NE40ENE80ENE5000E配置及维护宝典V10

NE40E/NE80E/NE5000E 配置及维护宝典 V1.0本文档涵盖了 NE40E/NE80E/NE5000E产品的常见问题，问题大类包括：硬件系统、系统管理、网络协议、路由应用、vpn部分、以及其他（QOS等）。本文档主要是常见问题的FAQ设备操作及基本命令类介绍较少，相关的资料可以参考对应产品的操作手册可以到下载.更新说明更新时间2007/03/30初稿?更新说11、硬件系统 错误！未定义书签1.1、NE40E、NE80E、NE5000E的满配功率是多少？ 错误！未定义书签。1.2、 如何正确热插拔 NE5000E/80E/40E产品主控板？ 错误！未定义书签。1.3、拔出正常运行 NE80E 主控板与其它单板的差别？ 错误！未定义书签。1.5、NE5000ENE80E 由于系统结构复杂，导致单板的组成较为复杂，本FAQ 详细说明这两款产品单板的组合。 错误！未定义书签。1.6、是否可以使用并联电流给 NE 设备供电？ 错误！未定义书签。1.8、如何查看设备中的 Netstream 板？ 错误！未定义书签。1.9、NE5000 系统上电时是否电源功率等于或稍大于所有单板的功率和，整机即可正常完成注 册？ 错误！未定义书签。2、系统管理 错误！未定义书签2.1、telnet 用户的最大数是多少？ 错误！未定义书签。2.2、NE40E 、 NE80E 是否支持 ETH -Trunk ？ 错误！未定义书签。2.3、NE40E 、 NE80E 、 NE5000E VRP5.30 版本支持多少个 Eth-trunk? 错误！未定义书签。2.4、NE40E、NE80E、NE5000E VRP 5.30 一个 trunk 接口下最多可以有多少个成员端 口？ 错误！未定义书签。3、系统管理： telnet、 SNMP 、日志采集、 SSH 等 错误！未定义书签3.1、如何修改设备的时区？ 错误！未定义书签3.2、如何转换命令行的语言模式？ 错误！未定义书签3.3、如何把 telnet 用户强制下线？ 错误！未定义书签。3.4、如何取消分屏显示？ 错误！未定义书签。3.5、如何能够使 NE40E level0 能够查看 logbuffer ？ 错误！未定义书签。3.6、怎样配置 NE40E 的登录用户先 radius 认证再本地认证？ 错误！未定义书签。3.7、华为有哪些产品支持 TACACS ？ 错误！未定义书签。3.8、使用 TELNET 登录 NE80E/40E/80/40 是否支持 TACACS 方式认证？ 错误！未定义书签3.9、怎样修改 NE40E 的日志文件记录路径 错误！未定义书签。3.10、如何正确的配置 NE40ENE80ENE5000E 的防病毒访问控制列表？ 错误！未定义书签错误！未定义书签4、网络协议 错误！未定义书签4.4、什么是 NE80E 的 ping 保护机制呢？5、路由协议错误！未定义书签5.1、如何进行 OSPF 外部路由的聚合？ 错误！未定义书签。5.2、反射器反射路由时对路由属性的处理原则是什么？ 错误！未定义书签5.3、如何修改邦定 VPN实例OSPF进程的Router id 错误！未定义书签。5.5、为什么在 OSPF 路由中不建议引入直连路由？ 错误！未定义书签。5.6、如何部署 OSPF 的内部路由聚合？ 错误！未定义书签。5.8、在 IGP 是 ISIS 的网络中如何查找设备？ 错误！未定义书签。5.9、如何设置 NE80E 只启用 MBGP 而不启用普通 BGP？ . 错误！未定义书签5.11、在 8090 产品中，通过命令 display ip routing -table verbose 能看到 NextHop、 RelyNextHop ， 他们的区别是什么？ 错误！未定义书签。5.12、BGP 协议的故障诊断命令有哪些？ 错误！未定义书签。6、VPN 应用 错误！未定义书签。6.1、华为路由器是否支持 VPN 下安全套接层？ 错误！未定义书签。26.2、如何排查 VPLS 隧道连接建立不起来的故障？ 错误！未定义书签。6.3、 同一台设备上面不同vpn（绑定在不同loopback地址）如何实现互访错误！未定义书签6.4、如何在 NE40E 上配置 VLAN -MAP 功能 错误！未定义书签。7、 其他（组播、 QOS、 VRRP 等） 错误！未定义书签7.1、承载网中如何保证 VRRP 快速切换 错误！未定义书签。7.3、目前 NE80E 是否支持 MPLS TE HOT -STANDBY 指定显示路径？ 错误！未定义书签7.4、在 TE 隧道重优化( reoptimization )时判断重优化更优路径的标准是什 么？ 错误！未定义书签。7.5、如何实现相同域内 PIM -SM 组播的负载分担和冗余备份？. 错误！未定义书签。7.7、在 NE80E QOS 实现中各队列对应何种队列调度算法？错误！未定义书签。7.8、路由器发送 ICMP 重定向报文的条件 错误！