1.1Cas de dépannage

1.1.1 A Ping échoue parce que le paquet ICMP contient une somme de contrôle incorrecte

Symptôme de défaut

Un commutateur fonctionne comme une passerelle pour se connecter à des terminaux tels que le système de contrôle d'accès et les PC. Le commutateur ne parvient pas à envoyer un terminal.

Analyse des causes

Les paquets ICMP Echo Reply retournés par le dispositif pair portent une somme de contrôle incorrecte. La vérification du protocole échoue, provoquant une panne de ping.

Procédure de dépannage

1.Méthode 1 :

Lorsqu'un commutateur apprend correctement les entrées ARP, recueille des statistiques de trafic pour vérifier si les paquets de demande et de réponse d'Echo ICMP sont envoyés et reçus par le commutateur. Vous pouvez également capturer des paquets :

Figure 1-1Capture de paquets

Les informations de paquets capturées montrent que les paquets de réponse ICMP ont un checksum incorrect. incorrect dans la figure 1-3indique une somme de contrôle incorrecte.

2. Méthode 2 :

Exécutez la commande display icmp statistics avant et après l'opération de ping pour visualiser le champ bad checksum. Vérifiez si le nombre de paquets d'erreur de contrôle à la couche de protocole ICMP continue d'augmenter.

<HUAWEI> display icmp statistics 
  Input: bad formats         0          bad checksum           3    
         echo                8          destination unreachable 0    
         source quench       0          redirects               0    
         echo reply          0          parameter problem       0    
         timestamp request   0          information request     0    
         mask requests       0          mask replies            0    
         time exceeded       0          timestamp reply         0          
         Mping request       0          Mping reply             0    
  Output:echo                0          destination unreachable 0    
         source quench       0          redirects               0    
         echo reply          8          parameter problem       0    
         timestamp request   0          information reply       0    
         mask requests       0          mask replies            0    
         time exceeded       0          timestamp reply         0 
         Mping request       0          Mping reply             0

Les informations précédentes reflètent un nombre croissant de paquets d'erreur de contrôle.

Solution

Vérifiez si les paquets ICMP retournés par la pile de protocole sur le dispositif pair ont un format correct.

1.1.2Les dispositifs directement connectés ne peuvent pas s'interposer à cause d'une entrée ARP statique incorrecte

Symptôme de défaut

Le client remplace un appareil sur le réseau en direct avec le commutateur A .Figure 1-4 montre le nouveau réseau. Le commutateur A et le commutateur B ne peuvent pas se couper l'un l'autre, et le statut de voisin OSPF sur le commutateur A est Exchange. Après que le commutateur A est remplacé par le dispositif original, le défaut est rectifié.

Figure 1-2Les dispositifs directement connectés ne peuvent pas s'interposer les uns les autres

Analyse des causes

1.Le dispositif d'origine peut pincer le commutateur B, indiquant que le lien entre les deux dispositifs fonctionne correctement. Le commutateur A et le commutateur B sont directement connectés, de sorte que le défaut n'est pas causé par des problèmes de routage. La faute peut être causée par des erreurs dans l'apprentissage ARP.

2. Exécuter la commande display arp all sur switch A pour vérifier si le commutateur A a appris l'entrée ARP du commutateur B.

<SwitchA> display arp all 
IP ADDRESS      MAC ADDRESS  EXPIRE(M) TYPE INTERFACE      VPN-INSTANCE 
                                       VLAN/CEVLAN 
------------------------------------------------------------------------------ 
1.1.1.1        0025-9e80-2494         I -  Vlanif20 
1.1.1.2         0025-9e80-248e  18     D-0  GE1/0/1 
                                       33 
------------------------------------------------------------------------------ 
Total:2        Dynamic:1       Static:0    Interface:1

Les informations précédentes montrent que le commutateur A a appris l'entrée ARP de switch B.

3. Exécuter la commande display arp all  sur le commutateur B pour vérifier si le commutateur B a appris l'entrée ARP de switch A.

<SwitchB> display arp all 
IP ADDRESS      MAC ADDRESS  EXPIRE(M) TYPE INTERFACE      VPN-INSTANCE 
                                       VLAN/CEVLAN 
------------------------------------------------------------------------------ 
1.1.1.2         0025-9e80-248e         I -  Vlanif20 
1.1.1.1        0016-ecb9-0eb2         S--  GE1/0/1 
                                       33 
------------------------------------------------------------------------------ 
Total:2         Dynamic:0       Static:1    Interface:1

Dans la table ARP, l’adresse IP 1.1.1.1 fait la correspondance avec l’adresse 0016-ecb9-0eb2. Le SSI d'entrée ARP, indiquant une entrée ARP statique. Dans les tables ARP des deux commutateurs, l'adresse IP 1.1.1.1 mappe différentes adresses MAC.

