锐捷设备网络中断故障排查SOP
一、故障现象
客户现场网络新部署或者部署完使用中出现网络中断,无法上网现象。
二、组网拓扑
常规网络拓扑如下:
拓扑描述: PC通过接入、汇聚交换机连接到核心,PC的网关在核心上,核心往上通过安全设备,路由器连接到外网。
三、可能原因
-
PC未学习到网关的arp;
-
网络环境里存在环路等异常;
-
交换机上有相关配置进行了拦截导致;
-
安全设备有策略拦截导致;
四、故障排查步骤
步骤一:定界异常节点
-
终端上通过tracert外网地址如www.baidu.com.cn看回显的最后一跳是什么设备的地址(若是手机终端需要下载wifi魔盒进行测试),若最后一跳是安全设备或者路由器协调对应工程师排查,若是网关交换机则往下排查;
-
终端上ping 网关交换机地址以及交换机下一跳地址再次明确断点,看是否ping交换机和下一跳都不通;(可能关闭了tracert功能);
-
若ping交换机不通,则检查终端是否有网关的arp,终端侧cmd输入arp-a查看是否有网关arp,若无网关arp按下列步骤二排查,若有网关arp按下列步骤三排查,若ping交换机通按步骤四排查;
步骤二:排查学不到网关arp原因
若无网关arp则需要通过arp计数明确arp报文转发情况;
定位到arp转发异常的设备后
-
通过show version检查设备VSU主备机,引擎与线卡软件版本是否一致;
-
通过show run int xxx查看上下联端口的配置,看是否有相关安全配置若有需要检查是否有拦截
若接口下有调用acl,需要查看具体acl条目检查是否有ace会拦截arp报文; 若接口下关闭了arp学习(准入管控),需要检查是否准入通过;
若接口下开启了端口安全,需要检查是否有相关安全表项以及表项是否正确;
-
通过show run检查全局相关配置是否有异常;
若全局有调用acl,需要查看具体acl条目是否有拦截arp报文;
若全局有配置of controller ip xxx需要检查当前版本是否是方案版本,若非方案版本不能配置该命令;
-
检查环境是否存在环路;
-
检查cpp是否有丢包;
通过过命令show cpu-protect检查cpp是否有丢包,看对应arp行的最后一列total drop是否有数值,有数 值则说明有arp丢包,有arp丢包的话需要明确下联终端数量是否会正常超过arp的阈值,若会的话需要调 大arp的阈值,若不会的话说明有攻击,可通过show nfpp log buffer查看明确;
-
通过arp快转明确arp丢包原因,按照下列信息收集后找后台协助分析;
ter monitor debug syslog limit reset
debug syslog limit number 500 debug efmp packet etype arp smac aedf.ec37.54ed(终端mac地址)counter 5
步骤三:排查ping不通网关原因
若有网关arp则需要通过acl计数明确icmp报文转发情况;acl计数脚本:
定位到imcp转发异常的设备后
-
通过show version检查设备VSU主备机,引擎与线卡软件版本是否一致;
-
通过show run int xxx查看上下联端口的配置,看是否有相关安全配置若有需要检查是否有拦截
若接口下有调用acl,需要查看具体acl条目检查是否有ace会拦截icmp报文;
-
通过show run检查全局相关配置是否有异常;
若全局有调用acl,需要查看具体acl条目是否有拦截icmp报文;
若全局有配置of controller ip xxx需要检查当前版本是否是方案版本,若非方案版本不能配置该命令;
-
检查环境是否存在环路;
-
通过icmp快转明确icmp丢包原因,按照下列信息收集后找后台协助分析;
ter monitor debug syslog limit reset
debug syslog limit number 500 debug efmp packet ping sip 1.1.1.1(终端ip地址) smac aaaa.bbbb.cccc(终端mac地址) dip 2.2.2.2 (核心ip地址)dmac 1234.1234.1234(核心mac地址) counter 5
步骤四:排查ping核心下一跳不通原因
若ping核心交换机通,ping核心交换机下一跳设备不通,则需要通过acl计数明确ping下一跳不通时是交换机没转发出去还是转发出去下一跳没回;acl计数脚本:
若交换机没转发出去
-
show run | in address-bind检查配置是否有配置address-bind地址绑定,若有检查是否有对应绑定表项;
-
show of flow查看是否有开启引流,若有开启引流需要在对应引流接口配置acl计数明确对应安全设备转发情况;
-
