华为交换案例

华为交换机案例库 中国移动通信集团福建有限公司泉州分公司

21. 专线用户上网故障

【故障现象】

专线用户，PC1、PC2挂于SW01下，PC1能正常访问其他任何地址，PC2访问不了192.168.4.0/24内主机，但是能正常外网 【处理过程】

检查PC2配置掩码配成了255.255.255.0，导致PC2认为访问PC1(地址:192.168.4.5)在同一个广播域，就不会把包转发到网关去。因此PC2无法访问PC1,之后PC2更改掩码为255.255.255.252后正常 【故障总结】

专线用户开后，必须跟网关地址配置同一掩码，防止部分IP无法访问。

22. VRRP故障案例1

【故障现象】

+-――――--+ +-------------+ | lanswit_A |-----| lanswit_B|

+--――――-+ +-------------+ \\ / \\ / \\ / +-――――--+ | NGN网关 | +--――――-+

上述组网图是NGN承载网组网中最常见的组网方式之一，一般LANSWITCH上行与NGN承载网核心网设备之间运行动态OSPF协议，对网关配置VRRP协议提供冗余。在VRRP配置为抢占方式下，考虑交换机出现故障重启或人工重启等操作时，其OSPF收敛需要一定收敛时间，因此为保证VRRP切换前，OSPF稳定收敛，在两台LANSWITCH的VRRP配置中配置适当的抢占延迟（配置vrrp vrid 1 preempt-mode timer delay 90）。实际测试中发现：VRRP的状态为BACKUP的交换机复位后，网络未出现业务中断，但VRRP状态为MASTER的交换机复位后，网络出现大致90秒业务中断。 【处理过程】

分析:从故障情况来看，网络中断时间长与VRRP配置90秒抢占延时有关，配置抢占延时后，原处于BACKUP交换机需要等待到抢占延时时间结束才进行VRRP状态切换（而不是原来Mater_Down_Interval定时器触发VRRP切换），分析NGN承载网业务实际转发情

17 / 58

华为交换机案例库 中国移动通信集团福建有限公司泉州分公司

况发现，在VRRP工作在抢占模式时，只需在VRRP优先级高的交换机上配置一定的抢占延时（VRRP优先级低的交换机上配置为立即抢占方式），即可同时交换机复位重启后满足OSPF收敛要求与VRRP快速切换要求。

VRRP状态为MASTER交换机复位后：

1、在NGN网关上ping 缺省网关（VRRP虚拟IP地址），发现ping 不通VRRP虚拟IP地址。 2、通过disp vrrp命令查看交换机上VRRP状态，发现交换机上VRRP状态一直为BACKUP，大体90秒左右切换为MASTER，网络恢复正常。

3、在VRRP优先级低的交换机通过undo vrrp vrid 1 preempt-mode命令，将VRRP抢占时延恢复为0。

4、对VRRP状态为MASTER交换机进行复位测试，发现VRRP切换一般均会在2~3秒中完成，网络中断保持在4秒以内。

23. ACL配置故障(1)

【故障现象】

SW01配置了ACL 3000,想限制SW01的1.1.1.1和SW02的2.2.2.2之间ICMP不能访问，配置ACL之后发现还是能PING通 【故障处理】 ：

在SW01通过disp curr查看配置如下 acl number 3000

rule 0 deny icmp source 1.1.1.1 0 destination 2.2.2.2 0 rule 1 permit ip interface Ethernet0/8

packet-filter inbound ip-group 3000 rule 0 packet-filter inbound ip-group 3000 rule 1

由于作用在SW01的E0/8的inbound方向，因此源IP应该为SW02的IP,2.2.2.2,而目标IP为1.1.1.1。修改配置ACL 3000的rule 0 deny icmp source 1.1.1.1 0 destination 2.2.2.2 0为rule 0 deny icmp source 2.2.2.2 0 destination 1.1.1.1 0，即可达到效果 【故障总结】ACL策略源及目的要明确，否则会导致配置无效

24. ACL配置故障(2)

【故障现象】 ：S3900定义端口范围的rule将下发不成功。 【故障处理】 ：

目前S3900不支持下发acl中带有端口范围的规则，range只能用于软件acl，比如用telnet等软件上的过滤。下发的时候会出现如下的信息提示： acl num 3000

rule 6 permit tcp source 222.215.163.176 0.0.0.7 destination-port range 1099 1100 [LS_HuiDong_IP_3928P_1-Ethernet1/0/7]packet-filter inbound ip-group 3000 rule 6 Applying Acl 3000 rule 6 failed!

