H3CTE排错注意点

排错报告整体排错思路：首先按照分段排错方法，将这个网络拓扑按照ospf的区域和ospf外部区域划为排错区域。

每一个排错区域中按照分层排错方法，从osi模型的物理层到应用层进行排错检查，然后在按照分块排错方法对每一层中的协议进行等级划分来进行排错检查，最后进行全网综合检测。

故障一．802．1x无法验证故障：故障现象：通过windows终端测试802.1x功能，发现无法验证，在sw3上通过dis dot1x 命令检查dot1x功能，发现dot1x功能没有在全局启动，只是在接口上启动了802.1x功能，并使用display cu检查用来进行802.1x验证的帐号信息，发现帐号服务类型没有添加。

解决故障的方法：在sw3上，通过dot1x命令在全局启动802.1x功能，并在帐号模式下，通过service-type命令将其服务类型设置为lan-access，故障得以解决。

故障产生原因：如果在全局没有启动802.1x功能，是无法运行802.1x功能的。

而在帐号模式下，不指定帐号的服务类型，会造成帐号验证失败的问题。

故障二．VRRP主备设备故障：故障现象：通过在sw1和sw2上使用display vrrp命令检查VRRP状态发现主备状态与要求不符，根据要求VLAN100应以sw1为主设备进行传输，VLAN200应以sw2为主设备进行传输，实现负载均衡。

解决故障的方法：在sw1的vlan100接口下，将vrrp vrid 1 priority 90这条命令删除，并在sw1的vlan200接口下，将vrrp vrid 2 priority 90这条命令添加；在sw2的vlan100接口下，将vrrp vrid 1 priority 90这条命令添加，在sw2的vlan200接口下，将vrrp vrid 2 priority 90这条命令删除，故障得以解决。

故障产生原因：如果按照错误配置，那么对于vrrp的vlan100来说，在sw1上的优先级为90，对于vrrp的vlan100来说，在sw2上的优先级为100，这样对于vlan100来说，sw2就成为了vrrp的主设备，所以按照以上解决方法修改命令，这样对于vlan100来说，sw1成为主设备，并跟踪上联端口减少的优先级为50；对于vlan200来说，sw2成为主设备，并跟踪上联端口减少的优先级为50，配置合理。

dis 不影响设备的运行，但是debugging 会影响设备的运行，所以先通过dis把故障范围缩小再在具体的可能范围里面debugging。

dis debugging 查看开起了哪些debugging命令undo debugging all 用于debugging 大量显示时关闭debugging.dis cur int XXXX 可查看在该接口上的配置的命令.display current-configuration 查询当前配置信息display save-configuration 查询保存的配置信息display user 查看用户级别是否是3级别dis local-user 查看本地用户设置情况，可以查到单前用户名和服务对象，但是查不到用户名对应的密码。

当进入一台设备里调试信息过多时，可以通过undo info-center enable 将关闭调试信息，但要记得最好排完错误后将其打开。

1.natdis acl alldis nat all 可查看nat 对应的接口，在nat 中应用的acl.dis nat session 只能在nat中ACL匹配的用ping 过之后才能查看到。

(模拟器中有缺陷可能看不到,注意用真机做实验时候看)dis nat server 可查看nat server 的配置信息dis nat address-group 可查看address-group 的信息debug nat packet(用真机实验）可检测数据包是否有去无回，从而可以判断出对方没有回来的路由。

NAT：从内到外是转换源IP，从外到内是转换目的IP.2.stpdis stp bri 查看STP时候enable 如果没有打开PROTOCOL STATUS: disable.如果已经打开了，显示角色信息可以查看是否有多域的情况存在！,如果非实例0的端口角色（role）中出现了MASTER,则说明域名配置错误。

1、物理链路故障点：a．物理线路没接到端口上；b．物理线路接错端口；c．物理接口被shutdownd．接口下,两端的封装协议不一致,波特率不一致，工作速率不一致2、链路协议故障点：a．PPP①．用户名，密码的匹配错误②．建立的用户服务类型错误（比如被做成FTP 服务）③．验证的方式不一样④．Chap 验证时，如果两端不发送密码时，需要将两端密码设为一致b．MP①．PPP 设置的绑定类型错误（华为默认绑定用户与接口，PPP MP BIND ……命令，在全局模式下）②．PPP mp 是否已经把用户绑定到虚拟接口模板（全局模式下，PPP MP USER …… BIND VIR ……）③．是否将端口加入到ppp mp（命令ppp mp，在接口模式下）④．aaa-enable 命令启用后，如果没有计费，则应配置aaa accounting-scheme optional c．HDLC①．Keepalive 故障，一边默认发keepalive 信息，另一边使用了no keepalive 命令②．Hello time，dead time 等两边设置不一样d．FR①．FR 端口模式（应该一端为DTE，另一端为DCE）②．DLCI 的本地有效性（要写本地的dlci 号）③．在点到多点，DTE 只会从DCE 学习到主地址的参数，故DTE 一定要指定MAP。

