Ethernet0/0/4] dhcp snooping enable
[ACC1-Ethernet0/0/4] quit
完成上述配置之后，部门A的用户就可以从合法的DHCP服务器获取IP地址，内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络，在接入交换机开启DHCPSnooping功能后，还需要开启IP报文检查功能，具体配置以ACC1为例。
4、在接入交换机ACC1上开启VLAN10的IP报文检查功能
[ACC1] vlan10
[ACC1-vlan10] ipsource check user-bind enable //使能IP报文检查功能
[ACC1-vlan10] quit

这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配，放行匹配的报文，丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查，可以只在连接某个终端的接口上开启IP报文检查功能。

业务验证
部门内部选两台PC进行ping测试，验证部门内部二层互通是否正常。
从两个部门内各选一台PC进行ping测试，验证部门之间通过VLANIF实现三层互通是否正常。
每个部门各选一台PC进行ping公网地址测试，验证公司内网用户访问Internet是否正常。

保存配置

通过命令行配置的数据是临时性的。如果不保存，交换机重启后这些配置都会丢失。
如果要使当前配置在交换机重启后仍然有效，需要将当前配置保存为配置文件。
<CORE>save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0..
Save the configuration successfully.

一、Access端口
一个 Access端口，只能属于一个 端口，只能属于一个 VLAN，并且是通过手工设置指定 VLAN的。

二、Trunk端口
一个 Trunk端口，在缺省情况下是属于本设备所有 VLAN的，它能够转发所有 VLAN的帧 ， 也可 以通过设置许可VLAN列表 (Allowed-VLANs)来加以限制。

三、Uplink端口
一个 Uplink端口，在缺省情况下是属于本设备所有 VLAN的，它能够转发所有VLAN的帧 ， 并且以 tag方式转发 native-vlan的帧 。

四、Hybrid端口
一个 Hybrid端口，在缺省情况下是属于本设备所有 VLAN的，它能够转发所有VLAN的帧，并且允许以 untag方式转发多个 VLAN的帧，也可以通过设置许可VLAN列表 (Allowed-VLANs)来加以限制。

五、Servicechain端口
一个 Servicechain端口，不学习 MAC地址，且可以转发任何 VLAN的报文；同时，该端口不允许有其他配置。

当用户和网络设备管理界面建立一个新的会话连接时，首先处于用户模式（User EXEC 模式），在 此模式下，只可以使用少量命令，并且的功能也受到一些限制，例如像 show命令等。 用户模式的操作结果不会被保存。

要使用更多的命令，首先须进入特权模式（Privileged EXEC 模式）。通常，在进入特权模式时必须输入特权模式的口令。在进入特权模式下，用户可以使所有的特命令，并且能够由此进入全局配置模式。

使用配置模式（全局配置模式、接口配置模式等）的命令，会对当前运行的配置产生影响，如果用户保存了配置信息，这些命令将被 保存下来，并在系统重新启动时再次执行。要进入各种配置模式，首先必须进入全局配置模式。在全局配置模式下配置，可以进入接口配置模式等各种配置子模式。

各个命令模式概要如下（网络设备名称为缺省的“Ruijie”）:

交换机内部处理的数据帧一律都带有VLAN标签，而现网中交换机连接的设备有些只会收发Untagged帧，要与这些设备交互，就需要接口能够识别Untagged帧并在收发时给帧添加、剥除VLAN标签。同时，现网中属于同一个VLAN的用户可能会被连接在不同的交换机上，且跨越交换机的VLAN可能不止一个，如果需要用户间的互通，就需要交换机间的接口能够同时识别和发送多个VLAN的数据帧。

为了适应不同的连接和组网，华为定义了Access接口、Trunk接口、Hybrid接口和QinQ接口4种接口类型，以及接入链路（Access Link）和干道链路（Trunk Link）两种链路类型，其中Access接口、Trunk接口和Hybrid接口、QinQ接口。

链路类型

根据链路中需要承载的VLAN数目的不同，以太网链路分为：

接入链路

接入链路只可以承载1个VLAN的数据帧，用于连接交换机和用户终端（如用户主机、服务器、傻瓜交换机等）。通常情况下，用户终端并不需要知道自己属于哪个VLAN，也不能识别带有Tag的帧，所以在接入链路上传输的帧都是Untagged帧。

干道链路

干道链路可以承载多个不同VLAN的数据帧，用于交换机间互连或连接交换机与路由器。为了保证其它网络设备能够正确识别数据帧中的VLAN信息，在干道链路上传输的数据帧必须都打上Tag。

根据接口连接对象以及对收发数据帧处理的不同，交换机接口划分为四类：

Access接口

Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。Access接口大部分情况只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag。但当Access接口收到带有Tag的帧，并且帧中VID与PVID相同时，Access接口也能接收并处理该帧。

