无色无味(杨波) 的Web Log(博客)

软件平台：
H3C设备：模拟器（Simware V5.2)
ACS: cisco acs 4.12

网络拓扑：

各个设备的IP：
SW:192.168.77.2
ACS server:192.168.77.3
User Client:192.168.77.10

Read entire article.

    了解Wlan的基本知识。

db  dbm dbw

ssid/bss/sta/ap/ds/ess/Ad Hoc

radio(RF)

1、无线网络的发展历程：

Read entire article.

我把hardcfg.tcl 贴出来。大家自由发挥。

SetSelfSlot 0  
SetMainSlot 0 
SetConsoleCom 2001   
SetMemorySize 96
SetWVRPInstanceName RT1
SetMac 00 01
SetWinSockOffset 500
AddSerial -local 192.168.237.1 -lport 4002 -dest 192.168.237.1 -dport 4001
#AddEthernet -index 1
#AddEthernet -index 1
#BindPortWithAdaptor -port 1 -adaptor 1
#BindPortWithAdaptor -port 2 -adaptor 2
#BindPortWithAdaptor -port 3 -adaptor 3
#BindPortWithAdaptor -port 4 -adaptor 4
#BindPortWithAdaptor -port 5 -adaptor 5

AddLink -portnum 1 -localip 192.168.237.1 -localport 10140 -dstip 192.168.237.1 -dstport 10240
AddLink -portnum 2 -localip 192.168.237.1 -localport 10141 -dstip 192.168.237.1 -dstport 10641
AddLink -portnum 3 -localip 192.168.237.1 -localport 10142 -dstip 192.168.237.1 -dstport 10542
AddLink -portnum 4 -localip 192.168.237.1 -localport 10143 -dstip 192.168.237.1 -dstport 9041

AddEthNew -speed 100 Level2 -canswitch -vnet 01 -slot 0 -subslot 1 -local 192.168.237.1 -lport 10110 -dest 192.168.237.1 -dport 10210
AddEthNew -speed 100 Level2 -canswitch -vnet 02 -slot 0 -subslot 1 -local 192.168.237.1 -lport 10111 -dest 192.168.237.1 -dport 10611
AddEthNew -speed 100 Level2 -canswitch -vnet 03 -slot 0 -subslot 1 -local 192.168.237.1 -lport 10112 -dest 192.168.237.1 -dport 10512
AddEthNew -speed 100 Level2 -canswitch -vnet 05 -slot 0 -subslot 1 -local 192.168.237.1 -lport 10113 -dest 192.168.237.1 -dport 9001

这个TCL很容易看懂。

主要是addlink 表示添加链接。   比如表示sw1_eth0/1/0 —>  sw2_eth0/1/0    就可以用addlink来链接。 

localip  本端IP （sw1)
localport  本端交换机接口的表示（10140.这个可以自定义。 我这儿101表示有是sw1，4表示第4个slot，0表示Port0.    这个可以自定义的。建议使用本机没有使用的端口范围）

dstip    对端交换机所在的机器的IP（可以用来做分布式）
dstport   对端交换机的接口。同上面的localport

AddethNew  添加一个新驱动的以太网口。  
canswitch 表示可以在二/三层之间转换。

先简单的写点。

更多的可以看simware使用详解。

反掩码应用于H3C

本文的实验不涉及任何具体的软件版本。

网络拓扑图：

R0： Se0/2/0    IP:172.16.0.1/24

R1： Se0/2/0    IP:172.16.0.2/24

     Loo0      IP:192.168.0.1/32

     Loo1      IP:192.168.1.1/32

     Loo2      IP:192.168.2.1/32

     Loo3      IP:192.168.3.1/32

     Loo4      IP:192.168.4.1/32

在R0上配置了一条ACL：

  Acl number 2000

Rule permit source 192.168.0.0 0.0.2.255

Traffic classifier 1 operator and

If-match acl 2000

Traffic behavior 1

Filter deny

Qos policy 1

  Classifier 1 behavior 1

然后应用于接口Se0/2/0

  Int se 0/2/0

Qos apply policy 1 inbound

在两台路由器上启用OSPF，让网络互通

最后做网络测试：

当用192.168.0.1与192.168.2.1 去PING  172.16.0.1时，PING不通。

而用192.168.1.1 与192.168.4.1等其它段的IP去PING，则能够PING通。

所以，我们现在可以来分析了。

这条ACL的条件是

192.168.0.0 0.0.2.255  翻译成二进制则为：

11000000.10101000.00000000.00000000  = 192.168.0.0

00000000.00000000.00000010.11111111  = 0.0.2.255

———————————————————-

11000000.10101000.000000X0.00000000

在反掩码中，只有1位才不对比。因为这儿的1位所处在第二个位置 。所以这个位置是不做对比的，即这儿的X可以为0，也可以为1，所以就可以有2个IP段。即192.168.0.0  192.168.2.0。

