數(shù)據(jù)通信

NE40E多實(shí)例nat

故障描述

按照配置用例在根系統(tǒng)中配置的nat outbound上網(wǎng),內(nèi)網(wǎng)用戶可以正常上網(wǎng).
類(lèi)似配置遷移到vpn-instance中,內(nèi)網(wǎng)用戶就無(wú)法上網(wǎng)了.
無(wú)論修改acl是否帶vpn-instance屬性,內(nèi)網(wǎng)用戶都是只能ping到設(shè)備內(nèi)網(wǎng)口/外網(wǎng)口,無(wú)法ping到設(shè)備外網(wǎng)口對(duì)端地址.

故障分析

1.nat instance 中引用的acl需要綁定vpn-instance屬性
2.在策略應(yīng)用traffic classifier中引用的acl不能帶vpn-instance屬性

處理過(guò)程

按照要求重新配置了acl在不同的地方引用.
關(guān)鍵配置如下:
nat instance ndianxin
vpn-nat enable
add slot 4 master
nat address-group vdx x.x.x.136 x.x.x.143 vpn-instance dianxin
nat outbound 3101 address-group vdx
#
acl number 3001
rule 110 permit ip source 10.23.0.0 0.0.255.255
rule 120 permit ip source 10.59.0.0 0.0.255.255
rule 130 permit ip source 192.168.0.0 0.0.255.255
#
acl number 3101
rule 110 permit ip vpn-instance dianxin source 10.23.0.0 0.0.255.255
rule 120 permit ip vpn-instance dianxin source 192.168.0.0 0.0.255.255
#
traffic classifier c1 operator or
if-match acl 3001
traffic behavior b1
nat bind instance ndianxin

traffic policy p1
share-mode
classifier c1 behavior b1

建議/總結(jié)

　　無(wú)

AR2200的E1接口故障處理

故障描述

E1線纜連接后，E1端口不能UP，客戶業(yè)務(wù)不能正常上線。

故障分析

用E1線（120歐姆）將AR2200與DDF架連接起來(lái)，但是AR2200的E1端口一直不能UP。經(jīng)過(guò)分析發(fā)現(xiàn)客戶使用了普通的網(wǎng)線將AR與DDF架上的接口相連，并且DDF架上的port0/1端口故障，故而導(dǎo)致AR2200的E1端口不能UP。

處理過(guò)程

1. 檢查設(shè)備是否有告警，子卡是否有損壞。
發(fā)現(xiàn)設(shè)備無(wú)告警且各單板注冊(cè)正常，排除設(shè)備硬件故障。
2. 檢查設(shè)備配置是否正確。
檢查AR2200的E1端口是否配置了接口的工作方式，是否與對(duì)端設(shè)備E1端口工作模式一致。檢查AR2200的端口配置如下：
#
controller E1 4/0/0
using e1
#
interface Serial4/0/0:0
link-protocol ppp
description shenzheng to shanghai
ip address 10.10.10.5 255.255.255.252
#
并且與對(duì)端設(shè)備網(wǎng)管人員確認(rèn)，對(duì)端設(shè)備與AR2200工作模式一致，且IP地址為10.10.10.6/30。
經(jīng)確認(rèn)設(shè)備配置正確。
3. 檢查E1線纜是否正常。
檢查E1線纜線序，發(fā)現(xiàn)線序?yàn)槠胀ňW(wǎng)線線序。E1線纜（120歐姆）外觀與普通網(wǎng)線相同.現(xiàn)場(chǎng)更換E1線纜（120歐姆）后，AR2200端口仍然未UP。
將AR2200的Serial4/0/0:1端口配置為與Serial4/0/0:0同樣的工作模式。用更換后的E1線纜將AR2200的Serial4/0/0:1與Serial4/0/0:0自環(huán)連接。發(fā)現(xiàn)設(shè)備的兩個(gè)端口均UP。這表明更換后的E1線纜是正常的。
4. 檢查DDF架接口。
將更換后的E1線纜插入DDF架的另外一個(gè)端口，AR2200的E1端口UP
通過(guò)逐段排查，發(fā)現(xiàn)由于客戶使用普通網(wǎng)線代替E1線纜，且客戶DDF架端口故障是導(dǎo)致本次故障的根因，更換E1線纜和插入正常DDF架端口后，設(shè)備端口UP，業(yè)務(wù)正常上線。

建議/總結(jié)

　　無(wú)

