跳转到主要内容

数据通信

NE40E多实例nat

故障描述

按照配置用例在根系统中配置的nat outbound上网,内网用户可以正常上网.
类似配置迁移到vpn-instance中,内网用户就无法上网了.
无论修改acl是否带vpn-instance属性,内网用户都是只能ping到设备内网口/外网口,无法ping到设备外网口对端地址.

故障分析

1.nat instance 中引用的acl需要绑定vpn-instance属性
2.在策略应用traffic classifier中引用的acl不能带vpn-instance属性

处理过程

按照要求重新配置了acl在不同的地方引用.
关键配置如下:
nat instance ndianxin
vpn-nat enable
add slot 4 master
nat address-group vdx x.x.x.136 x.x.x.143 vpn-instance dianxin
nat outbound 3101 address-group vdx
#
acl number 3001
rule 110 permit ip source 10.23.0.0 0.0.255.255
rule 120 permit ip source 10.59.0.0 0.0.255.255
rule 130 permit ip source 192.168.0.0 0.0.255.255
#
acl number 3101
rule 110 permit ip vpn-instance dianxin source 10.23.0.0 0.0.255.255
rule 120 permit ip vpn-instance dianxin source 192.168.0.0 0.0.255.255
#
traffic classifier c1 operator or
if-match acl 3001
traffic behavior b1
nat bind instance ndianxin

traffic policy p1
share-mode
classifier c1 behavior b1
 

建议/总结

  无

AR2200的E1接口故障处理

故障描述

E1线缆连接后,E1端口不能UP,客户业务不能正常上线。

故障分析

用E1线(120欧姆)将AR2200与DDF架连接起来,但是AR2200的E1端口一直不能UP。经过分析发现客户使用了普通的网线将AR与DDF架上的接口相连,并且DDF架上的port0/1端口故障,故而导致AR2200的E1端口不能UP。
 

处理过程

1. 检查设备是否有告警,子卡是否有损坏。
发现设备无告警且各单板注册正常,排除设备硬件故障。
2. 检查设备配置是否正确。
检查AR2200的E1端口是否配置了接口的工作方式,是否与对端设备E1端口工作模式一致。检查AR2200的端口配置如下:
#
controller E1 4/0/0
using e1
#
interface Serial4/0/0:0
link-protocol ppp
description shenzheng to shanghai
ip address 10.10.10.5 255.255.255.252
#
并且与对端设备网管人员确认,对端设备与AR2200工作模式一致,且IP地址为10.10.10.6/30。
经确认设备配置正确。
3. 检查E1线缆是否正常。
检查E1线缆线序,发现线序为普通网线线序。E1线缆(120欧姆)外观与普通网线相同.现场更换E1线缆(120欧姆)后,AR2200端口仍然未UP。
将AR2200的Serial4/0/0:1端口配置为与Serial4/0/0:0同样的工作模式。用更换后的E1线缆将AR2200的Serial4/0/0:1与Serial4/0/0:0自环连接。发现设备的两个端口均UP。这表明更换后的E1线缆是正常的。
4. 检查DDF架接口。
将更换后的E1线缆插入DDF架的另外一个端口,AR2200的E1端口UP
通过逐段排查,发现由于客户使用普通网线代替E1线缆,且客户DDF架端口故障是导致本次故障的根因,更换E1线缆和插入正常DDF架端口后,设备端口UP,业务正常上线。

建议/总结

  无

语音模块工作模式改变导致AR升级后语音配置丢失

故障描述

客户当前网络中AR1200为V2R1版本,虽然按照升级指导对相应的命令做了修改,升级为V2R3版本后发现所有语音配置丢失,但是非语音配置存在,操作如下:
1. 设置下次启动时配置文件为修改后的配置
startup saved-configuration arcfg_new.cfg                                                                                  
This operation will take several minutes, please wait..........                                                                    
Info: Succeeded in setting the file for booting system                                                                             
2. 设置下次启动时版本文件为V2R3C01SPC900
startup system-software ar1220-v200r003c01spc900.cc
This operation will take several minutes, please wait.....                                                                         
Info: Succeeded in setting the file for booting system   

通过display current-configuration ,发现配置中没有语音命令。

故障分析

1. 版本中的命令行差异导致升级后所有语音相关配置丢失
2. AR 启动后语音模块工作模式变化为默认的.

