網(wǎng)絡(luò)故障診斷與排除REF_Ref59351313\r\h第7章REF_Ref59351317\h中低端Lanswitch故障排除PAGEPAGE325第7章中低端Lanswitch故障排除 2937.1物理層故障 2937.1.1物理層故障排除綜述 2937.1.2常用物理層相關(guān)命令 2947.1.3S3026E光模塊類型錯誤導(dǎo)致互通問題 2967.1.4由于協(xié)議轉(zhuǎn)換器不能透傳1518字節(jié)以上報文導(dǎo)致無法訪問網(wǎng)頁 2987.1.5由于交換機(jī)下掛光電轉(zhuǎn)換器工作異常導(dǎo)致網(wǎng)絡(luò)廣播風(fēng)暴的問題定位及處理 3007.2端口協(xié)商以及自環(huán)問題 3017.2.1端口協(xié)商以及自環(huán)故障排除綜述 3017.2.2常用的端口配置命令 3017.2.3環(huán)路問題導(dǎo)致用戶上網(wǎng)異常 3037.2.4端口協(xié)商問題導(dǎo)致S3026光模塊無法正常工作 3047.2.5物理鏈路存在環(huán)路造成業(yè)務(wù)異常 3057.3VLAN問題 3067.3.1VLAN故障排除綜述 3067.3.2VLAN配置問題導(dǎo)致用戶無法上網(wǎng) 3097.3.3友商交換機(jī)三層接口問題導(dǎo)致與S6506互通中斷 3117.3.4VLANTRUNK配置不正確導(dǎo)致業(yè)務(wù)不通 3127.3.5VLAN配置問題導(dǎo)致S3526下用戶上網(wǎng)速度慢 3137.3.6在啟用GVRP的低端交換機(jī)上如何創(chuàng)建所需的VLAN 3147.3.7網(wǎng)絡(luò)用戶私自安裝配置DHCP服務(wù)器導(dǎo)致其它用戶上網(wǎng)不正常 3157.4集群管理和網(wǎng)絡(luò)管理問題 3177.4.1集群原理和網(wǎng)絡(luò)管理概述 3177.4.2S6506、S3026和S2016B集中管理解決方案 3197.4.3S3026E配置集群管理后重啟成員交換機(jī)，成員狀態(tài)為DOWN 3197.4.4網(wǎng)管無法管理到QuidwayS系列交換機(jī) 3217.4.5S3026E由于MAC轉(zhuǎn)發(fā)表錯誤信息而不能使用管理IP進(jìn)行遠(yuǎn)程管理 3217.5設(shè)備兼容問題 3237.5.1設(shè)備兼容問題排除綜述 3237.5.2S3526FM通過千兆光口與友商交換機(jī)不能互通問題 3247.6其他故障 3257.6.1其它故障排除綜述 3257.6.2由于PC機(jī)配置雙IP地址導(dǎo)致PING報文單通 3267.6.3S3526的VLAN用戶由于感染駭蟲病毒導(dǎo)致S3526的CPU占用率高達(dá)100％ 3277.6.4網(wǎng)吧網(wǎng)關(guān)配置錯誤導(dǎo)致S3526E的CPU占用率過高 3287.6.5由于ICMP報文重定向?qū)е翽ING有重復(fù)的回應(yīng)報文 3297.6.6PC機(jī)ARP表項老化時間過長，導(dǎo)致用戶在物理上剛連接時較長時間不能上網(wǎng) 3317.6.7NIMDA病毒攻擊導(dǎo)致部分用戶無法上網(wǎng)，部分用戶網(wǎng)絡(luò)速度極低 332

中低端Lanswitch故障排除物理層故障物理層故障排除綜述路由器以太網(wǎng)的物理層故障在本書第二章中已經(jīng)進(jìn)行了介紹，其中介紹的理論知識和案例也同樣適用于以太網(wǎng)交換機(jī)。――建議去掉，沒有意義！從廣義的角度來看，以太網(wǎng)的物理層故障包括以太網(wǎng)交換機(jī)本身的硬件故障和連接交換機(jī)的物理線路故障。在物理層出現(xiàn)故障的時候，通常情況下首先要定位的就是到底是設(shè)備本身問題，還是線路問題。對這個問題的初步判斷可以借助設(shè)備接口指示燈的狀態(tài)，根據(jù)設(shè)備類型的不同，指示燈的位置也有差異，大部分設(shè)備的指示燈在接口或者模塊本身，部分設(shè)備的指示燈在設(shè)備面板上集中顯示。在設(shè)備硬件硬件正常的前提下，指示燈狀態(tài)說明如下：指示燈指示燈狀態(tài)說明LINK燈滅表示線路沒有連通，燈亮表示線路已經(jīng)連通ACTIVE燈滅表示沒有數(shù)據(jù)收發(fā)，燈閃爍表示有數(shù)據(jù)收發(fā)如果LINK指示燈滅，并不能說明一定是線路本身問題，對于收發(fā)分開的光纖線路（例如SC接口），還需要調(diào)換光纖，確保交換機(jī)側(cè)的TX與網(wǎng)絡(luò)側(cè)設(shè)備的RX相連，交換機(jī)側(cè)的RX與網(wǎng)絡(luò)側(cè)設(shè)備的TX相連。對于雙絞線連接，也需要確認(rèn)網(wǎng)線按照標(biāo)準(zhǔn)制作并正常連接。此時我們可以采用替換法進(jìn)行判斷，也就是將線纜連接到工作正常的接口上，或者對整個設(shè)備進(jìn)行替換，再看指示燈的狀態(tài)是否正常。對線路進(jìn)行檢查的另外一種方法是在交換機(jī)上配置接口環(huán)回，有內(nèi)環(huán)和外環(huán)之分。內(nèi)環(huán)用于檢測設(shè)備或者接口本身工作是否正常，外環(huán)用于和對端設(shè)備配合檢測設(shè)備之間的線路是否正常。配置命令為：操作命令設(shè)置以太網(wǎng)端口進(jìn)行環(huán)回測試loopback{external|internal}需要注意的是，如果端口執(zhí)行了shutdown命令后則不能進(jìn)行l(wèi)oopback環(huán)回測試；在進(jìn)行環(huán)回測試時系統(tǒng)將禁止在端口上進(jìn)行speed，duplex，mdi，shutdown操作；有些端口不支持環(huán)回測試，在這些端口上進(jìn)行環(huán)回測試時系統(tǒng)會給出提示。另外設(shè)備接口之間的工作速率、工作方式（半雙工/雙雙工）、幀格式協(xié)商和匹配問題（不同廠家之間設(shè)備對接時）也可能導(dǎo)致指示燈狀態(tài)不正常，外在的現(xiàn)象表現(xiàn)為物理層故障。設(shè)備本身的硬件故障一般包括：接口或者設(shè)備硬件損壞；Bootrom或者VRP版本不正確或者不配套導(dǎo)致設(shè)備工作異常；光模塊接口類型不正確；用戶PC網(wǎng)卡故障或者配置不正確。線路故障一般包括：網(wǎng)線或者光纖線路本身物理損壞；網(wǎng)線類型錯誤（支持MDI/MDI-X自適應(yīng)除外）或者光纖收發(fā)連接不正確；中間傳輸設(shè)備（光電轉(zhuǎn)換器，線路轉(zhuǎn)換器等）故障或者工作不正常；接口線纜所支持的最大傳輸長度、最大速率等超出使用范圍。常用物理層相關(guān)命令displayinterface命令用來顯示端口的配置信息。在顯示端口信息時，如果不指定端口類型和端口號，則顯示交換機(jī)上所有的端口信息；如果僅指定端口類型，則顯示該類型端口的所有端口信息；如果同時指定端口類型和端口號，則顯示指定的端口信息。#顯示以太網(wǎng)端口Ethernet0/1的配置信息。<Quidway>displayinterfaceethernet0/1Ethernet0/1currentstate:UPIPSendingFrames'FormatisPKTFMT_ETHNT_2,Hardwareaddressis00e0-fc00-0010Description:aaaTheMaximumTransmitUnitis1500Mediatypeistwistedpair,loopbacknotsetPorthardwaretypeis100_BASE_TX100Mbps-speedmode,full-duplexmodeLinkspeedtypeisautonegotiation,linkduplextypeisautonegotiationFlow-controlisnotsupportedTheMaximumFrameLengthis1536BroadcastMAX-ratio:100%PVID:1Mditype:autoPortlink-type:accessTaggedVLANID:noneUntaggedVLANID:1Last5minutesinputrate229bytes/sec,2packets/secLast5minutesoutputrate25bytes/sec,0packets/secInput(total):554packets,41008bytes13broadcasts,68multicastsInput(normal):-packets,-bytes-broadcasts,-multicastsInput:3inputerrors,0runts,0giants,-throttles,0CRC0frame,-overruns,1aborts,2ignored,-parityerrorsOutput(total):1119965packets,1578436288bytes407broadcasts,1118775multicasts,0pausesOutput(normal):-packets,-bytes-broadcasts,-multicasts,-pausesOutput:8outputerrors,-underruns,-bufferfailures0aborts,0deferred,7collisions,0latecollisions1lostcarrier,-nocarrier域名描述Ethernet0/1currentstate以太網(wǎng)端口當(dāng)前開啟或關(guān)閉狀態(tài)IPSendingFrames'Format以太網(wǎng)幀格式Hardwareaddress端口硬件地址Description端口描述字符串TheMaximumTransmitUnit最大傳輸單元Mediatype介質(zhì)類型loopbacknotset端口環(huán)回測試狀態(tài)Porthardwaretype端口硬件類型100Mbps-speedmode,full-duplexmodeLinkspeedtypeisautonegotiation,linkduplextypeisautonegotiation端口的雙工狀態(tài)和速率均設(shè)置為自協(xié)商狀態(tài)，與對端協(xié)商的實際結(jié)果是100Mbit/s速率和全雙工模式Flow-controlisnotsupported端口流控狀態(tài)TheMaximumFrameLength端口允許通過的最大以太網(wǎng)幀長度BroadcastMAX-ratio端口廣播風(fēng)暴抑制比PVID端口缺省VLANIDMditype網(wǎng)線類型Portlink-type端口鏈路類型TaggedVLANID標(biāo)識在該端口有哪些VLAN的報文需要打Tag標(biāo)記UntaggedVLANID標(biāo)識在該端口有哪些VLAN的報文不需要打Tag標(biāo)記Last5minutesinputrate229bytes/sec,2packets/secLast5minutesoutputrate25bytes/sec,0packets/sec端口最近五分鐘輸入和輸出速率和報文數(shù)input:554packets,41008bytes13broadcasts,68multicastsinput:3inputerrors,0runts,0giants,0throttles,0CRC0frame,0overruns,1aborts,2ignored,0parityerrorsOutput:1119965packets,1578436288bytes407broadcasts,1118775multicasts,0pausesOutput:-packets,-bytes-broadcasts,-multicasts,-pauses8outputerrors,-underruns,-bufferfailures0aborts,0deferred,7collisions,0latecollisions1lostcarrier,0nocarrier端口輸入/輸出報文和錯誤信息統(tǒng)計S3026E光模塊類型錯誤導(dǎo)致互通問題現(xiàn)象描述S3026E光模塊類型錯誤導(dǎo)致互通問題組網(wǎng)描述：S3026E交換機(jī)與友商交換機(jī)A級連。在S3026E和A上都開啟GVRP，S3026E光口G1/1配置千兆多模模塊連結(jié)A光口G1/1，兩個端口都為trunk，PVID都為1，都使用VLAN2作為管理VLAN。故障現(xiàn)象：在S3026E上無法PING通對端管理VLAN虛接口的地址，用戶不能上網(wǎng)。信息收集使用displayinterfaceG1/1查看S3026E千兆光口UP，而且能看到對端交換機(jī)A透傳過來的VLAN，displayVLAN也能看到對端傳過來的VLAN；關(guān)閉兩端設(shè)備的GVRP協(xié)議，并在兩端設(shè)備手工配置允許所有VLAN通過，在本端PING對端管理地址，依舊不通；將S3026E光接口shutdown，使用S3026E的電口E0/2和A設(shè)備電口E0/2通過網(wǎng)線連接，并正確配置數(shù)據(jù)，此時能夠PING通對端管理地址，開啟GVRP也沒有問題。原因分析PING不通對端管理地址，可能有幾點(diǎn)原因：數(shù)據(jù)配置錯誤；端口工作模式不正確；模塊硬件損壞或者類型不正確；虛接口不工作。處理過程根據(jù)前面更換電口驗證的情況，數(shù)據(jù)配置沒有問題；將光口強(qiáng)制1000M全雙工工作，仍然不能解決問題；懷疑光模塊硬件損壞，換同樣類型光模塊仍然如此；仔細(xì)查看端口顯示信息，顯示基本正常，查看端口數(shù)據(jù)統(tǒng)計部分的信息，發(fā)現(xiàn)只有入包，沒有出包，說明該端口沒有進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)；但端口其它信息都能正常顯示，說明硬件沒有損壞；Ping各自交換機(jī)上管理IP地址，沒有問題，說明三層接口工作正常；最后懷疑可能模塊用錯，經(jīng)確認(rèn)S3026E的1000M多模模塊外觀與S3026多模模塊外觀相同，硬件模塊也兼容，以前曾有錯用模塊導(dǎo)致故障的情況發(fā)生。在確認(rèn)絲印時需要拔下模塊，查看PCB的絲印，應(yīng)該是REV.A，而交該換機(jī)上用的是REV.0，至此發(fā)現(xiàn)原來是硬件模塊類型不對導(dǎo)致此次故障；更換正確的多模模塊后故障排除?？偨Y(jié)目前中低端Lanswitch產(chǎn)品比較多，有些模塊可以通用，有些模塊不能夠通用。因此在進(jìn)行設(shè)備選購的時候不但要注意軟件版本的配套，也應(yīng)重點(diǎn)注意模塊硬件的配套問題。思考：在排除本故障時，還有哪些簡捷的方法？如果手頭有其他的帶多模模塊的交換機(jī)，也可以通過替換交換機(jī)A或者S3026E的方法快速定位故障。由于協(xié)議轉(zhuǎn)換器不能透傳1518字節(jié)以上報文導(dǎo)致無法訪問網(wǎng)頁現(xiàn)象描述由于協(xié)議轉(zhuǎn)換器不能透傳1518字節(jié)以上報文導(dǎo)致無法訪問網(wǎng)頁如圖所示，用戶通過ADSL接入MA5100，在MA5100上劃分7個VLAN，MA5100通過10M/2M協(xié)議轉(zhuǎn)換器上連S3526進(jìn)行流量匯聚，S3526將MA5100上傳的VLAN用戶信息透傳給S8016。在S8016上配置多個VLAN的三層虛接口地址作為用戶網(wǎng)關(guān)，并做NAT轉(zhuǎn)換后上外網(wǎng)。故障現(xiàn)象：MA5100下面的用戶能夠Ping通外網(wǎng)的地址和域名（比如），但是打開部分網(wǎng)站網(wǎng)頁時提示“InternetExplorer無法連接到您請求的頁，可能該頁目前不可用?！毙畔⑹占捎梅侄喂收吓懦ǎ簩⒂嬎銠C(jī)直接接在S3526下面，用戶上網(wǎng)正常。說明S3526到外網(wǎng)這一段沒有問題。查看S3526連接MA5100的TRUNK接口的配置，接口的PVID設(shè)置為1，允許所有的VLAN通過，并且在接口下MA5100的7個VLAN的信息已經(jīng)通過（VLANPassing字段）。在S3526上配置VLAN1的虛接口地址，MA5100使用缺省VLAN1的用戶可以正常上網(wǎng)。原因分析MA5100下VLAN1的用戶可以正常上網(wǎng)，但其他的7個VLAN卻不能正常上網(wǎng)，因此需要重點(diǎn)分析VLAN1用戶的數(shù)據(jù)和其他VLAN用戶的數(shù)據(jù)在傳輸過程中有哪些不同；根據(jù)MA5100和S3526的TRUNK端口的設(shè)置，PVID都設(shè)置為1，MA5100在收到VLAN1的用戶數(shù)據(jù)的時候，會將VLANID去掉后上傳到S3526，也就是說數(shù)據(jù)在TRUNK鏈路上傳輸是不帶VLANID的。MA5100上其他VLAN用戶的數(shù)據(jù)在TRUNK鏈路上傳輸是攜帶VLANID信息的。這有兩種可能：1、某臺交換機(jī)不允許其他VLAN通過，也就是VLAN互通有可能有問題。但根據(jù)用戶可以ping通外網(wǎng)，排除了這種可能性；2、小包可以通過，大包不能通過。正常IP包的最大長度是1518，含VLANID的是1522。由于涉及到10M/2M協(xié)議轉(zhuǎn)換器設(shè)備，可能是該設(shè)備不支持帶VLANID的大包。處理過程為了確認(rèn)是否是協(xié)議轉(zhuǎn)換器導(dǎo)致的問題，做如下測試：第一步：從MA5100下面的PCPing1468大小的包能夠通過；但是Ping1469的包，無法通過。