語(yǔ)音模塊工作模式改變導(dǎo)致AR升級(jí)后語(yǔ)音配置丟失

故障描述

客戶當(dāng)前網(wǎng)絡(luò)中AR1200為V2R1版本，雖然按照升級(jí)指導(dǎo)對(duì)相應(yīng)的命令做了修改，升級(jí)為V2R3版本后發(fā)現(xiàn)所有語(yǔ)音配置丟失，但是非語(yǔ)音配置存在，操作如下：
1. 設(shè)置下次啟動(dòng)時(shí)配置文件為修改后的配置
startup saved-configuration arcfg_new.cfg
This operation will take several minutes, please wait..........
Info: Succeeded in setting the file for booting system
2. 設(shè)置下次啟動(dòng)時(shí)版本文件為V2R3C01SPC900
startup system-software ar1220-v200r003c01spc900.cc
This operation will take several minutes, please wait.....
Info: Succeeded in setting the file for booting system

通過(guò)display current-configuration ,發(fā)現(xiàn)配置中沒(méi)有語(yǔ)音命令。

故障分析

1. 版本中的命令行差異導(dǎo)致升級(jí)后所有語(yǔ)音相關(guān)配置丟失
2. AR 啟動(dòng)后語(yǔ)音模塊工作模式變化為默認(rèn)的.

處理過(guò)程

版本升級(jí)可能會(huì)導(dǎo)致AR語(yǔ)音恢復(fù)為默認(rèn)工作模式，導(dǎo)致所有語(yǔ)音部分配置丟失；
解決辦法：
1.設(shè)置語(yǔ)音工作模式為PBX，
3. 重啟設(shè)備，在重啟前一定不要做任何保存操作，因?yàn)楫?dāng)前系統(tǒng)配置中丟掉了語(yǔ)音部分配置，保存會(huì)導(dǎo)致配置覆蓋。
4. 當(dāng)系統(tǒng)正常進(jìn)入PBX工作模式后，語(yǔ)音部分配置恢復(fù)。

建議/總結(jié)

　　無(wú)

FAQ：AR 接口下配置NAT SERVER 映射提示地址沖突？

故障描述

AR 接口下配置NAT SERVER 映射提示地址沖突，如下：
nat server global 192.168.108.136 inside 172.16.1.2

Error: The address conflicts with interface or ARP IP.

故障分析

無(wú)

處理過(guò)程

當(dāng)前接口配置如下：
#
interface GigabitEthernet0/0/0
ip address 192.168.108.136 255.255.255.0
#
return
AR在配置NAT映射時(shí)，公網(wǎng)IP不能與接口IP地址相同，否則會(huì)提示沖突，導(dǎo)致配置不上去。如果做全映射，至少需要申請(qǐng)兩個(gè)公網(wǎng)IP，一個(gè)配置在接口上，一個(gè)用于做全映射；如果只有一個(gè)公網(wǎng)IP時(shí)，可以做端口映射，公網(wǎng)IP使用current-interface參考代替，如下：
nat server protocol tcp global current-interface 80 inside 172.16.1.2 80

建議/總結(jié)

　　無(wú)

CE12800 ETH-TRUNK兩端成員口不一致導(dǎo)致STP頻繁震蕩

故障描述

　　兩臺(tái)CE12800 采用VRRP做網(wǎng)關(guān)，S9512交換機(jī)雙上行到兩臺(tái)CE12800交換機(jī)，所有鏈路均采用兩根線纜捆綁，并運(yùn)行MSTP協(xié)議，下掛業(yè)務(wù)時(shí)斷時(shí)續(xù)，設(shè)備出現(xiàn)MAC漂移、IP沖突。

故障分析

　　日志中顯示的ARP沖突為CE12800-01設(shè)備自身的IP地址，MAC地址也為自身MAC地址，
　　說(shuō)明是設(shè)備自身發(fā)出的ARP探測(cè)報(bào)文又被自己收到，從而發(fā)出ARP沖突告警，結(jié)合日志中出現(xiàn)MAC漂移告警，懷疑網(wǎng)絡(luò)中出現(xiàn)環(huán)路。
　　但是日志中記錄STP狀態(tài)反復(fù)變更，接口每秒鐘多次阻塞/開(kāi)啟，同時(shí)未發(fā)現(xiàn)該設(shè)備及下游設(shè)備有接口頻繁UP/DOWN信息，排除線路不穩(wěn)定問(wèn)題。
　　經(jīng)仔細(xì)排查發(fā)現(xiàn)CE12800-1下聯(lián)9512的鏈路捆綁接口，9512側(cè)匯聚鏈路捆綁失敗，導(dǎo)致9512交換機(jī)側(cè)為兩個(gè)獨(dú)立的物理端口連接到對(duì)端CE12800-1 ETH-TRUNK接口，CE12800下行流量中BPDU報(bào)文哈希到ETH-TRUNK 成員口1又經(jīng)9512接口轉(zhuǎn)發(fā)至ETH-TRUNK 成員口2，導(dǎo)致ETH-TRUNK被STP阻塞，阻塞后收不到BPDU報(bào)文，再次被放開(kāi)到轉(zhuǎn)發(fā)狀態(tài)，導(dǎo)致端口反復(fù)UP/DOWN。

