设备ping不通

H3C安全产品日常维护指导书有限公开2016-03-29H3C机密,未经许可不得扩散第i页,共39页H3CLB(v5)产品日常维护指导书V1.
0杭州华三通信技术有限公司H3C安全产品日常维护指导书有限公开2016-03-29H3C机密,未经许可不得扩散第ii页,共39页修订记录日期修订版本描述作者H3C安全产品日常维护指导书有限公开2016-03-29H3C机密,未经许可不得扩散第iii页,共39页目录第1章日常维护建议.
21.
1LB产品日常维护建议2第2章维护操作指导.
i2.
1H3CLB设备日常维护操作指导.
i2.
2H3CLB设备季度维护操作指导.
i2.
3H3CLB设备年度维护操作指导.
ii第3章维护记录表格.
iii3.
1H3CLB设备日常维护值班日志.
iii3.
2H3CLB设备季度维护记录表iv3.
3H3CLB设备年度维护记录表v3.
4H3CLB设备突发问题处理记录表vi3.
5硬件更换记录表vii3.
6系统参数修改记录表.
viii第4章常见故障处理.
viii4.
1用户LB网卡无法搜索到SSID错误!
未定义书签.
4.
1.
1客户侧判断错误!
未定义书签.
4.
1.
2设备侧判断错误!
未定义书签.
4.
2用户无法获取IP地址错误!
未定义书签.
4.
2.
1客户侧判断错误!
未定义书签.
4.
2.
2设备侧判断错误!
未定义书签.
4.
3用户可以获取IP地址,但无法打开portal认证页面(以IE为例)错误!
未定义书签.
4.
3.
1客户侧判断错误!
未定义书签.
4.
3.
2设备侧判断错误!
未定义书签.
4.
4用户可以获取IP地址,可以打开portal认证页面,无法认证成功错误!
未定义书签.
4.
4.
1客户侧判断错误!
未定义书签.
4.
4.
2设备侧判断错误!
未定义书签.
4.
5上网过程中,出现网络速度变慢的问题错误!
未定义书签.
4.
5.
1客户侧判断错误!
未定义书签.
4.
5.
2设备侧判断错误!
未定义书签.
4.
6上网过程中,出现网络中断的问题错误!
未定义书签.
H3C安全产品日常维护指导书有限公开2016-03-29H3C机密,未经许可不得扩散第iv页,共39页4.
6.
1客户侧判断错误!
未定义书签.
4.
6.
2设备侧判断错误!
未定义书签.
4.
7AC+FITAP模式出现AP无法正常注册情况.
错误!
未定义书签.
4.
7.
1客户侧判断错误!
未定义书签.
4.
7.
2设备侧判断错误!
未定义书签.
H3C安全产品日常维护指导书有限公开2016-03-29H3C机密,未经许可不得扩散第1页,共39页H3CLB产品日常维护指导书摘要:此指导书用于指导H3CLB产品的日常维护使用,主要描述用户维护部门周期性(每天、每周、每月、每年)对H3CLB产品进行健康性检查的相关事项.
适用对象:本文档适用于维护H3C安全产品的工程师H3C安全产品日常维护指导书有限公开2016-03-29H3C机密,未经许可不得扩散第2页,共39页第1章日常维护建议维护手段:巡检、优化、处理投诉、保障等1.
1LB产品日常维护建议尊敬的用户:感谢您使用H3C公司的LB产品.
系统运行的正常、稳定是我们共同的愿望,为了我们共同的目标,请您重视以下建议并参照《日常维护建议指导书》进行必要的日常维护.
1、LB设备的使用涉及到多种业务知识,应安排受过专业培训的专人进行日常维护.
2、保持机房清洁干净,防尘防潮,防止虫鼠进入.
3、每天参照《H3CLB产品日常维护指导书》中内容对设备进行例行检查和测试,并记录检查结果.
4、用于系统管理、设备维护和业务操作的用户名和口令应该严格管理,定期更改,并只向特定相关人员发放.
5、严禁向设备维护终端和WEB客户端主机装入业务无关软件,严禁用设备维护终端和WEB客户端主机玩游戏.
维护终端和WEB客户端主机应该定期杀毒.
6、遇有不明原因告警,请迅速与代理商工程师或者H3C公司服务热线联系(400-8100504/800-8100504).
7、调整线缆一定要慎重,调整前要作标记,以防误接.
8、对设备硬件进行操作时应戴防静电手腕.
9、对设备进行复位、改动业务数据之前做好备份工作.
10、在对设备版本进行升级前,请详细阅读《版本说明书》中的升级指导,并全面备份相关配置.
LB设备运维日常的维护工作内容主要有季度巡检、故障处理、投诉处理、网络整改、通信保障H3C安全产品日常维护指导书有限公开2016-03-29H3C机密,未经许可不得扩散第3页,共39页等.
季度巡检:定期对所有进行一次现场巡检,对巡检时发现的问题现场进行处理并登记.
故障处理:主要通过网管系统发现故障并根据故障性质进行处理.
用户投诉:用户投诉要求在接到投诉后一定时限内赶到现场进行处理,处理完要求回访客户进行故障恢复确认.
网络优化:针对客户投诉、会议保障以及局点性质变化所作的较大的网络调整.
通讯保障:当有重大事情时会要求运维人员进行现场保障通信设备的稳定性.
H3C安全产品日常维护指导书有限公开i第2章维护操作指导2.
1H3CLB设备日常维护操作指导维护类别维护项目操作指导参考标准外部环境检查电源(直流/交流)查看电源监控系统或测试电源输出电压.
电压输出正常,电源无异常告警.
