中低端交换机故障解决

HUAWEI Confidential
Page 1
学习完此课程，您将会： 具备低端交换机基本的故障定位能力。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 2
第1章 HGMP
第1节 集群管理介绍 第2节 HGMP维护命令
第3节 HGMP故障定位步骤
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 24
第3章 STP
第1节 STP的基本概念
第2节 STP故障定位
第3节 STP常见问题说明
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 25
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 18
低端交换机802.1x
802.1x简介
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 19
第2章 802.1X
第1节 802.1X简介 第2节 802.1X故障定位排错
Page 23
低端交换机802.1x
802.1X典型案例分析
接入交换机配置： radius scheme local primary authentication 127.0.0.1 1812 primary accounting 127.0.0.1 1813 user-name-format with-domain 用户认证时不能通过 经debug radius信息，发现CODE=1的认证请求没有收到响应。 将认证端口号改为1645、计费端口号改为1646，再次验证，认证通过。
显示NTDP收集到的设备信息
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 8
低端交换机HGMP
HGMP维护命令
display cluster
显示集群状态和统计信息
display cluster candidates [ mac-address H-H-H |
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 10
第1章 HGMP
第1节 集群管理介绍 第2节 HGMP维护命令
第3节 HGMP故障定位步骤
第4节 HGMP典型案例分析
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
显示指定端口NDP发现的邻居信息
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 7
低端交换机HGMP
HGMP维护命令
display ntdp
显示全局NTDP信息
display ntdp device-list [ verbose ]
HUAWEI Confidential
Page 14
第1章 HGMP
第1节 集群管理介绍 第2节 HGMP维护命令
第3节 HGMP故障定位步骤
第4节 HGMP典型案例分析
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 15
低端交换机HGMP
HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential
Page 16
wenku.baidu.com
第2章 802.1X
第1节 802.1X简介 第2节 802.1X维护命令
第3节 802.1X故障定位步骤
第4节 802.1X典型案例分析
HUAWEI TECHNOLOGIES CO., LTD.
HGMP典型案例分析
位于远端的 交换机无法 管理，为什 么？
通过debug ndp可以发现，命令交换机并 没有收到底下成员发过来的信息，集群 通道被切断。通过更改集群的协议mac 后，ndp信息能够正常收到，集群能正常 建立。配置集群协议MAC的主要原因是 一些中间连接器（例如光电转换器）会 过滤集群的缺省组播报文：0180-C200000A
命令交换机 69.110.1.1
networ k
成员交换机
成员交换机
成员交换机 成员交换机
HUAWEI TECHNOLOGIES CO., LTD.
候选交换机
HUAWEI Confidential
Page 5
第1章 HGMP
第1节 集群管理介绍 第2节 HGMP维护命令
第3节 HGMP故障定位步骤
第3节 802.1X故障定位步骤
第4节 802.1X典型案例分析
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 20
低端交换机802.1x
802.1x故障定位排错
故障现象之一：客户端无法验证通过
定位步骤： 1、使用display dot1x确认全局和端口上都启用了802.1x； 2、使用display local-user确认是否配置用户名和验证密码； 3、确认客户端拨号程序设置正确的用户名和验证密码； 4、debug radius查看与radius报文交互是否正常； 5、确认链路是否正常； 6、若上面检查没有问题，可以打开802.1x调试开关debugging dot1x packet查看交换机收到和发送的EAP、EAPoL报文是否正常
Security Level:
HUAWEI低端交换机故障 处理手册-20060413-C
ISSUE1.0
www.huawei.com
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
低端交换机故障处理指导，可以作为基 本故障定位的参考。
HUAWEI TECHNOLOGIES CO., LTD.