第二步：將S3526的接口改為ACCESS模式，直接把計算機(jī)接在協(xié)議轉(zhuǎn)換器連接MA5100的出口上，能夠上網(wǎng)，也能Ping通1469的報文。第三步：連接另外一臺PC在協(xié)議轉(zhuǎn)換器連接S3526的出口，兩臺PC互Ping3000的包，能通。測試結(jié)果分析如下：含VLANID報文長度：1522字節(jié)＝1500（MTU）＋18（二層頭）＋4（VLANTAG）。由于協(xié)議轉(zhuǎn)換器只能接收1518字節(jié)長度的報文，當(dāng)報文長度超過1518的時候，設(shè)備就丟棄報文。在我們Ping1468的時候，1468是IP層的凈負(fù)荷，加上20個字節(jié)的IP報文頭和8個字節(jié)的ICMP報文頭，整個IP層的報文長度為1496個字節(jié)，再加上18個字節(jié)的以太網(wǎng)幀封裝和4個字節(jié)的VLAN信息，整個以太網(wǎng)幀的長度剛好為1518的字節(jié)，這個時候10M/2M的設(shè)備能夠接收，所以能夠Ping通。在Ping1469的時候，根據(jù)上面的計算整個以太網(wǎng)幀的長度為1519個字節(jié)，10M/2M設(shè)備無法接收，導(dǎo)致無法Ping通。處理方法：將兩端的設(shè)備更換為能夠通過帶VLANID報文的協(xié)議轉(zhuǎn)換器；2、將10M/2M協(xié)議轉(zhuǎn)換器更換為光電轉(zhuǎn)換器。總結(jié)這個故障乍一看很不可思議，因為三臺設(shè)備分開的時候所有的工作都是正常的，而接在一起就出現(xiàn)問題。分析該故障的關(guān)鍵入手點(diǎn)就是三臺設(shè)備分開和組合在一起的時候是否是完全一致的。另外一點(diǎn)是不可以被“能Ping通”這個現(xiàn)象所迷惑，因為實際組網(wǎng)中“能Ping通”一般都是DOS下默認(rèn)的32字節(jié)的包，整個線路正常不僅僅是要能Ping通小包，一定要保證能Ping通大包，同時還要保證Ping大包的丟包率是在可以接受的范圍內(nèi)。由于交換機(jī)下掛光電轉(zhuǎn)換器工作異常導(dǎo)致網(wǎng)絡(luò)廣播風(fēng)暴的問題定位及處理現(xiàn)象描述QuidwayS3526下掛某型號的光電轉(zhuǎn)換器后引發(fā)嚴(yán)重的廣播風(fēng)暴，從而導(dǎo)致整個網(wǎng)絡(luò)不可用。通過在S3526上的以太口外接便攜機(jī)運(yùn)行報文捕獲程序，捕獲報文后發(fā)現(xiàn)該端口收到大量的ARPRequest廣播報文。原因分析首先懷疑S3526以太網(wǎng)交換機(jī)和其他的交換機(jī)之間形成環(huán)路，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴。檢查設(shè)備的組網(wǎng)情況，沒有發(fā)現(xiàn)交換機(jī)之間存在環(huán)路，在S3526上打開STP開關(guān)后，還是存在網(wǎng)絡(luò)風(fēng)暴，從而排除了由于交換機(jī)之間自環(huán)導(dǎo)致的網(wǎng)絡(luò)風(fēng)暴。檢查S3526下掛的光電轉(zhuǎn)換器發(fā)現(xiàn)，只要將所接光電轉(zhuǎn)換器的尾纖從光電轉(zhuǎn)換器上斷開后，廣播風(fēng)暴就會消失，定位廣播風(fēng)暴就是由于光電轉(zhuǎn)換器引發(fā)的。但是該轉(zhuǎn)換器是如何引發(fā)廣播風(fēng)暴的呢？還需要進(jìn)一步分析。注意到局方采用的光電轉(zhuǎn)換器是單芯的，和我們平時所用的一收一發(fā)兩芯的光電轉(zhuǎn)換器不一樣。如果只接一臺該光電轉(zhuǎn)換器，則不會產(chǎn)生廣播風(fēng)暴，如果接了兩臺以后就會產(chǎn)生廣播風(fēng)暴。由此可以推斷出該型號的光電轉(zhuǎn)換器在收到廣播報文的時候，又將該報文轉(zhuǎn)發(fā)回交換機(jī)。如果交換機(jī)只掛一臺該設(shè)備的時候，該設(shè)備只會將它所收到的廣播報文轉(zhuǎn)發(fā)回交換機(jī)，但是不會引發(fā)廣播風(fēng)暴。如果交換機(jī)下面掛了兩臺這樣的光電轉(zhuǎn)換器后，其中一臺設(shè)備轉(zhuǎn)發(fā)回交換機(jī)的廣播報文會被交換機(jī)轉(zhuǎn)發(fā)給另外一臺光電轉(zhuǎn)換器，這臺光電轉(zhuǎn)換器又會將該報文轉(zhuǎn)發(fā)回交換機(jī)，如此循環(huán)，從而導(dǎo)致廣播風(fēng)暴。處理過程分析清楚廣播報文的產(chǎn)生機(jī)理后，要求局方和該型號光電轉(zhuǎn)換器的生產(chǎn)廠家聯(lián)系以解決問題。該廠家指出局方用來連接光電轉(zhuǎn)換器的尾纖不能為一般的光纖，必須為斜8度的光纖。由局方更換光纖后故障排除。端口協(xié)商以及自環(huán)問題端口協(xié)商以及自環(huán)故障排除綜述以太網(wǎng)交換機(jī)端口工作正常是接入用戶和交換機(jī)互連的前提。中低端交換機(jī)上常見的接口大致可以如下分類：按工作速率有：10M，10/100M，100M，10/100M/1000M，1000M；按工作方式有：全雙工，半雙工；按接口類型有：電接口，光接口（多模，單模10Km，單模中距40Km，單模長距70Km），堆疊接口。所以端口正常工作的前提就是互連設(shè)備端口的工作速率、工作方式等參數(shù)的匹配要一致。由于大多數(shù)端口都支持工作參數(shù)自動協(xié)商功能，從一定程度上減輕了網(wǎng)管員的配置工作量，但有時候由于設(shè)備之間協(xié)商能力不強(qiáng)或兩端設(shè)備默認(rèn)的參數(shù)配置不相同導(dǎo)致端口協(xié)商不通過，端口工作異常，此時就需要對端口的參數(shù)進(jìn)行手工調(diào)整和設(shè)置，保證雙方參數(shù)一致。除此之外，不同類型的端口在工作時有一些特定的要求，以下結(jié)合命令一起介紹。在QuidwayS3026和S2016/S2008等低端交換機(jī)上，支持環(huán)路檢測功能（Loopback-Detection），可以用于檢查交換機(jī)端口連接的網(wǎng)絡(luò)是否存在拓?fù)洵h(huán)路。如果存在環(huán)路，將端口設(shè)置為受控狀態(tài)，每隔一定周期（缺省30秒）進(jìn)行檢測，如果環(huán)路消除，端口就工作在正常轉(zhuǎn)發(fā)狀態(tài)。常用的端口配置命令設(shè)置以太網(wǎng)端口速率可以使用以下命令對以太網(wǎng)端口的速率進(jìn)行設(shè)置，當(dāng)設(shè)置端口速率為自協(xié)商狀態(tài)時，端口的速率由本端口和對端端口雙方自動協(xié)商而定。操作命令設(shè)置百兆以太網(wǎng)端口的速率speed{10|100|auto}設(shè)置千兆以太網(wǎng)端口的速率speed{10|100|1000|auto}恢復(fù)以太網(wǎng)端口的速率為缺省值undospeed需要注意的是，百兆以太網(wǎng)電端口支持10Mbit/s、100Mbit/s或自協(xié)商工作速率，可以根據(jù)需要對其設(shè)置。百兆以太網(wǎng)光端口只支持100Mbit/s速率，可以設(shè)置為100（100Mbit/s）和auto（自協(xié)商）。千兆以太網(wǎng)電端口支持10Mbit/s、100Mbit/s、1000Mbit/s三種速率，可以根據(jù)需要選擇合適的端口速率。但當(dāng)雙工狀態(tài)設(shè)置為半雙工模式后，就不能設(shè)置為1000Mbit/s速率。千兆以太網(wǎng)光端口只支持1000Mbit/s速率，可以設(shè)置為1000（1000Mbit/s）和auto（自協(xié)商）。缺省情況下，以太網(wǎng)端口的速率處于auto（自協(xié)商）狀態(tài)。設(shè)置以太網(wǎng)端口網(wǎng)線類型以太網(wǎng)端口的網(wǎng)線有平行網(wǎng)線及交叉網(wǎng)線，可以使用該命令對網(wǎng)線類型進(jìn)行設(shè)置。操作命令設(shè)置以太網(wǎng)端口連接的網(wǎng)線的類型mdi{across|auto|normal}恢復(fù)以太網(wǎng)端口的網(wǎng)線類型為缺省值undomdi需要注意的是，該設(shè)置只對10/100Base-T、1000Base-T、10/100/1000base-T端口有效。缺省情況下，端口的網(wǎng)線類型為auto（自識別）型，即系統(tǒng)可以自動識別端口所連接的網(wǎng)線類型。