您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
数通网络实验手册(基础篇)V1.1-经典资料.doc 142页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
需要金币：350 &&
你可能关注的文档：
··········
··········
数通网络实验手册（基础篇）内部公开DATE\@&M/d/yyyy&4/29/2017华为机密，未经许可不得扩散第PAGE142页,共NUMPAGES\*Arabic\*MERGEFORMAT142页华为技术有限公司产品版本密级V1.1内部公开产品名称页数数通网络实验手册（基础篇） 数通网络实验手册（基础篇）拟制:朱仕耿日期：审核:日期：批准:日期：华为技术有限公司版权所有侵权必究修订记录日期修订版本描述作者/修订人1.0初稿完成朱仕耿14-03-111.1增加综合实验章节朱仕耿目录TOC\o&1-3&\h\z\uHYPERLINK\l&_Toc&数通网络实验手册（基础篇） PAGEREF_Toc\h1HYPERLINK\l&_Toc&1 约定 PAGEREF_Toc\h5HYPERLINK\l&_Toc&2 设备管理篇 PAGEREF_Toc\h6HYPERLINK\l&_Toc&2.1 通过Console登陆设备 PAGEREF_Toc\h6HYPERLINK\l&_Toc&2.2 通过Telnet登陆设备 PAGEREF_Toc\h11HYPERLINK\l&_Toc&2.3 管理及维护设备配置 PAGEREF_Toc\h11HYPERLINK\l&_Toc&3 实验准备 PAGEREF_Toc\h12HYPERLINK\l&_Toc&4 二层交换篇 PAGEREF_Toc\h13HYPERLINK\l&_Toc&4.1 VLAN的配置 PAGEREF_Toc\h13HYPERLINK\l&_Toc&4.2 Trunk的配置 PAGEREF_Toc\h16HYPERLINK\l&_Toc&4.3 以太网链路聚合 PAGEREF_Toc\h18HYPERLINK\l&_Toc&4.4 以太网端口镜像 PAGEREF_Toc\h21HYPERLINK\l&_Toc&4.5 使用STP防止二层环路 PAGEREF_Toc\h22HYPERLINK\l&_Toc&4.6 MSTP基本配置 PAGEREF_Toc\h26HYPERLINK\l&_Toc&5 路由基础篇 PAGEREF_Toc\h30HYPERLINK\l&_Toc&5.1 静态路由 PAGEREF_Toc\h30HYPERLINK\l&_Toc&5.2 RIPv2 PAGEREF_Toc\h32HYPERLINK\l&_Toc&5.3 OSPF基础实验（单区域） PAGEREF_Toc\h36HYPERLINK\l&_Toc&5.4 OSPF基础实验（多区域） PAGEREF_Toc\h39HYPERLINK\l&_Toc&6 三层交换篇 PAGEREF_Toc\h41HYPERLINK\l&_Toc38
正在加载中，请稍后...查看:72127|回复：110
白袍大法师
超级终端连接交换路由板的配置串口有时为何显示不正常
交换机上电后，如果系统正常，将在配置终端上显示启动信息；如果终端参数信息设置错误，配置终端可能无显示或者显示乱码。
终端无显示故障处理
如果上电后配置终端无显示信息，首先要做以下检查：
电源系统是否正常
主控板是否正常
是否已将配置电缆接到交换路由板的配置口（Console）
如果以上检查未发现问题，很可能有如下原因：
配置电缆连接的串口错误（实际选择的串口与终端设置的串口不符）
配置终端参数设置错误（参数要求：设置波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无，选择终端仿真为VT100）
配置电缆本身有问题
终端显示乱码故障处理
如果配置终端上显示乱码，很可能是配置终端参数设置错误（设置波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无，选择终端仿真为VT100），请进行相应检查。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
如何查询和设置系统时间/时区
任意视图下执行display clock命令查询系统时间/时区。
&Quidway& display clock
Time Zone : UTC add 00:00:00用户视图下，执行clock datetime设置系统时间。
&Quidway& clock datetime HH:MM:SS YYYY/MM/DD用户视图下，执行clock timezone设置系统时区。
clock timezone time-zone-name { add | minus } offset
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
console口密码遗忘处理
配置文件已经被备份
启动时按Ctrl+B进入bootrom后，按Ctrl+z进入隐藏菜单，直接删除启动的配置文件后重启。
配置文件没有备份
启动时按Ctrl+B进入bootrom，按Ctrl+z进入隐藏菜单，将交换机默认启动的配置文件改成其他名字，例如vrptest。
将改名字后的文件vrptest解压缩为vrpcfg.bat。
&Quidway& unzip vrptest vrpcfg.bat执行execute命令，运行批处理文件vrpcfg.bat，在该配置的基础上可以删除原来配置的Console密码。
&Quidway& system-view
[Quidway] execute vrpcfg.bat
[Quidway] user-interface console 0
[Quidway-202-ui-console0] undo authentication-mode
保存配置为交换机默认的配置文件vrpcfg.zip
&Quidway& save
The current configuration will be written to the device. Continue? [Y/N]:y& && &
Info: Please input the file name(*.cfg,*.zip)[vrpcfg.zip]:& && && && && && && &
Jun 25 :59 Quidway %%01CFM/4/SAVE(l): The user chose Y when deciding w
hether to save the configuration to the device.重启交换机
