H3C交换机维护与故障排除文档资料.ppt

华为3Com培训中心华为华为华为华为3Com3Com公司版权所有，未经授权不得使用与传播公司版权所有，未经授权不得使用与传播公司版权所有，未经授权不得使用与传播公司版权所有，未经授权不得使用与传播交换机维护与交换机维护与交换机维护与交换机维护与故障排除故障排除故障排除故障排除ISSUE 1.0ISSUE 1.0前言前言l熟悉了中低端交换机的基本原理和配置l已经能够熟练操作交换机l精通各种交换机的设备特性l需要经常进行设备维护和故障排除课程内容课程内容日常维护日常维护故障排除故障排除日常维护专题日常维护专题设备管理操作设备管理操作设备升级操作设备升级操作设备网管设备网管日常信息收集和分析日常信息收集和分析其他其他设备管理操作设备管理操作l1、console口管理l2、telnet管理l3、aux口远程管理l4、web网管管理l5、quidview网管软件管理交换机配置管理地址交换机配置管理地址l配置管理地址l[Quidway]interface Vlan-interface 1l[Quidway-Vlan-interface1]ip address 1.1.1.1 255.255.255.0 1、对于二层交换机只能配置一个Vlan接口地址作为管理地址使用，但是不仅仅限于Vlan 1；2、对于三层交换机任何一个Vlan接口地址都可以作为管理地址使用；l配置缺省路由（二层交换机）：l[Quidway]ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 文件系统文件系统 l文件系统的主要功能为管理存储设备，把文件保存在存储设备中。

路由器目前支持的存储设备是FLASHl文件系统是指对存储设备中的文件、目录的管理，包括创建文件系统，创建、删除、修改、更名文件和目录，以及显示文件的内容这些操作，请在用户视图下执行请注意文件全名最多支持48字节，超长文件名将导致您不能正常进行操作文件系统文件系统ldirDirectory of flash:/-rwxrwxrwx 1 noone nogroup 2232 Jan 05 2005 16:25:35 vrpcfg.txt-rwxrwxrwx 1 noone nogroup 8 Jan 05 2005 16:26:39 snmpboots-rwxrwxrwx 1 noone nogroup 3965234 Nov 17 2004 15:48:58 S3528_S3552-VRP310-r0013-139.bin-rwxrwxrwx 1 noone nogroup 263180 Dec 02 2004 11:27:29 S3528GP_S3552GPFHI-158.btm-rwxrwxrwx 1 noone nogroup 447060 Jan 05 2005 16:23:54 WnmVfsFile.zip16125952 bytes total (11441152 bytes free) 文件系统文件系统操作命令创建目录mkdir directory删除目录rmdir directory显示当前的工作目录pwd显示目录或文件信息dir [ /all | /h ] [ file-url ]改变当前目录cd directory设备升级设备升级l通过通过console口升级口升级l通过通过FTP升级升级l通过通过TFTP升级升级更多的功能更多的功能更简便的配置更简便的配置通过通过Console口升级口升级Press Ctrl-B to enter Boot Menu... 0Password: BOOT MENU1. Download application file to flash2. Select application file to boot3. Display all files in flash4. Delete file from flash5. Modify bootrom password0. Reboot console通过通过Console口升级（续）口升级（续）通过通过FTP升级升级FTP server10.110.0.1FTP client10.110.0.2Ethernetl启动FTP服务器功能è[Quidway]ftp-server enablel增加用户名并设置密码 è[Quidway]local-user XXX service-type ftp password {simple | cipher} 123 通过通过TFTP升级升级TFTP server10.110.0.1TFTP client10.110.0.2Ethernetl选择指定的以太口选择指定的以太口l在配置电脑上运行在配置电脑上运行TFTP服务器程序服务器程序l指定应用程序所在的路径指定应用程序所在的路径l运行超级终端运行超级终端Bootrom的升级的升级 BOOT MENU1. Download application file to flash2. Select application file to boot3. Display all files in flash4. Delete file from flash5. Modify bootrom password0. RebootEnter your choice(0-5):－－ctrl＋＋uPlease set bootrom download protocal parameter:1. Set TFTP protocol parameter2. Set FTP protocol parameter3. Set XMODEM protocol parameter0. Return to boot menu 升级的注意事项升级的注意事项l1、一定要搞清楚版本的配套关系；l2、不要轻易进行Bootrom的升级；l3、对于分布式产品的Bootrom升级一定要搞清楚版本是主控板还是业务板；l4、如果错误升级了Bootrom版本一定不要轻易重起；l5、对于升级方式建议使用FTP。