④．对于有子接口一定要配置DLCI⑤．LMI 的类型（Q933），两边不一致⑥．MAP 能否转送广播，手动配置的默认为不传送（可以加broadcast），inarp 创建的可以传送。

⑦．PVC 路由交换在出入接口上都有相应的配置⑧．两端设备是否都为对端配置（或产生）了正确的地址映射。

⑨．启用OSPF 路由协议时，两边的网络类型是否相同⑩．当路由器做fr 交换机时：必须在全局下启动fr switching①①．FR 的PVC 交换路由方式在:进出的接口都配置：fr dlci-switch①②．fr map 时，因为fr 为非广播的，最好写关键字broadcast①③．在FR 链路上运行OSPF 必须指定邻居e．X.25①．X.25 两边封装类型不一致②．映射对端地址错误③．X.25 交换时，进出口VC-RANGE 范围一定要一致④．指定VC-RANGE 后，自己配置的PVC 应该在VC-RANGE 的范围内例：x25 vc-range bi-channel 100 200 ，x25 switch pvc 49 interface Serial 2 pvc 99⑤．x25 svc 交换路由，在全局视图下创建:例：x25 switch svc 200 interface Serial 23、路由协议故障点a．RIP①．版本问题（v1 用广播发送，v2 用多播发送，导致v1 与v2 之间无法更新路由。

h3c交换机典型故障归类和排除方法h3c交换机典型故障归类和排除方法一台交换机设备无论性能多么好，都会存在潜在的故障问题，就像人一样，无论多么健康，也总会出现有一些小毛病，能够做到防范于未然当然是好事，但是对于这个作为网络重臣的交换机来说，日夜“操劳”不断，偶尔出现问题也是在所难免的，所以当故障出现了，就要正视故障，及时地解决问题。

尽管交换机的故障多种多样，但是问题的根源就如:“天下武功出少林”一样，万变不离其宗，殊途同归，而且经常出现的也就这么几种，下面为大家归纳了几类典型的故障及其解决方法，读者也大可以触类旁通，举一反三，希望对交换机的日常故障处理工作有所帮助。

1.电源故障故障现象:开启交换机后，交换机没有正常运作，而且发现面板上的POWER指示灯并没有亮，而且风扇也不转动。

故障原因:这种故障通常是由于外部供电环境的不稳定，或者是电源线路老化，又或者是由于遭受雷击等而导致电源损坏或者风扇停止，从而导致交换机不能正常工作。

还有可能是由于电源缘故而导致交换机机内的其他部件坏的损坏。

解决方法:这类问题很容易发现也很容易解决，当发生这种故障时，首先检查电源系统，看看供电插座有没有电流，电压是否正常。

要是供电正常的话，那就要检查电源线是否有所损坏，有没有松动等，若电源线损坏的话就更换一条，松动了的话就重新插好。

如果问题还没有解决，那问题就应该落在交换机的电源或者是机内的其他部件损坏了。

预防方法也比较简单，首先要做的就是保证外部供电环境的稳定，这可以通过引入独立的电力线来提供独立的电源，并添加稳压器来避免瞬间高压或低压象。

可能的话，建议最好配置UPS系统(不间断电源)。

还有的就是采取必要的避雷措施，以防雷电对交换机造成的损害。

2.电路板故障故障现象:有一个电脑室经常出现一部分电脑不能访问服务器的现象。

一开始以为是网络布线不规范和网卡设置被学生修改了，所以机房管理员经常对网线进行测试和重新设置系统的网络配置。

H3CTE故障排错报告本次网络故障排错过程主要采用分层与分块故障排错方法。

分层故障排错首先是排错物理层和链路层故障；分块故障排错依次是PPP、STP/MSTP、VRRP、OSPF/RIP、VPN、QoS、Route-Policy。

故障一：PPP MP1）故障现象描述1.1RT2中的S6/1与S6/2接口一时DOWN一时UP。

1.2RT5中的S6/1与S6/2接口一时DOWN一时UP。

2）故障问题分析2.1通过在RT2上dis curr inter s6/1发现没有发送用户名过去；dis curr inter s6/2发现没有配置chap验证。

