搜索内容

SE_Gao 的文章

  • S9700下挂终端改变位置后网络出现部分中断

    问题描述 S9700交换机旁挂了UTM设备,将需要清洗的流量从S9700交换机引入UTM,再经过UTM处理后再引回S9700交换机。 以终端A的IP地址为源IP的流量从S9700交换机3口进入后,根据入口策略,流量将引入UTM设备做清洗,进入UTM设备的接口为1; 终端A位置改变后,IP地址不变,但是进入S9700的接口改变,调用的策略也发生改变, 以终端A的IP地址为源IP的流量从S9700交换机的4口进入后,根据入口策略,流量将引入UTM设备做清洗,进入UTM设备的接口为2; 改变位置后终端A无法访问总部网络。 告警信息 无 处理过程 分别在UTM设备和S9700设备上分析,发现从A发出的流量会被引入UTM设备,但是在UTM设备上会被丢弃。联系UTM厂家工程师,发现是UTM策略配置问题。A改变位置后,从2口进入UTM设备,根据原来的策略,流量应该从2口离开UTM设备进入S9700交换机,这样流量就会出现从UTM的2口进去,再从2口出来,UTM设备会认为这是路由欺骗,将会丢弃数据包。 根据A的IP地址做流量策略,让A的流量从UTM的2口进入,1口出,问题解决。 根因 1.可能是S9700上面的流量策略配置错误导致网络不通 2.可能是UTM上面的配置问题导致网络不通 建议与总结 网络不通时,逐跳排查故障,找到数据包传输中断的位置,从这里去排查问题

    SE_Gao 2025-12-31
    13 0 0

  • S9706 display acl 怎么可以看见匹配数

    FAQ-S9706 display acl 怎么可以看见匹配数   acl 3000 rule 5 permit ip source x.x.x.x 0.0.0.0 destination y.y.y.y 0.0.0.0 在接口下通过traffic-filter调用后,通过display acl显示acl match数为0   解决方案   1、已经确定该交换机有x.x.x.x到y.y.y.y的流量经过 2、display acl 统计的是与交换机本机交互的数据,FTP、TFTP、Telnet、SNMP、HTTP、路由、组播这些与本机交互的协议报文通过软件ACL进行规则匹配,可以通过此命令查看报文命中ACL规则的次数;其他转发报文通过硬件ACL进行规则匹配,该类报文命中ACL规则的次数,需通过其他方式进行查看。 3、如果是在接口下边调用的traffic-policy,那么需要在behavior视图下执行statistic enable,然后通过命令display traffic policy statistics interface命令查看。 4、如果接口下调用的是traffic-filter,那么同时需要在接口下边执行traffic-statistic inbound/outbound acl xxx,然后通过命令 display traffic-statistics interface gigabitethernet xxx inbound acl xxx来查看命中的信息。

    SE_Gao 2025-12-30
    14 0 0

  • 生成树的TC报文导致网络丢包

    问题描述 某医院采用两台华为S9706交换机作为网络核心层设备,下挂S5700作为内网终端千兆接入,双链路上行至核心,并使用VRRP+MSTP的组网方式保证网络的可靠性,避免单点故障,服务器旁挂核心。网络管理员发现网络中时常有丢包,导致医院应用无法正常使用。 处理过程 排查故障最开始怀疑是业务高峰期突发流量过大,导致设备处理不过来。但是通过查看设备CPU、内存使用情况,并未发现有异常现象,而日志信息也没有提未相关告警。于是通过配置镜像端口,使用报文头分析软件观察现网数据包情况,发现网络中时常发出TC报文和ARP请求。由于生成树的机制问题,当网络拓扑发生改变,会发出TC报文通知全网设备,并刷新ARP表项,而ARP刷新没有得到及时回应的时候,会存在丢包。通过了解发现,客户现场有部分接入终端的接口,由于工作需要,存在频繁UP/DOWN的情况,从而导致STP的重新收敛。 根因 生成树网络中,拓扑发现改变时,设备会发出TC报文通知拓扑改变信息,并刷新ARP表项,当ARP刷新没有得到及时回应时,就可能引起丢包现象。 解决方案 通过配置命令:stp edged-port enable,将接入终端的接口配置为边缘端口,并启用BPDU保护:stp bpdu-protection。边缘端口不参与生成树计算,故端口状态发生变化时不会引起生成树的重新计算,经测试,丢包问题没有复现。问题解决。