温度(正常0~35℃)检查机房的灰尘含量.
每平方米灰尘颗粒数量≤3*104(3天内桌面无可见灰尘)注:灰尘粒子直径≥5μm直观判断:三天内桌面无可见灰尘为好湿度(正常20%~80%)测试机房温度.
温度范围:0℃-35℃;建议为15℃-25℃.
机房清洁度(灰尘含量)测试相对湿度.
相对湿度:20%-80%(无冷凝)其他状况(火警、烟尘)查看消控系统告警状态消控系统无告警;设备运行状态检查查看系统运行情况参照设备命令手册检查看是否存在异常现象查看告警信息参照设备命令手册检查是否存在严重告警和异常告警设备指示灯状态观测参照设备命令手册CPU及内存状态观测参照设备命令手册查询/导出日志参照设备命令手册看日志有无严重告警和异常告警业务操作检查抽检telnet登录参照设备命令手册telnet方式能正常登录抽检端口统计数据参照设备命令手册查看各个使用的端口收发统计数据是否正常,异常报文是否有增长抽检可ping通参照设备命令手册抽检网络服务端口关闭情况参照设备命令手册比如FTPSERVER功能在不使用时要及时关闭2.
2H3CLB设备季度维护操作指导维护类别维护项目操作指导参考标准设备维护风扇状态观察风扇转动情况;听风扇转动的声音.
风扇看不到叶片,风扇通风正常;风扇转动声音轻微无马达声、破擦声或尖啸声;H3C安全产品日常维护指导书有限公开ii季度维护查询及抽检系统时钟参照设备命令手册如果和实际时间不符,需及时修改为正确时间.
更改登录密码参照设备命令手册告警联动有效性测试检测告警联动功能是否正常比如设置某侦测告警,观察此告警是否触发成功,并观察告警联动的执行情况网络连通性检查在中心设备维护终端上ping各网段主机在中心设备维护终端上用ip扫描工作扫描各网段,检查各节点的连通性网络设备端口状态检查登陆交换机显示并检查当前各端口状态设备维护终端上以串口或者telnet登陆设备,在用户视图下执行命令,检查各端口的状态,确保无CRC校验错,无半双工工作模式情况配置备份登陆交换机显示当前运行配置并保存该配置设备维护终端上以串口或者telnet登陆设备,在用户视图下执行displaycur,保存显示结果机柜清洁检查观察机柜内部和外部的清洁状况.
机柜表面清洁,机框内部灰尘不得过多,否则必须清理.
值班电话状态检查值班电话拨入、拨出情况(1)值班电话可顺利拨入;(2)值班电话可顺利拨出;(3)话机工作正常;2.
3H3CLB设备年度维护操作指导维护类别维护项目操作指导参考标准接地、地线、电源线、业务线缆连接检查地阻检查使用地阻仪测试地阻.
联合接地地阻小于1欧姆.
地线连接检查检查机柜接地线与局方地线排连接是否安全可靠.
(1)各连接处安全、可靠无腐蚀.
(2)地线无老化.
(3)地线排无腐蚀,防腐蚀处理得当.
电源线连接检查检查电源线与局方电源连接是否安全可靠.
(1)各连接处安全、可靠无腐蚀.
(2)电源线无老化.
业务线缆连接及布放检查业务线缆是否与设备及配线架连接牢靠,业务线缆标识清晰.
(1)各连接处安全、可靠无腐蚀.
(2)布线整齐、清洁、标识清晰.
电源检查UPS电源检查检查UPS的输出电压是否稳定;在市电断电之后UPS是否继续稳定供电;(1)UPS的输出电压稳定(2)市电断电之后UPS的继续稳定供电H3C安全产品日常维护指导书有限公开iii第3章维护记录表格3.
1H3CLB设备日常维护值班日志日期:年月日值班时间:时至时交班人:接班人:维护类别维护项目维护状况备注维护人设备运行环境电源(直流/交流)正常不正常温度(正常0~35℃)正常不正常湿度(正常20%~80%)正常不正常机房清洁度(灰尘含量)好差其他状况(火警、烟尘)正常不正常设备运行状态检查查看系统运行情况正常不正常查看告警信息正常不正常设备指示灯状态观测正常不正常CPU及内存状态观测正常不正常查询/导出日志正常不正常业务操作检查抽检telnet登录正常不正常抽检端口统计数据正常不正常抽检可ping通正常不正常抽检信号覆盖效果正常不正常抽检网络服务端口关闭情况正常不正常故障情况及其处理遗留问题H3C安全产品日常维护指导书有限公开iv班长核查3.
2H3CLB设备季度维护记录表维护周期:年月日至年月日维护类别维护项目维护状况备注维护人设备维护风扇状态正常不正常抽检指示灯状态正常不正常季度维护查询及抽检系统时钟正常不正常更改登录密码完成未完成告警联动有效性测试正常不正常网络连通性检查正常不正常网络设备端口状态检查正常不正常及配置备份完成未完成机柜清洁检查正常不正常值班电话状态正常不正常发现问题及处理情况记录遗留问题说明H3C安全产品日常维护指导书有限公开v班长核查3.
3H3CLB设备年度维护记录表维护周期:年月日至年月日维护类别维护项目维护状况备注维护人接地、地线、电源线、业务线缆连接检查地阻检查正常不正常地线连接检查正常不正常电源线连接检查正常不正常业务线缆连接及布放检查正常不正常电源检查UPS电源检查正常不正常发现问题及处理情况记录遗留问题说明H3C安全产品日常维护指导书有限公开vi班长核查3.