处理过程
版本升级可能会导致AR语音恢复为默认工作模式,导致所有语音部分配置丢失;
解决办法:
1.设置语音工作模式为PBX,    
3. 重启设备,在重启前一定不要做任何保存操作,因为当前系统配置中丢掉了语音部分配置,保存会导致配置覆盖。
4. 当系统正常进入PBX工作模式后,语音部分配置恢复。
建议/总结

  无

FAQ:AR 接口下配置NAT SERVER 映射提示地址冲突?

故障描述

AR 接口下配置NAT SERVER 映射提示地址冲突,如下:
 nat server global 192.168.108.136 inside 172.16.1.2

 Error: The address conflicts with interface or ARP IP.

故障分析

处理过程

当前接口配置如下:
#
interface GigabitEthernet0/0/0
ip address 192.168.108.136 255.255.255.0
#
return
AR在配置NAT映射时,公网IP不能与接口IP地址相同,否则会提示冲突,导致配置不上去。如果做全映射,至少需要申请两个公网IP,一个配置在接口上,一个用于做全映射;如果只有一个公网IP时,可以做端口映射,公网IP使用current-interface参考代替,如下:
nat server protocol tcp global current-interface 80 inside 172.16.1.2 80 

建议/总结

  无

CE12800 ETH-TRUNK两端成员口不一致导致STP频繁震荡

故障描述

  两台CE12800 采用VRRP做网关,S9512交换机双上行到两台CE12800交换机,所有链路均采用两根线缆捆绑,并运行MSTP协议,下挂业务时断时续,设备出现MAC漂移、IP冲突。

故障分析

  日志中显示的ARP冲突为CE12800-01设备自身的IP地址,MAC地址也为自身MAC地址,
  说明是设备自身发出的ARP探测报文又被自己收到,从而发出ARP冲突告警,结合日志中出现MAC漂移告警,怀疑网络中出现环路。
  但是日志中记录STP状态反复变更,接口每秒钟多次阻塞/开启,同时未发现该设备及下游设备有接口频繁UP/DOWN信息,排除线路不稳定问题。
  经仔细排查发现CE12800-1下联9512的链路捆绑接口,9512侧汇聚链路捆绑失败,导致9512交换机侧为两个独立的物理端口连接到对端CE12800-1 ETH-TRUNK接口,CE12800下行流量中BPDU报文哈希到ETH-TRUNK 成员口1又经9512接口转发至ETH-TRUNK 成员口2,导致ETH-TRUNK被STP阻塞,阻塞后收不到BPDU报文,再次被放开到转发状态,导致端口反复UP/DOWN。

处理过程

  将9512交换机两个成员口重新加入到link-aggregation group中,网络恢复正常。

建议/总结

  无

因交换机远程登入挂死导致交换机不能被telnet的问题

故障描述

  设备:S5352交换机,版本:V100R005C01SPC100 ,补丁:s23_33_53-v100r005sph003.pat
  组网:为两台交换机互联
  交换机配置了telnet(aaa里建了用户,配置了user-interface vty 0 4下面 aaa认证),交换机能ping通自己的地址:127.0.0.1和交换机上配置的地址,但无法telnet 自己的地址。提示:
  Trying 127.0.0.1 ...
  Press CTRL+K to abort
 

故障分析

1、user-interface vty  是否配置正确
2、检查设备device ,是否有设备硬件信息不正常
3、 dis users 查看是否为用户挂死

处理过程

1   user-interface vty  是否配置正确,检查后发现正确,且只能配置  user-interface vty 0 4
2  检查设备device ,是否有设备硬件信息不正常,结果都是Normal的
3  dis users 检查用户
4  重新配置一遍 user-interface vty 0 4,删掉在配置,也还是不行
5 把  user-interface vty 0 重新释放,free  user-interface vty 0 ,结果能telnet了

建议/总结

  无

S2300交换机上voice vlan不起作用的解决方法

故障描述

在S2300上配置了Voice Vlan后,连接到S2300的IP话机并没有获取到该Voice Vlan的ID,而是被分配到了其他普通Vlan上。IP话机的型号是Grandstream GXP1405。

相关的配置信息如下,其中IP话机连接到Ethernet0/0/12
interface Ethernet0/0/12
description testt voip Phone
voice-vlan 6 enable
voice-vlan mode manual
port hybrid pvid vlan 4
port hybrid tagged vlan 6
port hybrid untagged vlan 4
undo negotiation auto
speed 100

