數據通信

NE40E多實例nat

故障描述

按照配置用例在根系統中配置的nat outbound上網,內網用戶可以正常上網.
類似配置遷移到vpn-instance中,內網用戶就無法上網了.
無論修改acl是否帶vpn-instance屬性,內網用戶都是只能ping到設備內網口/外網口,無法ping到設備外網口對端地址.

故障分析

1.nat instance 中引用的acl需要綁定vpn-instance屬性
2.在策略應用traffic classifier中引用的acl不能帶vpn-instance屬性

處理過程

按照要求重新配置了acl在不同的地方引用.
關鍵配置如下:
nat instance ndianxin
vpn-nat enable
add slot 4 master
nat address-group vdx x.x.x.136 x.x.x.143 vpn-instance dianxin
nat outbound 3101 address-group vdx
#
acl number 3001
rule 110 permit ip source 10.23.0.0 0.0.255.255
rule 120 permit ip source 10.59.0.0 0.0.255.255
rule 130 permit ip source 192.168.0.0 0.0.255.255
#
acl number 3101
rule 110 permit ip vpn-instance dianxin source 10.23.0.0 0.0.255.255
rule 120 permit ip vpn-instance dianxin source 192.168.0.0 0.0.255.255
#
traffic classifier c1 operator or
if-match acl 3001
traffic behavior b1
nat bind instance ndianxin

traffic policy p1
share-mode
classifier c1 behavior b1

建議/總結

　　無

AR2200的E1接口故障處理

故障描述

E1線纜連接后，E1端口不能UP，客戶業務不能正常上線。

故障分析

用E1線（120歐姆）將AR2200與DDF架連接起來，但是AR2200的E1端口一直不能UP。經過分析發現客戶使用了普通的網線將AR與DDF架上的接口相連，并且DDF架上的port0/1端口故障，故而導致AR2200的E1端口不能UP。

處理過程

1. 檢查設備是否有告警，子卡是否有損壞。
發現設備無告警且各單板注冊正常，排除設備硬件故障。
2. 檢查設備配置是否正確。
檢查AR2200的E1端口是否配置了接口的工作方式，是否與對端設備E1端口工作模式一致。檢查AR2200的端口配置如下：
#
controller E1 4/0/0
using e1
#
interface Serial4/0/0:0
link-protocol ppp
description shenzheng to shanghai
ip address 10.10.10.5 255.255.255.252
#
并且與對端設備網管人員確認，對端設備與AR2200工作模式一致，且IP地址為10.10.10.6/30。
經確認設備配置正確。
3. 檢查E1線纜是否正常。
檢查E1線纜線序，發現線序為普通網線線序。E1線纜（120歐姆）外觀與普通網線相同.現場更換E1線纜（120歐姆）后，AR2200端口仍然未UP。
將AR2200的Serial4/0/0:1端口配置為與Serial4/0/0:0同樣的工作模式。用更換后的E1線纜將AR2200的Serial4/0/0:1與Serial4/0/0:0自環連接。發現設備的兩個端口均UP。這表明更換后的E1線纜是正常的。
4. 檢查DDF架接口。
將更換后的E1線纜插入DDF架的另外一個端口，AR2200的E1端口UP
通過逐段排查，發現由于客戶使用普通網線代替E1線纜，且客戶DDF架端口故障是導致本次故障的根因，更換E1線纜和插入正常DDF架端口后，設備端口UP，業務正常上線。

建議/總結

　　無

語音模塊工作模式改變導致AR升級后語音配置丟失

故障描述

客戶當前網絡中AR1200為V2R1版本，雖然按照升級指導對相應的命令做了修改，升級為V2R3版本后發現所有語音配置丟失，但是非語音配置存在，操作如下：
1. 設置下次啟動時配置文件為修改后的配置
startup saved-configuration arcfg_new.cfg
This operation will take several minutes, please wait..........
Info: Succeeded in setting the file for booting system
2. 設置下次啟動時版本文件為V2R3C01SPC900
startup system-software ar1220-v200r003c01spc900.cc
This operation will take several minutes, please wait.....
Info: Succeeded in setting the file for booting system

通過display current-configuration ,發現配置中沒有語音命令。

故障分析

1. 版本中的命令行差異導致升級后所有語音相關配置丟失
2. AR 啟動后語音模塊工作模式變化為默認的.