未定义书签。31、硬件系统1.1、NE40E、NE80E、NE5000E 的满配功率是多少？NE40E 的满配功率是 2400WNE80E 的满配功率是 5000WNE5000E 的满配功率是 5000W1.2、如何正确热插拔 NE5000E/80E/40E 产品主控板？对于 NE5000E/80E 产品 的主用主控板或 NE40E 的主用主控板1、在拔出主用主控板前请先主备倒换。2、请在命令行执行 power off slot 。3、等待单板下电，拔出单板。对于 NE80E 和 NE5000E 如果不是主用主控板，对于 NE40E ，如果不是主用 SRU 板 1、请在命令行执行 power off slot 。2、等待单板下电，拔出单板。1.3、拔出正常运行 NE80E 主控板与其它单板的差别？其它单板：在单板拔出前按下 OFL 按钮，提出拔板申请，大约需要连续按钮3 秒钟，直至 OFL指示灯点亮时，单板才可安全拔出。主控单板： 备用主控板拔出操作与其它单板操作一致， 主用主控板在单板拔出前必须先执行 主备倒换后方可按下 OFL 按钮，提出拔板申请，大约需要连续按钮 3 秒钟，直至 OFL 指示灯点亮时，单板才可安全拔出。1.5、 NE5000ENE80E由于系统结构复杂，导致单板的组成较为复杂，本FAQ详 细说明这两款产品单板的组合。NE5000ENE80E 的单板一般由两部分组成： LPU ，主要负责转发； FAD ，主要负责 LPU 和网板 的适配及 QOS 处理。 NE80E 和 NE5000E 支持以下组合：NE80E ：LPUA+FADB LPUA 为使用 2800 网络处理器单板， FADB 主要完成 LPUA 和 NE80E 网板适 配。LPUA+FADD LPUA 为使用 2800 网络处理器单板， FADD 主要完成 LPUA 和 NE80E 网板适 配。LPUX+FADA LPUX 为原 NE80NE40 支持单板， FADA 主要完成 LPUX 和 NE80E 网板适配。4NE5000E ：LPUB+FADC LPUB 为使用华为的 588ASIC 转发引擎， FADC 主要完成 LPUB 和 NE5000E 网板适配。LPUC LPUC 为大板，没有 FAD 板，已经集成了 QOS 及和 NE5000E 网板适配的功能。LPUX+FADFLPUX 为原 NE80NE40 支持单板， FADF 主要完成 LPUX 和 NE5000E 网板适配。1.6、是否可以使用并联电流给 NE 设备供电？某局点因不能给 NE40E-8提供100A的直流电，希望使用一个 53A和47A的电流并联起来给设 备供电，问这种方式是否可以， 咨询了电源的工程师， 不可以使用这种方法供电， 给我们设备供电前级必 须要有 100A 的配电。1.8、如何查看设备中的 Netstream 板？从以下 device 信息中可以看到单板类型为 spu 的就为 Netstream 板： display deviceNE5000Es Device status:Slot #TypeOnlineRegisterStatusPrimary1LPUPresentRegisteredNormalNA16SPUPresentRegisteredNormalNA%netstream 板 %17MPUPresentNANormalMaster18MPUPresentRegisteredNormalSlave19SFUPresentRegisteredNormalNA20SFUPresentRegisteredNormalNA21SFUPresentRegisteredNormalNA22SFUPresentRegisteredNormalNA23CLKPresentRegisteredNormalMaster24CLKPresentRegisteredNormalSlave25PWRPresentNANormalNA26PWRPresentNANormalNA27FANPresentRegisteredNormalNA28FANPresentRegisteredNormalNA29LCDPresentRegisteredNormalNA可以查看到 16 号槽位板没有业务端口： display device pic -statusPic-status information of all lpu boards:LPU 1: OnlinePIC # OnlineType0 Present POS-4X2.5G5Port_count Init_resultLogic downSUCCESSSUCCESSLPU 5: OnlinePIC # OnlineTypePort_count Init_result Logic down0 Present ETH -10X -GE 10SUCCESSSUCCESSLPU 6: OnlinePIC # OnlineTypePort_count Init_result Logic down0 Present ETH -10X -GE 10SUCCESSSUCCESSLPU 16: Online %没有端口信息 %1.9、NE5000 系统上电时是否电源功率等于或稍大于所有单板的功率和，整机即 可正常完成注册？