設(shè)置以太網(wǎng)端口的鏈路類型以太網(wǎng)端口有三種鏈路類型：Access、Trunk和Hybrid。Access類型的端口只能屬于1個VLAN，一般用于連接計算機(jī)的端口；Trunk類型的端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文，一般用于交換機(jī)之間連接的端口；Hybrid類型的端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文，可以用于交換機(jī)之間連接，也可以用于連接用戶的計算機(jī)。Hybrid端口和Trunk端口的不同之處在于Hybrid端口可以允許多個VLAN的報文發(fā)送時不打標(biāo)簽，而Trunk端口只允許缺省VLAN的報文發(fā)送時不打標(biāo)簽。操作命令設(shè)置端口為Access端口portlink-typeaccess設(shè)置端口為Trunk端口portlink-typetrunk設(shè)置端口為Hybrid端口portlink-typehybrid恢復(fù)端口的鏈路類型為缺省的Access端口undoportlink-type需要注意的是：如果某端口被指定為鏡像端口，則不能再被設(shè)置為Trunk端口，反之亦然。缺省情況下，端口為Access端口。其他接口顯示命令操作命令顯示端口的所有信息displayinterface{interface_type|interface_typeinterface_num|interface_name}顯示Hybrid端口或Trunk端口displayport{hybrid|trunk}清除以太網(wǎng)端口的統(tǒng)計信息resetcountersinterface[interface_type|interface_typeinterface_num|interface_name]環(huán)路問題導(dǎo)致用戶上網(wǎng)異?，F(xiàn)象描述環(huán)路問題導(dǎo)致用戶上網(wǎng)異常組網(wǎng)如圖所示，用戶反映上網(wǎng)速度慢，有時打開網(wǎng)頁時沒有響應(yīng)。從外網(wǎng)Ping網(wǎng)絡(luò)中的某臺S3026管理IP地址，發(fā)現(xiàn)有如下奇怪Ping包：Ping17:56databytes.Replyfrom17:bytes=56:icmp_seq=0ttl=64time=16msReplyfrom17:bytes=56:icmp_seq=0DUP!ttl=64time=33msReplyfrom17:bytes=56:icmp_seq=0DUP!ttl=64time=33msReplyfrom17:bytes=56:icmp_seq=0DUP!ttl=64time=50msReplyfrom17:bytes=56:icmp_seq=0DUP!ttl=64time=50msReplyfrom17:bytes=56:icmp_seq=4ttl=64time=0ms5packetstransmitted,5packetsreceived,+4duplicates,0%packetloss正常情況應(yīng)該是回五個reply，現(xiàn)在卻多出四個DUP重復(fù)數(shù)據(jù)包！信息收集可以接收到Ping響應(yīng)報文，說明網(wǎng)絡(luò)是通的，但由于多接收到重復(fù)數(shù)據(jù)包，可能是由于網(wǎng)絡(luò)環(huán)路造成。用displayloopback-detection察看端口環(huán)回檢測信息如下：[Quidway]displayloopback-detectionLoopback-detectionisrunningDetectionintervaltimeis30secondsFollowingPort(s)has(have)loopbacklink:Ethernet0/1說明E0/1接口連接的網(wǎng)絡(luò)有環(huán)路存在。處理過程檢查交換機(jī)連線確認(rèn)為樹型結(jié)構(gòu)，不存在環(huán)路可能。因為S3026支持端口loopback-detection功能，當(dāng)檢測到端口所連接的網(wǎng)絡(luò)有環(huán)路時將該端口處于受控狀態(tài)，如環(huán)路解除，還能自動打開端口?？梢允褂迷摴δ苡脕頇z測環(huán)路。將友商DSLAM下面的用戶線依次斷開，同時用displayloopback-detection顯示是否有環(huán)路。查到某個線路問題后，到用戶家檢查MODEM配置發(fā)現(xiàn)配置了兩條相同的PVC，導(dǎo)致形成環(huán)路。在該網(wǎng)絡(luò)中最后查出有四個同樣故障的MODEM。修改配置后Ping包恢復(fù)正常。端口協(xié)商問題導(dǎo)致S3026光模塊無法正常工作現(xiàn)象描述端口協(xié)商問題導(dǎo)致S3026光模塊無法正常工作組網(wǎng)方式如圖所示，MA5203通過百兆光纖連接S3026百兆多模光模塊，S3026下面接入上網(wǎng)用戶。故障現(xiàn)象：光纖正常連接后發(fā)現(xiàn)S3026光模塊Link指示燈不亮，用displayinterface命令查詢e1/1接口狀態(tài)發(fā)現(xiàn)Ethernet1/1isdown。原因分析S3026光模塊link燈不亮，說明物理層有問題。有如下幾種可能：物理線路問題。調(diào)換光纖、改變光纖收發(fā)操作，發(fā)現(xiàn)指示燈還是不亮。用一個帶光模塊的S2403F進(jìn)行替換，連接到光纖發(fā)現(xiàn)S2403F工作正常，在S2403F下面可以正常上網(wǎng)，說明物理線路沒有問題；設(shè)備或者光模塊問題。因光路沒問題故懷疑S3026的光模塊或者SLOT1插槽有故障，通過替換另一臺正常的S3026連接光纖，發(fā)現(xiàn)光模塊LINK指示燈還是不亮，排除了設(shè)備和光模塊問題；設(shè)備間接口參數(shù)協(xié)商問題或者接口工作參數(shù)不匹配。使用displayinterface命令詳細(xì)查看接口參數(shù)，并進(jìn)行對比。處理過程通過查詢發(fā)現(xiàn)MA5203端口速率為100M，并工作在自協(xié)商模式。通過查詢發(fā)現(xiàn)S3026光模塊端口參數(shù)如下Auto-duplex,Auto-speed,100_BASE_FX_MMF，說明接口速率協(xié)商正常，但雙工/半雙工協(xié)商不通過。對S3026光接口的參數(shù)進(jìn)行調(diào)整，將S3026的光接口設(shè)置為全雙工后，光模塊的LINK燈即亮，并且S3026工作正常?？偨Y(jié)設(shè)備與設(shè)備之間不能正常通訊，常見的有物理線路故障、端口工作參數(shù)不匹配、設(shè)備模塊硬件故障等幾種原因。尤其是兩端設(shè)備端口均為自協(xié)商時，由于不同廠家的設(shè)備接口參數(shù)不同，或者同一廠家不同設(shè)備由于采用的硬件芯片不同而自協(xié)商不通過，導(dǎo)致不能正常通訊。通常采用替換法可以快速定位故障。物理鏈路存在環(huán)路造成業(yè)務(wù)異?，F(xiàn)象描述物理鏈路存在環(huán)路造成業(yè)務(wù)異常如圖所示，S3526E通過NE16E連接Internet，下連S3026和S2016，S3526E和S3026之間通過兩條百兆鏈路相連，S3526E和S2016之間只有一條百兆鏈路相連。故障現(xiàn)象如下：S3526E與S3026之間的兩條鏈路都不連接或者只接其中一條鏈路時，S2016下的PC可以正常ping通網(wǎng)關(guān)和上層接口地址。如果S3526E與S3026之間的兩條鏈路都連接好，則S2016下的PC機(jī)ping不通網(wǎng)關(guān)。重新啟動S2016與S3526E之間的接口時，S2016下PC可ping通網(wǎng)關(guān)20左右個包后中斷；多次操作現(xiàn)象相同。不論S3526E與S3026之間的兩條鏈路怎樣連接，網(wǎng)管都與遠(yuǎn)端的服務(wù)器連接正常；S3526E與NE16E之間的接口也工作正常。原因分析由于S3526E與S3026之間的兩條鏈路形成環(huán)路，與S3026相連的兩個端口之間存在大量的無用報文，被同時轉(zhuǎn)發(fā)到端口屬性為TRUNK的端口，引起廣播風(fēng)暴，使這些端口堵塞，造成端口承載業(yè)務(wù)異常；連接網(wǎng)管和與NE16E對接的端口屬性為ACCESS，可以正常工作。處理過程方案一：把S3526E上與S3026相連的兩個端口分別劃分在不同的VLAN內(nèi)，但不能滿足設(shè)備之間的兩條鏈路成主備份關(guān)系的要求。方案二：在S3526E上啟動STP協(xié)議，問題得到解決。方案三：在S3526E和S3026之間配置鏈路聚合（link-aggregation），這樣既可以增加帶寬，實現(xiàn)負(fù)載分擔(dān)，又可以實現(xiàn)鏈路備份的功能。