Trunk接口

Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。

Hybrid接口

Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等）和网络设备（如Hub、傻瓜交换机），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。它可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag（即不剥除Tag）、某些VLAN的帧不带Tag（即剥除Tag）。

Hybrid接口和Trunk接口在很多应用场景下可以通用，但在某些应用场景下，必须使用Hybrid接口。比如在灵活QinQ中，服务提供商网络的多个VLAN的报文在进入用户网络前，需要剥离外层VLAN Tag，此时Trunk接口不能实现该功能，因为Trunk接口只能使该接口缺省VLAN的报文不带VLAN Tag通过。有关灵活QinQ的详细介绍，请参见“QinQ配置”中的“配置灵活QinQ”。

QinQ接口

QinQ（802.1Q-in-802.1Q）接口是使用QinQ协议的接口，一般用于私网与公网之间的连接。它可以给帧加上双层Tag，即在原来Tag的基础上，给帧加上一个新的Tag，从而可以支持多达4094×4094个VLAN，满足网络对VLAN数量的需求。外层的Tag通常被称作公网Tag，用来标识公网的VLAN；内层Tag通常被称作私网Tag，用来标识私网的VLAN。

组播概述

在网络中，存在着三种发送报文的方式：单播、广播、组播。数据采用单播（Unicast）方式传输时，服务器会为每一个接收者单独传输一份信息，如果有多个接收者存在，网络上就会重复地传输多份相同内容的信息，这样将会大量占用网络资源。数据采用广播（Broadcast）方式传输时，系统会把信息一次性的传送给网络中的所有用户，不管他们是否需要，任何用户都会接收到广播来的信息。

当前，诸如视频会议和视频点播等单点发送、多点接收的多媒体业务正在成为信息传送的重要组成部分。在一点发送多点接收的前提下，单播方式适合用户较少的网络，而广播方式适合用户稠密的网络，当网络中需求某信息的用户量不确定时，单播和广播方式效率很低。这时组播（multicast）应运而生，它实现了网络中单点到多点的高效数据传送，能够节约大量网络带宽，降低网络负载。组播传输信息的方式如图所示。

组播的特点是：

服务对象不固定，通常是一对多的关系；

把服务对象看成一个组，发送端只需要发送一次数据到相关网络设备即可；

每个用户可以随时加入或退出组播组；

实时性要求较高，允许一定的丢帧现象发生。

组播地址

组播IP地址：

根据IANA（Internet Assigned Numbers Authority，因特网编号授权委员会）规定，组播报文的IP地址使用D类IP地址，组播IP地址范围是224.0.0.0～239.255.255.255。其中，几个特殊组播IP地址段的范围及说明如下：

组播MAC地址：

以太网传输单播IP报文的时候，目的MAC地址使用的是接收者的MAC地址。但是在传输组播报文时，传输目标不再是一个具体的接收者，而是一个成员不确定的组，所以需要使用组播MAC地址作为目的地址，组播MAC地址是一个逻辑的MAC地址。

IANA规定，组播MAC地址的高24bit位是以01-00-5E开头，低23bit为组播IP地址的低23bit，映射关系如图所示：

由于IP组播地址的高4bit是1110，标识了组播组，而低28bit中只有23bit被映射到组播MAC地址上，这样IP组播地址中就会有5bit没有使用，从而出现了32个IP组播地址映射到同一MAC地址上的结果。

组播地址表

交换机在转发组播数据时是根据组播地址表来进行的。由于组播数据不能跨越VLAN传输，因此组播地址表的第一部分是VLAN ID，当交换机收到组播数据包时，数据包只能在接收端口所在的VLAN内转发。组播地址表对应的出口端口不是一个，而是一组端口列表。转发数据时，交换机根据组播数据的目的组播地址查找组播地址表，如果在组播地址表中查不到相应的条目，则把该组播数据广播，即向接收端口所在VLAN内的所有端口上转发；如果能查找到对应的条目，则目的地址应该是一组端口列表，于是交换机把这个组播数据复制成多份，每份转发到一个端口，从而完成组播数据的交换。组播地址表一般格式如图所示。

IGMP侦听

网络中的主机通过发送IGMP（Internet Group Management Protocol，互联网组管理协议）报文向临近的路由器申请加入（或离开）组播组，当上层路由设备将组播数据转发下来后，交换机负责将组播数据转发给主机。IGMP侦听（IGMP Snooping）是组播约束机制，交换机用他来完成组播组的动态注册，运行IGMP侦听的交换机通过侦听和分析主机与组播路由器之间交互的IGMP报文来管理和控制组播组，从而可以有效抑制组播数据在网络中扩散。