不可以。 因为整机加电时启动瞬间电流要比所有单板功率和大数倍，如果供电电源功率仅仅比所有单板的功率和稍大，是不能满足启动瞬间电流需求的。 目前 NE5000E 的额定功率为 5000W 、额定电流为 131A ， 推荐使用额定电流为 200A 以上的空气开关。2、系统管理2.1、telnet 用户的最大数是多少？NE40E 、 NE80E 、NE5000E 的最大 telnet 用户数为 15 个。2.2、NE40E、NE80E 是否支持 ETH-Trunk ？VRP 5.10 版本不支持 Eth-Trunk,VRP 5.3 -版本支持 Eth-Trunk2.3、NE40E、NE80E、NE5000E VRP5.30 版本支持多少个 Eth-trunk?64 个62.4、NE40E、NE80E、NE5000E VRP 5.30 个 trunk 接口下最多可以有多少个 成员端口？16 个3、系统管理：tel net、SNMP、日志采集、SSH等3.1、如何修改设备的时区？在用户视图下 clock timezone time -zone-name add | minus offset undo clock timezonetime-zone-name：时区名称，字符长度范围1 32。add :与UTC （ Un iversal Time Coord in ated，通用协调时间）时间比较增加。minus :与UTC时间比较减少。offset :与UTC的时间差，格式是：HH:MM:SS , HH范围为023, MM 和SS范围为059。3.2、如何转换命令行的语言模式？在用户视图下执行 language-mode chinese | english 可以在英文与中文之间切换。3.3、如何把tel net用户强制下线？在用户视图下执行 free user-i nterface ui -n umber | ui -type ui -n umber1 可以强制 tel net 用户下线。ui-number :用户界面绝对编号。最小值为0,最大值是系统支持的用户界面总数。不同设备用户界面取值范围不同。ui-type :用户界面类型。ui-number1 ：用户界面的相对编号。3.4、如何取消分屏显示？在相应用户界面下执行 screen-length 0。73.5、如何能够使 NE40E level0 能够查看 logbuffer？ 在系统模式下，按照如下配置便可以实现 0 级别的用户也可以查看 logbuffer 的功能。 command-privilege level 0 view user -interface displaycommand-privilege level 0 view user -interface display logbuffer3.6、怎样配置NE40E的登录用户先radius认证再本地认证？#radius-server template loginradius -server shared-key ih1361ncradius -server authentication 218.77.*.* 1645 source LoopBack 0radius -server authentication 218.77.*.* 1812 source LoopBack 0 secondary undo radius -server user-name domain - includedaaalocal-user hidxhk password cipher XG$;SH2;NSBQ%*T%!local-user hidxhk service -type telnetlocal-user hidxhk level 1local-user base net password cipher AKUSDJ9B_FDFKHNT=!local-user basenet service-type telnetlocal-user basenet level 1 authentication-scheme default authentication-mode radius local authorization -scheme default accounting-scheme default domain defaultradius-server login authentication-scheme defaultuser-interface vty 0 4authentication-mode aaauser privilege level 1idle -timeout 5 03.7、华为有哪些产品支持 TACACS？