    SE_Gao 2025-12-29
    13 0 0

  • 由于S9300交换机的安全机制导致特殊场景下的语音媒体报文被丢弃

    问题描述 组网:ONU-OLT-S9300-NE40E 故障:同一个ONU下挂的两个电话能通接通,但是双方都听不到对方的语音 版本:V100R002C00SPC002 告警信息 无 处理过程 由于报文被无法判断被那台设备丢弃,只能通过报文分析: 1、在ONU上行报文获取,发现报文正常发出。 2、在OLT上行和下行报文获取,发现报文从OLT上行口正常发出。 3、在S9300下行口报文获取,可以抓到该报文,但是在上行口却没有抓到该报文,基本可以确认该报文是被S9300丢弃。 4、经过咨询研发,S9300该版本当源IP跟目的IP相同的时候认为是非法报文采取丢弃的策略。 后期可以通过补丁对此类报文认为是合法报文不采取丢弃策略。 根因 同一个ONU下挂的两个电话能够接通,证明信令是没有问题的,而且在ONU上面ping替他IP地址都是没有任何问题的。由于是同一个ONU的两个电话使用的媒体IP是一个,也就是该报文的源IP和目的IP是同一个IP地址,源MAC地址是ONU的MAC地址,目的MAC是NE40E的网关地址。ONU使用外部转发模式,会将媒体报文通过OLT转发到交换机和NE40E,然后NE40E再转发给ONU,双方听不到语音,也就是媒体报文被丢弃。怀疑报文是被中间设备丢弃。 有可能丢弃该报文的设备如下: 1、被OLT丢弃 2、被S9300丢弃 3、被NE40E丢弃 建议与总结 无

    SE_Gao 2025-12-26
    13 0 0

  • super-vlan下使用traffic policy是否可以生效

    问题描述 S9300上配置如下(与版本无关): traffic classifier temp operator or precedence 85 if-match any traffic behavior temp statistic enable remark dscp af23 traffic policy temp classifier temp behavior temp vlan 52 description Internet_VRRP_2 aggregate-vlan access-vlan 2250 to 2499 traffic-policy temp inbound # interface GigabitEthernet1/0/0 description To sw-sv-1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 99 1000 1050 1100 1110 1120 1500 to 1749 1951 to 1952 2000 to 2999 3500 to 3999 port-mirroring to observe-port 1 both client1(213.111.80.9/20)---(1/0/0)S9300(1/0/1 )---Client2(213.111.127.66) 1.确认路由: 213.111.80.0/20  Direct 0    0           D  213.111.80.1    Vlanif52 2.通过对S9300 1/0/0和1/0/1的报文分析发现DSCP值仍然是Default,没有被remark为af23.(见附件中的报文分析) 3.查看super vlan下的流统计结果,发现没有匹配到的记录。 >disp traffic policy statistics vlan 52 inbound verbose classifier-base Vlan: 52 Traffic policy inbound: temp Rule number: 1 Current status: OK! Classifier: temp operator or Behavior: temp Board : 1 Item                              Packets                       Bytes --------------------------------------------------------------------- Matched                                 0                           0 +--Passed                             0                           0 +--Dropped                            0                           0 +--Filter                           0                       ……

    SE_Gao 2025-12-25
    15 0 0

  • VPN业务在配置route-policy后导致互访速度急剧下降

    问题描述 客户在用使用S9300时,发现当设备配置route policy时,两台PC之间的传输速度会骤然降低,从未配置前的93Mbits/S,急速降低到51.4Kbits/s。而route-policy作为一个重要的安全功能,需要经常使用。 告警信息 无 处理过程 1、获取路由表信息,ARP表信息。 2、发现路由表信息和ARP表信息没有问题时,问一线有关客户详细的测试方式和测试步骤,使用的报文信息等。 3、确认S93硬件芯片现在不支持通过route-policy方式的VPN互访,所以只能经过软件转发,而不能经过硬件转发达到线速。所以导致配置这条命令后,互访速度剧烈下降。需要增加如下配置: acl number 2001 rule 5 permit source 10.20.31.0 0.0.0.255 route-policy test11 permit node 5 if-match acl 2001 ip vpn-instance test1 route-distinguisher 111:111 export route-policy test11 vpn-target 111:111 export-extcommunity vpn-target 111:111 222:222 import-extcommunity ip vpn-instance test2 route-distinguisher 222:222 vpn-target 222:222 export-extcommunity vpn-target 222:222 111:111 import-extcommunity 通过配置route-policy来过滤路由。 在test1里,可以看到发布的两段地址10.20.31.0/24和10.200.32.0/24。用export route-policy test11来过滤,只能允许10.20.31.0/24这段路由发布。 在test2里,只能得到test1发布的那段路由10.20.31.0/24,另一条10.200.32.0/24是看不到的。这样,可以使10.20.31.0/24这段路由达到线速转发,而其他路由由于硬件原因,还是无法达到线速。 根因 1.配置后路由表项的学习出现问题。 2.前后测试所使用测试方法不同。 建议与总结 无

    SE_Gao 2025-12-24
    12 0 0

  • S9300的netstream是否支持1:1采样比

    问题描述 Q: S9300的netstream是否支持1:1采样比? 告警信息 无 处理过程 A: 1、S9300的netstream支持1:1采样比,采样比的范围为8192:1-1:1。 2、软件要求:需要V100R002以后的版本。 3、硬件要求:需要非标准单板。 4、Eth-trunk端口不支持netstream,但是其成员端口可以支持。 根因 无 建议与总结 无。

