H3CTE考试内容总结楼主大中小发表于2010-5-7 17:15 只看该作者弱电安防培训--工信部认证|注册微软虚拟学院MV A 赢取丰富奖品|DELL 你问我答成为企业级专家| IT博客大赛：以文会友博出精彩！H3CTE考试内容总结1. 1 Telnetü交换机：<Quidway> system-view①[Quidway] user-interface vty 0②[Quidway-ui-vty0] authentication-mode password（设置认证方式为密码验证方式）③[Quidway-ui-vty0] set authentication password simple xxxx （xxxx 是欲设置的该Telnet 用户登录口令）④[Quidway-ui-vty0] user privilege level 3（缺省情况下，从VTY用户界面登录后可以访问的命令级别为0级。

需要将用户的权限设置为3，这用户可以进入系统视图进行操作，否则只有0级用户的权限）ü路由器：默认状态下是允许任何终端用户登陆的⑤local-user b service-type admin password simple b（允许特定用户b以密码b远程登录）2. Debugü交换机①terminal monitor（打开屏幕输出开关）②terminal debugging（打开屏幕输出开关）③debug xxxxxx（输入需要调试的对象内容）ü路由器①info-center enable（开启syslog功能）②输出信息Ø info-center console 输出信息至控制台上（使用console线）Ø info-center monitor 输出信息至终端上（使用telnet）③debug xxxxxx（输入需要调试的对象内容）3. 数据链路ü PPP与MP①[Router] local-user b service-type ppp password simple b（对端用户b）②[Router] ppp mp b bind Virtual-Template1（捆绑用户b到vt1）③[Router] interface Serial0④[Router-Serial0] link-protocol ppp⑤[Router-Serial0] ppp authentication-mode pap⑥[Router-Serial0] ppp mp（使能mp）⑦[Router-Serial0] ppp pap local-user a password simple a（送往对端的用户名和密码）⑧[Router-Serial1] interface Virtual-Template1（进入vt1口）⑨[Router-Virtual-template1] ip address 30.1.1.2 255.255.255.0（配置ip地址）故障之一：链路始终不能转为Up 状态。

故障排除：可能是由于PPP 验证参数配置不正确，导致PPP 验证失败。

打开PPP 的调试开关，会看到LCP 协商成功并转为Up 状态后进行PAP 或CHAP 协商，然后LCP 转为Down 状态。

故障之二：物理链路不能转为Up 状态。

故障排除：可以执行display interface type number 命令来查看接口当前状态。

故障之三：链路UP，且LCP，IPCP均已OPENED，但Ping不到对方。

故障排除：Ø 用命令dis cur interface察看接口上是否没有配置ip地址，而是用命令ip address ppp-negotitate配置了IP地址协商。

Ø 检查对端配置，是否使用了remote address 为本端分配了地址在本端配置IP地址，或者在对端分配IP地址，然后利用shutdown/un shutdown 命令讲端口复位故障之一：物理层处于DOWN 状态。

故障排除：检查物理线路是否正常。

检查对端设备是否正常运行。

故障之二：物理层已经处于UP 状态，但链路层协议处于DOWN 状态。

故障排除：检查本地设备和对端设备是否都封装了帧中继协议。

如果两台设备直连，检查本地设备和对端设备是否配置成一端是帧中继DTE接口类型，一端是帧中继DCE 接口类型。

检查两端LMI 协议类型配置是否相同。

如果以上检查都已经通过，可以打开帧中继LMI 消息的监视开关，看状态请求报文与状态报文是否一一对应。

如果不一一对应，说明物理层数据收发不正确，请检查物理层的问题。

打开帧中继LMI 消息的监视开关的命令请参见debugging fr lmi 命令。

故障之三：链路层协议处于UP 状态，但不能ping 通对方。

故障排除：检查两端设备是否都为对端配置（或产生）了正确的地址映射。

检查路由表，是否有到达对端的路由。

对于同步拨号，其接口必须是同步拨号接口；对于异步拨号，如果采用同/异步接口（即Serial接口），则必须先使用命令physical-mode asynchronous命令把该接口设置为异步口，同时采用命令modem设置Modem拨号属性；对于异步接口（即Async接口），直接采用modem命令设置Modem拨号属性。

4. 路由协议ü RIP故障之一：在物理连接正常的情况下收不到更新报文故障排除可能是下列原因相应的接口上RIP 没有运行如执行了undo rip work 命令或该接口未通过network 命令使能对端路由器上配置的是组播方式如执行了rip version 2 multicast 命令但在本地路由器上没有配置组播方式ü OSPF故障之一：是否已经配置了Router ID使用命令router id Router-idRouter-id可以配置为与本路由器一个接口的IP地址相同，需要注意的是：不能有任何两台路由器的Router ID是完全相同的。