處理過程

版本升級可能會導致AR語音恢復為默認工作模式，導致所有語音部分配置丟失；
解決辦法：
1.設置語音工作模式為PBX，
3. 重啟設備，在重啟前一定不要做任何保存操作，因為當前系統配置中丟掉了語音部分配置，保存會導致配置覆蓋。
4. 當系統正常進入PBX工作模式后，語音部分配置恢復。

建議/總結

　　無

FAQ：AR 接口下配置NAT SERVER 映射提示地址沖突？

故障描述

AR 接口下配置NAT SERVER 映射提示地址沖突，如下：
nat server global 192.168.108.136 inside 172.16.1.2

Error: The address conflicts with interface or ARP IP.

故障分析

無

處理過程

當前接口配置如下：
#
interface GigabitEthernet0/0/0
ip address 192.168.108.136 255.255.255.0
#
return
AR在配置NAT映射時，公網IP不能與接口IP地址相同，否則會提示沖突，導致配置不上去。如果做全映射，至少需要申請兩個公網IP，一個配置在接口上，一個用于做全映射；如果只有一個公網IP時，可以做端口映射，公網IP使用current-interface參考代替，如下：
nat server protocol tcp global current-interface 80 inside 172.16.1.2 80

建議/總結

　　無

CE12800 ETH-TRUNK兩端成員口不一致導致STP頻繁震蕩

故障描述

　　兩臺CE12800 采用VRRP做網關，S9512交換機雙上行到兩臺CE12800交換機，所有鏈路均采用兩根線纜捆綁，并運行MSTP協議，下掛業務時斷時續，設備出現MAC漂移、IP沖突。

故障分析

　　日志中顯示的ARP沖突為CE12800-01設備自身的IP地址，MAC地址也為自身MAC地址，
　　說明是設備自身發出的ARP探測報文又被自己收到，從而發出ARP沖突告警，結合日志中出現MAC漂移告警，懷疑網絡中出現環路。
　　但是日志中記錄STP狀態反復變更，接口每秒鐘多次阻塞/開啟，同時未發現該設備及下游設備有接口頻繁UP/DOWN信息，排除線路不穩定問題。
　　經仔細排查發現CE12800-1下聯9512的鏈路捆綁接口，9512側匯聚鏈路捆綁失敗，導致9512交換機側為兩個獨立的物理端口連接到對端CE12800-1 ETH-TRUNK接口，CE12800下行流量中BPDU報文哈希到ETH-TRUNK 成員口1又經9512接口轉發至ETH-TRUNK 成員口2，導致ETH-TRUNK被STP阻塞，阻塞后收不到BPDU報文，再次被放開到轉發狀態，導致端口反復UP/DOWN。

處理過程

　　將9512交換機兩個成員口重新加入到link-aggregation group中，網絡恢復正常。

建議/總結

　　無

因交換機遠程登入掛死導致交換機不能被telnet的問題

故障描述

　　設備：S5352交換機，版本：V100R005C01SPC100 ，補?。簊23_33_53-v100r005sph003.pat
　　組網：為兩臺交換機互聯
　　交換機配置了telnet（aaa里建了用戶，配置了user-interface vty 0 4下面 aaa認證），交換機能ping通自己的地址：127.0.0.1和交換機上配置的地址，但無法telnet 自己的地址。提示：
　　Trying 127.0.0.1 ...
　　Press CTRL+K to abort

故障分析

1、user-interface vty 是否配置正確
2、檢查設備device ，是否有設備硬件信息不正常
3、 dis users 查看是否為用戶掛死

處理過程

1 user-interface vty 是否配置正確，檢查后發現正確，且只能配置 user-interface vty 0 4
2 檢查設備device ，是否有設備硬件信息不正常，結果都是Normal的
3 dis users 檢查用戶
4 重新配置一遍 user-interface vty 0 4，刪掉在配置，也還是不行
5 把 user-interface vty 0 重新釋放，free user-interface vty 0 ，結果能telnet了

建議/總結

　　無

S2300交換機上voice vlan不起作用的解決方法

故障描述

在S2300上配置了Voice Vlan后，連接到S2300的IP話機并沒有獲取到該Voice Vlan的ID，而是被分配到了其他普通Vlan上。IP話機的型號是Grandstream GXP1405。

相關的配置信息如下，其中IP話機連接到Ethernet0/0/12
interface Ethernet0/0/12
description testt voip Phone
voice-vlan 6 enable
voice-vlan mode manual
port hybrid pvid vlan 4
port hybrid tagged vlan 6
port hybrid untagged vlan 4
undo negotiation auto
speed 100