console密码被删除，同时原有的业务配置不丢失。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
为什么ssh用户在配置远端认证时必须同时在设备本地配置用户才能通过认证
在设备本地配置用户不是必需操作，当在设备上配置ssh authentication-type default password后，无须再在本地配置用户
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
交换机远程用户管理的配置方式
登录到交换机的用户，系统会根据配置的认证方式对用户的合法性进行验证。交换机提供了如下3种用户认证方式：
用户名+密码的认证方式配置
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode aaa
[Quidway] aaa
[Quidway-aaa] local-user huawei password simple huawei
[Quidway-aaa] local-user huawei service-type telnet
[Quidway-aaa] local-user huawei level 3密码认证方式配置
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode password
[Quidway-ui-vty0-4] set authentication password simple huawei
[Quidway-ui-vty0-4] user privilege level 3不需要密码认证方式配置
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode none
[Quidway-ui-vty0-4] user privilege level 3
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
AAA常见配置方法：aaa
authentication-scheme default
&&authentication-mode radius local
authorization-scheme default
accounting-scheme default
domain default
&&radius-server&&yhwj
domain default_admin
local-user kaka password cipher G2aT9(&*5O_:C:&-501K]!!!
local-user kaka level 0
local-user kaka service-type telnet
local-user kaka password cipher G2aT9(&*5O_:C:&-501K]!!!
local-user kaka service-type telnet
local-user kaka level 0
authentication-scheme default
&&authentication-mode&&radius&&local
authorization-scheme default
accounting-scheme default& && && && && &
domain default
&&radius-server yhwj
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
占位，本帖勿回复。。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
双出口路由问题造成nat server映射的服务器不能打开
1、检查用户路由配置，用户配置了两条优先级不一样的默认路由，内部服务器出去的默认路由也是从出口1
& &&&ip route-static 0.0.0.0 0.0.0.0 218.2.15.129 preference 20& &/*出口1 上网用
& &&&ip route-static 0.0.0.0 0.0.0.0 218.2.15.121 preference 40& &/*出口2 nat server用
2、指导用户修改路由配置，增加策略路由，将用户映射的服务器的地址段都从出口2出去
ip address-set fuwuqi type object& &/*服务器地址段
address 0 range 172.16.2.24 172.16.2.26
address 1 192.168.10.10 0
address 2 172.16.200.10 0
acl number 3011
rule 125 deny ip destination 172.16.2.0 0.0.0.255& &&&/*内网地址段
rule 130 deny ip destination 192.168.0.0 0.0.255.255&&/*内网地址段
rule 1000 permit ip source address-set fuwuqi
traffic classifier test
if-match acl 3011
traffic behavior test
&&remark ip-nexthop 218.2.15.121 output-interface GigabitEthernet0/0/0
3、应用策略路由后再次测试，nat server访问正常
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
等价路由配置问题导致用户上网时断时续
用户双出口，一条到公网，一条专线连接公司总部。网络拓扑如下：
& && && && && && && && && && && && && && &----10.72.18.1-------10.72.18.2(untrust1)&&公司总部& && && && && && && &
用户内网-----------(trust)USG& && && && && && && && && && &
& && && && && && && && && && && && && && &-----58.64.145.87-------58.64.145.88(untrust) Internet
反馈内网用户有时候不能上网，不能打开网页。
1、通过display nat-policy interzone trust untrust outbound检查trust和untrust的nat策略，没有发现问题
2、通过display&&policy interzone&&trust&&untrust&&outbound 检查域间策略，默认全放开
