交换机排错四件套:查日志、看CPU、读ARP、验MAC
第一件套:查日志
核心作用:让交换机“说话”
日志是设备的“自述”,记录了配置变更、接口状态、安全事件等关键信息。
典型故障场景:
- 用户无法上网
- 某端口频繁up/down
- 生成树重计算
华为/华三命令:
<Huawei> display logbuffer
✅ 排错线索:
- IF_DOWN → 物理链路问题(网线、光模块、对端设备)
- DOT1X/PORT_AUTH_FAIL → 802.1X认证失败(终端不支持或配置错)
- STP 相关日志 → 生成树震荡
🔍 技巧:
使用 terminal monitor 实时监控日志,
插拔网线观察输出,快速定位问题端口。
第二件套:看CPU
核心作用:判断设备是否“过载”
CPU利用率是交换机健康度的“体温计”。
过高CPU会导致响应慢、丢包、协议中断。
命令:
<Huawei> display cpu-usage
输出示例:
cpu-usage : 15% ---- 正常
cpu-usage last 1min : 85% ---- 警告!
cpu-usage last 5min : 78%
cpu-usage last 15min: 65%
CPU飙高的常见原因:
进阶命令:
# 查看CPU占用最高的进程
<Huawei> display process cpu-usage sorted
⚠️ 红线标准:
- 长期 >70% → 需排查
- 瞬时 >90% → 可能失控
第三件套:读ARP
核心作用:验证“IP与MAC的对应关系”
ARP表是三层通信的“电话簿”。
错误的ARP条目会导致跨网段通信失败、IP冲突、中间人攻击。
命令:
<Huawei> display arp
输出示例:
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
192.168.1.1 00e0-fc01-0203 20 D-0 Vlanif100 --
192.168.1.100 0011-2233-4455 18 D-0 GE0/0/1 --
192.168.1.101 00e0-fc01-0203 15 D-0 GE0/0/2 -- → MAC重复!
关键排查点:
-
MAC地址重复 → IP冲突或ARP欺骗
-
ARP表项异常多 → 可能有扫描或病毒
-
某IP的MAC是广播地址(ffff-ffff-ffff) → 该设备可能已离线
-
ARP老化时间过短 → 频繁刷新,增加网络负担
快速验证:
# 在用户电脑上执行
arp -a | findstr 192.168.1.101
对比交换机与终端ARP表是否一致。
第四件套:验MAC
核心作用:定位设备“物理位置”
MAC地址表告诉交换机“哪个MAC从哪个端口进来”,是二层转发的核心依据。
命令:
<Huawei> display mac-address
输出示例:
MAC ADDRESS VLAN ID STATE PORT INDEX
0011-2233-4455 100 Learned GE0/0/5
aabb-ccdd-eeff 200 Learned GE0/0/10
0011-2233-4455 100 Learned GE0/0/15 → MAC漂移!
关键排查点:
-
MAC地址出现在多个端口(MAC漂移)
→ 二层环路、网线接错、虚拟机迁移🔍 日志中会伴随 MAC move 提示
-
MAC地址未学习到
→ 设备未发包、网线故障、端口shutdown -
MAC地址表满
<Huawei> display mac-address summary
Total items on slot 0: 16384/16384 → 已满!→ 新设备无法通信,需扩容或清理
-
静态MAC配置错误
→ 手动绑定的MAC指向错误端口
四件套实战:用户无法上网排错流程
1. [查日志] display logbuffer → 无IF_DOWN或认证失败
2. [看CPU] display cpu-usage → CPU 12%,正常
3. [读ARP] display arp | include 192.168.1.100 → 无此条目!
4. [验MAC] display mac-address | include 0011-2233-4455 → 未学习到
→ 结论:终端未发出数据包,或交换机未收到。
→ 下一步:检查用户电脑网卡、网线、端口是否shutdown。
总结:四件套使用口诀
🔚 最后建议:
- 养成习惯:每次排错,先执行这四个命令
- 建立基线:记录正常时的日志、CPU、ARP、MAC状态
- 结合使用:单一命令可能误导,四件套交叉验证更可靠