4H3CLB设备突发问题处理记录表发生时间:解决时间:值班人:处理人:问题类别:软硬件问题电网供电/UPS问题接地或电源连接问题设备安装问题操作问题其他(温度、湿度、鼠害、电磁干扰等)不可抗力(洪水、飓风、地震等)其他设备设备名称:生产厂家:设备名称:生产厂家:设备名称:生产厂家:故障描述:处理方法及结果:H3C安全产品日常维护指导书有限公开vii3.
5硬件更换记录表更换原因原设备名称/型号/条码新设备名称/型号/条码数量日期更换人H3C安全产品日常维护指导书有限公开viii3.
6系统参数修改记录表修改人修改时间修改原因修改内容第4章常见故障处理H3C安全产品日常维护指导书有限公开91故障处理通用流程1.
1故障处理注意事项更换和维护设备部件时,请佩戴防静电手腕,以确保您和设备的安全.
设备正常运行时,建议您在完成重要功能的配置后,及时保存当前配置,以便设备出现故障后能迅速恢复配置.
设备出现故障时,请尽可能全面、详细地记录现场信息(包括但不限于以下内容),搜集信息越全面、越详细,越有利于故障的快速定位.
记录具体的故障现象、故障时间、配置信息.
记录完整的网络拓扑,包括组网图、端口连接关系、故障位置.
记录现场采取的故障处理措施(比如配置操作、插拔线缆、手工重启设备)及实施后的现象效果.
记录故障处理过程中配置的所有命令行显示信息.
搜集设备日志信息和diag信息.
记录抓取的报文信息、Debug开关打印信息、主控板与网板持续异常重启的串口输出信息.
故障处理过程中,请注意:明确每项配置操作的影响,保证操作出问题时能够被恢复,故障影响不会扩大.
操作执行后请等待一定时间以确认执行效果并如实记录.
请不要保存故障处理过程中的配置,否则可能会引起配置丢失.
1.
2如何搜集设备运行信息为方便故障快速定位,建议不要关闭设备的信息中心(info-centerenable).
缺省情况下信息中心处于开启状态.
设备运行过程中会产生的logfile日志信息及记录设备运行状态的diag信息.
这些信息存储在CF卡中,可以通过FTP或TFTP等方式导出.
H3C安全产品日常维护指导书有限公开10设备运行信息介绍分类文件名内容logfile日志logfileX.
log命令行记录、Trap信息、设备运行中产生的记录信息diag信息XXX.
diag设备状态、CPU状态、内存状态、配置情况、软件表项、硬件表项等1.
2.
1logfile日志请先通过logfilesave将设备缓存的logfile日志保存CF卡中,并将日志搜集完整.
[H3C]logfilesaveThecontentsinthelogfilebufferhavebeensavedtothefilecfa0:/logfile/logfile.
log.
设备的logfile日志:dircfa0:/logfile/Directoryofcfa0:/logfile0-rw-10483632Jul08201415:05:22logfile.
log253156KBtotal(77596KBfree)1.
2.
2diag信息执行displaydiagnostic-information命令后,请输入"Y",以选择将diag保存到CF卡中(选择display会出现信息搜集不全.
信息搜集期间不能输入命令,请耐心等待.
displaydiagnostic-informationSaveordisplaydiagnosticinformation(Y=save,N=display)[Y/N]:yPleaseinputthefilename(*.
gz)[cfa0:/diag.
gz]:cfa0:/diag.
gzDiagnosticinformationisoutputtingtocfa0:/diag.
gz.
Savesuccessfully.
dircfa0:/Directoryofcfa0:……6-rw-898180Jun26201309:23:51diag.
gz1021808KBtotal(259072KBfree)也可以将diag信息直接显示出来(不建议这样搜集),搜集前请先执行screen-lengthdisable,避免屏幕输出被打断,如下:screen-lengthdisableH3C安全产品日常维护指导书有限公开11%Screen-lengthconfigurationisdisabledforcurrentuser.
displaydiagnostic-informationSaveordisplaydiagnosticinformation(Y=save,N=display)[Y/N]:N……1.
3故障定位和处理设备出现故障时,请先搜集设备运行的相关信息,判断大致的故障类型,然后参照对应类型的故障处理流程进行确认.
如遇到故障无法确认,请将故障描述连同搜集的信息发送给公司技术支持人员分析.
1.
3.
1故障处理流程图图1为故障处理的一般流程,可以大致判断出故障的类型.
H3C安全产品日常维护指导书有限公开12图1故障处理流程图1.
3.
2业务功能故障排查故障分析时常用的方法有:端口报文计数报文镜像端口抓包查看会话状态及统计信息查看L2、L3转发表项及统计Debug开关信息1.
3.
3故障原因分类1.
风扇故障如设备风扇指示灯异常、风扇停转、不断打印风扇告警信息,请参照2.
1风扇故障H3C安全产品日常维护指导书有限公开13处理.
2.
温度告警如设备打印温度告警,请参照2.
2温度告警处理.
3.
链路端口故障如端口出现无法UP、频繁UP/DOWN、端口错包,请参照3链路端口故障处理.
4.
报文转发故障如出现ping、tracert丢包或不通、二层丢包或不通、三层丢包或不通、业务异常等,请参照0报文转发故障处理.
5.
NAT/ALG转换故障如果出现NAT转换异常,不能正常转换,或者ALG处理异常,请参照5NAT类故障处理.
6.
CPU占用率高如主控设备或引擎的CPU占用率很高,请参照6.
1CPU占用率高.
7.
内存占用率高如设备单板内存占用率很高,请参照6.
2内存占用率高处理.
8.
