數(shù)據(jù)通信

NE40E多實例nat

故障描述

按照配置用例在根系統(tǒng)中配置的nat outbound上網(wǎng),內(nèi)網(wǎng)用戶可以正常上網(wǎng).
類似配置遷移到vpn-instance中,內(nèi)網(wǎng)用戶就無法上網(wǎng)了.
無論修改acl是否帶vpn-instance屬性,內(nèi)網(wǎng)用戶都是只能ping到設(shè)備內(nèi)網(wǎng)口/外網(wǎng)口,無法ping到設(shè)備外網(wǎng)口對端地址.

故障分析

1.nat instance 中引用的acl需要綁定vpn-instance屬性
2.在策略應(yīng)用traffic classifier中引用的acl不能帶vpn-instance屬性

處理過程

按照要求重新配置了acl在不同的地方引用.
關(guān)鍵配置如下:
nat instance ndianxin
vpn-nat enable
add slot 4 master
nat address-group vdx x.x.x.136 x.x.x.143 vpn-instance dianxin
nat outbound 3101 address-group vdx
#
acl number 3001
rule 110 permit ip source 10.23.0.0 0.0.255.255
rule 120 permit ip source 10.59.0.0 0.0.255.255
rule 130 permit ip source 192.168.0.0 0.0.255.255
#
acl number 3101
rule 110 permit ip vpn-instance dianxin source 10.23.0.0 0.0.255.255
rule 120 permit ip vpn-instance dianxin source 192.168.0.0 0.0.255.255
#
traffic classifier c1 operator or
if-match acl 3001
traffic behavior b1
nat bind instance ndianxin

traffic policy p1
share-mode
classifier c1 behavior b1

建議/總結(jié)

　　無

AR2200的E1接口故障處理

故障描述

E1線纜連接后，E1端口不能UP，客戶業(yè)務(wù)不能正常上線。

故障分析

用E1線（120歐姆）將AR2200與DDF架連接起來，但是AR2200的E1端口一直不能UP。經(jīng)過分析發(fā)現(xiàn)客戶使用了普通的網(wǎng)線將AR與DDF架上的接口相連，并且DDF架上的port0/1端口故障，故而導(dǎo)致AR2200的E1端口不能UP。

處理過程

1. 檢查設(shè)備是否有告警，子卡是否有損壞。
發(fā)現(xiàn)設(shè)備無告警且各單板注冊正常，排除設(shè)備硬件故障。
2. 檢查設(shè)備配置是否正確。
檢查AR2200的E1端口是否配置了接口的工作方式，是否與對端設(shè)備E1端口工作模式一致。檢查AR2200的端口配置如下：
#
controller E1 4/0/0
using e1
#
interface Serial4/0/0:0
link-protocol ppp
description shenzheng to shanghai
ip address 10.10.10.5 255.255.255.252
#
并且與對端設(shè)備網(wǎng)管人員確認，對端設(shè)備與AR2200工作模式一致，且IP地址為10.10.10.6/30。
經(jīng)確認設(shè)備配置正確。
3. 檢查E1線纜是否正常。
檢查E1線纜線序，發(fā)現(xiàn)線序為普通網(wǎng)線線序。E1線纜（120歐姆）外觀與普通網(wǎng)線相同.現(xiàn)場更換E1線纜（120歐姆）后，AR2200端口仍然未UP。
將AR2200的Serial4/0/0:1端口配置為與Serial4/0/0:0同樣的工作模式。用更換后的E1線纜將AR2200的Serial4/0/0:1與Serial4/0/0:0自環(huán)連接。發(fā)現(xiàn)設(shè)備的兩個端口均UP。這表明更換后的E1線纜是正常的。
4. 檢查DDF架接口。
將更換后的E1線纜插入DDF架的另外一個端口，AR2200的E1端口UP
通過逐段排查，發(fā)現(xiàn)由于客戶使用普通網(wǎng)線代替E1線纜，且客戶DDF架端口故障是導(dǎo)致本次故障的根因，更換E1線纜和插入正常DDF架端口后，設(shè)備端口UP，業(yè)務(wù)正常上線。

建議/總結(jié)