NE40E / NE80E / NE5000E 产品支持 HWTACACSNE40 / NE80 / S8016 V5 版本支持 HWTACACS V3 版本不支持 HWTACACSNE20 / 20EV3 与 V5 均支持 HWTCACSNE16E / 08E / 05 不支持 HWTCACSS6500 release 1000 不支持 HWTCACS release 2000/3000 支持 HWTACACS8500 支持 HWTACACS83.8、使用 TELNET 登录 NE80E/40E/80/40 是否支持 TACACS 方式认证？ NE80E/40E/80/40 设备支持的名称叫 HWTACACS ，可以和标准的 TACACS 正常对接使用， NE80E/40E/80/40的基于 VRP5 平台的软件版本都可以支持该认证方式。3.9、怎样修改 NE40E 的日志文件记录路径当主控板只配置了一块 CFcard 时，可通过隐含命令修改 NE40E 的日志文件记录路径， 将日志记 录到主控板内部的 CFcard 中。1、进入隐含模式：NE40E_hCFcardNE40E -hidecmd2、在隐含模式下执行下面的命令修改日志文件路径到主控板内部的NE40E -hidecmdset logfile -path cfcard3.10、如何正确的配置 NE40ENE80ENE5000E 的防病毒访问控制列表？acl number 3000description ANTI -VIRUSrule 1 deny tcp destination -port eq 135rule 2 deny tcp destination -port eq 137rule 3 deny tcp destination -port eq 138 rule 4 deny tcp destination -port eq 139 rule 5 deny tcp destination -port eq 445 rule 6 deny tcp destination -port eq 5554 rule 7 deny tcp destination -port eq 901 rule 8 deny tcp destination -port eq 2745 rule 9 deny tcp destination -port eq 3127 rule 10 deny tcp destination -port eq 3128rule 11 deny tcp destination rule 12 deny tcp destination rule 13 deny tcp destination rule 14 deny tcp destination rule 15 deny tcp destination rule 16 deny udp destination rule 17 deny udp destination rule 18 deny udp destination rule 19 deny udp destination rule 20 deny udp destination rule 21 deny udp destination rule 22 deny udp destination rule 23 deny udp destination 9rule 40 permit ip-port eq 6129-port eq 6667-port eq 4444-port eq 1025-port eq 593-port eq 135-port eq netbios -ns-port eq netbios -dgm-port eq netbios -ssn-port eq 445-port eq 9995-port eq 9996-port eq 1434%此条需做，permit 其它的数据报文 %traffic classifier anti_virus operator andif -match acl 3000% 此默认的动作为 permit%traffic behavior anti_virustraffic policy anticlassifier anti_virus behavior anti_virus interface GigabitEthernet2/0/0traffic -policy anti inbound4、网络协议4.4、什么是NE80E的ping保护机制呢？NE80E 接收 cisco 等设备的 ping 包机制：C 设备 NE80ENE80E 的接口收到报文之后，首先处理二层头 , 发现 DMAC 是本端口的 MAC 地址，那么剥掉二 层头上送，再根据 DIP 发现是本机的 IP 报文，那么通过 NP 发给 CP （在 NP 和 CP 之间还要经 过 CAR 处理）， CP 收到报文后进入 ip 协议栈， 对于 icmp echo 报文直接发送 icmp echo reply 。