如果换成192.168.1.0 0.0.2.255 又会是怎样一个情况呢？

11000000.10101000.00000001.00000000  = 192.168.1.0

00000000.00000000.00000010.11111111  = 0.0.2.255

——————————————————————-

11000000.10101000.000000X1.00000000

所以与运算出来的IP段为:192.168.1.0/24  、192.168.3.0/24

从以上分析我们可以看出，在H3C的Bin平台里，是支持不连续反掩码的。这在很大程度上方便了大家。

本来想写很多的。但想想，写那么多的废话干嘛呢？

只要记下自己需要记住的东西就行了。  

一般的GRE隧道随时都会配置。

IPSEC 的PKI/IKE也会配置。

其实GRE OVER IPSEC只有一点需要注意。

那是IPSEC的感兴趣流应该定义成 GRE Tunnel的Source address 和des address。  不要写成Tunnel的虚拟地址了。

最开始我就是写成了Tunnel的虚拟地址。才使IPSEC没有去感兴趣这玩意。

Simware 使用指南

一、Simware介绍

SIMWARE是运行在Windows操作系统上的平台模拟软件，可以在单机和多机分布式环境下模拟多台运行SIMWARE的设备并实现相互间的组网互连，同时实现统一管理。

Simware的体系结构与产品是一致的，通过VOS屏蔽了操作的系统的差异。

支持以太网接口（二、三层），串口，ATM，CPOS，E1等几乎所有接口的驱动模拟。其中，以太网接口支持和PC真实物理网卡的通信，通过Simware的以太网接口可以实现Simware和其他设备的以太网接口的互连，因此Simware可以和真实设备互连组网。

其他的接口都是通过UDP模拟点对点连接的链路，这些接口只能用于Simware之间的连接，不能和真实设备间的互通。

Simware模拟了二层交换芯片的基本功能，可以实现二层以太网接口间的二层转发，支持MAC地址的学习，支持各种二层协议和端口状态的交互，支持与PC以太网卡绑定的二层以太网接口和用SOCKET模拟的以太网接口间的二层转发等。

Simware的配置串口的模拟支持三种方式：通过真实PC机串口的访问，支持telnet方式的访问，支持应用程序的DOS命令窗口的访问。

Simware支持分布式模型，支持备板出接口，支持主备倒换。主控板和接口板可以分别运行在不同的PC机上。

Read entire article.

    最近在实施某高速公路公司关于重庆市高速公路视频联网监控的工程。  在该工程中，需要用组播将各个路段公司的路段视频监控传送到区域中心和总中心。遇到这么一个问题。   本路段中的视频数据，有时候会不固定的出现某个或者是某几个监控头的视频数据无法在本路段监控中心查看到。登陆到该监控头所在的三层交换机使用display multicast forwarding-table 可以看到在本地交换机上有该监控头所属编码器发出的组播数据。  

在路段监控中心的三层交换机上 通过display multicast routing-table 却无法看到从下端转发上来的该地址的组播信息。

Read entire article.

近来的一次工程中本来是计划在出口站做 OSPF的LSA过滤。 结果因为H3C的操作系统目前不支持LSA级过滤。所以只有起多个OSPF进程、起多个区域，再做路由引入。但在这引入过程中，需要过滤某些路由条目，使其不被引入到另一端。

(子节点1）——–（子节点中心）———总中心

在子节点网络中，使用OSPF路由协议，进程号为13，区域号也为13。  在子节点中心与总中心之间使用OSPF路由协议，进程号为3，区域号为0。   需要将ospf 13的路由信息引入到ospf 3中去。 所以子节点中心 就运行了OSPF13和OSPF3。创建一个高级ACL，并将此ACL与Route-policy关联起，  然后在路由引入时加上Route-policy。

配置方式：

Read entire article.