IGMP侦听的工作过程

交换机侦听用户主机与路由器之间的交互IGMP报文，跟踪组播信息及其申请的端口。当交换机侦听到主机向路由器发出报告报文（IGMP Report）时，交换机便把该端口加入组播地址表中；当交换机侦听到主机发送的离开报文（IGMP Leave）时，路由器会发送该端口的特定组查询报文（Group-Specific Query），若还有其它主机需要该组播，则将回应报告报文，若路由器收不到任何主机的回应，交换机便把该端口从组播地址表中删除。路由器会定时发查询报文（IGMP Query），交换机收到查询报文后，如果在一定的时间段内没有收到主机的报告报文，便把该端口从组播表中删除。

集群是可以当作单一设备来管理的一组网络设备的集合，集群管理的主要目的是解决大量分散的网络设备的集中管理问题。网络管理者只需要在集群中的一个交换机上配置公网IP地址就可以实现对集群中其它交换机的管理和维护；配置公网IP地址并执行管理功能的交换机是命令交换机，其它被管理的交换机是成员交换机，命令交换机和成员交换机组成了一个“集群”。

典型拓扑图：

命令交换机：在集群中，唯一的可以配置和管理整个集群的交换机，也是在集群中唯一具有公网IP地址的交换机。命令交换机通过收集NDP（Neighbor Discovery Protocol，邻居发现协议）和NTDP（Neighbor Topology Discovery Protocol，邻居拓扑发现协议）信息来发现和确定候选交换机。

成员交换机：集群中被管理的交换机。

候选交换机：具有加入集群能力，但还没有加入任何集群的交换机。

独立交换机：未启用集群功能的交换机。

集群工作原理

集群通过NDP（Neighbor Discovery Protocol，邻居发现协议）、NTDP（Neighbor Topology Discovery Protocol，邻居拓扑发现协议）、CMP（Cluster Management Protocol，集群管理协议）三个协议，对集群内部的交换机进行配置和管理。

集群的过程分为拓扑发现、拓扑收集和集群的建立维护，具体工作过程如下：

拓扑发现：所有交换机通过NDP 来获取邻居交换机的信息。
拓扑收集：命令交换机通过NTDP 来收集网络内指定跳数范围内的交换机信息以及各个交换机的连接信息，并从收集到的拓扑信息中确定集群的候选交换机。
集群建立维护：命令交换机根据NTDP 收集到的候选设备信息完成将候选交换机加入集群、成员交换机离开集群等集群管理操作。

拓扑发现

集群中的交换机使用NDP来获取与其直接相连的邻居交换机的信息。交换机周期性地向邻居发送NDP报文，同时也会接收但不转发邻居交换机发送的NDP报文。NDP报文中包含NDP信息（包括本交换机的名称、MAC地址、软件版本等信息）等。

交换机会存储和维护一个邻居信息表，邻居信息表里包含每个邻居交换机的NDP信息表项。如果交换机收到新邻居的NDP信息，则会在邻居信息表新增一个表项；如果从邻居交换机收到的NDP信息与旧的信息不同，则更新邻居信息表中的数据，如果相同，则只更新老化时间，如果超过老化时间还没有收到邻居发送的NDP信息，将自动删除相应的邻居表项。

拓扑收集

NTDP用于命令交换机收集整个网络指定跳数的拓扑信息。NTDP 根据NDP邻居信息表发送和转发NTDP 拓扑收集请求，收集指定跳数内的网络中每个交换机的NDP 信息及其连接信息。命令交换机可以定时在网络内进行拓扑收集，您也可以随时在命令交换机上手动启用拓扑收集。

命令交换机发送拓扑收集请求报文后，大量交换机会同时收到拓扑收集请求并同时发送拓扑收集响应报文，如此以来可能造成网络拥塞和命令交换机负担过重。为了避免上述现象的产生，设计两个时间参数来控制拓扑收集请求报文扩散速度：

请求跳数延迟时间：交换机收到拓扑收集请求，会等待该时间段之后，才开始在第一个启用NTDP的端口转发该拓扑收集请求报文。
端口跳数延迟时间：在同一个交换机上，除第一个端口外，每个启用NTDP 功能的端口在前一个端口发送拓扑收集请求报文后，都会等待该时间段，再进行拓扑收集请求报文的转发。

集群管理

命令交换机通过NDP 和NTDP 协议发现和确定候选交换机，并将候选交换机自动加入集群，也可以通过手动配置将候选交换机加入到集群中。候选交换机成功加入集群后，将获得由命令交换机为它分配的私有IP 地址。可以在命令交换机上直接访问成员交换机的Web页面，对成员交换机进行管理。