【高效笔记】直连ping都ping不通怎么办?
在网络排障过程中出现直连无法Ping通时,该如何排除故障?以下做个排障小总结。
第一步:检查接口类型、VLAN、IP配置是否正确
操作步骤
若PC直连交换机,确保PC与所属VLAN配置的VLANIF IP地址为同一网段。若交换机与其他网络设备直连,确保两端设备端口类型、VLAN配置一致,两端VLANIF IP地址为同一网段。
例如:查看GE0/0/1接口的VLAN配置
<HUAWEI> display port vlan
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
Eth-Trunk0 hybrid 1 -
GigabitEthernet0/0/1 access 1 -
GigabitEthernet0/0/2 trunk 1 1-11 13-30
GigabitEthernet0/0/3 access 10 -
……
例如:查看VLANIF接口IP地址配置
<HUAWEI> display ip interface brief
……
Interface IP Address/Mask Physical Protocol
Vlanif1 10.1.1.1/24 down down
Vlanif3 10.2.1.1/24 up up
Vlanif10 unassigned *down down
……
第二步:检查链路状态是否正常
操作步骤
检查物理链路连接介质是否正常,以及光纤或网线连接的端口是否正确。检查对应的VLANIF接口是否Up,VLANIF接口UP是能Ping通的前提。如果VLANIF接口Down,说明该VLAN下没有成员端口Up,再次确认线缆是否正常、连线是否正确,保证接口Up。
<HUAWEI> display ip interface brief
……
Interface IP Address/Mask Physical Protocol
Vlanif1 10.1.1.1/24 down down
Vlanif3 10.2.1.1/24 up up
Vlanif10 unassigned *down down
……
<HUAWEI> display interface brief
……
Interface PHY Protocol InUti OutUti inErrors outErrors
Eth-Trunk0 down down 0% 0% 0 0
GigabitEthernet0/0/1 down down 0% 0% 0 0
GigabitEthernet0/0/2 down down 0% 0% 0 0
如果电口为Down状态,则定位电口问题,做相应处理;如果光口为Down状态,则定位光口问题,做相应处理。
第三步:检查接口的STP状态是否正常
操作步骤
如果VLANIF和物理接口均为UP状态,检查接口的STP状态,确认接口是否被阻塞。如果接口的STP状态为阻塞,对生成树进行排查。执行命令display stp brief命令,查看STP状态,回显信息中STP State为FORWARDING表示转发状态,为DISCARDING表示阻塞状态。
<HUAWEI> display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI DISCARDING LOOPBACK
检查路由是否正常
操作步骤
检查是否有直连路由。
执行display ip routing-table 10.1.1.10命令,查看设备路由信息,回显字段中Proto为Direct表示为直连路由。由于遵循最长匹配原则,同一路由前缀,当非直连路由掩码长度大于直连路由时,将导致报文无法从直连接口转发。若检查目的IP匹配的路由为非直连路由,需排查路由故障。
<HUAWEI> display ip routing-table 10.1.1.10
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.1.0/24 Direct 0 0 D 10.1.1.1 Vlanif1
检查是否配置策略路由
执行display traffic-policy applied-record命令,检查接口或VLAN视图下是否调用策略路由。
例如:交换机在GE0/0/1接口调用策略路由,将源IP地址为10.1.1.2的PC上送报文重定向到下一跳10.2.1.2。您可以通过执行如下命令查看策略路由配置并做相应修改。
执行display traffic-policy applied-record命令,查看流策略的调用记录。
<HUAWEI> display traffic-policy applied-record
#
-------------------------------------------------
Policy Name: p1
Policy Index: 1
Classifier:c1 Behavior:b1 //流策略p1中关联了流分类c1和流行为b1
-------------------------------------------------
*interface GigabitEthernet0/0/1
traffic-policy p1 inbound //流策略p1调用在接口GE0/0/1的入方向
slot 0 : success
-------------------------------------------------
Policy total applied times: 1.