2.2通过在RT5上dis curr inter s6/1发现没有接入到MP-Group0中去；dis curr|b local-user 发现用于验证RT2的用户没有配置服务类型；dis curr inter s6/2发现发送的用户名和密码配置错误。

3）故障排除过程3.1在RT2中配置interface s6/1ppp pap user rt2password simple rt2interface s6/2ppp authentication-mode chap3.2在RT5中配置interface s6/1ppp mp mp-group0quitlocal-user rt2service-type pppquitinterface s6/2ppp chap user rt5ppp chap password simple rt5故障二：STP/MSTP1）故障现象描述1.1在SW1上dis stp root发现没有转发端口。

1.2在SW2上dis stp br发现没有转发端口。

1.3在SW3上dis stp br发现没有stp信息。

2）故障问题分析2.1在SW1上dis curr|b stp发现域名没有配置，dis stp root发现stp实例根配置错误。

H3CTEOSPF错误总结H3CTE 排错报告一、PPP+MP故障现象1、在RT1，RT3，s0/1/0接口频繁UP,DOWN2、在RT2，RT4，s0/1/1接口物理层UP，协议层DOWN故障分析1、接口下是否配置IP地址，是否启用PPP协议，接口下PPP认证是否设置为CHAP模式；2、接口下配置的用户名和密码是否为对端为我创建的；两端用户密码是否一致；为对端创建的用户是服务类型设置为PPP；3、是否创建了MP捆绑组；4、接口是否加入到MP捆绑组内；故障处理1、在RT1，RT3上系统视图下分别键入dis cu int s0/1/0，发现两端均已正确配置用户名，开启CHAP认证模式；2、在RT1,RT3上系统视图下分别键入dis cu conf luser，可观察到，RT3下已经指定用户服务类型为PPP，而RT1上用户名下没有指定，在RT1上键入：[RT1]local-user RT3[RT1-luser-RT3]service-type ppp因接口下没有发送密码，所以两端创建的用户密码必须一致，RT3，RT1为对端创建的用户密码并不一致，两端用户统一把密码设置成h3c，在RT1上键入：[RT1]local-user R3[RT1-luser-RT3]password simple h3c在RT3上键入：[RT3]local-user RT1[RT3-luser-RT1]password simple h3c3、在RT2和RT4上系统视图下分别键入dis ip int br，可以观察到MP捆绑组已经建立；4、在RT2和RT4上系统视图下分别键入dis cu int s0/1/0、s0/1/1，发现s0/1/0接口已经加入到捆绑组下，而RT2的s0/1/1接口没有加入到捆绑组中，在RT2上键入：[RT2]int s0/1/1[RT2-Serial0/1/1]pp mp Mp-group 1经过以上操作，在RT1，RT3下输入dis int s0/1/0发现LCP opened, IPCP opened；在RT2，RT4上输入dis ip int br,dis int mp1发现捆绑组及捆绑组内成员端口一切正常，PPP+MP故障均已解除。

H3CTE考点整理串行线路（HDLC/PPP） MP捆绑1.PPP（CHAP认证）作用/特点/工作原理PPP即Point to Point 点到点链路封装协议。

PPP 可以在同异步方式下链路，能够控制数据链路的建立，支持验证，安全高可同时支持多种网络层协议，可以对网络层地址进行协商，能够远程分配IP地址，无重传机制，网络开销小。

当物理层不可用时，PPP链路处于Dead阶段，当物理层可用时候，进入Establish 阶段。

如果没有协商成功就链路失败。

进行LCP协商，协商成功后进入Opened 状态，表示底层链路建立。

如果配置了验证，则进入Authenticate阶段，进行PAP或 CHAP的验证，如果验证失败，则进入Terminate阶段，拆除链路，LCP 状态转为Down；如果验证成功，则进入Network阶段，由NCP协商网络层协议参数，此时LCP还是Opened，NCP状态从Initial到Request。

当NCP状态为Opened 时候则表示PPP建立。

2、PPP协议两种认证PAP:被验证方以文明发送用户名和密码到主验证方，主验证方核实用户名和密码，如果密码和用户名正确，则对端发送消息，通告对方验证通过，允许进行下一阶段协商，如果不正确则通告对方验证失败。