Quidview网管网管Quidview网管网管Web网管网管日常信息收集日常信息收集ldisplay current-configuration ldisplay version ldisplay logbufferldisplay cpuldisplay memoryldisplay saved-configuration ldisplay mac-addressldisplay arp 版本信息版本信息ldisplay versionHuawei-3Com Versatile Routing Platform SoftwareVRP (R) Software, Version 3.10(CN), RELEASE 1007Copyright (c) 2003-2004 Hangzhou Huawei-3Com Tech. Co.,Ltd. All rights reserved.Copyright (c) 2000-2003, Huawei Tech. Co.,Ltd. All rights reserved.Quidway S6503 uptime is 0 week,0 day,7 hours,5 minutesSRPU 0: uptime is 0 weeks,0 days,7 hours,5 minutesQuidwayS6500 with 1 MPC8260 Processor256M bytes SDRAM16384K bytes Flash Memory0K bytes NVRAM MemoryPCB Version : REV.0BootROM Version : 400CPLD Version : 003Software Version : 6503-1007 SubCard 1 PCB Ver : REV.0 CPLD Ver : 002端口信息端口信息ldisplay interface GigabitEthernet 1/0/1 GigabitEthernet1/0/1 current state : DOWN IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc24-005f The Maximum Transmit Unit is 1500 Media type is twisted pair, loopback not set Port hardware type is 1000_BASE_T Unknown-speed mode, unknown-duplex mode Link speed type is autonegotiation, link duplex type is autonegotiation Flow-control is not enabled The Maximum Frame Length is 1536 Broadcast-suppression ratio(%): 100 Allow jumbo frame to pass PVID: 1 Mdi type: auto端口信息端口信息Port link-type: access Tagged VLAN ID : none Untagged VLAN ID : 1 Last 300 seconds input: 0 packets/sec 0 bytes/sec Last 300 seconds output: 0 packets/sec 0 bytes/sec Input(total): 0 packets, 0 bytes - broadcasts, - multicasts Input(normal): 0 packets, - bytes 0 broadcasts, 0 multicasts Input: 0 input errors, 0 runts, - giants, 0 throttles, 0 CRC 0 frame, - overruns, - aborts, - ignored, - parity errors Output(total): 0 packets, 0 bytes - broadcasts, - multicasts, - pauses Output(normal): 0 packets, - bytes 0 broadcasts, 0 multicasts, 0 pauses Output: 0 output errors, - underruns, - buffer failures 0 aborts, 0 deferred, 0 collisions, 0 late collisions - lost carrier, - no carrier 最重要的信息最重要的信息l[Quidway]display diagnostic-informationThis operation may take a few minutes, continue?[Y/N] y课程内容课程内容日常维护日常维护故障排除故障排除课程内容课程内容物理层故障物理层故障端口协商以及自环问题端口协商以及自环问题VLAN问题问题其他问题其他问题物理层故障排除综述（物理层故障排除综述（1）） l从从广广义义的的角角度度来来看看，，以以太太网网的的物物理理层层故故障障包包括括以以太太网网交交换换机机本本身身的硬件故障和连接交换机的物理线路故障的硬件故障和连接交换机的物理线路故障l借助设备接口指示灯的状态进行初判借助设备接口指示灯的状态进行初判 èLINK灯灭表示线路没有连通，灯亮表示线路已经连通èACTIVE灯灭表示没有数据收发，灯闪烁表示有数据收发l采用替换法进行判断采用替换法进行判断è包括线路、电缆和光纤、板卡、槽位、整机，调换线路收发 l在交换机上配置接口环回进行判断在交换机上配置接口环回进行判断è设置以太网端口进行环回测试：loopback { external | internal }l设设备备接接口口之之间间的的工工作作速速率率、、工工作作方方式式（（半半工工/双双工工））、、帧帧格格式式协协商商和匹配问题也会导致现象表现为物理层故障和匹配问题也会导致现象表现为物理层故障物理层故障排除综述（物理层故障排除综述（2）） l设备本身的硬件故障一般包括：设备本身的硬件故障一般包括：è接口或者设备硬件损坏；è接口Bootrom或者VRP软件版本不正确或者不配套；è光模块接口类型不正确；è用户PC网卡故障或者配置不正确。