VLAN問題VLAN故障排除綜述在以太網(wǎng)交換技術(shù)中，VLAN技術(shù)是最為重要的技術(shù)之一，也是應(yīng)用最為廣泛的技術(shù)之一。之所以它能變得如此受歡迎，這和它的應(yīng)用簡單，成本低廉密不可分。在網(wǎng)絡(luò)建設(shè)的早期，為了隔離網(wǎng)絡(luò)用戶大量的廣播報文，利用路由器進(jìn)行報文的隔離，在成本和應(yīng)用上都給用戶帶來很大的麻煩。當(dāng)虛擬局域網(wǎng)（VLAN）技術(shù)問世后，網(wǎng)絡(luò)建設(shè)成本成指數(shù)的下降，使得網(wǎng)絡(luò)得到了飛速發(fā)展。然而在網(wǎng)絡(luò)飛速發(fā)展的同時，傳統(tǒng)的VLAN技術(shù)也暴露出一些缺點(diǎn)，因此新的VLAN技術(shù)不斷出現(xiàn)。在多種VLAN技術(shù)并存的今天，網(wǎng)絡(luò)建設(shè)和維護(hù)就變得相對復(fù)雜。所以對于網(wǎng)絡(luò)建設(shè)者和維護(hù)者就需要對VLAN的各種技術(shù)有比較清晰的理解和掌握。才能輕松自如的解決網(wǎng)絡(luò)故障。VLAN技術(shù)簡介VALN技術(shù)是在傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀上增加了4個字節(jié)的特殊標(biāo)注域，用于區(qū)別不同虛擬局域網(wǎng)用戶發(fā)送出來的數(shù)據(jù)幀。在該標(biāo)志域中最讓我們關(guān)心的就是其中12個bit位的VLANID域，它是區(qū)別數(shù)據(jù)幀來自于哪一虛擬局域網(wǎng)的關(guān)鍵。所有的數(shù)據(jù)幀在交換機(jī)內(nèi)部和交換機(jī)之間傳遞時，都被表明該數(shù)據(jù)幀屬于哪一VLAN。而不同VLAN之間不能相互傳遞數(shù)據(jù)幀。這樣使得即使連接在同一個局域網(wǎng)而在不同的虛擬局域網(wǎng)上的用戶不能直接傳遞任何數(shù)據(jù)幀。這就是VLAN技術(shù)。在VLAN技術(shù)當(dāng)中還涉及到如下幾種端口類型：ACCESS端口：這種端口只能屬于一個VLAN，并且從該端口進(jìn)來的數(shù)據(jù)包都不包含TAG標(biāo)記，數(shù)據(jù)包進(jìn)入之后，會被加上該端口的VLANID（加上TAG標(biāo)記）。如果有數(shù)據(jù)需要從這種接口發(fā)送出去，數(shù)據(jù)幀中的TAG標(biāo)記將被刪除。這種端口一般用于連接用戶主機(jī)或路由器。TRUNK端口：這種端口可以屬于多個VLAN，或者說這種端口可以傳送多個VLAN的數(shù)據(jù)幀。從這種端口發(fā)送出去的數(shù)據(jù)幀都包含有TAG標(biāo)記（缺省VLANID的數(shù)據(jù)幀除外）；從這種端口接收到的報文，如果已經(jīng)有TAG標(biāo)記，則直接轉(zhuǎn)發(fā)；如果沒有TAG標(biāo)記，則加上帶有缺省VLANID的TAG標(biāo)記。這種端口一般用于連接交換機(jī)或路由器。HYBRID端口：這種端口可以屬于多個VLAN。但是與TRUNK端口不同的是它所傳送的數(shù)據(jù)幀，可以包含TAG標(biāo)記也可以不包含TAG標(biāo)記；而TRUNK端口則必須包含TAG標(biāo)記（缺省VLANID的數(shù)據(jù)幀除外）。其發(fā)送數(shù)據(jù)幀時根據(jù)配置信息進(jìn)行判斷是否加上TAG標(biāo)記；接收數(shù)據(jù)幀時和TRUNK端口相同。這種端口一般用于連接交換機(jī)或路由器。Isolate-user-vlan技術(shù)簡介隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)用戶變得越來越多，而且某些特定的網(wǎng)絡(luò)用戶總是希望自己的主機(jī)不受到其它網(wǎng)絡(luò)用戶的干擾，所以每個用戶使用一個VLAN成為必然。然而VLAN技術(shù)設(shè)計的初期，只為其分配了12個bit，所以最大VLAN個數(shù)只能是4096。這個數(shù)字對于千千萬萬的網(wǎng)絡(luò)用戶來說遠(yuǎn)遠(yuǎn)不夠，所以新的技術(shù)——Isolate-user-vlan應(yīng)運(yùn)而生。Isolate-user-vlan技術(shù)為了解決VLANID不足的問題，它采用VLANID屏蔽的辦法，將接入層的用戶VLANID對匯聚層設(shè)備屏蔽起來，在接入層使用VLAN的方法進(jìn)行用戶隔離，然而這些用戶與外界進(jìn)行通信時，上送數(shù)據(jù)包到匯聚層設(shè)備時，變化原來隔離用的VLANID為接入層設(shè)備共用VLANID。從而對于會聚層設(shè)備來說，它只知道共用的VLANID。而數(shù)據(jù)包返回的時候，則送往共用VLANID所包含的所有隔離VLAN用戶。VLAN路由技術(shù)簡介網(wǎng)絡(luò)用戶的隔離實質(zhì)上是網(wǎng)絡(luò)效率提高的有效辦法之一，但是隔離并不是網(wǎng)絡(luò)建設(shè)的初衷，網(wǎng)絡(luò)用戶還是希望能夠和外界進(jìn)行通信。所以如果被二層隔離的用戶需要進(jìn)行通信時，怎么辦呢？這就是VLAN路由技術(shù)解決的問題。VLAN路由技術(shù)模擬路由器的三層接口，在以太網(wǎng)上創(chuàng)建出虛擬局域網(wǎng)三層接口。這些接口具有三層報文轉(zhuǎn)發(fā)的功能。將二層不能轉(zhuǎn)發(fā)的數(shù)據(jù)幀進(jìn)行數(shù)據(jù)幀頭的剝離，然后根據(jù)IP報文頭信息進(jìn)行轉(zhuǎn)發(fā)。VLAN故障的分類VLAN技術(shù)其實比較簡單，所以一般不會出現(xiàn)故障，只是在某些特殊VLAN技術(shù)出現(xiàn)時，會令網(wǎng)絡(luò)初始接觸者難于理解和掌握?？傮w上VLAN故障有如下幾類：VLAN用戶隔離不成功；VLAN隔離后不能進(jìn)行任何通信；采用VLAN技術(shù)后，無法進(jìn)行設(shè)備管理。VLAN故障的解決方法對于VLAN故障的判斷定位，一般的思路是分析數(shù)據(jù)幀的轉(zhuǎn)發(fā)過程，特別是數(shù)據(jù)包攜帶的VLANID的變化。看看在整個數(shù)據(jù)幀轉(zhuǎn)發(fā)的過程中何時刪除TAG標(biāo)簽，何時增加TAG標(biāo)簽，在刪除和增加的過程中是否變化過VLANID。這就是我們在分析VLAN用戶故障時最需要關(guān)注的幾點(diǎn)。其次才是分析是否VLAN路由存在問題，關(guān)于VLAN路由存在的問題這和運(yùn)行的動態(tài)路由協(xié)議相關(guān)，請參考路由故障排除部分。下面我們簡要闡述幾類故障的解決方法：VLAN用戶隔離不成功對于這種情況，我們首先要分析VLAN用戶數(shù)據(jù)在轉(zhuǎn)發(fā)過程中的變化，特別是Isolate-user-vlan技術(shù)存在的時候，因為有一對多的映射關(guān)系，往往容易使得VLANID值發(fā)生變化。當(dāng)然我們在此之前最好能夠檢查配置信息，確保沒有將用戶劃分在同一個VLAN下，特別是目前都是基于端口的VLAN用戶，端口連接錯誤都可能致使VLAN隔離失敗。如果上述過程沒有問題，再檢查VLAN路由是否存在問題，例如在同一三層交換機(jī)上啟動多個VLAN接口，這樣該交換機(jī)將為每一個VLAN接口生成一條直連路由，從而使得兩個直連接口下的VLAN間用戶可以進(jìn)行數(shù)據(jù)通信。對于不能進(jìn)行二層轉(zhuǎn)發(fā)而可以進(jìn)行三層轉(zhuǎn)發(fā)的用戶，如果需要進(jìn)行隔離，我們只能借助于交換機(jī)的包過濾技術(shù)來完成。VLAN隔離后不能進(jìn)行任何通信對于這種情況，我們在此之前最好能夠檢查配置信息，確保沒有做端口的關(guān)閉操作或者數(shù)據(jù)過濾等設(shè)置。如果上述過程沒有問題，我們需要檢查對應(yīng)的VLAN虛接口是否存在，狀態(tài)是否正常，其相關(guān)信息可以使用命令Displayinterfacevlan-interfaveX來顯示。如果仍然沒有問題，請檢查相關(guān)的路由信息是否正確？相關(guān)故障排除手段參見路由故障排除部分。采用VLAN技術(shù)后，無法進(jìn)行設(shè)備管理對于這種情況，一般也是由于數(shù)據(jù)幀在轉(zhuǎn)發(fā)過程中，由于TAG標(biāo)記的變化而引起故障，所以其解決方法和前兩種的前一部分的分析類似。