CHAP: 主验证方发动验证请求，向被验证方发送一个随机产生的报文，并同时将本端的用户名一起发送给被验证方。

被验证方接收到主验证方的验证请求后，检查本地密码。

如果本端接口上配置了默认的CHAP密码，则验证方选用此密码；如果没有配置CHAP密码，则被验证方根据此报文中主验证方的用户名在本端的用户表中查找该用户对应的密码，并选用找到的密码。

然后被验证方用MD5算法对报文生成一个摘要，并将此摘要和自己的用户名发送给主验证方。

主验证方用MD5算法对此报文进行比较，如果相同就验证通过，如果不同就验证不通过。

成功。

（1）接口下发送默认CHAP密钥主认证方：单向认证1>创建本地PPP用户以及参数[R1]local-user R2[R1-luser-R2]password simple h3cte12345[R1-luser-R2]service-type ppp（用户名/密码/服务类型）2>接口下启用PPP认证模式（CHAP）[R1-Serial0/2/1]ppp authentication-mode chap被认证方：1>接口下发送PPP类型的用户名和密码[R2-Serial0/2/0]ppp chap password simple h3cte12345[R2-Serial0/2/0]ppp chap user R2双向认证：在单向认证成功后，在主认证方上再配置跟单向认证配置一样（配置时候用户名不同），被认证方也跟单向时候一样，但在接口下用户名不一样。

H3CTE排错报告书写原则排错报告书写原则1、书写排错报告是可以使用命令简写2、书写一定要格式正确，字体工整，最好不要涂改3、写排错报告时一定要将排错过写清楚，切忌不可直奔主题的将错误找出来，尽可能多的将排错过程中使用的命令写清楚，以便考官考察你对命令的熟练程度。

4、考试时最好那一张纸记录，自己排除的所有故障点，以免写报告的时候遗忘。

5、书写报告时，最好用下面的格式书写如：（故障一、PPP错误、故障二、交换错误、故障三、VPN错误）6、切忌考试时不要将原有的配置删掉自己重新配置，一定要将他的错误改正过来。

7、尽可能少的改动原有配置，从而达到题目需求8、如果故障点比较小，可以把两三个小故障放在一个故障里书写模板故障显现描述故障处理1、处理过程2、最终解决方法实例：故障一、PPP错误1、错误现象描述通过R2 ping R3，发现链路不通，在用debug ppp all 发现PPP 有错误2、处理过程和最后解决方法通过dis cur int s1/0 发现发送的用户名有错误，同理，使用以上命了查看R2，s2/0 R3,s1/0、s1/0,s2/0有相同错误。

并用命令dis cur | b local-user 发现R2,R3没有错误。

最后解决方法：在R2 s1/0 接口上修改ppp chap user rt2同理，修改R2 s2/0,R3 s1/0,R3 s2/0故障二、交换错误1、故障现象描述：发现SW1和SW2交换不停报错2、处理过程和最后解决方法由于不知道什么故障原因，为了方便排错，故第一步先将vlan 101 102手工shutdown，通过命令dis vlan 发现没有错误，查看trunk,通过命令dis po tru 发现没有错误，通过dis cu int v 仔细对比SW1 SW2发现VRRP虚拟网关地址冲突。

最后解决方法：在交换机SW2上通过命令 int vlan 102 vr vr 101 vir 172.16.1.1,将vlan 102 虚拟网关IP改为 172.16.1.1H3C TE 排错报告Ospf--------故障一: ppp mp一：故障现象描述：1． R1 中S1/0接口一时down 一时up 。