l线路故障一般包括：线路故障一般包括： è网线或者光纤线路本身物理损坏；è网线类型错误（支持MDI/MDI-X自适应除外）或者光纤收发连接不正确；è中间传输设备（光电转换器，线路转换器等）故障或者工作不正常；è接口线缆所支持的最大传输长度、最大速率等超出使用范围 常用物理层相关命令常用物理层相关命令 l端口信息显示命令：端口信息显示命令： display interface[Quidway] display interface ethernet0/1Ethernet0/1 current state : UPIP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc00-0010Description : aaaThe Maximum Transmit Unit is 1500Media type is twisted pair, loopback not setPort hardware type is 100_BASE_TX100Mbps-speed mode, full-duplex modeLink speed type is autonegotiation, link duplex type is autonegotiationFlow-control is not supportedThe Maximum Frame Length is 1536Broadcast MAX-ratio: 100%常用物理层相关命令常用物理层相关命令l端口信息显示命令：端口信息显示命令： display interfacePVID: 1Mdi type: autoPort link-type: access Tagged VLAN ID : none Untagged VLAN ID : 1Last 5 minutes input rate 229 bytes/sec, 2 packets/secLast 5 minutes output rate 25 bytes/sec, 0 packets/secinput: 0 packets, 0 bytes 0 broadcasts, 0 multicasts input: 0 input errors, 0 runts, 0 giants, 0 throttles, 0 CRC 0 frame, 0 overruns, 0 aborts, 0 ignored, 0 parity errors Output: 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Output: 0 output errors, 0 underruns, 0 buffer failures 0 aborts, 0 deferred, 0 collisions, 0 late collisions 0 lost carrier, 0 no carrier 由于由于10M/2M设备不支持设备不支持VLAN导致能导致能Ping通外网但通外网但是无法打开网页是无法打开网页 l现象描述现象描述 è如图所示，用户通过ADSL接入MA5100，在MA5100上划分7个VLAN，MA5100通过10M/2M设备上连S3526进行流量汇聚，S3526将MA5100上传的VLAN用户信息透传给S8016。

在S8016上配置多个VLAN的三层虚接口地址作为用户网关，并做NAT转换后上外网 è故障现象：MA5100下面的用户能够Ping通外网的地址和域名（比如），但是打开相应的网页时提示“Internet Explorer 无法连接到您请求的页，可能该页目前不可用 由于由于10M/2M设备不支持设备不支持VLAN导致能导致能Ping通外网但通外网但是无法打开网页是无法打开网页 l信息收集：信息收集：采用分段故障排除法 è将计算机直接接在S3526下面，用户上网正常说明S3526到外网这一段没有问题è查看S3526连接MA5100的TRUNK接口的配置，接口的PVID设置为1，允许所有的VLAN通过，并且在接口下MA5100的7个VLAN的信息已经通过（VLAN Passing字段）è在S3526上配置VLAN 1的虚接口地址，MA5100使用缺省VLAN 1的用户可以正常上网 由于由于10M/2M设备不支持设备不支持VLAN导致能导致能Ping通外网但通外网但是无法打开网页是无法打开网页 l原因分析原因分析èMA5100下VLAN 1的用户可以正常上网，但其他的7个VLAN却不能正常上网，重点需要分析VLAN 1用户的数据和其他VLAN用户的数据在传输过程中有哪些不同：è根据MA5100和S3526的TRUNK端口的设置，PVID都设置为1，MA5100在收到VLAN 1的用户数据的时候，将VLAN ID去掉上传S3526，也就数据在TRUNK上传输是不带 VLAN ID的 。