IKE/IPSEC故障IPSEC出现转发不通、不能正常加解密时,请参考7.
1IPSecVPN常见故障处理方法处理.
1.
3.
4常见的故障恢复措施表1常见的故障恢复措施故障原因业务恢复动作故障排除动作硬件隔离故障单板;调整业务流向来隔离故障设备(如可以调整路由的优先级,避免流量经过故障设备,实现流量切换)更换备件(备件上线应用前应进行必要的测试)H3C安全产品日常维护指导书有限公开14故障原因业务恢复动作故障排除动作软件重启故障设备的协议;调整业务流向来隔离故障设备升级版本(含补丁版本);调整组网或配置消除引发故障因素链路调整业务流向来隔离故障线路检修线路其他修改错误配置;正确连接设备端口;调整业务流向来隔离故障线路修改错误配置;正确连接设备端口;检修机房的电源、空调等支撑系统2硬件类故障处理2.
1风扇故障2.
1.
1故障描述风扇框指示灯异常,设备打印风扇相关异常信息,如:%Feb2715:12:25:3462015H3CDEVM/3/FAN_ABSENT:Fan1isabsent.
#Feb2715:12:33:3462015H3CDEVM/1/FANSTATECHANGESTOFAILURE:Trap1.
3.
6.
1.
4.
1.
25506.
8.
35.
12.
1.
6:fanIDis1%Feb2715:12:33:3462015H3CDEVM/2/FAN_FAILED:Fan1failed.
2.
1.
2故障处理步骤(1)风扇框在位时,用手放在设备出风口,判断是否有出风,如果出风口无风,则风扇异常.
(2)检查风扇的入风口、出风口是否被挡住或积累太多灰尘.
(3)检查风扇框是否正常在位,各个风扇的状态是否正常.
如存在异常,建议通过风扇框拔插、更换交叉进一步确认.
(4)如果故障不能恢复,需要更换该风扇框,但当前没有风扇框,请关闭设备以免发生温度高导致单板烧坏;如果有降温措施保证系统工作在50摄氏度以下,可以暂时继续使用设备.
displayfanFan0Status:NormalFan1Status:NormalFan2Status:NormalFan3Status:NormalH3C安全产品日常维护指导书有限公开152.
2温度告警2.
2.
1故障描述设备打印温度过低、过高等告警信息,如:%Jun2610:13:46:2332013H3CDEV/4/TEMPERATURE_WARNING:Temperatureisgreaterthanwarningupperlimitonslot0sensor1.
2.
2.
2故障处理步骤(1)检查环境温度是否正常.
如果环境温度较高,请确认原因,比如机房通风不畅、空调制冷故障等.
(2)检查设备当前的Temperature温度是否超出上下的Warning、Alarm门限.
也可以用手触摸单板,确认单板是不是很烫,如单板温度很高,请立即检查原因.
持续处于较高的温度下,可能会导致单板损坏.
如果温度过高,请参照2.
1风扇故障确认是否风扇故障导致.
如果温度值为error或出现明显不合实际的值,可能是通过I2C总线访问单板温度传感器异常.
设备光模块信息访问也是通过I2C总线,请继续检查单板读取光模块信息是否正常.
如光模块访问正常,请使用temperature-limit命令重新设置单板的温度告警门限值,并通过displayenvironment查看是否设置成功.
[H3C]temperature-limitslot0hotspot106575[H3C]displayenvironmentSystemTemperatureinformation(degreecentigrade):SensorTemperatureLowerLimitWarning-UpperLimitAlarm-UpperLimitShutdown-UpperLimithotspot13006070NAhotspot24308092NAhotspot33706070NA(3)如果仍然无法确认故障原因,请搜集信息并发送给技术支持人员协助分析.
H3C安全产品日常维护指导书有限公开162.
3故障诊断命令命令说明displaydevice显示设备信息,检查各单板的状态是否正常displayenvironment显示设备的温度信息,检查环境温度是否正常(是否超出温度告警阈值)displayfan显示设备内置风扇的工作状态displaypower显示设备上的电源系统信息.
displayversion显示系统版本信息、单板的运行时间以及最后一次重启的原因save将当前配置保存到指定文件temperature-limit设置设备的温度告警门限3链路端口故障处理3.
1端口错包3.
1.
1故障描述使用displayinterface命令查询端口的入、出方向流量统计信息,发现错包统计计数不为0.
[H3C]displayinterfaceGigabitEthernet1/0GigabitEthernet1/0Currentstate:UPLineprotocolstate:UPDescription:GigabitEthernet1/0InterfaceBandwidth:100000kbpsMaximumTransmitUnit:1500InternetAddressis2.
0.
0.
1/24PrimaryIPPacketFrameType:PKTFMT_ETHNT_2,HardwareAddress:000f-abcd-0007IPv6PacketFrameType:PKTFMT_ETHNT_2,HardwareAddress:000f-abcd-0007Mediatypeistwistedpair,loopbacknotset,promiscuousmodenotset100Mb/s,Full-duplex,linktypeisautonegotiationOutputflow-controlisdisabled,inputflow-controlisdisabledLastclearingofcounters:NeverPeakvalueofinput:0bytes/sec,at00-00-0000:00:00H3C安全产品日常维护指导书有限公开17Peakvalueofoutput:0bytes/sec,at00-00-0000:00:00Last300secondsinput:0packets/sec0bytes/sec0%Last300secondsoutput:0packets/sec60bytes/sec0%Input(total):0packets,0bytes0unicasts,0broadcasts,0multicasts,0pausesInput(normal):0packets,0bytes0unicasts,0broadcasts,0multicasts,0pausesInput:0inputerrors,0runts,0giants,-throttles0CRC,0frame,0overruns,0aborts0ignored,-parityerrorsOutput(total):5891packets,495516bytes0unicasts,1687broadcasts,4204multicasts,0pausesOutput(normal):5891packets,495516bytes0unicasts,1687broadcasts,4204multicasts,0pausesOutput:0outputerrors,0underruns,-bufferfailures0aborts,0deferred,0collisions,0latecollisions0lostcarrier,0nocarrier1.