& & policy interzone trust untrust outbound
& && && & firewall default packet-filter is permit
3、通过display ip routing-table查看路由发现两条等价的默认路由
Destination/Mask& & Proto&&Pre&&Cost& &&&Flags NextHop& && && &Interface
& && &&&0.0.0.0/0& &Static 60& &0& && && & RD&&10.72.18.2& && &GigabitEthernet0/0/1
& && && && && && &&&Static 60& &0& && && & RD&&58.64.145.88& & GigabitEthernet5/0/0
4、指导用户更改路由设置，修改到公司总部网络的路由，删除掉到公司总部的默认路由，到公司总部全部
配置明细路由。更改后再次测试正常，问题解决。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
内网PC 通过私网IP能访问WEB服务，内网PC通过公网IP不能访问WEB服务
问题描述：客户内网有多台WEB服务器，在防火墙上配置NAT 地址映射后，其中一台在外网通过公网IP能访问WEB服务，在内网通过私网IP能访问WEB服务，在内网通过公网IP不能访问WEB服务。其他几台服务器访问一切正常。
由于客户WEB服务器上是双网卡，并且另一张网卡配置的IP地址和办公网络的PC同一个网段。客户在防火墙上已将链路会话状态功能关闭，PC使用私网地址去访问WEB服务时，防火墙中有会话，服务器在回服务请求包的时候直接从内部交换回到PC。当打开链路会话状态功能后，使用私网IP就不能访问。通过公网地址来访问时，服务器是直接使用私网地址回包，PC会将回包丢弃，导致访问不成功。
1、将ＷＥＢ服务器另一张网卡(192.168.18.X/24)禁用。可以解决。
2、如果不禁用另一张网卡，在ＴＲＵＳＴ到ＤＭＺ域间配置outbound 方向的NAT转换。配置后服务器就会将包回给防火墙，再回给PC。配置如下：
配置地址池：
[USG5310]nat address-group 5 172.16.80.1&&172.16.80.1
配置NAT策略：
[USG5310]nat-policy interzone trust dmz outbound
[USG5310-nat-policy-interzone-trust-dmz-outbound]policy 0
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]action source-nat
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]policy source 192.168.18.0 0.0.0.255
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]address-group 5
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
由于负载分担方式导致内网电脑部分网页打不开问题
检查防火墙配置，没有看出有明显的配置错误。试着给设备打上下面的命令：
[USG5100]load-balance flow
再测试，内网用户可以正常上网。
从测试结果看之前防火墙采用的负载分担方式应该是逐包的（但是配置中没想过显示），这将导致TCP会话建立出现问题，导致丢包。
逐流负载分担与逐包负载分担小结：
1）当到达某一目的IP地址的数据流存在多个链路时，同一条数据流的报文从同一条链路发送，不同的数据流根据一定的算法选择链路，选择链路的算法有以下两种：
Hash算法：根据源/目的IP地址，源/目的端口号计算出一个值，根据这个值选择一条链路进行报文转发。
轮询算法：依次选择空闲链路进行报文转发。
缺省情况下，设备采用Hash算法选择链路。
2）当启用逐包负载分担时，同一条数据流的报文不一定从相同的链路发送，而是会均匀的分配到不同的链路上。
在逐包负载分担下，设备采用轮询的算法选择链路。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
:配置了多条策略路由不生效的问题
用户按照配置用例完成了策略路由的配置，发现只有第一条策略路由是生效的，如果在policy中单独引用其中任何一条：类class定对应的流行为behavior是有效的。
由于单独引用一个class指定对应流都是正常的，说明用户的配置流程正确。引用了多条时发生故障，不能完全生效，仅仅第一条是有效的，因此判断还是配置上的问题。
获取了用户的配置文件，发现用户在配置每个class时引用的acl中都包含了deny any 的语句。问题确认：由于做策略的时候先匹配acl，如果策略的第一条包含deng的语句，则认为已经确认处理方式，指定处理方式behavior。不再向后匹配。当完成了所有class引用acl的修改去掉了acl中deny的配置。测试和设计预想的相同，符合要求，问题解决。
策略路由执行时先匹配acl，再acl中不能有deny的语句。如果存在则对哪些被deny的网段不做策略路由。因此在做策略路由时，尤其时做多条策略路由时，务必不要在acl中添加deny语句，预防被匹配到网段不能按照策略路由进行转发。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
防火墙会话表显示内容表示什么意思
会话表项显示：
one: dmz -& trust&&//首包会话方向源域为dmz，目的域为trust（源域 -& 目的域）
ttl: 00:20:00&&left: 00:19:43 //ttl表示会话表老化时间，left表示会话表剩余多少时间老化
Interface: E1&&Nexthop: 10.0.0.145&&Mac: 00-00-5e-00-01-0f //会话首包方向出接口、下一跳IP地址和MAC地址
&-- packets:686 bytes:50264& &--& packets:500 bytes:40828&&//&--代表会话inbound方向的字节数和报文数，--&代表会话outbound方向/同域的
字节数和报文数
121.14.74.21:14000&--10.252.204.111:16503 //&-- 表示会话首包是inbound，--& 表示会话首包是outbound或者同域&&
会话报文统计简单说就是箭头指的方向就是报文的方向：