排障报告：1.故障现象（具体到协议）2.解决方法（具体到现象）3.排障原因（描述技术原理）回应tracert 信息的命令ip ttl-expired enable 默认开启回应不可达消息的命令ip unreachable enable 默认关闭修改串口同异步模式Int Serisal 1/0Physical-pde sync（同步）/async（异步）Baudrate 2048000（DCE端设置波特率为2M）Virtualbaudrate 2048000（DTE端设置波特率为2M） H3C案例库接口类型：1.serial：工作模式：同步/异步工作协议：PPP/HDLC/FR波特率设置2.Ethernet：双工模式：不一致up速率：不一致downPPP验证考点1．根据题目要求检查PPP验证协议和验证方向2．检查验证端设备是否启动验证功能3．检查验证端设备是否创建帐号并指定服务类型4．检查被验证端设备是否配置正确的发送帐号信息PPP捆绑考点：1.根据题目要求检查PPP捆绑实现方式2.检查设备是否创建捆绑虚接口mp-group/virtual-template，并配置三层属性（ip地址、ospfcost）3.检查物理接口是否启动捆绑动能，并关联虚接口4.如果采用带验证virtual-template接口捆绑，检查ppp mp user所指定的帐号是否正确PPP检查命令：1.dis int serial2.dis ppp mpVLAN排查思路：1.vlan二层功能排查检查交换机是否创建了足够的vlan信息交换机二层端口的vlan类型（trunk/access）对于access端口检查pvid属性对于trunk端口检查pvid属性和passing vlan list 属性2.vlan三层功能排查检查交换机是否创建vlan-intface，并配置正确的三层属性（ip地址、vrrp属性、ospf协议）如果路由器采用以太网子接口技术，检查子接口vlan-id信息是否配置正确VLAN排查命令：1．Dis vlan2．Dis vlan + id3．Dis interface ethernet4．Dis interface vlan-interfaceStp region-configurationRegion-configuration h3cInstance 1 vlan 100Instance 2 vlan 200Active region-configureation激活mstp实例Int f0/0/24Stp disable 可用于上行接口Intf1/0/10stp edged-port 边缘端口=portfaststp bpdu-protection = bpdu-guardint f1/0/15stp root-protection=root-guradMSTP排查考点：1.检查MSTP域配置参数是否一致（域名、vlan实例映射关系）2.检查生成树协议的启动状态和启动类型3.根据要求，检查MSTP实例的根交换机选举是否符合（不要忽略instance 0）4.根据要求，检查交换机哪些端口被选择为AP（阻塞端口）5.检查交换机哪些二层端口应该关闭STP功能6.检查交换机哪些二层端口需要配置为边缘端口7.检查交换机是否需要启用bpdu保护（边缘端口）和根保护（制定端口）MSTP排查命令：1.dis stp region-configuration2.dis stp3.dis stp briefRIP排查考点：1.接口是否正确启动rip，即network2.Filter-policy 是否拒绝了相应的路由3.ACL是否出现路由更新报文，即UDP 5204.双方的rip版本是否兼容5.是否配置认证，，密钥是否正确，只有版本2支持认证6.路由度量值是否超过157.检查路由引路时对于协议度量值的设置8.发送接口是否是为静默端口9.单播情况下，是否指定邻居，peer XX10.Rip v1 路由与发送接口子网掩码是否相同11.水平分割是否设置得当RIP排查命令：1.dis rip2.debugging rip packetrip 1undo summaryversion 2network ...interface e1/0rip summary ...rip authention md5 rfc 123rip 1silent-interface e1/0 静默端口不参与networkundo validate-source-address 关闭路由源地址检查H3C路由优先级RIP 100Static 60Ospf 10（内部），150（外部）Bgp 255（EBGP），255（IBGP），130（local）Ospf排查思路：一、域内排查1.检查ospf邻居/邻接关系是否正常检查ospf报文是否正常交互（与包过滤技术冲突）检查ospf router-id是否冲突（相邻和非相邻）检查ospf 区域id与属性配置是否正确检查ospf hello 计时器配置两端是否一致检查ospf 验证配置是否正确2.检查ospf路由计算是否符合选路要求检查ospf链路两端网络类型设置是否一致根据题目的三层拓扑环境检查ospf链路cost设置是否符合选路要求3.