MA5100上 其 他 VLAN用 户 的 数 据 在TRUNK链路上传输是携带VLAN信息的è这有两种可能：1、某台交换机不允许其他VLAN通过，也就是VLAN互通有可能有问题但根据用户可以ping通外网，排除了这种可能性；2、小包可以通过，大包不能通过正常IP包的最大长度是1518，含VLAN ID的是1522由于涉及到10M/2M设备，可能是该设备不支持VLAN 由于由于10M/2M设备不支持设备不支持VLAN导致能导致能Ping通外网但通外网但是无法打开网页是无法打开网页 l处理过程处理过程 è为了确认是10M/2M设备导致的问题，做如下测试：è第一步：从MA5100下面的PC Ping 1468大小的包，能通，但是丢包严重；Ping 1469的包，无法通过è第二步：将S3526的接口改为ACCESS模式，直接把计算机接在10M/2M设备连接MA5100的出口上，能够上网，也能Ping通1469的报文è第三步：连接另外一台PC在10M/2M设备连接S3526的出口，两台PC互Ping 3000的包，能通 è处理方法：1、将两端的设备更换为支持VLAN的10M/2M设备；2、将10M/2M设备更换为光电转换器。

由于由于10M/2M设备不支持设备不支持VLAN导致能导致能Ping通外网但通外网但是无法打开网页是无法打开网页 l测试结果分析测试结果分析 è含VLAN ID报文长度：1522字节＝1500（MTU）＋18（二层头）＋4 （VLAN TAG） è所谓10M/2M设备不支持VLAN，是指这种设备最长只能接收1518字节长度的报文，当报文长度超过1518的时候，设备就丢弃报文è在我们Ping 1468的时候，1468是IP层的净负荷，加上20个字节的IP报文头和8个字节的ICMP报文头，整个IP层的报文长度为1496个字节，再加上18个字节的以太网帧封装和4个字节的VLAN信息，整个以太网帧的长度刚好为1518的字节，这个时候10M/2M的设备能够接收，所以能够Ping通è在Ping 1469的时候，根据上面的计算整个以太网帧的长度为1519个字节，10M/2M设备无法接收，导致无法Ping通 课程内容课程内容物理层故障物理层故障端口协商以及自环问题端口协商以及自环问题VLAN问题问题其他问题其他问题端口协商以及自环故障排除综述端口协商以及自环故障排除综述 l中低端交换机上常见的接口大致分类中低端交换机上常见的接口大致分类è按 工 作 速 率 有 ： 10M， 10/100M， 100M， 10/100M/1000M，1000M；è按工作方式有：全双工，半双工；è按接口类型有：电接口，光接口（多模，单模10Km，单模中距40Km，单模长距70Km），堆叠模块。

l两端设备端口工作方式等参数的匹配问题两端设备端口工作方式等参数的匹配问题 è大多数端口都支持工作参数自动协商功能；è有时候由于设备之间协商能力不强或两端设备默认的参数配置不相同导致端口协商不通过，端口工作异常，此时就需要对端口的参数进行手工调整和设置，保证双方参数一致；è在Quidway S3026和S2016/S2008交换机上，支持环路检测功能（Loopback-Detection） 常用的端口配置命令（常用的端口配置命令（1））l设置以太网端口速率设置以太网端口速率è设置百兆以太网端口的速率：speed { 10 | 100 | auto }è设置千兆以太网端口的速率：speed { 10 | 100 | 1000 | auto }è百兆以太网电端口支持10Mbit/s、100Mbit/s或自协商工作速率，可以根据需要对其设置è百兆以太网光端口支持100Mbit/s速率，可以设置为100（100Mbit/s）和auto（自协商）è千兆以太网端口可以设置为1000（1000Mbit/s）和auto（自协商）è1000Base-T以太网端口支持10Mbit/s、100Mbit/s、1000Mbit/s三种速率，可以根据需要选择合适的端口速率。