在解決方案中，一般是通過配置運(yùn)行端口通過某一特定VLAN的數(shù)據(jù)包通過。根據(jù)情況確定是否加上TAG標(biāo)記。在某些場合不能徹底將管理VLAN和用戶VLAN進(jìn)行分離的時候，我們只有采用管理和業(yè)務(wù)共用VLAN的辦法。VLAN配置問題導(dǎo)致用戶無法上網(wǎng)現(xiàn)象描述S3026下行通過百兆光口接S2016，上行通過100M以太網(wǎng)口至友商交換機(jī)C。S2016與S3026設(shè)置固定的管理IP地址，由設(shè)備C對S2016和S3026進(jìn)行管理，由設(shè)備C連接的DHCP服務(wù)器為用戶分配IP地址。S2016下掛的用戶通過isolate-user-vlan配置實現(xiàn)二層隔離。VLAN配置問題導(dǎo)致用戶無法上網(wǎng)故障現(xiàn)象：所有S2016下掛的用戶都無法獲得動態(tài)IP地址，ping不通DHCPSERVER和網(wǎng)關(guān)C，S3026下掛的用戶卻可以獲得IP地址。同時，從S2016的終端窗口卻可以ping通DHCPSERVER和網(wǎng)關(guān)。另外還發(fā)現(xiàn)，如果把S2016下掛的用戶設(shè)置為VLAN1000用戶，則可以通過DHCPSERVER獲得IP地址，也可以ping通網(wǎng)關(guān)。信息收集S2016下管理VLAN1000的用戶可以正常上網(wǎng)，而業(yè)務(wù)VLAN的用戶不能上網(wǎng)，說明網(wǎng)絡(luò)連接正常，問題在設(shè)備的配置對不同VLAN的處理上。查看S2016的配置，發(fā)現(xiàn)配置了isolate-user-vlan，其中isolate-user-vlan為30，SecondaryVLAN為2～19，另外配置了管理VLAN1000。原因分析分析故障現(xiàn)象，可以發(fā)現(xiàn)，只有S2016上的VLAN1000用戶（包括管理IP和配置在VLAN1000里的用戶）可以和網(wǎng)關(guān)互通，進(jìn)而獲得IP，其他用戶都無法和網(wǎng)關(guān)互通，也就是說，S2016里只有VLANID＝1000的包得到了轉(zhuǎn)發(fā)！而S2016配置了isolate-user-vlan，上行是UNTAGGED出去，沒有什么問題，看來問題就出在下行方向的處理。仔細(xì)研究兩臺交換機(jī)上的配置，可以發(fā)現(xiàn)，S2016上isolate-user-vlan為30，包含2到19這些SecondaryVLAN，另有管理VLAN1000，上行口配置TAGVLAN1000，是為了管理用的。S3026上直接配置isolate-user-vlan1000，包含所有端口，同時，所有下行接S2016的端口均配置TAGVLAN1000，也是為了管理用。那么我們不妨來分析一下S2016下掛的用戶的數(shù)據(jù)流向：數(shù)據(jù)幀從用戶端口進(jìn)來，打上端口對應(yīng)PVID，然后通過isolate-user-vlan上行口，去掉VLANID頭，到了S3026；S3026接到S2016來的幀，同樣打上對應(yīng)端口的PVID，然后從isolate-user-vlan上行口去掉頭，送給C設(shè)備，上行沒有問題。下行方向，從C設(shè)備回來的UNTAGGED幀進(jìn)入S3026的時侯，因為isolate-user-vlan為1000，上行口給打上VLANID=1000的頭，接著再往S2016送的時侯，發(fā)現(xiàn)下行端口有TAGVLAN1000配置，于是不去掉頭，直接給了S2016；S2016上行口收到帶VLANID=1000頭的幀，發(fā)現(xiàn)自己也是TAGVLAN1000，于是也不做處理，全部接收，結(jié)果所有從C設(shè)備來的幀，到了S2016里面全都是VLANID＝1000，于是前面所說的故障現(xiàn)象就出現(xiàn)了。處理過程問題根源找到了，解決也就簡單了，就是要避免這個VLANID1000在S3026和S2016之間的一再透傳，同時還要兼顧上面設(shè)備能管理到S2016。于是修改配置方案如下：S3026下行接S2016的端口不再配置TAGVLAN1000；S2016上把isolate-user-vlan直接設(shè)置為1000，包含所有用戶端口的SecondaryVLAN，同時做為管理VLAN。經(jīng)過這樣的調(diào)整，下行方向的包從S3026出來的時侯，去掉了帶有S3026上的isolate-user-vlan的頭，進(jìn)入S2016的時侯再加上S2016isolate-user-vlan的頭，而S2016的isolate-user-vlan既包含用戶端口又同時做管理VLAN，通過MAC地址來區(qū)別具體用戶，達(dá)到了兼顧用戶上網(wǎng)和管理的要求。友商交換機(jī)三層接口問題導(dǎo)致與S6506互通中斷現(xiàn)象描述某地市網(wǎng)絡(luò)中S6506下掛MA5100接入ADSL用戶，S6506上行和友商交換機(jī)設(shè)備C千兆光口連接，網(wǎng)絡(luò)正在運(yùn)行突然中斷，用戶能ping通S6506網(wǎng)關(guān)，S6506到交換機(jī)C不能ping通，ADSL用戶不能正常上網(wǎng)。友商交換機(jī)三層接口問題導(dǎo)致與S6506互通中斷信息收集使用命令（displayinterface）查看S6506和交換機(jī)C的千兆接口狀態(tài)，雙方物理接口和鏈路層都正常UP。使用命令（displayarp和displaymac-address）查看MAC地址表和ARP表，雙方都能學(xué)到對方的MAC地址，并建立正確的ARP表項。查看S6506路由表，發(fā)現(xiàn)接口路由和直連路由正常，也有C交換機(jī)的路由信息。查看C的路由表，發(fā)現(xiàn)路由信息也正常。原因分析雙方之間互通已經(jīng)一個多月，可以排除兼容性問題。物理接口UP，可以初步排除物理層問題。接口協(xié)議層UP，同時雙方都能學(xué)到對端MAC地址，雙方接口統(tǒng)計信息上都顯示有報文收發(fā)，也可以排除二層互通問題。雙方是通過三層接口互通，可以判斷是三層上出了問題，至于哪一方設(shè)備有問題，需要進(jìn)一步定位。處理過程在C上抓包分析，發(fā)現(xiàn)從S6506發(fā)的ICMP報文到C后，C沒有回應(yīng)。從C發(fā)的ICMP報文到S6506之后，S6506給出回應(yīng)報文，C收到但沒有處理。在C上直接連PC機(jī)，該接口屬于和S6506互通的VLAN，發(fā)現(xiàn)PC機(jī)ping自己的網(wǎng)關(guān)竟然不通，可以肯定C上這個VLAN接口已經(jīng)不工作了，有吊死的嫌疑。更改C上相應(yīng)的VLAN接口，問題解決，問題都是由于這個三層接口吊死導(dǎo)致?？偨Y(jié)這個問題的現(xiàn)象比較特殊，從常規(guī)的理論分析是看不出什么問題的。這個時候多利用抓包工具，對于故障的分析和定位很有幫助。VLANTRUNK配置不正確導(dǎo)致業(yè)務(wù)不通現(xiàn)象描述VLANTRUNK配置不正確導(dǎo)致業(yè)務(wù)不通中心交換機(jī)S8016的GE1/1/1接口通過光纖下連S3026A的GE2/1接口，S3026A通過千兆電口GE1/1級聯(lián)一臺S3026B交換機(jī)的GE1/1口。S8016配置了VLAN2，3，4，5，6，7，100，并配置了相應(yīng)的三層接口，GE1/1/1為TRUNK模式，并配置了porttrunkpermitvlanall。S3026A配置了VLAN2，3，4，100，GE2/1和GE1/1均為TRUNK模式，并均配置了porttrunkpermitvlanall。S3026B配置了VLAN5，6，7，100，GE1/1為TRUNK模式，并配置了porttrunkpermitvlanall。VLAN100為管理VLAN。故障現(xiàn)象：S3026A下的PC機(jī)均可以與S8016下的PC互通，而S3026B的VLAN5，6，7下的PC不能與S8016互通，但VLAN100下的PC可以與S8016互通。信息收集VLAN100下的PC機(jī)能夠正常通信，說明線路無故障。S3026B的VLAN100下的PC能與S3026A的VLAN100下的PC正常通信，說明VLAN100的TRUNK能夠正常傳遞，但VLAN5，6，7的PC為什么不能正常，問題基本定位在數(shù)據(jù)配置上。查看S3026B的GE1/1的端口狀態(tài)，發(fā)現(xiàn)允許通過的VLAN為5，6，7，100。查看S3026A的GE1/1和GE2/1的端口狀態(tài)，發(fā)現(xiàn)允許通過的VLAN為2，3，4，100，沒有VLAN5，6，7。兩臺交換機(jī)都沒有啟用GVRP動態(tài)VLAN注冊協(xié)議。