端口入方向报文计数错误字段解释inputerrors:各种输入错误的总数.
runts:表示接收到的超小帧个数.
超小帧即接收到的报文小于64字节,且包括有效的CRC字段,报文格式正确.
giants:是超过端口设置的MaximumFrameLength的报文个数.
CRC:表示接收到的CRC校验错误报文个数.
frame:端口接收时出错的报文.
2.
端口出方向报文计数错误字段解释outputerrors:各种输出错误的总数.
aborts:表示发送失败的报文总数.
deferred:表示延迟报文的总数.
报文延迟是指因延迟过长的周期而导致发送失败的报文,而这些报文由于发送媒质繁忙而等待了超过2倍的最大报文发送时间.
collisions:表示冲突帧总数,即在发送过程中发生冲突的报文.
latecollisions:表示延迟冲突帧,即发送过程中发生延迟冲突超过512bit时间的帧.
H3C安全产品日常维护指导书有限公开183.
1.
2故障处理步骤1.
端口入方向出现CRC、frame、throttles错包且计数持续增加(1)使用仪器测试链路,链路质量差或者线路光信号衰减过大会导致报文在传输过程中出错.
如链路故障请更换网线或光纤.
(2)如端口使用光模块,参照3.
4光模块故障确认是否光模块故障导致.
(1)与别的正常的端口更换网线或光纤光模块,如端口更换后错包消失,端口更换回来错包又再次出现端口相关,应为单板端口故障,请更换端口并将故障信息发送技术支持人员分析;如更换到其他正常端口仍会出现错包,则对端设备、中间传输链路故障的可能性较大,请排查.
(2)排查对端设备或者中间的传输设备.
(3)如故障无法确认,请将故障信息发送技术支持人员分析.
2.
端口入方向出现giants错包且计数持续增加(1)检查两端的jumbo配置是否一致,如jumbo是否使能,端口默认的最大报文长度是否一致,允许最大报文长度是否一致.
(2)如果仍然无法确认,请将故障信息发送技术支持人员分析.
3.
端口出方向出现错包且计数持续增加(1)检查端口是否配置为半双工模式,如为半双工,请更改为全双工模式.
(2)如果仍然无法确认,请将故障信息发送技术支持人员分析.
3.
2端口无法up3.
2.
1故障描述端口无法正常Up.
3.
2.
2故障处理步骤1.
端口无法Up(1)测试端口之间网线、光纤链路是否正常,光纤两端的发送/接收端是否错连;更换端口之间的网线、光纤或将网线、光纤放到别的正常端口,以确认是否中间传输链路故障.
(2)检查本端、对端端口配置是否正确,如端口是否shutdown,速率、双工、协商模式、MDI是否正确.
H3C安全产品日常维护指导书有限公开19(3)如端口使用光模块,请检查两端光模块类型是否一致,如速率、波长、单模多模状态等;与正常的光模块交叉更换,并参照3.
4光模块故障排除是否为光模块故障导致.
[H3C]dispalytransceiverinterfaceTen-GigabitEthernet1/0Ten-GigabitEthernet1/0transceiverinformation:TransceiverType:10G_BASE_SR_SFPConnectorType:LCWavelength(nm):850TransferDistance(m):80(OM2),20(OM1),300(OM3)DigitalDiagnosticMonitoring:YESVendorName:FINISARCORP.
如果确认光模块有问题,需要更换光模块.
3.
2.
3故障处理步骤(1)查看本设备及对端设备日志,确认有无端口shutdown操作.
(2)查看两端端口状态,确认是否为协议异常或在线诊断模块检测到异常将端口shutdown.
当设备在线诊断模块检测到端口故障时,将端口shutdown隔离,以便流量切换到备份链路.
请将故障信息发送技术支持人员分析.
[H3C]displayinterfaceGigabitEthernet1/0GigabitEthernet1/0Currentstate:DOWNLineprotocolstate:DOWNDescription:GigabitEthernet1/0InterfaceBandwidth:1000000kbpsMaximumTransmitUnit:1500Internetprotocolprocessing:disabledIPPacketFrameType:PKTFMT_ETHNT_2,HardwareAddress:8042-0004-5601IPv6PacketFrameType:PKTFMT_ETHNT_2,HardwareAddress:8042-0004-5601Mediatypeisnotsure,PorthardwaretypeisNoconnectorLastclearingofcounters:16:45:01Wed12/11/2013Peakvalueofinput:0bytes/sec,at2013-12-1116:45:03Peakvalueofoutput:0bytes/sec,at2013-12-1116:45:03Last300secondsinput:0packets/sec0bytes/secLast300secondsoutput:0packets/sec0bytes/sec(3)参照3.
2端口无法up,排查两端端口配置,网线、光模块、光纤等链路是否正常.
(4)如仍无法确认,请搜集本端、对端设备信息,并将信息发送技术支持人员分析.
H3C安全产品日常维护指导书有限公开203.
3端口频繁Up/Down3.
3.
1故障描述端口频繁Up/Down.
3.
3.
2故障处理步骤(1)对于光口,请参照3.
4光模块故障确认光模块是否异常.