此处的 CAR 缺省值是 4M ，为了防止主机上送 icmp 报文的大量攻击，因为通常 ping 报文大都 用来故障诊断，不会大量发送。这样做可以有效避免 icmp 的报文攻击，保护设备稳定运行； CAR 的值可以修改，通过下面的命令NE80E -6cpcar slot 1 ipv4 -icmp NE80E -6-cpcar-ipv4-icmp-slot-1?Cpcar view commands:carSpecify CAR (Committed Access Rate) featuredisplayDisplay current system informationdropimmediacy droppassdont use carpingSend echo messagesquitExit from current command viewresetReset operationreturnExit to user viewtracertTrace route to hosttraffic -policySpecify QoS policyundoCancel current settingNE80E -6-cpcar-ipv4-icmp-slot-1car cir Committed information rateNE80E -6-cpcar-ipv4-icmp-slot-1car cir ?INTEGER Value of CIR (Unit: Kbps)10NE80E -6-cpcar-ipv4-icmp-slot-1car cirCAR 先放但是如果把 CAR 值改大后，可能会造成 CPU 上升，不建议修改；如果测试时可以把 开，测完后关掉。5、路由协议5.1、如何进行OSPF外部路由的聚合？因为 OSPF 的 type 5 LSA 产生在 ASBR 上，所以对 type 5 的路由聚合必须在该 ASBR 上进行设 置。当设置聚合后仅仅对聚合信息产生 type 5 LSA ，同时抑制了明细的 type5 LSA 。5.2、反射器反射路由时对路由属性的处理原则是什么？反射器反射路由的属性是经过入口策略后的属性，不受出口策略影响。5.3、如何修改邦定 VPN实例OSPF进程的 Router id ?此案例适合 VRP5.10 和 VRP5.30 版本。 修改邦定 VPN 实例的 OSPF 各进程的 Router id 请使用如下命令： Quidwayospf X router -id 其中 x 为进程号， id 。注意：命令router id id，修改Router id后请重启OSPF的相关进程。5.5、为什么在OSPF路由中不建议引入直连路由？1） 、在OSPF中，尽量避免引入直连路由，直连路由应采用network + silent方式直接发布。2）、产生 LSA 类型不同， import 方式产生 type 5 类型 LSA 在整个 AS 内传播， network 方式产生 type 1 LSA ，将在区域内传播。3） 、产生路由表优先级不同，import 方式产生的是 150， network 方式产生的是 10。4）、引入直连生成的 OSPF 外部路由很难实施基于区域路由聚合。5.6、如何部署OSPF的内部路由聚合？OSPF的路由聚合分为 OSPF域内的路由聚合和 OSPF的域外路由聚合。这里主要讨论 OSPF的 域内路由聚合。OSPF的域内路由聚合是通过在 ABR上手动配置聚合命令来实现的。即聚合只能发生在 ABR 上,根据配置的聚合命令 OSPF 产生相关聚合路由信息的 type 3 LSA ，并将该 LSA 进行区域泛洪。 在配置了聚合命令的 ABR 上不再针对匹配的明细路由产生 type3 LSA 报文。115.8、在IGP是ISIS的网络中如何查找设备？1、 在大型城域网中，设备较多，包括huawei 和 c 厂家的，一般每个设备都使用一个管理地址， 管理地址一般都是使用 loopback 0 的地址。2、 为了更好的维护好网络，huawei 工程师需要统计一个管理地址的表格 （包括 c 厂家设备 ）。3、 如果网络中使用的是isis 做为 IGP 协议，因为 isis 设备的 net 部分的 system id 基本上都是根 据 loopback 0 地址扩展而来，如果知道了 system id ，那么设备的管理地址也就知道了。8090产品提供了一条命令，disp isis name，包括 2个显示，即 system id和system name,并且能够显示 AS 内配置了 isis 协议的所有设备的相关信息，通过这条命令，就能在设备上查询还不 熟悉的设备的管理地址， 方便维护工程师建立一张所有设备的管理地址的表格。 在网络有故障时， 根据管理地址的表格，查询相应的管理 地址，迅速登到设备上定位故障。