但当双工状态设置为半双工模式后，就不能设置为1000Mbit/s速率常用的端口配置命令（常用的端口配置命令（2））l设置以太网端口网线类型设置以太网端口网线类型èmdi { across | auto | normal } è该设置只对10/100Base-T、1000Base-T端口有效l设置以太网端口的链路类型设置以太网端口的链路类型è设置端口为Access端口：port link-type accessè设置端口为Hybrid端口：port link-type hybridè设置端口为Trunk端口：port link-type trunkl其他接口显示命令其他接口显示命令è显示端口的所有信息：display interface è显示Hybrid端口或Trunk端口：display port { hybrid | trunk }è清除以太网端口的统计信息：reset counters interfaceADSL用户上网异常问题处理用户上网异常问题处理l现象描述现象描述 è组网如图所示，用户反映上网速度慢，有时打开网页时没有响应è从外网Ping网络中的某台S3026管理IP地址，发现有如下奇怪Ping包：èPing 11.11.10.117 : 56 data bytes.èReply from 11.11.10.117 : bytes=56: icmp_seq=0 ttl=64 time=16 msèReply from 11.11.10.117 : bytes=56: icmp_seq=0 DUP! ttl=64 time=33 msèReply from 11.11.10.117 : bytes=56: icmp_seq=0 DUP! ttl=64 time=33 msèReply from 11.11.10.117 : bytes=56: icmp_seq=0 DUP! ttl=64 time=50 msèReply from 11.11.10.117 : bytes=56: icmp_seq=0 DUP! ttl=64 time=50 msèReply from 11.11.10.117 : bytes=56: icmp_seq=4 ttl=64 time=0 msè5 packets transmitted, 5 packets received, +4 duplicates, 0% packet lossè正常情况应该是回五个Ping，现在却多出四个DUP重复数据包！ ADSL用户上网异常问题处理用户上网异常问题处理l信息收集信息收集 è可以接收到Ping响应报文，说明网络是通的，但由于多接收到重复数据包，可能是由于网络环路造成。

è用display loopback- detection察看端口环回检测信息如下：[Quidway] display loopback-detection Loopback-detection is running Detection interval time is 30 seconds Following Port(s) has(have) loopback link: Ethernet0/1è说明E0/1接口连接的网络有环路存在 ADSL用户上网异常问题处理用户上网异常问题处理l处理过程处理过程è检查交换机连线确认为树型结构è因为S3026的新版本增加端口loopback-detection功能，当检测到端口所连接的网络有环路时将该端口处于受控状态，如环路解除，还能自动打开端口可以使用该功能用来检测环路è将友商DSLAM下面的用户线依次断开，同时用display loopback-detection显示是否有环路è查到某个线路问题后，到用户家检查MODEM配置发现配置了两条相同的PVC，导致形成环路在该网络中最后查出有四个同样故障的MODEM修改配置后Ping包恢复正常 端口配合导致的端口配合导致的S3026光模块指示灯不亮问题光模块指示灯不亮问题 l现象描述现象描述è组网：MA5203通过百兆光纤连接S3026百兆多模光模块，S3026下面接入上网用户。

è故障现象：光纤正常连接后发现S3026光模块Link指示灯不亮，用display interface命令查询e1/1接口状态发现Ethernet1/1 is down 端口配合导致的端口配合导致的S3026光模块指示灯不亮问题光模块指示灯不亮问题 l原因分析原因分析 è物理线路问题调换光纤、改变光纤收发操作，发现指示灯还是不亮用一个带光模块的S2403F进行替换，连接到光纤发现S2403F工作正常，在S2403F下面可以正常上网，说明物理线路没有问题è设备或者光模块问题因光路没问题故怀疑S3026的光模块或者SLOT 1插槽有故障，通过替换另一台正常的S3026连接光纤，发现光模块LINK指示灯还是不亮，排除了设备和光模块问题è设备间接口参数协商问题或者接口工作参数不匹配使用display interface命令详细查看接口参数，并进行对比端口配合导致的端口配合导致的S3026光模块指示灯不亮问题光模块指示灯不亮问题 l处理过程处理过程 è通过查询发现MA5200端口速率为100M，并工作在自协商模式è通过查询发现S3026光模块端口参数如下Auto-duplex, Auto-speed, 100_BASE_FX_MMF ，说明接口速率协商正常，但双工/半双工协商不通过。