故障之二：检查OSPF协议是否已成功地被激活使用命令ospf enable启动协议的运行。

该命令是协议正常运行的前提。

故障之三：检查需要运行OSPF的接口是否已配置属于特定的区域使用命令ospf enable area area_id 将接口配置属于特定区域。

可通过命令display ospf interface interfacename来查看该接口是否已经配置成功。

故障之四：检查是否已正确地引入了所需要的外部路由。

实际运行中可能经常需要引入自治系统外部路由（其他协议如BGP或静态路由）。

如果需要，是否已经通过命令import 配置了引入。

故障之五：检查是否互连的路由器网络类型一致。

绝大多数要配置为非同步,只有有必要将BGP路由引入IGP时才配置成同步。

5. 安全VPN与拨号故障之一：非法用户身份信息故障排除：用户身份信息是发起IPSec 通信的用户用来标识自己的数据。

在实际应用中我们可以通过用户身份标识实现对不同的数据流建立不同的安全通道进行保护。

目前我们是通过用户的IP 地址来标识用户。

可以看到调试信息：got NOTIFY of type INV ALID_ID_INFORMA TION或者drop message from A.B.C.D due to notification typeINV ALID_ID_INFORMA TION检查协商两端接口上配置的安全策略中的ACL 内容是否相容。

建议用户将两端的ACL 配置成互为镜像的。

ACL 镜像的含义请参考IPSec 配置中“配置访问控制列表”内容。

故障之二：提议不匹配故障排除：可以看到调试信息：got NOTIFY of type NO_PROPOSAL_CHOSEN或者：drop message from A.B.C.D due to notification type NO_PROPOSAL_CHOSEN协商双方没有可以匹配的提议。

对于阶段1，检查IKE proposal 是否有与对方匹配的。

对于阶段2 协商，检查双方接口上应用的IPsec 安全策略的参数是否匹配，引用的IPsec 安全提议的协议、加密算法和验证算法是否有匹配的。

故障之三：无法建立安全通道故障排除：实际应用中有时会发现在不稳定的网络状态下，安全通道无法建立或者存在安全通道却无法通信，而且检查双方的ACL 的配置正确，也有匹配的提议。

这种情况一般是安全通道建立好以后，有一方的路由器重启造成的。

解决办法：Ø 使用display ike sa 命令检查双方是否都已建立阶段1 的SA。

Ø 使用display ipsec sa policy 命令查看接口上的安全策略是否已建立了IPSec SA。

Ø 根据以上两步的结果查看，如果有一方存在的SA 在另一方不存在的情况，使用reset ike sa 命令清除错误存在的SA，重新发起协商。

看了又看热点讨论待解决问题h3c端口隔离技术讨论H3C 端口镜像配置过程详解...如何用思科和H3C设备解决ARP病毒...求助：关于上网访问权限控制...软交换和硬交换-怎样才能更容易...请教CISCO路由配置问题-我理解的...为什么思科设置了“虚拟服务器”...我配了个路由器。

Cisco Packet T ...1/5看了又看热点讨论待解决问题我恨H3C交换机！心灰意冷！网管是否...如何查到网络中引起冲突的IP？~[已...卫生院医保进来的路由器起啥作用...熬到大半夜H3CMSR50-40详细配置...开始学习H3C技术，在此立贴，分享学...在端口绑定acl失败，请教原因[已解...H3C 关于ACL互通访问设置疑问~ ...3600 千兆口与5500 相连配置的尴...1/2看了又看热点讨论待解决问题1/5UID720362阅读权限60性别男论坛详细资料引用报告回复TOP网工泡泡中级工师帖子862精华积分1120无忧币2354注册时间2009-4-1 最后登录沙发大中小发表于2010-5-7 17:15 只看该作者弱电安防培训--工信部认证|注册微软虚拟学院MV A 赢取丰富奖品|DELL 你问我答成为企业级专家| IT博客大赛：以文会友博出精彩！发短消息家园好友当前离线个人博客VPN 排错之前，请先确认LAC 与LNS 都已在公共网上，并实现正确连通。

故障之一：用户登录失败故障排除：用户登录失败主要有以下几种原因。

Ø Tunnel 建立失败，Tunnel 不能建立的原因有：(1) 在LAC 端，LNS 的地址设置不正确。