(2)对于电口,一般在自协商情况下容易出现协商不稳定,这种情况请尝试设置强制速率双工.
(3)如果故障依存在,请排查链路、对端设备、中间设备.
(4)如仍无法确认,请将故障信息发送技术支持人员分析.
3.
4光模块故障3.
4.
1故障描述安装光模块的接口不能正常UP,出现告警信息.
3.
4.
2故障处理步骤(1)检查光模块Alarm告警信息.
告警信息中如果存在接收有问题那一般是对端端口、光纤或中转传输设备导致;如果是发送有问题或者电流、电压异常那就需要排查本端端口.
[H3C]displaytransceiveralarminterfaceTen-GigabitEthernet1/0Ten-GigabitEthernet1/0transceivercurrentalarminformation:RXsignalloss表2光模块告警信息说明字段描述SFP/SFP+RXlossofsignal接收信号丢失RXpowerhigh接收光功率高告警RXpowerlow接收光功率低告警TXfault发送错误TXbiashigh偏置电流高告警H3C安全产品日常维护指导书有限公开21字段描述TXbiaslow偏置电流低告警TXpowerhigh发送光功率高告警TXpowerlow发送光功率低告警Temphigh温度高告警Templow温度低告警Voltagehigh电压高告警Voltagelow电压低告警TransceiverinfoI/Oerror模块信息读写错误Transceiverinfochecksumerror模块信息校验和错误Transceivertypeandportconfigurationmismatch模块类型和端口配置不匹配Transceivertypenotsupportedbyporthardware端口不支持该模块类型XFPRXlossofsignal接收信号丢失RXnotready接收状态未就绪RXCDRlossoflockRXCDR时钟失锁RXpowerhigh接收光功率高告警RXpowerlow接收光功率低告警TXnotready发送状态未就绪TXfault发送错误TXCDRlossoflockTXCDR时钟失锁TXbiashigh偏置电流高告警TXbiaslow偏置电流低告警TXpowerhigh发送光功率高告警TXpowerlow发送光功率低告警Modulenotready模块状态未就绪APDsupplyfaultAPD(AvalanchePhotoDiode,雪崩光电二极管)错误TECfaultTEC(ThermoelectricCooler,热电冷却器)错误Wavelengthunlocked光信号波长失锁Temphigh温度高告警Templow温度低告警H3C安全产品日常维护指导书有限公开22字段描述Voltagehigh电压高告警Voltagelow电压低告警TransceiverinfoI/Oerror模块信息读写错误Transceiverinfochecksumerror模块信息校验错误Transceivertypeandportconfigurationmismatch模块类型和端口配置不匹配Transceivertypenotsupportedbyporthardware端口不支持该模块类型(2)对怀疑故障的光模块进行交叉验证,如更换端口、与正常的光模块互换,确认是光模块本身故障还是相邻设备或中间链路故障.
(3)如果确认是光模块本身故障,请通过displaytransceiverdiagnosis命令收集光模块当前的数字诊断信息(非H3C定制光模块可能无法查询到数字诊断信息),并发送给技术支持人员分析.
[H3C]displaytransceiverdiagnosisinterfaceTen-GigabitEthernet1/0Ten-GigabitEthernet1/0transceiverdiagnosticinformation:Currentdiagnosticparameters:Temp.
(°C)Voltage(V)Bias(mA)RXpower(dBm)TXpower(dBm)483.
3339.
100.
13-1.
35Alarmthresholds:Temp.
(°C)Voltage(V)Bias(mA)RXpower(dBm)TXpower(dBm)High733.
6375.
002.
508.
16Low-52.
971.
00-12.
30-11.
20(4)应使用H3C定制光模块.
可以使用displaytransceivermanuinfointerface命令来查看光模块制造厂家信息.
[H3C]displaytransceivermanuinfointerfaceGigabitEthernet1/0transceivermanufactureinformation:Thetransceiverisabsent.
GigabitEthernet1/1transceivermanufactureinformation:Thetransceiverisabsent.
3.
5故障诊断命令表3故障诊断命令命令说明displaycurrent-configuration显示设备当前生效的配置,指定interface可以显示指定接口当前生效的配置H3C安全产品日常维护指导书有限公开23命令说明displayinterface查询端口的入、出方向流量统计信息、端口状态.
可查看是否存在错包及错包统计信息.
displaytransceiveralarm显示可插拔接口模块的当前故障告警信息displaytransceiverdiagnosis显示可插拔光模块的数字诊断参数的当前测量值,包括温度、电压、偏置电流、接收光功率、发送光功率displaytransceiverinterface显示指定接口可插拔接口模块的主要特征参数.
检查两端光模块类型是否一致,如速率、波长、单模多模状态等displaytransceivermanuinfo显示可插拔接口模块的电子标签信息.
可用来查询光模块的定制厂商.
4报文转发故障处理4.
1Ping不通或丢包4.
1.
1故障描述报文转发丢包,ping不通或ping丢包,tracert异常.
ping10.
0.
0.
5PING10.
0.
0.
5(10.
0.
0.
5):56databytes,pressCTRL_CtobreakRequesttimeoutRequesttimeoutRequesttimeoutRequesttimeoutRequesttimeout---10.
0.
0.
5pingstatistics---5packet(s)transmitted,0packet(s)received,100.
0%packetloss4.
1.
2故障处理步骤1.
确认参与转发的出入端口是否加入到安全域和域间策略防火墙设备,端口默认没有加入到任何安全域.
,因此要首先确认端口是否加入到安全域.
H3C安全产品日常维护指导书有限公开24如果端口加入到安全域中,要确认是否配置了域间策略.