處理過(guò)程

　　將9512交換機(jī)兩個(gè)成員口重新加入到link-aggregation group中，網(wǎng)絡(luò)恢復(fù)正常。

建議/總結(jié)

　　無(wú)

因交換機(jī)遠(yuǎn)程登入掛死導(dǎo)致交換機(jī)不能被telnet的問(wèn)題

故障描述

　　設(shè)備：S5352交換機(jī)，版本：V100R005C01SPC100 ，補(bǔ)?。簊23_33_53-v100r005sph003.pat
　　組網(wǎng)：為兩臺(tái)交換機(jī)互聯(lián)
　　交換機(jī)配置了telnet（aaa里建了用戶，配置了user-interface vty 0 4下面 aaa認(rèn)證），交換機(jī)能ping通自己的地址：127.0.0.1和交換機(jī)上配置的地址，但無(wú)法telnet 自己的地址。提示：
　　Trying 127.0.0.1 ...
　　Press CTRL+K to abort

故障分析

1、user-interface vty 是否配置正確
2、檢查設(shè)備device ，是否有設(shè)備硬件信息不正常
3、 dis users 查看是否為用戶掛死

處理過(guò)程

1 user-interface vty 是否配置正確，檢查后發(fā)現(xiàn)正確，且只能配置 user-interface vty 0 4
2 檢查設(shè)備device ，是否有設(shè)備硬件信息不正常，結(jié)果都是Normal的
3 dis users 檢查用戶
4 重新配置一遍 user-interface vty 0 4，刪掉在配置，也還是不行
5 把 user-interface vty 0 重新釋放，free user-interface vty 0 ，結(jié)果能telnet了

建議/總結(jié)

　　無(wú)

S2300交換機(jī)上voice vlan不起作用的解決方法

故障描述

在S2300上配置了Voice Vlan后，連接到S2300的IP話機(jī)并沒(méi)有獲取到該Voice Vlan的ID，而是被分配到了其他普通Vlan上。IP話機(jī)的型號(hào)是Grandstream GXP1405。

相關(guān)的配置信息如下，其中IP話機(jī)連接到Ethernet0/0/12
interface Ethernet0/0/12
description testt voip Phone
voice-vlan 6 enable
voice-vlan mode manual
port hybrid pvid vlan 4
port hybrid tagged vlan 6
port hybrid untagged vlan 4
undo negotiation auto
speed 100

即使更換成如下配置，IP話機(jī)也沒(méi)有獲取到voice Vlan的ID。
interface Ethernet0/0/12
description testt voip Phoone
voice-vlan 6 enable
voice-vlan mode manual
voice-vlan legacy enable
port link-type trunk
port trunk pvid vlan 4
port trunk allow-pass vlan 6

故障分析

原因1：查詢時(shí)時(shí)間參數(shù)設(shè)置不正確
原因2：設(shè)備未正確關(guān)聯(lián)到采集器，采集方式未配置

處理過(guò)程

這種型號(hào)的IP話機(jī)發(fā)出的數(shù)據(jù)包是不帶TAG的，采用MAC-VLAN的方式：
vlan 6
mac-vlan mac-address xxx-xxx-xxx //the mac-address of IP話機(jī)
interface Ethernet0/0/12
port hybrid untagged vlan 4 6 //add 6 to untag vlan
mac-vlan enable

如此修改后，連接S2300交換機(jī)的IP話機(jī)能獲取到了vlan6對(duì)應(yīng)的接口的IP地址，并能正常呼叫，同時(shí)PC也能獲取到了vlan4對(duì)應(yīng)的接口的IP地址。

建議/總結(jié)

　　無(wú)

無(wú)線客戶端為什么可以搜索到ER3108GW一個(gè)沒(méi)有名稱(chēng)的SSID

故障描述

無(wú)線客戶端搜索到ER3108GW一個(gè)沒(méi)有名稱(chēng)的SSID

故障分析

沒(méi)有名稱(chēng)的SSID是由設(shè)備預(yù)留配置的WDS功能產(chǎn)生，因?yàn)闊o(wú)線功能的主接口和WDS功能的接口是同一個(gè)接口，當(dāng)開(kāi)啟無(wú)線功能的時(shí)候，不管WDS功能是否開(kāi)啟，該接口始終處于UP狀態(tài)，所以在WDS功能禁用的時(shí)候，設(shè)備會(huì)自動(dòng)給該接口配置一個(gè)空的SSID，從而導(dǎo)致無(wú)線客戶端可以掃描到一個(gè)沒(méi)有名稱(chēng)的SSID。