è对S3026光接口的参数进行调整，将S3026的光接口设置为全双工后，光模块的LINK灯即亮，并且S3026工作正常l总结总结 è设备与设备之间不能正常通讯，常见的有物理线路故障、端口工作参数不匹配、设备模块硬件故障等几种原因尤其是两端设备端口均为自协商时，由于不同厂家的设备接口参数不同，或者同一厂家不同设备由于采用的硬件芯片不同而自协商不通过，导致不能正常通讯通常采用替换法可以快速定位故障 由于两条物理链路形成环路造成部分业务不通由于两条物理链路形成环路造成部分业务不通 l现象描述现象描述 èS3526E通过NE16E连接Internet，下连S3026和S2016，S3526E和S3026之间通过两条百兆链路相连，S3526E和S2016之间只有一条百兆链路相连 è故障现象：S3526E与 S3026之间的两条链路都不连接或者只接其中一条链路时，S2016下的PC可以正常PING通网关和上层接口地址è如果S3526E与 S3026之间的两条链路都连接好，则S2016下的PC机PING不通网关 è重新启动S2016与S3526E之间的接口时，S2016下PC可PING通网关20左右个包，后中断；多次操作现象相同。

è不论S3526E与 S3026之间的两条链路怎样连接，网管都与远端的服务器连接正常；S3526E与NE16E之间的接口也工作正常由于两条物理链路形成环路造成部分业务不通由于两条物理链路形成环路造成部分业务不通l原因分析原因分析 è由于S3526E与 S3026之间的两条链路形成环路，与S3026相连的两个端口之间存在大量的无用报文，被同时转发到端口属性为TRUNK的端口，引起广播风暴，使这些端口堵塞，造成端口承载业务异常；è连接网管和与NE16E对接的端口属性为ACCESS，可以正常工作l处理过程处理过程 è方案一：把S3526E上与S3026相连的两个端口分别划分在不同的VLAN内，但不能满足设备之间的两条链路成主备份关系的要求è方案二：在S3526E上启动STP协议，问题得到解决è方案三：在S3526E和S3026之间配置链路聚合（link-aggregation），这样既可以增加带宽，实现负载分担，又可以实现链路备份的功能 课程内容课程内容物理层故障物理层故障端口协商以及自环问题端口协商以及自环问题VLAN问题问题其他问题其他问题VLAN故障排除综述（故障排除综述（1））lVLAN技术的引入技术的引入è用于隔离网络风暴，增加网络安全性è早期用路由器进行隔离，但成本高，效率低，应用复杂è增加了4个字节的特殊标注域，用于区别不同用户发送的数据帧，其中VLAN ID占用12个bitlVLAN与端口的关系与端口的关系 èACCESS端口：这种端口只能属于一个VLAN，并且从该端口进来的数据包都不包含TAG标记，数据包进入之后，会被加上该端口的VLAN ID（加上TAG标记）。

如果有数据需要从这种接口发送出去，数据帧中的TAG标记将被删除这种端口一般用于连接用户主机或路由器VLAN故障排除综述（故障排除综述（2））lVLAN与端口的关系（续）与端口的关系（续）èTRUNK端口：这种端口可以属于多个VLAN，或者说这种端口可以传送多个VLAN的数据帧从这种端口发送出去的数据帧都包含有TAG标记（缺省VLAN ID的数据帧除外）；从这种端口接收到的报文，如果已经有TAG标记，则直接转发；如果没有TAG标记，则加上带有缺省VLAN ID的TAG标记这种端口一般用于连接交换机或路由器èHYBRID端口：这种端口可以属于多个VLAN但是与TRUNK端口不同的是它所传送的数据帧，可以包含TAG标记也可以不包含TAG标记；而TRUNK端口则必须包含TAG标记其发送数据帧时根据配置信息进行判断是否加上TAG标记；接收数据帧时和TRUNK端口相同这种端口一般用于连接交换机 VLAN故障排除综述（故障排除综述（3））lPVLAN技术简介技术简介èPVLAN技术解决VLAN ID不足的问题è采用VLAN ID屏蔽的办法，将接入层的用户VLAN ID对汇聚层设备屏蔽起来，在接入层使用VLAN的方法进行用户二层隔离。