#
执行display traffic behavior user-defined behavior-name命令,查看策略中关联的流行为是否有重定向动作。
<HUAWEI> display traffic behavior user-defined b1
User Defined Behavior Information:
Behavior: b1
Redirect:
Redirect ip-nexthop (no forced)
10.2.1.2 //流行为b1的动作为重定向,下一跳IP为10.2.1.2
执行display traffic classifier user-defined classifier-name命令,查看策略中流分类关联的ACL编号。
<HUAWEI> display traffic classifier user-defined c1
User Defined Classifier Information:
Classifier: c1
Operator: AND
Rule(s) : if-match acl 3000 //流分类c1关联的ACL为acl 3000
执行display acl acl-number命令,查看ACL具体内容。
<HUAWEI> display acl 3000
Advanced ACL 3000, 1 rule
Acl's step is 5
rule 5 permit ip source 10.1.1.2 0 //ACL3000中匹配了源为10.1.1.2的所有IP报文
修改流策略,保证PC与交换机间的流量正常转发 配置思路:新建ACL,匹配PC到本网段间的流量,这部分流量不做重定向。
配置顺序:配置流分类时,先创建不做重定向的流分类,再配置用于重定向的流分类。配置流策略时,先绑定不做重定向的流分类和流行为,再绑定用于重定向的流分类和流行为。
<HUAWEI> system-view
[HUAWEI] acl 3001 //新建ACL
[HUAWEI-acl-adv-3001] rule permit ip source 10.1.1.2 0 destination 10.1.1.0 0.0.0.255 //匹配PC到本网段的IP报文(不做重定向的流量)
[HUAWEI-acl-adv-3001] quit
[HUAWEI] traffic behavior b2 //新建流行为
[HUAWEI-behavior-b2] permit //动作为允许(正常转发,不做重定向动作)
[HUAWEI-behavior-b2] quit
//由于之前的策略已经调用在接口,所以需要先在接口下取消策略调用,再到流策略中解除绑定的流分类,在全局删除流分类后再按顺序配置。
[HUAWEI] int GigabitEthernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] undo traffic-policy inbound //进入接口下取消策略调用
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] traffic policy p1
[HUAWEI-trafficpolicy-p1] undo classifier c1 //解除策略下绑定的流分类
[HUAWEI-trafficpolicy-p1] quit
[HUAWEI] undo traffic classifier c1 //全局下取消之前创建的流分类
[HUAWEI] traffic classifier c2 //先创建不做重定向的流分类c2
[HUAWEI-classifier-c2] if-match acl 3001 //在c2中关联ACL3001
[HUAWEI-classifier-c2] quit
[HUAWEI] traffic classifier c1 //再创建用于重定向的流分类c1
[HUAWEI-classifier-c1] if-match acl 3000 //在c1中关联ACL3000
[HUAWEI-classifier-c1] quit
[HUAWEI] traffic policy p1 //进入流策略,先绑定不做重定向的流分类和流行为,再绑定需要重定的流分类和流行为。
[HUAWEI-trafficpolicy-p1] classifier c2 behavior b2
[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
[HUAWEI-trafficpolicy-p1] quit
[HUAWEI] interface GigabitEthernet0/0/1 //进入接口下调用流策略
[HUAWEI-GigabitEthernet0/0/1] traffic-policy p1 inbound
[HUAWEI-GigabitEthernet0/0/1] return
第四步:检查ARP是否正常
操作步骤
检查直连地址的ARP是否学习正常。
<HUAWEI> display arp | include 10.1.1.10
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE VLAN/CEVLAN
------------------------------------------------------------------------------
10.1.1.10 2222-2222-2222 20 D-0 GE0/0/3
......