Reason: This type of ACL rule is not supported by the command which is attempti ng to use the ACL!(Ethernet1/0/7)

18 / 58

华为交换机案例库 中国移动通信集团福建有限公司泉州分公司

25. OSPF区域认证故障

【故障现象】

SW01及SW02配置OSPF在区域0，OSPF邻居无法正常建立 【故障处理】

通过disp ospf error发现“20: OSPF: wrong authentication key ”，通过disp curr检查发现SW02配置 SW01配置： ospf

area 0.0.0.0

network 192.168.4.0 0.0.0.255 authentication-mode md5 interface Vlan-interface1

ip address 192.168.4.249 255.255.255.0

ospf authentication-mode md5 10 N`C55QK<`=/Q=^Q`MAF4<1!! SW01、SW02之间修改为相同MD5认证即可 【故障总结】OSPF邻居无法建立一般可通过disp ospf error查看什么错误增加来帮助定位故障

26. OSPF流量不合理故障

【故障现象】

德化流量通过4*2M上行 【故障处理】

由于圣湖-永春-德化均为ETC转成100M链路，德化-晋江通过4*2M网桥互联，最后到交换机也是100M。查看接口ospf的cost值均为50，德化->晋江开销比德化->永春->圣湖来的小，导致业务上联链路带宽不足。

通过手工在接口配置模式下，配置连接晋江6506接口ospf cost 100，通过disp ospf interface、disp interface 接口名，校验 【故障总结】

OSPF中的COST值要计算一整条路径的，并且越小越优选

27.

交换机端口环路导致的ARP学习错误

19 / 58

【故障现象】

华为交换机案例库 中国移动通信集团福建有限公司泉州分公司

Switch1 0/1 网管 192.168.100.1/24 0/24 192.168.100.2/24 Switch2 0/1 0/2 0/24 Switch3 0/11 0/24 192.168.100.5/24 0/1 0/2 Switch5 192.168.100.3/24 0/24 192.168.100.4/24

Switch4

1、组网见上图，网管N2000挂接在城域网，通过Switch1管理其下的交换机，所有交换机管理VLAN

2、Switch5属于大楼汇聚交换机，下挂楼道交换机，Switch2\\3\\4都属于局端交换机。大楼和局端

经过传输互联。

2、网管提示紧急告警，无法管理Switch4，业务正常。 【故障处理】

1、从现象看，当属业务VLAN存在问题，和设备本身无关。 2、由于N2000客户设置为只有当中低端交换机Ping不通时才紧急告警，而同一个管理VLAN下，只有

Switch4管理不到，可能是ARP或MAC地址学习错误。

1、由于Switch1实际是一台ATM交换机，所以处理集中在Switch2及其下挂交换机。 2、查看Switch2的ARP表项： [Switch2]display arp

IP Address MAC Address VLAN ID Port Name Aging Type 192.168.100.3 00e0-fc2c-f8a3 2 Ethernet0/1 17 Dynamic 192.168.100.4 00e0-fc24-6a64 2 Ethernet0/1 17 Dynamic ..................................................................

显然关于Switch4的ARP表项错误。正确的端口应该是Ethernet0/2。 3、根据ARP和MAC的学习机制，可以判断Switch3及其下挂交换机上存在环路；在Switch3的下行端口逐个做undo port trunk permit vlan 2的操作，当操作Ethernet0/11端口时，故障现象消除。

4、从步骤3的操作可以判断Ethernet0/11存在环路，经维护工程师确认，Switch5已经上业务，传输不可能打环，经过大楼维护点排查，Switch5的Ethernet0/1和0/2构成环路，属施工跳线误连，导致环路。

20 / 58