è接入层设备Primary VLAN ID访问汇聚层设备，对于会聚层设备来说，它只知道Primary VLAN ID，数据包返回时，送往Primary VLAN ID所包含的所有Secondary VLAN用户lVLAN路由技术简介路由技术简介èVLAN路由技术模拟路由器的三层接口，在以太网上创建出虚拟局域网三层接口è这些接口具有三层报文转发的功能将二层不能转发的数据帧进行数据帧头的剥离，然后根据IP报文头信息进行转发 VLAN故障排除综述（故障排除综述（4））lVLAN故障的分类故障的分类 èVLAN用户隔离不成功；èVLAN隔离后不能进行任何通信；è采用VLAN技术后，无法进行设备管理 lVLAN故障的解决方法故障的解决方法è分析数据帧的转发过程，特别是数据包携带的VLAN ID的变化看看在整个数据帧转发的过程中何时删除TAG标签，何时增加TAG标签，在删除和增加的过程中是否变化过VLAN ID，特别是PVLAN技术存在的时候è其次分析是否VLAN路由存在问题友商交换机三层接口问题导致与友商交换机三层接口问题导致与S6506互通网络中断互通网络中断 l现象描述现象描述èS6506下挂MA5100接入ADSL用户，S6506上行和友商交换机设备C千兆光口连接，网络正在运行突然中断，用户能ping通S6506网关，S6506到交换机C不能ping通，ADSL用户不能正常上网。

l信息收集信息收集 è使用命令（display interface）查看S6506和交换机C的千兆接口状态，双方物理接口和链路层都正常UPè使用命令（display arp和display mac-adderss）查看MAC地址表和ARP表，双方都能学到对方的MAC地址，并建立正确的ARP表项è查看S6506路由表，发现接口路由和直连路由正常，也有C交换机的路由信息查看C的路由表，发现路由信息也正常 友商交换机三层接口问题导致与友商交换机三层接口问题导致与S6506互通网络中断互通网络中断 l原因分析原因分析è双方之间互通已经一个多月，可以排除兼容性问题è物理接口UP，可以初步排除物理层问题è接口协议层UP，同时双方都能学到对端MAC地址，双方接口统计信息上都显示有报文收发，也可以排除二层互通问题è双方是通过三层接口互通，可以判断是三层上出了问题，至于哪一方设备有问题，需要进一步定位友商交换机三层接口问题导致与友商交换机三层接口问题导致与S6506互通网络中断互通网络中断 l处理过程处理过程è在C上抓包分析，发现从S6506发的ICMP报文到C后，C没有回应从C发的ICMP报文到S6506之后，S6506给出回应报文，C收到但没有处理。

è在C上直接连PC机，该接口属于和S6506互通的VLAN，发现PC机PING自己的网关竟然不通，可以肯定C上这个VLAN接口已经不工作了，有吊死的嫌疑è更改C上相应的VLAN接口，问题解决，问题都是由于这个三层接口吊死导致 l总结总结è多利用抓包工具，对于故障的分析和定位很有帮助 VLAN TRUNK配置不正确导致业务不通配置不正确导致业务不通èS3026A配置了VLAN 2，3，4，100，GE2/1和GE1/1均为TRUNK MODE，并均配置了port trunk permit VLAN allèS3026B配置了VLAN 5，6，7，100，GE1/1为TRUNK MODE，并配置了port trunk permit VLAN allVLAN 100为管理VLANè故障现象：S3026A下的PC机均可以与S8016下的PC互通，而S3026B的VLAN 5，6，7下的PC不能与S8016互通，但VLAN 100下的PC可以与S8016互通 l现象描述现象描述è中心交换机S8016的GE1/1/1接口通过光纤下连S3026A的GE2/1接口，S3026A通过千兆电口GE1/1级联一台S3026B交换机的GE1/1口。