护和管理而提出的专用私有协议族。
一种全新的管理通道
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 4
低端交换机HGMP
集群管理介绍
网管 69.110.1.100
集群管理可以将一组设备组合 起来，通过某个核心设备作为 命令交换机统一管理。核心设 备一般选择某个Lan的汇聚设 备 集群
第4节 HGMP典型案例分析
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 3
低端交换机HGMP
集群管理介绍
Huawei Group Management Protocol（英文全称） 华为组管理协议（中文全称） HGMP 是华为公司为了解决一组以太网产品统一配置、维
STP基本概念
基本原理：将复杂的物理网络拓扑变为逻辑上的一棵树。因为树结构不存在环路， 又保持连通性。 主要作用： 消除环路：通过阻断冗余链路来消除网络中可能存在的路径回环。 链路备份：当前活动路径发生故障时，激活冗余备份链路，恢复网络连通性。 工作过程： （1）计算：首先选举根桥：桥ID（桥优先级+桥MAC）最小的成为根桥，它的所 有端口角色都为指定端口。接下来，连接根桥的下游网桥将各自选择一条 “最粗 壮”的树枝作为到根桥的路径，相应端口的角色就成为根端口。 循环这个过程到网络的边缘，指定端口和根端口确定之后一棵树就生成了。 （2）维持：生成树经过一段时间稳定之后，指定端口和根端口进入转发状态，其 他端口进入阻塞状态。STP BPDU会定时从各个网桥的指定端口发出，以维护链路 的状态。 （3）重计算：如果网络拓扑发生变化，生成树就会重新计算，端口状态也会随之 改变。
第4节 HGMP典型案例分析
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 6
低端交换机HGMP
HGMP维护命令
display ndp
显示系统NDP配置信息（包括报文发送时间间隔和信息有 效保留时间）
display ndp interface port-list
内部资料，注意保密
21
低端交换机802.1x
802.1x故障定位排错
故障现象之二：用户无需进行802.1X验证就能使用网络资源 定位步骤： 1、使用display dot1x确认全局和端口上都启用了802.1x； 2、使用display interface确认端口是否有入包统计； 3、802.1x只针对入包进行认证限制，而对于出包来说，并不需要 经过认证
Page 11
低端交换机HGMP
HGMP故障定位步骤
第一步，察看拓扑是否正常
如果拓扑不正常，确认是否是物理链路问题，一般情况下 通过display mac看不到丢失设备的mac（该命令在命令交 换机上顺着级联链路察看），就说明链路可能有异常，有 时由于mac老化还没有重新学习或者是VLAN配置不合理都 可能看不到，不要急于下结论。另外软硬件系统异常也可 能导致mac无法学习。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 22
第2章 802.1X
第1节 802.1X简介 第2节 802.1X故障定位排错
第3节 802.1X典型案例分析
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 26
STP故障定位
1、先查看参与STP计算的端口下的一些重要信息： [Quidway]display stp interface Ethernet 0/6 ----[CIST][Port6(Ethernet0/6)][FORWARDING]---Port Protocol :enabled (端口下协议是否使能) Port Role :CIST Designated Port（端口角色是否正确） Port Priority :128 Port Cost :Config=auto / Active=200 Desg. Bridge/Port :0.0000-1234-1234 / 128.6（根桥是否正确） Port Edged(Admin) :disabled Point-to-point :Config=auto / Active=true Transit Limit :3 packets/hello-time Protection Type :None Num of Vlans Mapped :1 PortTimes :Hello 2s MaxAge 20s FwDly 15s RemHop 0 BPDU Sent :23 （BPDU收发是否正常） TCN: 0, Config: 0, RST: 0, MST: 23 BPDU Received :0 TCN: 0, Config: 0, RST: 0, MST: 0
第三步 ，设备不能加入集群
设备不能加入集群的可能原因如下 ：
①该候选设备已经是其他集群的成员 ②命令交换机删除集群后又重建，但集群名称与原集群不一 致，而且命令交换机删除集群的过程中成员未能正确退出 集群 ③成员交换机配置了super password，且与命令交换机不一 致
HUAWEI TECHNOLOGIES CO., LTD.
verbose ] 显示候选设备信息
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 9
低端交换机HGMP
HGMP维护命令
display cluster members [ member-num | verbose ]
显示集群成员信息
reset ndp statistics [ interface port-list ] 清除NDP端口的统计信息
HUAWEI Confidential
Page 17
低端交换机802.1x
802.1x简介
802.1X认证体系分三部分结构：
Supplicant System，客户端(PC/网络设备)
Authenticator System，认证系统 Authentication Server System，认证服务器
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 12
低端交换机HGMP
HGMP故障定位步骤
第二步，确认邻居信息是否异常
邻居不能正确发现的可能原因如下 ： ①物理链路为down状态，可能是管理上shutdown，也可能是物理链路故 障 ②配置上关闭了链路端口的ndp协议
③相连设备的管理VLAN不一致，破坏集群正常工作的前提之一
④设备之间的其他物理连接器过滤ndp协议报文，例如光电转换器 ⑤链路两端的集群协议mac不一致
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 13
低端交换机HGMP
HGMP故障定位步骤