检查ospf计算出来的路由是否加载到检查ip路由表中是否存在路由优先级较低的路由信息检查ospf是否应用了filter-policy import来过滤计算出的路由向ip路由表的加载二、域间排查ABR ——LSA3 / LSA51.域间过滤→针对LSA3Filter 功能：检查过滤器的规则配置是否匹配要控制的路由信息以及filter所应用的区域与方向之间的关系（使用ACL等针对区域的export/impoert方向过滤） 域间聚合过滤：检查abr-summary所配置的聚合地址和掩码是否正确以及not-advertise参数的应用（在abr-summary XXXX 后面加上not-advertise参数）2.Ospf特殊区域→针对LSA5StubTotally stub：检查ABR设备是否配置no-summary参数NSSA：检查ABR设备是否需要应用default-route-advertise参数Totally NSSA：检查ABR设备是否配置no-summary参数3.Ospf vlink功能根据题目拓扑环境判断在哪些设备之间应用vlink功能检查vlink peer所指定的参数是否为对端设备的router-id4.检查AVR设备的LSA路由计算是否正确SPF优选LSA原则：先优选域内LSA计算的路由在优选域间的LSA计算的路由先优选type1 计算的路由再优选type2 计算的路由三、域外排查ASBR——LSA5 / LSA71.域外路由控制域外路由引入过滤：检查路由策略route-policy规则配置不匹配要控制的路由域外路由聚合过滤：检查asbr-summary命令所指定的地址与掩码配置是否正确，以及not-advertise参数应用filter-policy的应用：检查ospf是否应用了filter-policy export对于域外路由的通告进行控制2.域外路由选路：检查route-policy规则配置对于cost和cost-type属性所应用的参数是否符合题目选路要求3.发布缺省路由功能：主要检查asbr应用发布缺省路由功能时是否需要应用always参数（使用命令default-route-advertise发布默认路由，前提是本身有一条指向ISP的默认路由，或者添加always参数可忽视自身的默认路由）OSPF排查命令1.dis ospf peer2.dis cu config ospf3.dis ospf interface4.dis ospf routing5.dis ospf lsdb + router/summary/ase6.dis ip routing-table7.dis ospf vlink8.dis ospf error9.dis route-policyOspf 1Peer vlink + router-idHello 包：✧Router-id避免冲突✧区域ID和区域属性stub/nssa✧计时器：hello timer 10S Dead timer 40SBGP排查思路一、bgp传输路由功能1.检查bgp邻居关系是否建立EBGP邻居关系：✧检查建立EBGP邻居关系时是否需要多跳ebgp-max-hop✧检查建立EBGP关系时是否需要配置验证功能IBGP邻居关系：✧先根据要求，检查IBGP邻居关系拓扑结构（全互联、路由反射）✧对于路由反射拓扑结构，检查cluster-id和reflect-client参数配置✧IBGP邻居建立是否配置loopback接口实现邻居关系✧检查IBGP邻居地址在IP路由表中所迭代到IGP路由信息是否符合要求2.检查bgp路由信息注入是否正确路由引入方式Network命令方式：检查network命令指定的地址和掩码是否在IP路由表中存在精确匹配的路由信息检查bgp在路由注入时是否应用了route-policy对于路由信息设置属性3.检查bgp邻居设备是否正确的学习bgp路由，并加载到IP路由表中使用检查bgp路由信息是否在传输中状态为有效，最佳的路由信息检查IP路由表中是否存在较低路由优先级的路由信息，使得bgp路由无法加载二、bgp控制路由功能→路由属性（5个）x-hop当从EBGP学习bgp路由，传递给IBGP邻居时，路由信息的下一跳属性默认不发生改变✧应用本地下一跳功能：next-hop-local✧将EBGP互联网段发布到AS内的IGP路由协议中，并将互联接口在IGP中配置成静默端口2.As-path属性路由过滤✧As-path ACL正则表达式^$=空.*=any✧检查As-path ACL 规则是否匹配要控制的路由信息以及as-path ACL 所应用在的邻居关系和方向路由选路✧检查route-policy 规则对于As-path属性的修改是否符合要求，以及route-policy所应用的邻居关系和方向（export方向控制）3.Local-prefence只在IGBP关系上传递4.MED只能在EBGP关系上传递一跳5.Preferred-value等于cisco的weight权重，只在H3C设备BGP路由表中存在，不会进行传递BGP排查命令1.dis bgp peer2.dis cu config bgp3.dis bgp routing4.dis route-policy5.dis ip as-pathbgp idle状态：a.router-id冲突b.