1.下面这10个包是从172.16.10.1到172.16.0.96方向上统计的。
udp&&VPN: public -& public& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&&
&&Zone: trust -& untrust&&TTL: 00:02:00&&Left: 00:01:59& && && && && && && && && && && && && && && && && && && && && && && && && &&&
&&Interface: G2/0/1&&Nexthop: 172.16.0.96&&MAC: 00-00-00-00-00-00& && && && && && && && && && && && && && && && && && && && && && &
&&&-- packets:0 bytes:0& &--& packets:10 bytes:5636& && && && && && && && && && && && && && && && && && && && && && && && && && && &
&&172.16.10.1:1517--&172.16.0.96:1231&&
2.下面这5个包是从172.16.1.26到172.16.10.22方向上统计的。
udp&&VPN: public -& public& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&&
&&Zone: untrust -& trust&&TTL: 00:02:00&&Left: 00:02:00& && && && && && && && && && && && && && && && && && && && && && && && && &&&
&&Interface: G2/0/0&&Nexthop: 172.16.10.22&&MAC: 00-00-00-00-00-00& && && && && && && && && && && && && && && && && && && && && && &
&&&-- packets:5 bytes:7930& &--& packets:0 bytes:0& && && && && && && && && && && && && && && && && && && && && && && && && && && &
&&172.16.10.22:1517&--172.16.1.26:48988
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
请问防火墙ACL是否支持非连续掩码方式
：支持，举例如下，有两个规则：
规则1：rule permit source 192.168.1.0 0.0.0.254
匹配该规则时，只要192.168.1.0网段最后8位是偶数就能匹配该规则，如192.168.1.4 & 255.255.255.1 == 192.168.1.0 & 255.255.255.1；
规则2：rule 5 permit source 192.168.1.1 0.0.0.254
匹配该规则时，只要192.168.1.0网段最后8位是奇数就能匹配该规则，如192.168.1.5 & 255.255.255.1 == 192.168.1.1 & 255.255.255.1。
现网应用中可以很好的利用该方式（比如策略路由）实现流量的负载均衡。奇偶方式只是非连续掩码方式中的一种，当然可以有更多的选择，比如设置反掩码为0.0.0.252，就可以区分IP地址最后2位（二进制）为00、01、10、11四种情况。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
OSPF 引入默认路由
缺省情况下，OSPF不引入缺省路由。
引入静态路由可以使用import-route命令，但使用import-route命令不能引入缺省路由。
如果要引入缺省路由，必须使用default-route-advertise命令。当本机没有配置缺省路由时，要产生缺省路由ASE LSA应使用always关键字。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
如何禁止tracert但允许ping
如何禁止tracert但允许ping
Tracert和ping都是通过icmp协议来实现的，但他们的icmp类型不一样,可以使用参数icmp-type 进行区别
& && &&&ping时发出的报文类型为echo，类型码为8，回应报文的类型为echo-reply，类型码为0
?& && &tracert时，发出的报文类型和ping相同（但ttl值不同）；返回的icmp报文类型为ttl-exceeded， 类型码为 Type=11&&
& && && &可以参考如下acl
& && && && && && &acl number 3000
& && && && && && && & rule 5 permit icmp icmp-type echo& && && && && && && &
& && && && && && && & rule 10&&permit icmp icmp-type echo-reply
& && && && && && && & rule 15&&deny icmp icmp-type ttl-exceeded
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
对于防火墙，以下配置过程可以通用：
&FW&language-mode chinese
21:23:18&&
Warning: The operation will change the language mode. Continue? [Y/N]:&&y
提示：改变到中文模式。
21:23:20 FW %%01CMD/4/LAN_MODE(l): 当决定是否改变语言模式时，用户选择了Y。
&FW&reset saved-configuration
21:23:29&&
设备中的配置将被擦除.& && && && && && && && && && && && && && &&&
你确信吗?[Y/N]y
开始擦除存储设备中的配置.
21:23:32 FW %%01CFM/4/RST_CFG(l): 当决定是否重置保存的配置时，用户选择了Y。...
提示:擦除配置成功.
&FW&reboot
21:23:47&&
Info:Reading saved configuration failed.