平时就通过这条命令，查询所有配置了ISIS 协议的设备的管理地址，建立一张所有设备的管理地址的表格。5.9、如何设置 NE80E 只启用 MBGP 而不启用普通 BGP？bgp 65350group VPN -PE internalpeer VPN-PE connect-interface LoopBack0peer as-number 65350peer group VPN -PE ipv4-family unicastundo peer VPN -PE enable把 VPN-PE 组的 bgp 邻居禁用undo synchronization maximum load -balancing 8 undo peer enable 把 ipv4-family vpnv4undo policy vpn -targetpeer VPN-PE enablepeer VPN -PE reflect - clientpeer VPN -PE next -hop- localpeer enablepeer group VPN -PE5.11、在 8090 产品中，通过命令 display ip rout in g-table verbose 能看到 NextHop、 RelyNextHop，他们的区别是什么？display ip routing -table verbose 命令显示如下：Destination:Protocol: BGPProcess ID: 0Preference: 100Cost: 0NextHop:12Interface: Pos2/0/0RelyNextHop:Neighbour:Tunnel ID: 0x0State: Active Adv DerivedTag: 0其中 NextHop 表示路由表项的下一跳，Label: NULLAge: 00h44m09sRelyNextHop 表示 fib 实际转发的下一跳！首先路由表和 FIB 是不同实体，作用也不一样。路由是上层协议来用的，Display ip routing 显示的是协议添加路由时设置的下一跳， 在路由表中称之为原始下一跳， 这个下一跳不一定直接可达。 而 FIB 是用于指导转发的，它的下一跳必须是直接可达。路由管理模块通过对路由的原始下一 跳进行迭代找到这个直接下一跳，并将其设置到 FIB 当中来指导转发。原始下一跳和迭代下一 跳实质上是相关联的。5.12、BGP协议的故障诊断命令有哪些?BGP 协议的故障诊断命令及命令意思如下所示：display bgp peer显示公网 IPv4 邻居的摘要信息display bgp peer ipv4 -address verbose 显示指定邻居的详细信息display bgp peer ipv4 -address log-info 显示指定邻居的信息记录（该命令对邻居意外中断问题定位非常重要）display bgp group group -name 显示公网 IPv4 邻居组信息display bgp routing -table statistics显示 BGP 公网 IPv4 单播路由统计display bgp routing -table显示 BGP 公网 IPv4 单播路由摘要信息display bgp routing -table peer ip -address advertised-routes 显示给指定邻居发布的路由display bgp routing -table peer ip -address received-routes 显示从指定邻居收到的路由display bgp network显示通过 Network 命令引入到 BGP 的路由display bgp path 显示 BGP 公网 Ipv4 单播路由的路经属性信息display bgp ipv6显示 BGP 公网 IPv6 的相应信息，与对应 Ipv4 命令用法相同 display bgp multicast显示 BGP 公网 IPv4 多播的相应信息，与对应 IPv4 单播命令用法相同 display ip routing -table statistics显示系统公网 IPv4 路由统计 display ip routing -table protocol bgp显示系统公网 IPv4 路由表中 BGP Active 路由的摘要信息 display ip routing -table protocol bgp verbose显示系统公网 IPv4 路由表中 BGP Active 路由的摘要信息13display ip routing -table protocol bgp inactive 显示系统公网 IPv4 路由表中 BGP Inactive 路由的摘要信息6、VPN 应用6.1、华为路由器是否支持 VPN 下安全套接层？SSL( Secure Socket Layer )即安全套接层，主要包含SSL 记录协议及 SSL 握手协议两个协议，是传输层安全协议。