系统默认情况下,相同安全域、不同安全域之间、安全域与Local区域之间,默认是阻断策略.
2.
设备入出报文统计报文转发异常通常会涉及多台设备,需要逐一排查.
为方便排查,排查前建议先明确报文的转发走向,如经过哪些中间设备,在设备的哪些接口进入设备,又会从哪些接口出去.
检查出入接口的报文统计.
确认统计是否正确.
检查入方向报文统计计数,可以通过resetcounterinterface命令清除计数.
3.
报文计数分析如果设备未收到Ping报文,请排查上游的相邻设备;如果设备发送的Ping报文计数正确,建议排查下游的相邻设备;如果Ping报文入出计数不正确,分下面几种情况进行分析:有入报文统计,没有出报文统计,进行如下排查(1)如果链路层处理没有丢包,执行displayipstatistics命令,查看IP层丢包原因displayipstatisticsInput:sum263207520local1772badprotocol0badformat0badchecksum0badoptions0Output:forwarding24511617local476dropped21949noroute156compressfails0Fragment:input0output0dropped0fragmented0couldn'tfragment0Reassembling:sum0timeouts0(2)打开debuggingaspfall、debuggingpacket-filterpacketallaclXXXX,来确定防火墙是否根据ASPF、域间策略阻断报文.
无出、入报文统计需要分析是否上游没有把报文发送过来.
H3C安全产品日常维护指导书有限公开254.
2有NAT转换情况下,Ping丢包或不通4.
2.
1故障描述处于不同网段的两台PC:PC1和PC2,PC1的地址为10.
1.
1.
1,PC2的地址为220.
1.
1.
2;中间穿越防火墙设备互相ping包,配置设备对PC1的地址静态NAT转换为220.
1.
1.
1;发现PC1pingPC2不通,查看PC2可以收到PC1的ping报文,但是PC1收不到PC2的回应报文.
4.
2.
2故障处理步骤1.
路由表检查检查设备到某一目的IP网段的路由是否存在,如路由不存在,请检查路由协议配置、状态是否正确.
[H3C]displayiprouting-table10.
1.
1.
02.
FIB表检查检查设备到某一目的IP网段的FIB表项是否存在,如路由存在、FIB表项异常,请将故障信息发送技术支持人员分析.
[H3C]displayfib10.
1.
1.
03.
ARP表项检查查看10.
1.
1.
1的arp表项是否存在.
[H3C]displayarp10.
1.
1.
14.
会话表项通过displaysessiontable命令确认会话是否正常建立,发起方、响应方报文统计数据是否正常.
若响应方报文统计数据为0,则说明防火墙未能接收到响应方数据,需重点排查防火墙至响应方之间转发路径是否正常.
4.
3故障诊断命令表4故障诊断命令命令说明displayarp显示ARP表项.
检查设备ARP学习的接口是否正确H3C安全产品日常维护指导书有限公开26命令说明displayfib显示FIB信息.
检查设备到某一目的IP网段的FIB表项是否存在displayinterface显示指定接口的相关信息displayipinterfacebrief显示三层接口的IP基本配置信息displayiprouting-table显示路由表中当前激活路由的摘要信息.
检查设备到某一目的IP网段的路由是否存在.
displaysessiontable显示会话信息5NAT类故障处理5.
1动态NAT转换故障(以动态NATOutbound为例)5.
1.
1故障描述1.
组网图2.
组网需求PC1访问PC2,在防火墙上对PC1的地址进行NAT转换,转换地址池为:4.
4.
4.
25到4.
4.
4.
30.
3.
配置步骤防火墙配置:nataddress-group0address4.
4.
4.
254.
4.
4.
30interfaceGigabitEthernet0/1PC1互联接口配置ipaddress192.
168.
1.
25424interfaceGigabitEthernet0/2PC2互联接口配置ipaddress4.
4.
4.
254255.
255.
255.
0natoutboundaddress-group0H3C安全产品日常维护指导书有限公开274.
故障现象NAT不能正常转换或者NAT转换的报文不能正常转发.
5.
1.
2故障处理步骤1.
首先确认natoutbound的配置是否正确.
2.
打开debuggingnatpacket,确认debugging信息是否正确,应有类似如下debugging信息:*Feb2716:18:22:7472015H3CNAT/7/debug:(0x00000004-out:)Pro:ICMP(192.
168.
1.
2:----4.
4.
4.
6:(4.
4.
4.
25:----4.
4.
4.
6:---)3.
通过displaysessiontableverbose命令,确认会话信息是否正确.
displaysessiontableverboseInitiator:SourceIP/port:192.
168.
1.
2/2048DestinationIP/port:4.
4.
4.
6/1VPNinstance/VLANID/VLLID:Responder:SourceIP/port:4.
4.
4.
6/0DestinationIP/port:4.
4.
4.
25/1VPNinstance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2015-02-2716:10:51TTL:29sRootZone(in):LocalZone(out):ManagementReceivedpacket(s)(Init):5packet(s)420byte(s)Receivedpacket(s)(Reply):5packet(s)420byte(s)4.
如果上述定位手段均不能作出结论,请联系相关技术支持人员协助分析5.
2设备作为出口网关设备割接之后,NAT业务不通,但是设备接口IP地址可以Ping通5.
2.
1故障描述防火墙作为出口网关设备割接之后,内网部分用户无法上网,外网用户无法访问内网服务器,但是从外网ping防火墙的出接口IP地址可以ping通.
H3C安全产品日常维护指导书有限公开285.
2.