　　無

語音模塊工作模式改變導(dǎo)致AR升級后語音配置丟失

故障描述

客戶當(dāng)前網(wǎng)絡(luò)中AR1200為V2R1版本，雖然按照升級指導(dǎo)對相應(yīng)的命令做了修改，升級為V2R3版本后發(fā)現(xiàn)所有語音配置丟失，但是非語音配置存在，操作如下：
1. 設(shè)置下次啟動時配置文件為修改后的配置
startup saved-configuration arcfg_new.cfg
This operation will take several minutes, please wait..........
Info: Succeeded in setting the file for booting system
2. 設(shè)置下次啟動時版本文件為V2R3C01SPC900
startup system-software ar1220-v200r003c01spc900.cc
This operation will take several minutes, please wait.....
Info: Succeeded in setting the file for booting system

通過display current-configuration ,發(fā)現(xiàn)配置中沒有語音命令。

故障分析

1. 版本中的命令行差異導(dǎo)致升級后所有語音相關(guān)配置丟失
2. AR 啟動后語音模塊工作模式變化為默認的.

處理過程

版本升級可能會導(dǎo)致AR語音恢復(fù)為默認工作模式，導(dǎo)致所有語音部分配置丟失；
解決辦法：
1.設(shè)置語音工作模式為PBX，
3. 重啟設(shè)備，在重啟前一定不要做任何保存操作，因為當(dāng)前系統(tǒng)配置中丟掉了語音部分配置，保存會導(dǎo)致配置覆蓋。
4. 當(dāng)系統(tǒng)正常進入PBX工作模式后，語音部分配置恢復(fù)。

建議/總結(jié)

　　無

FAQ：AR 接口下配置NAT SERVER 映射提示地址沖突？

故障描述

AR 接口下配置NAT SERVER 映射提示地址沖突，如下：
nat server global 192.168.108.136 inside 172.16.1.2

Error: The address conflicts with interface or ARP IP.

故障分析

無

處理過程

當(dāng)前接口配置如下：
#
interface GigabitEthernet0/0/0
ip address 192.168.108.136 255.255.255.0
#
return
AR在配置NAT映射時，公網(wǎng)IP不能與接口IP地址相同，否則會提示沖突，導(dǎo)致配置不上去。如果做全映射，至少需要申請兩個公網(wǎng)IP，一個配置在接口上，一個用于做全映射；如果只有一個公網(wǎng)IP時，可以做端口映射，公網(wǎng)IP使用current-interface參考代替，如下：
nat server protocol tcp global current-interface 80 inside 172.16.1.2 80

建議/總結(jié)

　　無

CE12800 ETH-TRUNK兩端成員口不一致導(dǎo)致STP頻繁震蕩

故障描述

　　兩臺CE12800 采用VRRP做網(wǎng)關(guān)，S9512交換機雙上行到兩臺CE12800交換機，所有鏈路均采用兩根線纜捆綁，并運行MSTP協(xié)議，下掛業(yè)務(wù)時斷時續(xù)，設(shè)備出現(xiàn)MAC漂移、IP沖突。

故障分析

　　日志中顯示的ARP沖突為CE12800-01設(shè)備自身的IP地址，MAC地址也為自身MAC地址，
　　說明是設(shè)備自身發(fā)出的ARP探測報文又被自己收到，從而發(fā)出ARP沖突告警，結(jié)合日志中出現(xiàn)MAC漂移告警，懷疑網(wǎng)絡(luò)中出現(xiàn)環(huán)路。
　　但是日志中記錄STP狀態(tài)反復(fù)變更，接口每秒鐘多次阻塞/開啟，同時未發(fā)現(xiàn)該設(shè)備及下游設(shè)備有接口頻繁UP/DOWN信息，排除線路不穩(wěn)定問題。
　　經(jīng)仔細排查發(fā)現(xiàn)CE12800-1下聯(lián)9512的鏈路捆綁接口，9512側(cè)匯聚鏈路捆綁失敗，導(dǎo)致9512交換機側(cè)為兩個獨立的物理端口連接到對端CE12800-1 ETH-TRUNK接口，CE12800下行流量中BPDU報文哈希到ETH-TRUNK 成員口1又經(jīng)9512接口轉(zhuǎn)發(fā)至ETH-TRUNK 成員口2，導(dǎo)致ETH-TRUNK被STP阻塞，阻塞后收不到BPDU報文，再次被放開到轉(zhuǎn)發(fā)狀態(tài)，導(dǎo)致端口反復(fù)UP/DOWN。