原因分析原因在于VLAN在TRUNK接口的注冊上，雖然我們配置了porttrunkpermitvlanall，但其實是允許本交換機(jī)中配置的VLAN通過，而不是允許所有的VLAN通過，這可以通過查看端口的狀態(tài)發(fā)現(xiàn)。這樣在級聯(lián)交換機(jī)時，上層交換機(jī)不能傳遞下面交換機(jī)的VLAN信息，從而導(dǎo)致下面的交換機(jī)用戶業(yè)務(wù)不正常。處理過程在S3026A手工增加沒有的VLAN5，6，7，網(wǎng)絡(luò)正常。另外一種方法是啟用動態(tài)VLAN配置，在兩臺交換機(jī)上啟動GVRP，便可以避免產(chǎn)生類似故障。VLAN配置問題導(dǎo)致S3526下用戶上網(wǎng)速度慢現(xiàn)象描述如圖所示，友商交換機(jī)A下掛二層交換機(jī)B，交換機(jī)B通過FE下掛S3526，S3526下面接入用戶。VLAN配置問題導(dǎo)致S3526下用戶上網(wǎng)速度慢故障現(xiàn)象：S3526下用戶上網(wǎng)速度慢，有時出現(xiàn)網(wǎng)頁打不開的現(xiàn)象。而S3526上行口的Active指示燈頻繁閃爍，查看其他接口，發(fā)現(xiàn)指示燈也頻繁閃爍。信息收集S3526交換機(jī)上各個端口指示燈頻繁閃爍，很有可能是交換機(jī)內(nèi)部形成了廣播風(fēng)暴，通過命令顯示接口狀態(tài)，發(fā)現(xiàn)接口統(tǒng)計數(shù)據(jù)顯示收到大量的廣播報文，用抓包程序在S3526上捕獲報文發(fā)現(xiàn)廣播包很多，大約10秒內(nèi)抓包30000多個。檢查配置，發(fā)現(xiàn)S3526上行端口配置允許所有VLAN通過，斷開和交換機(jī)B的連接后，廣播風(fēng)暴消失。檢查交換機(jī)B的配置，發(fā)現(xiàn)B作為純二層交換機(jī)使用，Trunk接口上也配置了允許所有VLAN通過。檢查網(wǎng)絡(luò)拓?fù)淝闆r，發(fā)現(xiàn)是樹型結(jié)構(gòu)，不存在環(huán)路問題。原因分析很顯然大量的廣播包來自交換機(jī)B，是屬于Trunk接口配置不當(dāng)引起。由于Trunk接口允許所有VLAN通過，導(dǎo)致很多其他VLAN的報文通過交換機(jī)B到達(dá)S3526上行口，而S3526本身并沒有這些VLAN的用戶。處理過程在各個交換機(jī)上使能GVRP協(xié)議，使無關(guān)VLAN的信息不能到達(dá)S3526。由于使用不同廠家的設(shè)備，如果不支持同一種協(xié)議，可以修改交換機(jī)B的配置，取消交換機(jī)B上行口TRUNK功能。在啟用GVRP的低端交換機(jī)上如何創(chuàng)建所需的VLAN現(xiàn)象描述Quidway低端交換機(jī)如S20XX、S30XX系列，在啟用GVRP的時候，將接收GVRP協(xié)議發(fā)送的所有VLAN信息，并在本交換機(jī)上創(chuàng)建相應(yīng)的VLAN。當(dāng)發(fā)送的VLAN數(shù)量超過32，將只能夠在本地創(chuàng)建序號低的前面32個VLAN。如果交換機(jī)上需要其他VLANID更高的VLAN，將無法實現(xiàn)。原因分析這是由于低端Quidway交換機(jī)如S20XX、S30XX系列，最多只支持32個VLAN。其啟用GVRP時，只能夠接收低的前32個VLANID。如果客戶端交換機(jī)上需要其他VLANID更高的VLAN，而不需要VLANID較低的那些VLAN，即使總的VLAN數(shù)量不超過32，也不能夠?qū)崿F(xiàn)。處理過程只需要在交換機(jī)上，首先創(chuàng)建所需的VLANID較高的那些VLAN，然后再啟用GVRP即可。建議與總結(jié)這個問題是由于低端交換機(jī)所支持的VLAN數(shù)量規(guī)格所限，而GVRP在動態(tài)通告VLAN信息時，是不管對端交換機(jī)所支持的VLAN規(guī)格的，當(dāng)遇到如上問題時，可以使用這個規(guī)避措施。網(wǎng)絡(luò)用戶私自安裝配置DHCP服務(wù)器導(dǎo)致其它用戶上網(wǎng)不正?，F(xiàn)象描述用戶私自安裝配置DHCP服務(wù)器導(dǎo)致其它用戶上網(wǎng)不正常在某住宅小區(qū)寬帶網(wǎng)中，每單元分配一個VLAN號，組網(wǎng)為中心機(jī)房的友商交換機(jī)F連接DHCP服務(wù)器，并且下接各單元中的S3026，S3026下再接S2403F交換機(jī)。同時S3026和S2403F上都接有用戶?？蛻粢骃3026往上送的業(yè)務(wù)報文必須為Tagged報文，且只能包含一個VLAN號，為了符合這個要求在S3026上沒有再劃分VLAN，而是所有端口都屬于一個VLAN。同時2403F各個端口劃分在不同的VLAN里，且2403F的上行口是Untagged的。如圖所示，在某單元中G區(qū)交換機(jī)為S3026，L和C區(qū)均有一臺S2403F接于G區(qū)的S3026上。這三臺交換機(jī)同屬于VLAN982。故障現(xiàn)象：C區(qū)下的用戶上網(wǎng)正常，但L和G區(qū)下面的用戶在動態(tài)獲取IP時，獲取的IP地址正確，但獲取的IP地址掩碼、網(wǎng)關(guān)、DNS均錯誤，用戶不能正常上網(wǎng)。原因分析用戶動態(tài)獲取IP地址工作過程：首先發(fā)一個DHCP廣播報文。當(dāng)同一VLAN內(nèi)有DHCP服務(wù)器時，用戶計算機(jī)首先獲取的是本VLAN內(nèi)DHCP服務(wù)器回應(yīng)的DHCP報文，從而獲得IP地址（當(dāng)然這里還需要這個DHCP服務(wù)器與用戶計算機(jī)之間沒有三層隔離，因為隔離了DHCP服務(wù)器就不能收到用戶計算機(jī)發(fā)出的DHCP廣播報文，也就不可能為用戶分配IP地址）。當(dāng)本VLAN內(nèi)沒有DHCP服務(wù)器或存在DHCP服務(wù)器但服務(wù)器與用戶之間三層隔離時，則通過三層設(shè)備上所配置的DHCPRelay指定的DHCP服務(wù)器獲得IP地址。C區(qū)下的用戶可以正確獲得IP地址，說明DHCPServer工作正常。G區(qū)和L區(qū)的用戶獲得的地址異常，說明用戶發(fā)出的DHCP廣播報文沒有到達(dá)F交換機(jī)下的DHCP服務(wù)器，也就是DHCPRelay沒有起作用；或者說雖然到達(dá)了DHCP服務(wù)器，但用戶PC優(yōu)先選用本VLAN的DHCPServer分配的IP地址。這說明本VLAN內(nèi)有非法的DHCP服務(wù)器。由于在單個S2403F下的各個用戶已經(jīng)隔離開來，但L區(qū)S2403F下的用戶、C區(qū)S2403F下的用戶和S3026下接的用戶都同屬于一個VLAN。他們之間并不能實現(xiàn)隔離。當(dāng)C區(qū)有用戶私自配置了DHCP服務(wù)器時，L、G區(qū)下的用戶就會從C區(qū)本VLAN的DHCP服務(wù)器獲得不正常的IP，而導(dǎo)致不能正常上網(wǎng)。C區(qū)下面的其他用戶卻因為自身和C區(qū)的DHCP服務(wù)器之間作到了隔離而按三層設(shè)備所指向DHCPRelay指定的DHCP服務(wù)器獲得正確的IP地址。處理過程在G區(qū)下獲取錯誤的配置信息，查看此時的DHCP服務(wù)器地址。該地址即為該單元中一用戶地址。向該用戶計算機(jī)發(fā)一個ping包，同時用抓包工具進(jìn)行抓包。在抓取的信息中獲得該用戶計算機(jī)的MAC地址。登陸G區(qū)S3026。查看該MAC地址與端口的對應(yīng)關(guān)系。確定出該用戶為來自C區(qū)S2403F下的用戶。再登陸C區(qū)S2403F，確定在S2403F上該MAC地址與端口的對應(yīng)關(guān)系。查看端口連線，確定用戶為接于C區(qū)S2403F下某一用戶。關(guān)閉該用戶的DHCP服務(wù)后網(wǎng)絡(luò)正常。