即使更換成如下配置，IP話機也沒有獲取到voice Vlan的ID。
interface Ethernet0/0/12
description testt voip Phoone
voice-vlan 6 enable
voice-vlan mode manual
voice-vlan legacy enable
port link-type trunk
port trunk pvid vlan 4
port trunk allow-pass vlan 6

故障分析

原因1：查詢時時間參數設置不正確
原因2：設備未正確關聯到采集器，采集方式未配置

處理過程

這種型號的IP話機發出的數據包是不帶TAG的，采用MAC-VLAN的方式：
vlan 6
mac-vlan mac-address xxx-xxx-xxx //the mac-address of IP話機
interface Ethernet0/0/12
port hybrid untagged vlan 4 6 //add 6 to untag vlan
mac-vlan enable

如此修改后，連接S2300交換機的IP話機能獲取到了vlan6對應的接口的IP地址，并能正常呼叫，同時PC也能獲取到了vlan4對應的接口的IP地址。

建議/總結

　　無

無線客戶端為什么可以搜索到ER3108GW一個沒有名稱的SSID

故障描述

無線客戶端搜索到ER3108GW一個沒有名稱的SSID

故障分析

沒有名稱的SSID是由設備預留配置的WDS功能產生，因為無線功能的主接口和WDS功能的接口是同一個接口，當開啟無線功能的時候，不管WDS功能是否開啟，該接口始終處于UP狀態，所以在WDS功能禁用的時候，設備會自動給該接口配置一個空的SSID，從而導致無線客戶端可以掃描到一個沒有名稱的SSID。

處理過程

啟用了WDS功能后，無線客戶端也就無法掃描到沒有名稱的SSID了。

建議/總結

　　無

交換機產品S9300作為網關局域網內用戶時通時斷

故障描述

交換機產品S9300作為網關,局域網內用戶時通時斷，網絡設備會經常脫管，網關設備會打印大量地址沖突的告警。

故障分析

1、查看日志信息：
ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])
2、根據日志信息記錄的攻擊者的MAC地址查找MAC地址表，從而獲取到攻擊源所在的端口，通過網絡進一步排查，定位出攻擊源，為PC中毒所致。PC假冒網關向同網段設備請求IP。

處理過程

對用戶PC殺毒，網關開啟防假冒網關攻擊功能。
在S9300上配置防網關沖突功能arp anti-attack gateway-duplicate enable，ARP網關沖突防攻擊功能使能后，系統生成ARP防攻擊表項，在后續一段時間內對收到具有相同源MAC地址的報文直接丟棄，這樣可以防止與網關地址沖突的ARP報文在VLAN內廣播。

建議/總結

攻擊者設置主機靜態IP地址時，把主機地址設置成網關地址。在主機設置靜態IP地址后，會發送免費ARP報文在局域網內進行通告，該局域網內其他PC機收到此報文后，會修改自身的網關ARP表項，修改網關MAC為攻擊者MAC，導致該局域網內所有用戶無法正常使用網絡，網絡中斷。當攻擊者頻繁發送源IP地址為網關地址的免費ARP報文，即使網關設備收到此報文能夠通知局域網內正常主機把網關搶回，但是主機網關MAC地址頻繁切換也會導致網絡中斷。

交換機s9700(V200R001C00SPC300)拷貝S5528交換機DHCP配置導致用戶無法獲取IP地址故障

故障描述

一臺S9706交換機，版本為V200R001C00SPC300,替換現網的S5528交換機，在S9706上配置了DHCP SERVER 功能后無法獲取IP 地址。
組網:S9706(DHCP SERVER)-------S5700-----PC

故障分析

配置DHCP 功能后無法獲取IP 地址可能原因如下：
1 .PC 問題錯誤導致.
2.交換機配置錯誤導致.
3.交換機版本問題.

處理過程

1.檢查交換機配置無問題.
2.關閉了S9706上其他端口直接用PC 掛在S9706 端口上仍然無法獲取IP地址,更換PC 故障現象一樣.
3.在S9706 交換機上DEBUG DHCP 報文,PC 已經發送了DHCP discover報文，但是S9706 交換機無DHCP offer 回應報文.
4.檢查S9706 交換機IP 地址池使用情況發現地址池已經被全部分配完畢. 并且分配的IP 地址的MAC 地址完全一樣,判斷是交換機軟件版本BUG 導致, 刪除配置DHCP 的三層接口,重啟交換機后正常.

建議/總結

　　無

訂閱數據通信