處理過程

　　將9512交換機兩個成員口重新加入到link-aggregation group中，網(wǎng)絡(luò)恢復(fù)正常。

建議/總結(jié)

　　無

因交換機遠程登入掛死導(dǎo)致交換機不能被telnet的問題

故障描述

　　設(shè)備：S5352交換機，版本：V100R005C01SPC100 ，補?。簊23_33_53-v100r005sph003.pat
　　組網(wǎng)：為兩臺交換機互聯(lián)
　　交換機配置了telnet（aaa里建了用戶，配置了user-interface vty 0 4下面 aaa認證），交換機能ping通自己的地址：127.0.0.1和交換機上配置的地址，但無法telnet 自己的地址。提示：
　　Trying 127.0.0.1 ...
　　Press CTRL+K to abort

故障分析

1、user-interface vty 是否配置正確
2、檢查設(shè)備device ，是否有設(shè)備硬件信息不正常
3、 dis users 查看是否為用戶掛死

處理過程

1 user-interface vty 是否配置正確，檢查后發(fā)現(xiàn)正確，且只能配置 user-interface vty 0 4
2 檢查設(shè)備device ，是否有設(shè)備硬件信息不正常，結(jié)果都是Normal的
3 dis users 檢查用戶
4 重新配置一遍 user-interface vty 0 4，刪掉在配置，也還是不行
5 把 user-interface vty 0 重新釋放，free user-interface vty 0 ，結(jié)果能telnet了

建議/總結(jié)

　　無

S2300交換機上voice vlan不起作用的解決方法

故障描述

在S2300上配置了Voice Vlan后，連接到S2300的IP話機并沒有獲取到該Voice Vlan的ID，而是被分配到了其他普通Vlan上。IP話機的型號是Grandstream GXP1405。

相關(guān)的配置信息如下，其中IP話機連接到Ethernet0/0/12
interface Ethernet0/0/12
description testt voip Phone
voice-vlan 6 enable
voice-vlan mode manual
port hybrid pvid vlan 4
port hybrid tagged vlan 6
port hybrid untagged vlan 4
undo negotiation auto
speed 100

即使更換成如下配置，IP話機也沒有獲取到voice Vlan的ID。
interface Ethernet0/0/12
description testt voip Phoone
voice-vlan 6 enable
voice-vlan mode manual
voice-vlan legacy enable
port link-type trunk
port trunk pvid vlan 4
port trunk allow-pass vlan 6

故障分析

原因1：查詢時時間參數(shù)設(shè)置不正確
原因2：設(shè)備未正確關(guān)聯(lián)到采集器，采集方式未配置

處理過程

這種型號的IP話機發(fā)出的數(shù)據(jù)包是不帶TAG的，采用MAC-VLAN的方式：
vlan 6
mac-vlan mac-address xxx-xxx-xxx //the mac-address of IP話機
interface Ethernet0/0/12
port hybrid untagged vlan 4 6 //add 6 to untag vlan
mac-vlan enable

如此修改后，連接S2300交換機的IP話機能獲取到了vlan6對應(yīng)的接口的IP地址，并能正常呼叫，同時PC也能獲取到了vlan4對應(yīng)的接口的IP地址。

建議/總結(jié)

　　無

無線客戶端為什么可以搜索到ER3108GW一個沒有名稱的SSID

故障描述

無線客戶端搜索到ER3108GW一個沒有名稱的SSID

故障分析

沒有名稱的SSID是由設(shè)備預(yù)留配置的WDS功能產(chǎn)生，因為無線功能的主接口和WDS功能的接口是同一個接口，當(dāng)開啟無線功能的時候，不管WDS功能是否開啟，該接口始終處于UP狀態(tài)，所以在WDS功能禁用的時候，設(shè)備會自動給該接口配置一個空的SSID，從而導(dǎo)致無線客戶端可以掃描到一個沒有名稱的SSID。