目前华为设备不支持在 VPN 下支持 SSL。6.2、如何排查 VPLS 隧道连接建立不起来的故障？通常的 VPLS 故障排查步骤如下：1、用 display mpls lsp 命令分别查看个 PE 上 LSP 建立的情况，如果命令行显示结果为空，或者 显示的 LSP 中没有对端 PE 的网段路由映射，则说明故障出在 LSP 没有建立或标签映射上，这种问题和软件协议或配置密切相关。2、如果在PE上没有对端 PE的LSP，则使用dis c c mpls检查MPLS的基本配置情况，MPSL必须在全局视图下使能，且配置Lsr-id，否则LSP是不可能建立起来的。如果基本配置正常，请转向第3 步。display3、检查接口是否使能 MPLS 和 MPLS LDP 命令。将命令视图切换至接口视图，使用 this 命令查看 MPLS 使能情况。如果接口没有使能MPLS 和 MPLS LDP ，那么 LSP 是不可能建立起来的。如果接口 MPLS 已经使能，请转向第 4 步。4、 检查路由表是否存在对端PE的路由信息，使用命令dis ip routing -table。如果对端PE的的路由信息不存在，则说明问题在于基本的IP 路由发生故障。145、检查 PE 上 VSI 状态和 VPN 标签分配情况，如果 VSI 状态为 DOWN 状态，表示 VPLS 的信 令协议没有协商成功。导致这个问题的原因有多种可能。普通 IP 路由故障， MPLS 转发故障， PE1 和 PE1 链路封装不一致，都有可能导致 VSI 状态 为 DOWN 。可使用调试命令行 display vsi verbose 查看具体 VSI DOWN 的原因。6、 如果故障依然没有解决，请检查CE 接入 PE 的端口 （子接口 /Vlanif） 状态和端口配置情况。接 入端口状态必须 UP ，并且配置了 l2 bindingvsi 。一般通过以上的排查方法，基本就能解决 VPLS 故障的问题。6.3、同一台设备上面不同vpn（绑定在不同loopback地址）如何实现互访基本配置信息如下：ip vpn-instance vpn1route-distinguisher 100:1vpn-target 100:1 export-extcommunityvpn-target 100:1 import -extcommunityip vpn-instance vpn2route-distinguisher 200:1vpn-target 200:1 export-extcommunityvpn-target 200:1 import -extcommunityinterface LoopBack1ip binding vpn -instance vpn1ip addressinterface LoopBack2ip binding vpn -instance vpn2ip addressbgp 100ipv4-family vpn -instance vpn1import -route directimport -route staticipv4-family vpn -instance vpn2import -route directimport -route static查看路由表， vpn1 上只能看到自身的私网路由， vpn2 也只能看到自身的私网路由，带原地址 ping,ping-vpn vpn1 -a分析路由走向可得， vpn 之间无法学习到私网路由，必须通过 vpn 之间透传的静态路由（同时本拓扑的特殊性，静态路由的下一跳是 loopback 端口 )配置下面 2 条静态路由ip route -static vpn -instance vpn1 loopback2ip route -static vpn -instance vpn2loopback1此时，带原地址 ping, ping -vpn vpn1 -a156.4、如何在 NE40E 上配置 VLAN -MAP 功能1、组网： LSW -1 a NE40E-1bNE40E-2 c LSW-2、说明：两台 NE40E 相关接口通过 portswitch 变换为 Layer 2 端口； 路 b 上所联接的端口类型为 trunk 口、链路 c 属于 VLAN20 。1、NE40E-1 上配置普通二层特性（两个端口配置一样）：端口视图下portswitchport link -type trunkport trunk allow -pass vlan 102、在 NE40E -2 和 LSW-2 联接的端口上配置普通二层特性： 端口视图下 portswitchport link -type trunkport trunk allow -pass vlan 203、在 NE40E -2上与 NE40E - 1 相连接的端口上配置 VLAN 映射： 端口视图下portswitchport link -type trunkport vlan -mapping outside -vlan 10 map -vlan 20l 链路 a 属于 VLAN10 、链NE40E -2 的上行链路的接port vlan -mapping outside -vlan 10 map -vlan 20 ”这个关键配置只需要在 口下配置， 其余接口无需配置。