&&系统将要重启,是否保存当前配置[Y/N]? :n& & ##这里一定要注意选 n
&&系统将重新启动! 继续?[Y/N]:y
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
策略路由导致VLAN间不通
问题描述：客户在设备交换接口上划分了三个VLAN，VLAN间互相不能通信。
原因分析：
1、&&配置问题
2、&&版本问题
在检查配置过程中，配置方面没有看出问题，在PING的时候，查看ICMP会话，原地址被转换成了公网IP，在配置中发现客户对每个VLAN接口做了策略路由，所以VLAN间互ping的时候首先匹配策略路由（策略路由优于其他路由），导致vlan间不通。
处理过程：
得知原因以后，在匹配策略路由的ACL表中，将各vlan间的ip网段互相deny，让各网段的通信不匹配策略路由。这样更改后各vlan间可以互通。修改如下：
acl number 3010
rule 4 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
rule 10 permit ip source 192.168.2.0 0.0.0.255
acl number 3011
rule 4 deny ip source 10.0.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 5 deny ip source 10.0.0.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 10 permit ip source 10.0.0.0 0.0.0.255
rule 15 permit ip source 10.0.2.0 0.0.0.255
acl number 3030
rule 4 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 5 deny ip source 192.168.3.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
rule 10 permit ip source 192.168.3.0 0.0.0.255
route-policy 1 permit node 1
if-match acl 3010& && && && && && && && &
apply output-interface Dialer1
route-policy 2 permit node 1
if-match acl 3011
apply output-interface Dialer2
route-policy 4 permit node 1
if-match acl 3030
apply output-interface Dialer2
route-policy 3 permit node 1
if-match acl 3030
apply output-interface Dialer1
interface Vlanif10
description to_lan
ip address 192.168.2.1 255.255.255.0
ip policy route-policy 1
interface Vlanif20
description to_server
ip address 10.0.0.1 255.255.255.0
ip policy route-policy 2
#& && && && && && && && && && && && && &&&
interface Vlanif30
ip address 192.168.3.1 255.255.255.0
ip policy route-policy 3
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
一台L3交换机，华为5300系列 IP地址为192.168.1.2 METH 0/0/1
interface Meth 0/0/1
ip address 192.168.1.2
配置路由不通。。
interface MEth0/0/1& && && && && && && &&&
ip address 192.168.1.2 255.255.255.0& &
meth口这个是用来升级或者管理用的。不要用来做业务。
interface MEth0/0/1& && && && && && && &&&
ip address 192.168.1.2 255.255.255.0&&
不要用这个口。。
你建个VLAN
ip address 192.168.1.2 255.255.255.0&&
用普通口与路由器互联。。这个口属于刚才这个VLAN
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
日志格式说明日志输出格式syslog协议采用UDP的514号端口进行传输，任何在514端口上出现的UDP包都会被视为一条日志信息，其输出格式如[url=mk:@MSITStore:C:\\Users\\Thinkpad\\AppData\\Local\\Temp\\Rar$DIa0.545\\日志参考(V100R003C01_01).chm::/s/dc_cbb_log_format.html#dc_cbb_log_format__fig_dc_cbb_log_format01]图1[/url]所示。
图1 日志信息输出格式
日志字段说明字段
发向日志主机的日志时间字段，为date型，格式为“Mmm dd hh:mm:ss yyyy”。
“Mmm”为英语月份的缩写，即Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec。“dd”为日期，如果日期的值小于10，则必须写为“空格＋日期”，如“7”。“hh:mm:ss”为本地时间，hh采用24小时制，从00到23；分钟和秒的值均从00到59。“yyyy”为年份。时间戳与主机名之间用一个空格隔开。
主机名是本机的系统名，默认为“Quidway”。
主机名与模块名之间用一个空格隔开。
“%%”为华为公司的厂商标志符，用来标识该日志是由华为产品输出。
“dd”是两位数字的版本号，用来标识该日志格式的版本,从01开始编号。
该字段表示日志是由哪个模块产生的，模块名与级别之间用一个斜杠（/）隔开。
日志的级别共分为8级，从0～7。
级别与信息摘要之间用一个斜杠（/）隔开。
信息摘要是一个短语，代表了该信息的内容概要。
“（l）”用来标识该信息为日志信息。
日志标识与详细信息之间用一个冒号“：”隔开。
详细信息是各个模块实际向信息中心输出的字符串信息，由各个模块在每次输出时填充，详细描述该日志的具体内容。
示例Aug 6 20:34:46 2005 ％％ 01 Quidway HWCM/5/EXIT （l）: exit from configure mode
从以上信息可以得知，该日志产生时间为日20点34分46秒，主机名为Quidway，该日志由HWCM模块发出，级别为5，日志描述的内容是从配置模式退出
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?