處理過(guò)程

啟用了WDS功能后，無(wú)線客戶端也就無(wú)法掃描到?jīng)]有名稱(chēng)的SSID了。

建議/總結(jié)

　　無(wú)

交換機(jī)產(chǎn)品S9300作為網(wǎng)關(guān)局域網(wǎng)內(nèi)用戶時(shí)通時(shí)斷

故障描述

交換機(jī)產(chǎn)品S9300作為網(wǎng)關(guān),局域網(wǎng)內(nèi)用戶時(shí)通時(shí)斷，網(wǎng)絡(luò)設(shè)備會(huì)經(jīng)常脫管，網(wǎng)關(guān)設(shè)備會(huì)打印大量地址沖突的告警。

故障分析

1、查看日志信息：
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、根據(jù)日志信息記錄的攻擊者的MAC地址查找MAC地址表，從而獲取到攻擊源所在的端口，通過(guò)網(wǎng)絡(luò)進(jìn)一步排查，定位出攻擊源，為PC中毒所致。PC假冒網(wǎng)關(guān)向同網(wǎng)段設(shè)備請(qǐng)求IP。

處理過(guò)程

對(duì)用戶PC殺毒，網(wǎng)關(guān)開(kāi)啟防假冒網(wǎng)關(guān)攻擊功能。
在S9300上配置防網(wǎng)關(guān)沖突功能arp anti-attack gateway-duplicate enable，ARP網(wǎng)關(guān)沖突防攻擊功能使能后，系統(tǒng)生成ARP防攻擊表項(xiàng)，在后續(xù)一段時(shí)間內(nèi)對(duì)收到具有相同源MAC地址的報(bào)文直接丟棄，這樣可以防止與網(wǎng)關(guān)地址沖突的ARP報(bào)文在VLAN內(nèi)廣播。

建議/總結(jié)

攻擊者設(shè)置主機(jī)靜態(tài)IP地址時(shí)，把主機(jī)地址設(shè)置成網(wǎng)關(guān)地址。在主機(jī)設(shè)置靜態(tài)IP地址后，會(huì)發(fā)送免費(fèi)ARP報(bào)文在局域網(wǎng)內(nèi)進(jìn)行通告，該局域網(wǎng)內(nèi)其他PC機(jī)收到此報(bào)文后，會(huì)修改自身的網(wǎng)關(guān)ARP表項(xiàng)，修改網(wǎng)關(guān)MAC為攻擊者M(jìn)AC，導(dǎo)致該局域網(wǎng)內(nèi)所有用戶無(wú)法正常使用網(wǎng)絡(luò)，網(wǎng)絡(luò)中斷。當(dāng)攻擊者頻繁發(fā)送源IP地址為網(wǎng)關(guān)地址的免費(fèi)ARP報(bào)文，即使網(wǎng)關(guān)設(shè)備收到此報(bào)文能夠通知局域網(wǎng)內(nèi)正常主機(jī)把網(wǎng)關(guān)搶回，但是主機(jī)網(wǎng)關(guān)MAC地址頻繁切換也會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。

交換機(jī)s9700(V200R001C00SPC300)拷貝S5528交換機(jī)DHCP配置導(dǎo)致用戶無(wú)法獲取IP地址故障

故障描述

一臺(tái)S9706交換機(jī)，版本為V200R001C00SPC300,替換現(xiàn)網(wǎng)的S5528交換機(jī)，在S9706上配置了DHCP SERVER 功能后無(wú)法獲取IP 地址。
組網(wǎng):S9706(DHCP SERVER)-------S5700-----PC

故障分析

配置DHCP 功能后無(wú)法獲取IP 地址可能原因如下：
1 .PC 問(wèn)題錯(cuò)誤導(dǎo)致.
2.交換機(jī)配置錯(cuò)誤導(dǎo)致.
3.交換機(jī)版本問(wèn)題.

處理過(guò)程

1.檢查交換機(jī)配置無(wú)問(wèn)題.
2.關(guān)閉了S9706上其他端口直接用PC 掛在S9706 端口上仍然無(wú)法獲取IP地址,更換PC 故障現(xiàn)象一樣.
3.在S9706 交換機(jī)上DEBUG DHCP 報(bào)文,PC 已經(jīng)發(fā)送了DHCP discover報(bào)文，但是S9706 交換機(jī)無(wú)DHCP offer 回應(yīng)報(bào)文.
4.檢查S9706 交換機(jī)IP 地址池使用情況發(fā)現(xiàn)地址池已經(jīng)被全部分配完畢. 并且分配的IP 地址的MAC 地址完全一樣,判斷是交換機(jī)軟件版本BUG 導(dǎo)致, 刪除配置DHCP 的三層接口,重啟交換機(jī)后正常.

建議/總結(jié)

　　無(wú)

訂閱數(shù)據(jù)通信