邻居不可达bgp active状态：三次握手不成功compare-different-as-medbgp进程下开启后，可强制比较来自不同AS的MED，默认只对相同AS的时候才比对MED值路由器包过滤：Firewall enable（首先开启firewall功能）Firewall default （默认permit，可改成deny）Acl number XXXInterface E1/0Firewall packet-filter XXX outbound/inbound包过滤排查考点：1.检查路由器是否启动firewall功能2.检查firewall功能所应用的默认动作3.检查ACL规则配置是否符合要求4.检查ACL是否应用在正确的接口并指定正确的方向包过滤排查命令：1.dis firewall-statistics all2.dis acl + numberMQC配置方法：1.创建数据分类2.创建行为动作3.创建QOS策略并关联数据分类与行为动作4.将QOS策略应用于接口/VLAN/全局，并指定应用方向NAT排查考点：1.根据要求，检查NAT应用方式（NAPT /Easy-IP /NAT Server）2.检查NAT ACL规则配置是否匹配要转换的报文3.检查NAT地址池配置是否符合题目要求4.检查NAT outbound所应用的接口及参数配置5.检查NAT Server参数配置是否正确（协议类型、全局地址/端口号、内部地址/端口号）NAT排查命令：1.dis nat all2.dis nat sessionVRRP排查考点：1.检查VRRP报文是否正常交互（心跳路径）2.检查VRRP协商参数配置是否正确（虚IP、vrid、priority、track、authentication、timer）3.检查VRRP结合mstp或ospf所形成的二层、三层路径是否符合要求VRRP排查命令：1.dis vrrp verbose2.dis vrrpDHCP中继排查考点：1.检查设备是否启动了DHCP进程2.检查设备是否配置了DHCP Server的IP地址3.检查设备网关地址与DHCP Server地址是否可达4.检查网关接口是否启动中继功能并引用DHCP Server的配置QOS排查考点：1.QOS工作——DS差分服务1.流量识别（使用ACL）2.流量优先级标记（用IP优先级、dscp标记）3.拥塞管理（队列控制，常用CBWFQ、RTPQ）CBWFQ：LLQ ——EF服务——保证优先转发，后面加带宽为上限BQ ——AF服务——保证带宽占用，后面加带宽为下限WFQ——BE服务——使用剩余带宽QOS排查命令：1.dis qos policy interface2.dis qos cbq interfaceqos reserved-bandwidth pct 100将接口QOS带宽设置成物理带宽的100%，H3C默认80%GRE排查考点：1.检查公网连通性（相当于检查公网路由）2.检查tunnel接口属性参数配置是否正确（ip、source、destination、key、keepalive）3.检查ip路由表中是否存在去往对端vpn私网路由，并建立在tunnel接口上GRE排查命令：dis interface tunnelL2TP排查考点：1.检查设备是否启动L2TP是否启动L2TP功能（l2tp enable）2.检查L2TP协商属性配置是否正确（验证密码、隧道名称、LNS地址）3.检查LNS设备是否创建Virtual-template接口并配置功能属性（ip、验证功能、地址协商功能）4.检查地址池配置是否正确（地址池配置在AAA domain里，不能配置在全局下）5.检查私网三层设备是否存在去往L2TP使用的私网地址的路由信息L2TP排查命令：1.dis l2tp tunnel2.dis l2tp sessionIPsec排查考点1.检查公网连通性2.检查IPsec ACL是否匹配保护的数据流（两端ACL配置互为镜像）3.检查IKE peer协商参数配置是否正确（工作模式：主/野蛮、pre-share-key、id-type、隧道名称/地址、NAT穿越）4.检查IPsec proposal协商参数配置是否正确（封装方式、验证算法、加密算法）5.检查IPsec policy是否创建并加载协商参数（ACL、IKE peer、proposal）6.检查IPsec策略是否应用在正确的接口上IPsec over GRE嵌套排查考点：1.检查IPsec policy是否应用于tunnel接口2.检查IKE peer中remote-address应该指向对端tunnel接口的地址3.检查IPsec ACL是否匹配私网IP地址信息GRE over IPsec嵌套排查考点：1.检查ipsec policy是否应用于公网物理接口2.检查IKE peer中remote-address是否指定对端公网接口地址3.检查IPsec ACL是否匹配GRE报文外层IP地址信息IPsec VPN排查命令1.dis ipsec policy2.dis acl3.dis ike peer4.dis ipsec proposal5.dis ike sa6.dis ipsec sa。