即使更换成如下配置,IP话机也没有获取到voice Vlan的ID。
interface Ethernet0/0/12
description testt voip Phoone
voice-vlan 6 enable
voice-vlan mode manual
voice-vlan legacy enable
port link-type trunk
port trunk pvid vlan 4
port trunk allow-pass vlan 6
 

故障分析

原因1:查询时时间参数设置不正确
原因2:设备未正确关联到采集器,采集方式未配置

处理过程

这种型号的IP话机发出的数据包是不带TAG的,采用MAC-VLAN的方式:
 vlan 6
 mac-vlan mac-address xxx-xxx-xxx //the mac-address of IP话机
 interface Ethernet0/0/12
 port hybrid untagged vlan 4 6  //add 6 to untag vlan
 mac-vlan enable

如此修改后,连接S2300交换机的IP话机能获取到了vlan6对应的接口的IP地址,并能正常呼叫,同时PC也能获取到了vlan4对应的接口的IP地址。

建议/总结

  无

无线客户端为什么可以搜索到ER3108GW一个没有名称的SSID

故障描述

无线客户端搜索到ER3108GW一个没有名称的SSID

故障分析

没有名称的SSID是由设备预留配置的WDS功能产生,因为无线功能的主接口和WDS功能的接口是同一个接口,当开启无线功能的时候,不管WDS功能是否开启,该接口始终处于UP状态,所以在WDS功能禁用的时候,设备会自动给该接口配置一个空的SSID,从而导致无线客户端可以扫描到一个没有名称的SSID。

处理过程

启用了WDS功能后,无线客户端也就无法扫描到没有名称的SSID了。

建议/总结

  无

交换机产品S9300作为网关局域网内用户时通时断

故障描述

交换机产品S9300作为网关,局域网内用户时通时断,网络设备会经常脱管,网关设备会打印大量地址冲突的告警。

故障分析

  

1、查看日志信息:
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、根据日志信息记录的攻击者的MAC地址查找MAC地址表,从而获取到攻击源所在的端口,通过网络进一步排查,定位出攻击源,为PC中毒所致。PC假冒网关向同网段设备请求IP。
处理过程

对用户PC杀毒,网关开启防假冒网关攻击功能。
在S9300上配置防网关冲突功能arp anti-attack gateway-duplicate enable,ARP网关冲突防攻击功能使能后,系统生成ARP防攻击表项,在后续一段时间内对收到具有相同源MAC地址的报文直接丢弃,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。

建议/总结

攻击者设置主机静态IP地址时,把主机地址设置成网关地址。在主机设置静态IP地址后,会发送免费ARP报文在局域网内进行通告,该局域网内其他PC机收到此报文后,会修改自身的网关ARP表项,修改网关MAC为攻击者MAC,导致该局域网内所有用户无法正常使用网络,网络中断。当攻击者频繁发送源IP地址为网关地址的免费ARP报文,即使网关设备收到此报文能够通知局域网内正常主机把网关抢回,但是主机网关MAC地址频繁切换也会导致网络中断。

交换机s9700(V200R001C00SPC300)拷贝S5528交换机DHCP配置导致用户无法获取IP地址故障

故障描述

一台S9706交换机,版本为V200R001C00SPC300,替换现网的S5528交换机, 在S9706上配置了DHCP SERVER 功能后无法获取IP 地址。
 组网:S9706(DHCP SERVER)-------S5700-----PC

故障分析

 

配置DHCP 功能后无法获取IP 地址可能原因如下:
1 .PC 问题错误导致.
2.交换机配置错误导致.
3.交换机版本问题.
处理过程

1.检查交换机配置无问题.
2.关闭了S9706上其他端口直接用PC 挂在S9706 端口上仍然无法获取IP地址,更换PC 故障现象一样.
3.在S9706 交换机上DEBUG DHCP 报文,PC 已经发送了DHCP discover报文, 但是S9706 交换机无DHCP  offer  回应报文.
4.检查S9706 交换机IP 地址池使用情况发现地址池已经被全部分配完毕. 并且分配的IP 地址的MAC 地址完全一样,判断是交换机软件版本BUG 导致, 删除配置DHCP 的三层接口,重启交换机后正常.
    

建议/总结

  无

订阅 数据通信