近期在实施一工程。期中使用了一台S7510E与几台Cisco 3550的光口做端口聚合。聚合做好后。    有时出现整个片区断网的情况。查端口状态为err-disable。有时手工的在3550端将端 口shutdown再no shutdown后。正常。

经查这种情况可能有6种情况引起。

1、聚合协议不匹配

2、双工不匹配、

3、BPDU

4、UDLD (cisco 私有协议）

5、链路抖动

6、Keeplive loopback。

经分析。在这儿  聚合协议不匹配与双工不匹配首先排除。因为查看两端均为1G、双工。再从日志上有CNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on GigabitEthernet0/2..

解决方法：停用现3550上面的Loopback。    再做观察。  目前为止末发现异常。  不过还需要继续观察。

随附资料:

交换机出现err-disable的原因及解决方法

导致交换机接口出现err-disable的几个常见原因：
引用
1. EtherChannel misconfiguration
2. Duplex mismatch
3. UDLD
4. Link-flap error
5. Loopback error
6. Port security violation
第一个当F EC两端配置不匹配的时候就会出现err-disable。假设Switch A把FEC模式配置为on，这时Switch A是不会发送PAgP包和相连的Switch B去协商FEC的，它假设Switch B已经配置好FEC了。但实事上Swtich B并没有配置FEC，当Switch B的这个状态超过1分钟后，Switch A的STP就认为有环路出现，因此也就出现了err-disable。解决办法就是把FEC的模式配置为channel-group 1 mode desirable non-silent这个意思是只有当双方的FEC协商成功后才建立channel，否则接口还处于正常状态。
第二个原因就是双工不匹配。一端配置为half-duplex后，他会检测对端是否在传输数据，只有对端停止传输数据，他才会发送类似于ack的包来让链路up，但对端却配置成了full-duplex，他才不管链路是否是空闲的，他只会不停的发送让链路up的请求，这样下去，链路状态就变成err-disable了。
三、第三个原因BPDU，也就是和portfast和BPDU guard有关。如果一个接口配置了portfast，那也就是说这个接口应该和一个pc连接，pc是不会发送spanning-tree的BPDU帧的，因此这个口也接收BPDU来生成spanning-tree，管理员也是出于好心在同一接口上配置了BPDU guard来防止未知的BPDU帧以增强安全性，但他恰恰不小心把一个交换机接到这个同时配置了portfast和BPDU guard接口上，于是这个接口接到了BPDU帧，因为配置了BPDU guard，这个接口自然要进入到err-disable状态。解决办法：no spanning-tree portfast bpduguard default，或者直接把portfast关了。
第四个原因是UDLD。UDLD是cisco的私有2层协议，用于检测链路的单向问题。有的时候物理层是up的，但链路层就是down，这时候就需要UDLD去检测链路是否是真的up的。当AB两端都配置好UDLD后，A给B发送一个包含自己port id的UDLD帧，B收到后会返回一个UDLD帧，并在其中包含了收到的A的port id，当A接收到这个帧并发现自己的port id也在其中后，认为这链路是好的。反之就变成err-disable状态了。假设A配置了UDLD，而B没有配置UDLD：A给B发送一个包含自己port id的帧，B收到后并不知道这个帧是什么，也就不会返回一个包含A的port id的UDLD帧，那么这时候A就认为这条链路是一个单向链路，自然也就变成err-disable状态了。
第五个原因就是链路的抖动，当链路在10秒内反复up、down五次，那么就进入err-disable状态。
第六个原因就是keepalive loopback。在12.1EA之前，默认情况下交换机会在所有接口都发送keepalive信息，由于一些不通交换机协商spanning-tree可能会有问题，一个接口又收到了自己发出的keepalive，那么这个接口就会变成err-disable了。解决办法就是把keepalive关了。或者把ios升到12.2SE。
最后一个原因，相对简单，就是由于配置了port-security violation shutdown。

    现一台HuaweiS8505交换机。原有一块主控板+一块24口LC的光纤板卡。现需升级一块48口全千兆电口交换板！

原有主控软件版本为：S8500-VRP310-R1631-EI

新插上Lsb1gt48ldb0的交换机后。端口状态为Fail。且无识别交换机型号和类型！

后升级S85交换机而解决此问题！

并不是所有的Huawei交换机都可以用此法的