H3CTE-2013-12月新ospf排错报告终极版H3CTE LAB5 排错报告一、PPP chap 认证+MP捆绑1.PPP chap认证1)故障现象:R1和R3终端显示正常，通过dis cu int 发现R1和RT3的S0/2/0接口没开启CHAP 认证2)故障分析：1)接口之间链路封装类型是否一致2)R1 R3设备上是否创建了类型为PPP用户名3)接口下chap认证配置是否正确3)故障排除处理过程:1)在R1和RT3设备上通过使用命令dis int s0/2/0后发现链路封装均为ppp2)通过命令dis cu con luser 发现R1和R3创建chap认证的用户名密码，但密码配置不同，与题意要求不在接口下预配置chap密钥相悖，且RT3上未配置服务类型为ppp。

RT3设备系统视图下:[rt3]local-user h3c[rt3-luser-h3c]password simple rt3[rt3-luser-h3c]service-type ppp3)在相关设备上通过命令dis cu int s0/2/0 发现RT3接口下没有开启chap验证，与题意要求不符，因而在R3 s0/2/0接口下配置ppp 的chap 验证：RT3系统视图下：interface Serial0/2/0undo ppp chap passwordpp authentication-mode chap将接口shutdown后再undo shutdown，查看接口状态。

经过上述处理，在R1和R3上dis int s0/2/0 发现LCP opened,，IPCP opened ，dis ip int bri 发现s0/2/0物理和协议均up，符合题意，故障解决。

2.MP捆绑故障现象在RT2上使用命令dis ppp mp 发现捆绑组下无成员端口在RT4上使用命令dis ppp mp 发现接口下成员状态均为inactive 状态，且控制台屏幕窗口不断提示s0/2/0与s0/2/1接口不断的up down故障分析1)相应设备上是否创建了捆绑组且配置了IP地址2)组成员端口是否都加入到捆绑组3)组成员接口下是否有其他配置4)串行链路之间是否开启认证故障排除1）在RT2和RT4上使用命令dis ppp mp 1 发现已创建捆绑组且已配置ip地址2）在RT2和RT4上通过使用命令dis ppp mp命令发RT2上组成员端口未加入到捆绑组内。

H3C TE考试RIP版本实验排错报告本次排错中，我使用分层方式进行排错。

在各项排错以前，我首先在各路由器上通过display ip interface brief，交换机上使用display brief interface命令查看使用到的接口状态是否为UP，通过查看确实为UP。

在SW2与SW3上使用dis link-aggregation summary查看两端口正常加入聚合组。

在R2,R5设备上通过display interface s6/0查看广域网串口线路，查看PPP链路协商参数的5个UP，说明广域网线缆工作正常。

并且在各设备上ping与之直连的接口，均能够ping通，由此判断物理层没有错误。

接下来开始对二层进行排错。

错误点一：MSTP多域及主备根不符合需求。

根据需求，在SW3,SW1,SW2设备上通过dis stp brief命令查看STP工作状态，发现出现了MAST端口。

出现MAST端口说明MSTP中出现了多域，与题目需求的单域需求不符。

接下来在各设备上通过dis stp region-configuration命令查看域配置信息，发现实例对应正确，但各设备的域名为MAC地址格式，说明可能没有配置域名。

在三台设备上通过stp region-configuration进入stp域视图，通过命令region-name h3c将设备域名命名为h3c，再通过active region-configuration激活配置后，再进入各设备通过dis stp bri发现MAST端口消失，多域故障解决。

多域问题解决后，在SW1上通过dis stp root，发现实例根端口与要求不符，与需求要求正好相反。

进入SW2和SW3设备，通过dis current-configuration | begin stp命令查看，发现在SW2上配置stp instance 1 root secondary，stp instance 2 root primary，SW3配置相反，证明主备根配置不符合需求。

dis 不影响设备的运行，但是debugging 会影响设备的运行，所以先通过dis把故障范围缩小再在具体的可能范围里面debugging。

dis debugging 查看开起了哪些debugging命令undo debugging all 用于debugging 大量显示时关闭debugging.dis cur int XXXX 可查看在该接口上的配置的命令.display current-configuration 查询当前配置信息display save-configuration 查询保存的配置信息display user 查看用户级别是否是3级别dis local-user 查看本地用户设置情况，可以查到单前用户名和服务对象，但是查不到用户名对应的密码。

当进入一台设备里调试信息过多时，可以通过undo info-center enable 将关闭调试信息，但要记得最好排完错误后将其打开。

1.natdis acl alldis nat all 可查看nat 对应的接口，在nat 中应用的acl.dis nat session 只能在nat中ACL匹配的用ping 过之后才能查看到。

(模拟器中有缺陷可能看不到,注意用真机做实验时候看)dis nat server 可查看nat server 的配置信息dis nat address-group 可查看address-group 的信息debug nat packet(用真机实验）可检测数据包是否有去无回，从而可以判断出对方没有回来的路由。

NAT：从内到外是转换源IP，从外到内是转换目的IP.2.stpdis stp bri 查看STP时候enable 如果没有打开PROTOCOL STATUS: disable.如果已经打开了，显示角色信息可以查看是否有多域的情况存在！,如果非实例0的端口角色（role）中出现了MASTER,则说明域名配置错误。