2故障处理步骤(1)确定NAT地址池地址是否与设备接口地址处于同一个网段中:如果NAT地址池的地址和接口地址不在同一网段,NAT地址池的地址无法响应对端设备的ARP请求,此时要确保对端设置了NAT地址池的路由.
(2)割接后,如果地址池中的地址或NATserver地址和接口在同一网段,确认地址池中的地址或者NATserver地址是否发送了免费ARP,可以通过直连对端设备进行确认.
还需要确认对端学习到的ARP的MAC地址的正确性:设备割接时,对端设备需要更新ARP.
当两端不是直连,对端设备不能感知到链路Down过,所以不能删除相关ARP表项.
当设备上线后,本端接口会发送接口地址的免费ARP,对端设备收到该免费ARP后可以正常更新该ARP表项;但可能存在地址池中的地址ARP没有刷新.
(3)debug或者抓包分析,是否ping报文只有发出去的而没有回来的,存在转发异常的情况.
(4)持续地pingNAT地址池或者NATserver的地址,打开ARP的debug开关,确认是否没有收到ARP请求报文.
(5)如果无法确认定位,请联系技术支持人员进行分析.
5.
3故障诊断命令表5故障诊断命令命令说明displaynatbound显示natoutbound设置信息displaynatserver显示natserver设置信息及状态displaysessiontable显示会话表项信息6、系统管理维护类故障处理6.
1CPU占用率高6.
1.
1故障描述设备CPU占用率持续在60%以上,下发命令时设备反应很慢.
[H3C]displaycpu-usageSlot1CPU0CPUusage:H3C安全产品日常维护指导书有限公开296%inlast5seconds6%inlast1minute6%inlast5minutes通过displaycpu-usagehistory可以查看单板最近60分钟的cpu占用情况.
如横坐标时间为20,则表示20分钟前的CPU使用率.
displaycpu-usagehistory100%|95%|90%|85%|80%|75%|70%|65%|60%|55%|50%|45%|40%|35%|30%|25%|20%|15%|10%|5%|#102030405060(minutes)cpu-usage(CPU0)last60minutes(SYSTEM)6.
1.
2故障处理步骤CPU占用率高的原因通常有路由表项频繁振荡ARP表项频繁振荡配置过多的路由策略异常报文攻击H3C安全产品日常维护指导书有限公开30二层链路出现环路流量三层路由出现环路流量设备上并发会话数及每秒新建会话数高到达设备本地的无效报文过多是否打开了过多的debugging命令开关1.
路由策略排查通过displayroute-policy命令可以查看设备配置的路由策略,请检查配置的路由策略是否过多,导致CPU处理的负担增加.
displayroute-policyRoute-policy:policy1permit:1if-matchcost10continue:nextnode11applycomm-listadelete2.
链路环路排查链路成环时,网络振荡,大量的协议报文上送CPU处理也可能导致CPU占用率升高.
存在环路时流量成环,可能会出现广播,设备很多端口的流量会变得很大,端口使用率达到90%以上:displayinterfaceGigabitEthernet1/0GigabitEthernet1/0/2currentstate:UPLineprotocolcurrentstate:UPIPPacketFrameType:PKTFMT_ETHNT_2,HardwareAddress:0000-e80d-c000Description:GigabitEthernet1/0InterfaceLoopbackisnotsetMediatypeisopticalfiber,Porthardwaretypeis1000_BASE_SX_SFP1000Mbps-speedmode,full-duplexmode……Lastclearingofcounters:NeverPeakvalueofinput:123241940bytes/sec,at2013-06-2714:33:15Peakvalueofoutput:80bytes/sec,at2013-06-2714:13:00Last300secondsinput:26560packets/sec123241940bytes/sec99%Last300secondsoutput:0packets/sec80bytes/sec0%……如链路出现环路:排查链路连接、端口配置是否正确;H3C安全产品日常维护指导书有限公开31设备对接的交换机是否使能STP协议,配置是否正确;设备路由是否设置正确,是否存在路由环路.
3.
检查设备会话统计,查看是否并发会话数及新建会话数高.
若是则尽可能多地收集设备当前会话表项详细信息.
4.
如果仍然无法排除故障,请将displaycpu-usage命令显示信息及搜集的其他信息反馈给技术支持人员分析.
6.
2内存占用率高6.
2.
1故障描述查看设备内存占用率,发现内存占用率持续偏高,始终处于80%以上.
6.
2.
2故障处理步骤这类问题通常为业务流量或异常攻击流量在设备上创建大量会话表项,导致由于会话数过多占用大量内存空间引起;极少数情况是由于软件异常引起.
请按照下面步骤进一步搜集信息发送给技术支持人员分析.
1.
查询内存使用信息.
通过displaymemory命令多次查询内存使用信息.
若内存占用率长时间处于80%以上时,要引起足够的重视.
displaymemorySystemTotalMemory(bytes):1874838960TotalUsedMemory(bytes):824986460UsedRate:44%2.
检查设备会话统计,查看是否并发会话数及新建会话数高.
若是则尽可能多地收集设备当前会话表项详细信息.
3.
如果仍然无法排除故障,请搜集诊断信息并反馈给技术支持人员分析.
6.
3故障诊断命令表6故障诊断命令命令说明displaycpu-usage显示CPU利用率的统计信息.
用于查询CPU占用率高的任务H3C安全产品日常维护指导书有限公开32命令说明displaycpu-usagehistory以图形方式显示CPU利用率统计历史信息displayinterface显示指定接口的信息.
检查接口的流量是否正常displaymemory显示单板内存占用率displayroute-policy显示设备配置的路由策略.
检查配置的路由策略是否过多,导致CPU处理的负担增加