處理過程

啟用了WDS功能后，無線客戶端也就無法掃描到?jīng)]有名稱的SSID了。

建議/總結(jié)

　　無

交換機產(chǎn)品S9300作為網(wǎng)關(guān)局域網(wǎng)內(nèi)用戶時通時斷

故障描述

交換機產(chǎn)品S9300作為網(wǎng)關(guān),局域網(wǎng)內(nèi)用戶時通時斷，網(wǎng)絡(luò)設(shè)備會經(jīng)常脫管，網(wǎng)關(guān)設(shè)備會打印大量地址沖突的告警。

故障分析

1、查看日志信息：
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、根據(jù)日志信息記錄的攻擊者的MAC地址查找MAC地址表，從而獲取到攻擊源所在的端口，通過網(wǎng)絡(luò)進一步排查，定位出攻擊源，為PC中毒所致。PC假冒網(wǎng)關(guān)向同網(wǎng)段設(shè)備請求IP。

處理過程

對用戶PC殺毒，網(wǎng)關(guān)開啟防假冒網(wǎng)關(guān)攻擊功能。
在S9300上配置防網(wǎng)關(guān)沖突功能arp anti-attack gateway-duplicate enable，ARP網(wǎng)關(guān)沖突防攻擊功能使能后，系統(tǒng)生成ARP防攻擊表項，在后續(xù)一段時間內(nèi)對收到具有相同源MAC地址的報文直接丟棄，這樣可以防止與網(wǎng)關(guān)地址沖突的ARP報文在VLAN內(nèi)廣播。

建議/總結(jié)

攻擊者設(shè)置主機靜態(tài)IP地址時，把主機地址設(shè)置成網(wǎng)關(guān)地址。在主機設(shè)置靜態(tài)IP地址后，會發(fā)送免費ARP報文在局域網(wǎng)內(nèi)進行通告，該局域網(wǎng)內(nèi)其他PC機收到此報文后，會修改自身的網(wǎng)關(guān)ARP表項，修改網(wǎng)關(guān)MAC為攻擊者MAC，導(dǎo)致該局域網(wǎng)內(nèi)所有用戶無法正常使用網(wǎng)絡(luò)，網(wǎng)絡(luò)中斷。當(dāng)攻擊者頻繁發(fā)送源IP地址為網(wǎng)關(guān)地址的免費ARP報文，即使網(wǎng)關(guān)設(shè)備收到此報文能夠通知局域網(wǎng)內(nèi)正常主機把網(wǎng)關(guān)搶回，但是主機網(wǎng)關(guān)MAC地址頻繁切換也會導(dǎo)致網(wǎng)絡(luò)中斷。

交換機s9700(V200R001C00SPC300)拷貝S5528交換機DHCP配置導(dǎo)致用戶無法獲取IP地址故障

故障描述

一臺S9706交換機，版本為V200R001C00SPC300,替換現(xiàn)網(wǎng)的S5528交換機，在S9706上配置了DHCP SERVER 功能后無法獲取IP 地址。
組網(wǎng):S9706(DHCP SERVER)-------S5700-----PC

故障分析

配置DHCP 功能后無法獲取IP 地址可能原因如下：
1 .PC 問題錯誤導(dǎo)致.
2.交換機配置錯誤導(dǎo)致.
3.交換機版本問題.

處理過程

1.檢查交換機配置無問題.
2.關(guān)閉了S9706上其他端口直接用PC 掛在S9706 端口上仍然無法獲取IP地址,更換PC 故障現(xiàn)象一樣.
3.在S9706 交換機上DEBUG DHCP 報文,PC 已經(jīng)發(fā)送了DHCP discover報文，但是S9706 交換機無DHCP offer 回應(yīng)報文.
4.檢查S9706 交換機IP 地址池使用情況發(fā)現(xiàn)地址池已經(jīng)被全部分配完畢. 并且分配的IP 地址的MAC 地址完全一樣,判斷是交換機軟件版本BUG 導(dǎo)致, 刪除配置DHCP 的三層接口,重啟交換機后正常.

建議/總結(jié)

　　無

訂閱數(shù)據(jù)通信