    SE_Gao 2025-12-23
    10 0 0

  • S9700堆叠主控板注册失败

    问题描述 某企业用,用S9706 V200R008C00SPC500 堆叠,发现备框备用主控板不能注册 告警信息 Chassis 2  8槽位单板状态为Unregistered,如下: ===============display device=============== ================================================== Chassis 1 (Master Switch) S9706's Device status: Slot  Sub Type         Online    Power      Register       Status     Role ------------------------------------------------------------------------------- 1     -   EH1D2G24SEC0 Present   PowerOn    Registered     Normal     NA 2     -   EH1D2G48TFA0 Present   PowerOn    Registered     Normal     NA 3     -   EH1D2G48TFA0 Present   PowerOn    Registered     Normal     NA 7     -   EH1D2SRUC000 Present   PowerOn    Registered     Normal     Master 1   EH1D2VS08000 Present   PowerOn    Registered     Normal     NA 8     -   EH1D2SRUC000 Present   PowerOn    Registered     Normal     Slave 1   EH1D2VS08000 Present   PowerOn    Registered     Normal     NA PWR1  -   -            Present   PowerOn    Registered     Normal     NA PWR2  -   -            Present   PowerOn    Registered     Normal     NA CMU1  -   EH1D200CMU00 Present   PowerOn    Registered     Normal     Master FAN1  -   -            Present   PowerOn    Registered     Normal     NA FAN2  -   -            Present   PowerOn    Registered     Normal     NA Chassis 2 (Standby Switch) S9706's Device status: Slot  Sub Type         Online    Power      Register       Status     Role ----------------------------------------------------------……

    SE_Gao 2025-12-22
    11 0 0

  • 某地市DHCP攻击导致新建热点AP上线慢

    问题描述 某地市新建WLAN新建热点AP上线速度慢,每个热点AP上线时间为3-4个小时,AP成功上线后不掉线且业务可正常运行.某地市WLAN为AC旁挂式三层组网隧道转发,AC使用BAS集成AC的ME60-X3,版本号v600r002c02spc800;汇聚交换机型号为华为S9306,版本号V100R002C00spc200 告警信息 无 处理过程 登录SW9306上,通过命令行“display mac-address dynamic vlan ***”查看问题AP的MAC表项,发现汇聚交换机上可学到AP的MAC地址,说明汇聚交换机和AP二层链路互通. 登陆ME60-X3,利用命令行“display ip pool name *** used”查看问题AP所在AP管理地址池的使用情况,发现地址池未耗尽且问题AP没有分得IP地址,3-4小时后AP可获得IP地址且可以上线,说明问题出在AP获取IP地址过程缓慢. 在POE交换机上对AP报文分析,发现只有发出的DHCP discover报文,没有收到的DHCP offer报文. 登陆SW9306,使用命令行“display cpu-defend statistics all”查看CPCAR使用情况,发现SLOT 1上dhcp-client端流量非常大,且丢包严重,连续两次使用命令行“display cpu-defend statistics slot 1”,结果如下: 第一次: Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets) dhcp-client 73740848172 10548268875k 200926476 30133544374 第二次: Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets) dhcp-client 73742813772 10548651107k 200932092 30134636292 使用命令行“display interface gigaethernet ***”分别查看SW9306的下行口,发现某一下行口有大量广播报文流量.故可判断该端口有大量无用DHCP广播报文上送cpu,由于cpu的通道限速,导致其它新建热点的有用DHCP报文无法顺利到达ME60-X3,从而无法及时获取地址,上线过程缓慢.大量DHCP无用报文可能是MAC环路漂移或者DHCP泛洪攻击造成的. 通过命令行“mac-flapping check enable……

    SE_Gao 2025-12-19
    7 0 0

  • S9706 V200R008C00SPC500 堆叠备框备用主控板不能注册

    问题描述 S9706 V200R008C00SPC500 堆叠备框备用主控板不能注册 告警信息 ===============display device=============== ================================================== Chassis 1 (Master Switch) S9706's Device status: Slot  Sub Type         Online    Power      Register       Status     Role ------------------------------------------------------------------------------- 1     -   EH1D2G24SEC0 Present   PowerOn    Registered     Normal     NA 2     -   EH1D2G48TFA0 Present   PowerOn    Registered     Normal     NA 3     -   EH1D2G48TFA0 Present   PowerOn    Registered     Normal     NA 7     -   EH1D2SRUC000 Present   PowerOn    Registered     Normal     Master 1   EH1D2VS08000 Present   PowerOn    Registered     Normal     NA 8     -   EH1D2SRUC000 Present   PowerOn    Registered     Normal     Slave 1   EH1D2VS08000 Present   PowerOn    Registered     Normal     NA PWR1  -   -            Present   PowerOn    Registered     Normal     NA PWR2  -   -            Present   PowerOn    Registered     Normal     NA CMU1  -   EH1D200CMU00 Present   PowerOn    Registered     Normal     Master FAN1  -   -            Present   PowerOn    Registered     Normal     NA FAN2  -   -            Present   PowerOn    Registered     Normal     NA Chassis 2 (Standby Switch) S9706's Device status: Slot  Sub Type         Online    Power      Register       Status     Role ------------------------------------------------------------------------------- 1     -   EH1D2G24SEC0 Present   PowerOn    R……

    SE_Gao 2025-12-18
    5 0 0
12345 下一页尾页1/38

时光机

开往-友链接力
友情链接
申请友链
Lovestu
免费图床
锐捷网络