如果无法学习到ARP,排查ARP故障(如:MAC表项是否能学习到;是否存在ARP攻击,使ARP表资源耗尽;是否开启ARP严格学习;VLAN或端口下配置IPSG功能,MAC或ARP是否符合绑定表等)。
如果ARP学习正确,查看MAC表项,确认MAC地址的出接口和ARP表中的出接口是否一致。若不一致,排查是否存在环路或MAC冲突。
<HUAWEI> display mac-address 2222-2222-22222
MAC Address VLAN/VSI Learned-From Type
------------------------------------------------------------------------------
2222-2222-22222 1/- GE0/0/3 dynamic
第五步:检查是否配置黑名单
操作步骤
当配置cpu-defend黑名单后,设备将直接丢弃黑名单用户上送的报文。通过display cpu-defend policy查看调用在全局或特定槽位的策略名,然后通过display cpu-defend policy policy-name 查看策略中是否配置黑名单(Blacklist),再通过display acl acl-number查看黑名单调用的ACL具体内容。
<HUAWEI> display cpu-defend policy
----------------------------------------------------------------
Name : default
Related slot : <>
----------------------------------------------------------------
Name : test
Related slot : <1> //名称为test的policy调用在1号槽位
----------------------------------------------------------------
<HUAWEI> display cpu-defend policy test
Related slot : <1>
Configuration :
Blacklist 1 ACL number : 3300 //该策略下配置了黑名单,关联的ACL编号为3300
Car packet-type icmp : CIR(5000) CBS(20000)
Car packet-type tcp : CIR(2000) CBS(376000)
<HUAWEI> display acl 3300
Advanced ACL 3300, 1 rule
Acl's step is 5
rule 5 permit ip source 10.10.10.1 0 (match-counter 0)
//ACL匹配源IP地址为10.10.10.1的IP报文
黑名单中应用的ACL,无论其rule配置为permit还是deny,命中该ACL的报文均会被丢弃。
如果策略中配置了黑名单,且黑名单中包含对端IP,请尝试删除黑名单或修改黑名单关联的ACL,保证报文可以被正常处理。
例如:取消防攻击策略"test"下的黑名单配置
<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-defend-policy-test] dis this
#
cpu-defend policy test
blacklist 1 acl 3300
car packet-type icmp cir 5000 cbs 20000
car packet-type tcp cir 2000 cbs 376000
……
[HUAWEI-defend-policy-test] undo blacklist 1
[HUAWEI-defend-policy-test] return
<HUAWEI>
如果策略中没有配置黑名单,或者黑名单中不包含对端IP,进行下一步排查。
说明:
如果对端可以Ping通交换机,而从交换机无法Ping通对端,需要确认对方是否禁Ping(如PC上的软件防火墙限制或网络设备上调用了相关策略拒绝访问)。
检查报文收发是否正常
操作步骤
通过以上步骤排查配置、链路、各类表项均正常,仍然无法访问的情况下,可以通过在接口下使用流量统计来确认报文的收发情况,定位故障点。方法如下:
定义ACL,匹配Ping的源、目的IP地址
[HUAWEI] acl number 3333
[HUAWEI-acl-adv-3333] rule 5 permit icmp source x.x.x.x 0 destination y.y.y.y 0
[HUAWEI-acl-adv-3333] rule 10 permit icmp source y.y.y.y 0 destination x.x.x.x 0
[HUAWEI-acl-adv-3333] quit
定义流分类、流行为和流策略
[HUAWEI] traffic classifier 3333
[HUAWEI-classifier-3333] if-match acl 3333
[HUAWEI-classifier-3333] quit
[HUAWEI] traffic behavior 3333
[HUAWEI-behavior-3333] statistic enable
[HUAWEI-behavior-3333] quit
[HUAWEI] traffic policy 3333
[HUAWEI-trafficpolicy-3333] classifier 3333 behavior 3333
[HUAWEI-trafficpolicy-3333] quit
在端口下应用该策略,对该端口出入方向报文的收发进行统计
[HUAWEI] interface GigabitEthernet 0/0/10
[HUAWEI-GigabitEthernet0/0/10] traffic-policy 3333 inbound
[HUAWEI-GigabitEthernet0/0/10] traffic-policy 3333 outbound
[HUAWEI-GigabitEthernet0/0/10] return
如果是交换机直连PC,在连接PC的接口出、入方向调用流统策略;如果是交换机与其他网络设备直连,建议在两台设备两个端口的出、入方向都调用流统策略。
显示统计结果
先清空计数信息,以保证接口流统计数归零。
<HUAWEI> reset traffic policy statistics interface GigabitEthernet 0/0/10 inbound
<HUAWEI> reset traffic policy statistics interface GigabitEthernet 0/0/10 outbound
执行Ping操作,再通过display命令查看统计结果。display traffic policy statistics interface GigabitEthernet 0/0/10 inbound/outbounddisplay traffic policy statistics interface GigabitEthernet 0/0/10 inbound/outbound verbose rule-based 说明:inbound表示端口收包,outbound表示端口发包。报文有发包和收包,查看统计信息时,分几个步骤,根据不同的结果执行相应操作。
例如:测试从A设备Ping B设备
查看A侧Ping包个数与端口发包个数是否相同——若不同,报文在A侧被丢弃。
查看A侧端口发包个数与B侧端口收包个数是否相同——若不同,报文在链路上被丢弃。
查看B侧端口发包个数与A侧端口收包个数是否相同——若不同,报文在B侧被丢弃。
B侧回包个数与A侧发包个数是否相同——若不同,报文在链路上被丢弃。
如报文在链路上被丢弃,请更换链路测试;如报文在终端或友商设备被丢弃,请排查对端设备;