集群管理和網(wǎng)絡(luò)管理問題集群原理和網(wǎng)絡(luò)管理概述HGMP（HuaweiGroupManagementProtocol）主要實現(xiàn)兩方面的功能：一是通過本協(xié)議，管理設(shè)備可以對交換機(jī)實現(xiàn)集中管理，如交換機(jī)的注冊、軟件的升級、配置查詢和設(shè)定、重啟動等操作；二是可以通過本協(xié)議支持交換機(jī)的級聯(lián)工作方式，即一臺交換機(jī)可以不與管理設(shè)備直接相連，而是通過級聯(lián)的其它交換機(jī)與管理設(shè)備相連。HGMP分為V1和V2兩個版本，在不同的交換機(jī)上對這兩個版本的支持不同。HGMPV1分為HGMPServer和HGMPClient。S2403F、S2008B/S2016B/S2026B以太網(wǎng)交換機(jī)僅支持HGMPV1Client，S3026/S2008/S2016/S2026/S2403H以太網(wǎng)交換機(jī)既支持HGMPV1Client，也支持HGMPV1Server，可以對支持Client的以太網(wǎng)交換機(jī)進(jìn)行管理。S2403F以太網(wǎng)交換機(jī)、S2008B、S2016B、S2026B以太網(wǎng)交換機(jī)作為HGMPClient時，必須要通過固定的上行端口與管理設(shè)備相連。這些上行端口包括：S2008B：Ethernet0/8、Ethernet0/9。S2016B：Ethernet0/15、Ethernet0/16、Ethernet0/17、Ethernet1/1。S2026B：Ethernet0/23、Ethernet0/24、Ethernet0/25、Ethernet1/1。S2403F：25、26、27。HGMPV1的主要應(yīng)用情況如下：MA5200作為HGMPServer，下掛的以太網(wǎng)交換機(jī)作為HGMPClient。詳細(xì)情況可以參見MA5200的隨機(jī)手冊。S2403F以太網(wǎng)交換機(jī)、S2008B/S2016B/S2026B以太網(wǎng)交換機(jī)作為HGMPClient，其他交換機(jī)作為HGMPServer。HGMPServer在管理設(shè)備上實現(xiàn)，主要是提供人機(jī)命令輸入接口，控制維護(hù)命令的顯示，同時提供一定的數(shù)據(jù)結(jié)構(gòu)以存儲其下掛的多臺以太網(wǎng)交換機(jī)的相關(guān)信息。而HGMPClient則主要要求根據(jù)管理設(shè)備下發(fā)的維護(hù)和查詢命令作出相應(yīng)的處理，同時保證與管理設(shè)備之間的通信。HGMPV2對網(wǎng)絡(luò)中交換機(jī)的稱呼和V1不同，根據(jù)角色的不同分為命令交換機(jī)、成員交換機(jī)和候選交換機(jī)。使用HGMPV2功能，網(wǎng)絡(luò)管理員可以通過一個主交換機(jī)的公網(wǎng)IP地址，實現(xiàn)對多個交換機(jī)的管理。主交換機(jī)稱為管理設(shè)備，其它被管理的交換機(jī)稱為成員設(shè)備。成員設(shè)備一般不設(shè)置公網(wǎng)IP地址，通過管理設(shè)備重定向來實現(xiàn)對成員設(shè)備的管理和維護(hù)。管理設(shè)備和成員設(shè)備組成了一個“集群”。根據(jù)集群中各交換機(jī)所處的地位和功能的不同，形成了不同的角色，用戶可以通過配置來指定交換機(jī)的角色，各種角色可以按一定的規(guī)則進(jìn)行切換。集群中的角色有管理設(shè)備、成員設(shè)備以及候選設(shè)備。管理設(shè)備：配置有公網(wǎng)IP地址，為集群內(nèi)所有的交換機(jī)提供管理接口的交換機(jī)。管理設(shè)備通過命令重定向來對成員設(shè)備進(jìn)行管理：用戶通過公網(wǎng)將管理命令發(fā)送到管理設(shè)備上，由管理設(shè)備處理；管理設(shè)備如果發(fā)現(xiàn)此命令是送往某個成員設(shè)備上執(zhí)行的命令，則將此命令轉(zhuǎn)發(fā)到成員設(shè)備上處理。管理設(shè)備具有發(fā)現(xiàn)鄰接信息、收集整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、管理集群、維護(hù)集群狀態(tài)、支持各種代理等功能。成員設(shè)備：集群中的成員，一般不配置公網(wǎng)IP地址。用戶通過管理設(shè)備的命令重定向功能對成員設(shè)備進(jìn)行管理。成員設(shè)備具有發(fā)現(xiàn)鄰接信息、接受管理設(shè)備的管理、執(zhí)行代理發(fā)過來的命令、故障/日志上報等功能。候選設(shè)備：沒有加入任何集群中但具有集群能力、能夠成為集群成員的交換機(jī)。角色轉(zhuǎn)換規(guī)則如下：候選設(shè)備候選設(shè)備管理設(shè)備成員設(shè)備保存為管理設(shè)備取消管理設(shè)備的資格管理從集群中刪除管理加入到集群管理角色轉(zhuǎn)換規(guī)則每個集群必須指定一個（而且只能指定一個）管理設(shè)備。在管理設(shè)備被指定后，管理設(shè)備通過收集NDP/NTDP信息，確定和發(fā)現(xiàn)候選設(shè)備。用戶可以通過相應(yīng)的配置把候選設(shè)備加入到集群中。候選設(shè)備加入集群后，成為成員設(shè)備；成員設(shè)備被刪除后將恢復(fù)為候選設(shè)備。HGMPV2包含以下功能：網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涫占蓡T識別成員管理其中：網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)功能是利用NDP（NeighbourDiscoveryProtocol）來實現(xiàn)的，用來發(fā)現(xiàn)直接相連的鄰居信息，包括鄰接設(shè)備的設(shè)備類型、軟/硬件版本、連接端口等，另外還可提供設(shè)備的ID、端口單雙工、產(chǎn)品版本、Bootrom版本等信息。網(wǎng)絡(luò)拓?fù)涫占δ苁抢肗TDP（NeighbourTopologyDiscoveryProtocol）來實現(xiàn)的，收集網(wǎng)絡(luò)中各個設(shè)備的連接關(guān)系和候選設(shè)備信息，并可以設(shè)置拓?fù)浒l(fā)現(xiàn)的跳數(shù)。成員識別功能是通過對集群中的各個成員的定位，使管理設(shè)備可以識別各個成員并向成員分發(fā)配置和管理命令。成員管理功能，包括成員的加入、刪除、成員設(shè)備對管理設(shè)備的驗證和握手間隔等。S6506、S3026和S2016B集中管理解決方案

現(xiàn)象描述無法通過一種集中管理方式（HGMPV1/V2）同時實現(xiàn)S6506、S3026、S2016B的集中管理。原因分析S6506僅支持HGMPV2，S3026支持HGMPV2和HGMPV1server，S2016B僅支持HGMPV1client；S6506、S3026可以作集群管理的命令交換機(jī)或者成員交換機(jī)，但S2016B不支持集群管理。處理過程考慮如下方案：S6506作集群命令交換機(jī)；S3026作集群的成員交換機(jī)和HGMPV1的server；S2016B作HGMPV1的client；解決辦法：在S6506上可以實現(xiàn)對S3026的管理，可以使用命令Clusterswitch-to登錄S3026，在S3026上可以實現(xiàn)對S2016B的管理。S3026E配置集群管理后重啟成員交換機(jī)，成員狀態(tài)為DOWN現(xiàn)象描述S3026E

命令交換機(jī)S3026E

命令交換機(jī)S3026

成員交換機(jī)重啟后狀態(tài)為DOWN集群S3026E配置集群管理后重啟成員交換機(jī)，成員狀態(tài)為DOWNS3026E作為集群cluster的命令交換機(jī)，S3026作為成員交換機(jī)。配置集群成功后，能夠看到成員交換機(jī)S3026，且狀態(tài)正常。在命令交換機(jī)上重啟成員交換機(jī)S3026以后，使用命令查看發(fā)現(xiàn)能夠看到成員交換機(jī)S3026的MAC地址，但狀態(tài)為down。[huawei_0.Quidway]displayclustermemberSNDeviceMACAddressStatusName0QuidwayS3026E00e0.fc80.0030Adminhuawei_0.Quidway1QuidwayS302600e0.fc06.768cDownhuawei_1.Quidway信息收集查看命令交換機(jī)S3026E上的集群部分?jǐn)?shù)據(jù)配置數(shù)據(jù)：ip-poolbuildhuaweiadd-member1mac-address00e0.fc08.768c使用串口登錄到S3026上查看配置，發(fā)現(xiàn)沒有任何關(guān)于cluster的配置信息。仔細(xì)回想：在兩臺交換機(jī)都掉電重啟之前，S3026E即命令交換機(jī)保存了數(shù)據(jù)，而成員交換機(jī)沒有保存數(shù)據(jù)。原因分析在交換機(jī)上配置集群成功后，命令交換機(jī)根據(jù)配置查找成員交換機(jī)，并將找到的成員交換機(jī)的MAC地址、主機(jī)名等信息加入自己的集群成員列表中。在命令交換機(jī)保存數(shù)據(jù)的過程中，將成員的MAC地址也做為配置數(shù)據(jù)的一部分保存下來，而成員交換機(jī)重啟前沒有保存配置，這些配置信息也包括命令交換機(jī)的MAC地址。交換機(jī)啟動后，認(rèn)為自己不是集群的成員，所以在命令交換機(jī)