167、其他(组播、 QOS 、VRRP 等)7.1、承载网中如何保证 VRRP 快速切换VRRP 可以采用跟踪 BFD Session 来实现快速主备倒换。实现方法： Master 和 Backup 之间使用 VRRP 接口地址建立 BFD Session ，然后在 VRRP 配置中 跟踪此 BFD Session 。具体配置： vrrp vrid 1 track bfd -session 2 increased 40 / vrrp 组 1 跟踪 bfd-session 如果 BFD Session 状态变为 Down ，Backup 的 VRRP 优先级增加 40，变成主用，实现快速切换。7.3、目前NE80E是否支持 MPLS TE HOT-STANDBY指定显示路径？不支持。但 HOT -STANDBY 计算出来的路径不会与主路径的任一节点或链路重合。7.4、在TE隧道重优化(reoptimization)时判断重优化更优路径的标准是什么？ 对于这个问题， RFC 标准中没有明确的规定。而按照 VRP5.1/VRP5.3 的实现，路径重优化时首 先比较 path metric ，然后比较 hop 跳数，仅以此作为是否采用计算新路径的标准，而实际上并不 考虑链路带宽的因素。7.5、如何实现相同域内 PIM-SM 组播的负载分担和冗余备份？ 当在同一个组播域内时，对于不同的组播组可以通过注册不同的 RP 来实现负载分担。但是为了 负载分担已经冗余备份可以采用 MSDP anycast 技术来实现。首先是在不同的 RP 上配置相同 RP 地址，每个接收端以及组播源都是就近注册到某一个 RP 上，从而实现了 RP 的负载分担；由于 MSDP 在 RP 之间通信，实现了不同的 RP 对于组播域内的组播源 拓扑保持了一致的信息，所以当一个 RP 宕了，相关的接收端以及源能快速的切换到其他的 RP 上，实现了 RP 之间的冗余备份。177.7、在NE80E QOS实现中各队列对应何种队列调度算法？目前NE80E产品的实现是 ef cs6 cs7队列进行PQ调度；be af1 af2 af3 af4 队列做 WFQ 调度。7.8、路由器发送 ICMP 重定向报文的条件当路由器的接口收到报文， 查路由表后又要从该接口转发出去的时候， 如果路由器该接口启用了ICMP 重定向功能，则向给路由器发送报文的主机（或其他设备）发送一个 ICMP 重定向报文， 通知该主机在主机路由表上加上一条主机路由。Quidway 路由器在系统视图下有命令 icmp redirect send/undo icmp redirect send ，其作用是路由器 是否可以发送 ICMP 重定向报文。缺省情况下， 路由器的 ICMP 重定向是打开的。启动快速转发 功能后，该接口将不再发送 ICMP 重定向报文。缺省情况下，路由器快速转发功能也是打开的， 所以要启用 ICMP 重定向功能，接口下必须首先关闭快速转发 undo ipfast-forwarding 。 （目前 NE 系列产品不支持关闭快速转发功能， AR 系列中低端路由器支持 ），如 果需要使用 ICMP 重定向发送功能，还需要执行以下步骤：1、执行命令 system-view ，进入系统视图。2、执行命令 icmp redirect send ，打开系统 ICMP 重定向报文发送功能。 有四种不同类型的重定向报文，有不同的代码值，如下所示。代码 描述0网络重定向1 主机重定向2 服务类型和网络重定向3 服务类型和主机重定向ICMP 重定向报文的接收者必须查看三个 IP 地址：1、导致重定向的 I P 地址（即 ICMP 重定向报文的数据位于 I P 数据报的首部） 。 2、发送重定向报文的路由器的I P 地址（包含重定向信息的 I P 数据报中的源地址。3、应该采用的路由器 I P 地址（在 ICMP 报文中的 4 7 字节）。关于 ICMP 重定向报文有很多规则。首先，重定向报文只能由路由器生成，而不能由主机生成。 另外， 重定向报文是为主机而不是为路由器使用的。假定路由器和其他一些路由器共同参与某一种选路协议，则该协议就能消除重定向的需要。1、新的路由器必须直接与网络相连接。2、重定向报文必须来自当前到目的地所选择的路由器。3、重定向报文不能让主机本身作为路由器。4、被修改的路由必须是一个间接路由。 关于重定向最后要指出的是，路由器应该发送的只是对主机的重定向（代码1或 3），而不是对网络的重定向。子网的存在使得难于准确指明何时应发送对网络的重定向而不是对主机的重定向。 只当路由 器发送了错误的类型时，一些主机才把收到的对网络的重定向当作对主机的重定向来处理。