show int status查看上联接口是否正常up;
若交换机转发出去了,需要协调下一跳设备排查;
五、故障信息收集
请按如下进行信息收集
term length 0
show clock
show ver
show ver detail
show ver slot
show run
show sw vi
show sw vi con
show sw vi link port
show int status
show int status err-disable
show interface usage
show int co rate
show int co sum
show int co err
show int link-state-change statistics
show int
show int
show int tran
show int tran alarm
show int tran diag
show int tran manu
show cpu
show cpu | ex 0.00% 0.00% 0.00%
show cpu-protect
show cpu-protect slot xxx //若是框式设备需要收集各张线卡的情况,xx代表线卡槽位号
show memory
clear counter
show int co sum
show int co sum
show int co sum
show int co ra
show int co ra
show int co ra
show mac
show mac
show mac
show arp
show arp count
show mac count
show nfpp log buff
show nfpp arp-guard sum
show nfpp arp-guard host
show nfpp arp-guard scan
show nfpp ip-guard sum
show nfpp ip-guard host
show nfpp dhcp-guard sum
show nfpp dhcp-guard host
show reboot-reason
show reboot-reason detail
show upgra his
show span su
show span port rec
show span con
show log
ter no le
六、总结与建议
网络不通问题先明确断点再进一步排查。
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/2595.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
THE END
0
二维码
打赏
海报
锐捷设备网络中断故障排查SOP
一、故障现象
客户现场网络新部署或者部署完使用中出现网络中断,无法上网现象。
二、组网拓扑
常规网络拓扑如下:
拓扑描述: PC通过接入、汇聚交换机连接到核心,PC的网关在核心上,核心往上通过安全设备,路由器连接到外网。
三、可能原因
PC未学习到网关的arp;
网络环境里存在环路等异常;
交换机上有相关配置进行了拦截导致;
安全设备有策略拦截导致;
四、故障排查步骤
步骤一:定界异常节点
终端上通过tracert外网地址如www.baidu.com.cn看回显的最后一跳是什么设备的地址(若是手机终端需要下载wifi魔盒进行测试),若最后一跳是安全设备或者路由器协调对应工程师排查,若是网关交换机则往下排查;
终端上ping 网关交换机地址以及交换机下一跳地址再次明确断点,看是否ping交换机和下一跳都不通;(可能关闭了tracert功能);
若ping交换机不通,则检查终端是否有网关的arp,终端侧cmd输入arp-a查看是否有网关arp,若无网关arp按下列步骤二排查,若有网关arp按下列步骤三排查,若ping交换机通按步骤四排查;
步骤二:排查学不到网关arp原因
若无网关arp则需要通过arp计数明确arp报文转发情况;ARP计数
定位到arp转发异常的设备后
通过show version检查设备VSU主备机,引擎与线卡软件版本是否一致;
通过show run int xxx查看上下联端口的配置,看是否有相关安全配置若有需要检查是否有拦截
若接口下有调用acl,需要查看具体acl条目检查是否有ace会拦截arp报文; 若接口下关闭了arp学习(准入管控),需要检查是否准入通过;
若接口下开启了端口安全,需要检查是否有相关安全表项以及表项是否正确;
通过show run检查全局相关配置是否有异常;
若全局有调用acl,需要查看具体acl条目是否有拦截arp报文;
若全局有配置of controller ip xxx需要检查当前版本是否是方……
共有 0 条评论