èS8016配置了VLAN 2，3，4，5，6，7，100，并配置了相应的三层接口，GE1/1/1为TRUNK MODE，并配置了port trunk permit VLAN all VLAN TRUNK配置不正确导致业务不通配置不正确导致业务不通l信息收集信息收集èVLAN100下的PC机能够正常通信，说明线路无故障èS3026B的VLAN100下的PC能与S3026A的VLAN100下的PC正常通信，说明VLAN 100的TRUNK能够正常传递，但VLAN 5，6，7的PC为什么不能正常，问题基本定位在数据配置上è查看S3026B的GE1/1的端口状态，发现允许通过的VLAN为5，6，7，100è查看S3026A的GE1/1和GE2/1的端口状态，发现允许通过的VLAN为2，3，4，100，没有VLAN 5，6，7è两台交换机都没有启用GVRP动态VLAN注册协议 VLAN TRUNK配置不正确导致业务不通配置不正确导致业务不通l原因分析原因分析 è原因在于VLAN在TRUNK接口的注册上，虽然我们配置了port trunk permit VLAN all，但其实是允许本交换机中配置的VLAN通过，而不是允许所有的VLAN通过，这可以通过查看端口的状态发现。

这样在级联交换机时，上层交换机不能传递下面交换机的VLAN信息，从而导致下面的交换机用户业务不正常 l处理过程处理过程è在S3026A手工增加空的VLAN 5，6，7，网络正常è另外一种方法是启用动态VLAN配置，在两台交换机上启动GVRP，便可以避免产生类似故障 在启用在启用GVRP的低端交换机上如何创建所需的的低端交换机上如何创建所需的VLAN l现象描述现象描述 èQuidway低端交换机如S20XX、S30XX系列，在启用GVRP的时候，将接收GVRP协议发送的所有VLAN信息，并在本交换机上创建相应的VLAN当发送的VLAN数量超过32，将只能够在本地创建序号低的前面32个VLAN如果交换机上需要其他VLAN ID更高的VLAN，将无法实现 l原因分析原因分析è这是由于低端Quidway交换机如S20XX、S30XX系列，最多只支持32个VLAN其启用GVRP时，只能够接收低的前32个VLAN ID如果客户端交换机上需要其他VLAN ID更高的VLAN，而不需要VLAN ID较低的那些VLAN，即使总的VLAN数量不超过32，也不能够实现 在启用在启用GVRP的低端交换机上如何创建所需的的低端交换机上如何创建所需的VLANl处理过程处理过程 è只需要在交换机上，首先创建所需的、VLAN ID较高的那些VLAN，然后再启用GVRP即可。

l建议与总结建议与总结 è这个问题是由于低端交换机所支持的VLAN数量规格所限，而GVRP在动态通告VLAN信息的时，是不管对端交换机所支持的VLAN 规格的，当遇到如上问题时，可以使用这个规避措施课程内容课程内容物理层问题物理层问题端口协商以及自环问题端口协商以及自环问题VLAN问题问题其他问题其他问题其他故障排除综述其他故障排除综述l网络组成部分众多，故障原因复杂，我们把除开上述问题引起的故障都称为其他故障l其他故障主要包括如下两种：è网络主机配置错误 è网络病毒 è网络拓扑缺陷l这些故障没有特有规律可寻，只能考经验积累来提高故障解决能力PING报文单通报文单通l组网及现象描述组网及现象描述è某局点采用我司的Quidway系列以太网交换机和路由器组网，组网如上图所示è故障现象：Ø从PC1能PING通PC2，但是从PC2却PING不通PC1 l原因分析原因分析è由于PC1能PING通PC2，所以不会是路由上的问题，可能原因：Ø在PC机上做了某些访问限制；Ø在路由器上做了某些访问限制PING报文单通报文单通 -处理过程处理过程 l处理过程处理过程è检查PC1(WIN98)是否安装防火墙或做了访问限制，结果没有；è查看R2631E配置，是否做了PC2到PC1的访问控制，结果没有；è查看NE16的配置，是否做了PC2到PC1的访问控制，结果没有；è从PC2 PING自己的网关，正常；è检查PC2(WIN2000)配置，没安装防火墙，没有设置访问控制；è检查发现PC2配置了两个IP地址和两个网关，NE16对应的以太网口上只配了一个IP地址（PC2的一个网关），因此PING PC1的时候PC2请求另外一个地址的网关肯定是无法获取得，就无法PING通；而在回应PC1的PING报文时是可以正确的请求对应网关地址的；è删除另外一个多余的地址，再从PC2 PING PC1，正常；从PC1 PING PC2，也正常，问题解决。

华为3Com技术有限公司华为3Com公司网址: www.huawei-华为3Com技术论坛网址: forum.huawei-。