L'entrée ARP statique (numéro de port IP + MAC +) a été configurée sur le commutateur B avant le réglage du réseau, et n'a pas été mise à jour après le réglage du réseau ; par conséquent, le commutateur A ne peut pas pincer le commutateur B.

Procédure de dépannage

1. Exécuter la commande system-view sur le commutateur B pour entrer dans la vue du système.

2. Exécuter la commande undo arp static ip-address pour supprimer l'entrée ARP statique incorrecte.

Après que l'entrée ARP statique est supprimée, switch A peut ping switch B. Une nouvelle entrée ARP statique doit être configurée pour empêcher les attaques ARP.

3. Exécuter la commande arp static ip-address mac-address vid vlan-id interface interface-type interface-number pour configurer l'entrée ARP statique correcte.

Après les configurations précédentes, le commutateur A peut démarrer avec succès le commutateur B. Exécuter la commande display ospf peer pour vérifier l'état du voisin OSPF. Le voisin OSPF est en état Full.

<SwitchA> display ospf peer 
         OSPF Process 1 with Router ID 11.11.11.105                              
                 Neighbors                                                       
                                                                                 
 Area 0.0.0.0 interface 1.1.1.1(Vlanif33)'s neighbors                            
 Router ID: 2.1.1.1.168.10.2     Address: 1.1.1.2                                    
   State: Full  Mode:Nbr is  Master  Priority: 1                                 
   DR: 1.1.1.2  BDR: 2.1.1.1  MTU: 0                                             
   Dead timer due in 34  sec                                                     
   Retrans timer interval: 8                                                     
   Neighbor is up for 00:28:17                                                   
   Authentication Sequence: [ 0 ]

Résumé

Si une entrée ARP statique est configurée sur un dispositif, modifier l'entrée ARP après les modifications d'adresse MAC. Si le commutateur B est un périphérique non-Huawei et que vous ne pouvez pas vous connecter au commutateur B pour vérifier la configuration, le commutateur B du commutateur A et configurer la fonction de miroir pour analyser les paquets transmis entre le commutateur A et le commutateur B. Vérifiez si les adresses MAC de destination des paquets sont correctes.

Le commutateur 1.1.3A peut être bloqué mais ne peut pas être accessible à distance

Symptôme de défaut

Dans Figure 1-5. Switch C peut ping VLANIF 20 de commutateur A, mais le commutateur C ne peut pas accéder au commutateur A à l'aide de Telnet.

Figure 1-3 Le commutateur A peut être bloqué mais ne peut pas être accessible à distance

Analyse des causes

1.Le commutateur prend en charge la fonction de réponse ICMP rapide. Cette fonction permet au commutateur de répondre rapidement au paquet de demande d'écho ICMP destiné à sa propre adresse IP.

Ce problème peut être causé par la fonction de réponse ICMP rapide sur le commutateur A. Si la réponse ICMP rapide est activée sur le commutateur A, le commutateur A peut rapidement répondre aux paquets de demande ICMP même si le commutateur A n'a pas de route destinée à 2.1.1.1. Le commutateur C peut utiliser avec succès le commutateur A, indiquant que le lien entre le commutateur C et le commutateur A est normal, mais la route peut être anormale. Par conséquent, vous devez vérifier s'il y a une route accessible depuis le commutateur C vers le commutateur A.

2. Exécuter la commande tracert 1.1.1.1 sur le commutateur C pour vérifier les routes depuis le commutateur C vers le commutateur A.

<SwitchC> tracert 1.1.1.1 
traceroute to  1.1.1.1(1.1.1.1), max hops: 30 ,packet length: 40 
 1 2.1.1.2 10 ms  1 ms  1 ms 
 2  *  *  *

Les informations précédentes montrent qu'il y a une route accessible depuis le commutateur C vers le commutateur B, mais pas de route accessible depuis le commutateur C vers le commutateur A. La cause possible est que la route vers 2.1.1.1 n'est pas configurée sur le commutateur A ou est configurée incorrectement.

3. Exécuter la commande telnet 2.1.1.2 sur switch C pour se connecter au commutateur B, et exécuter telnet 1.1.1.1 sur le commutateur B pour se connecter au commutateur A. Les opérations Telnet sont couronnées de succès, ce qui indique que la configuration Telnet sur le commutateur A est correcte.

4. Exécuter la commande display ip routing-table 2.1.1.1 sur switch A pour vérifier la table de routage. Dans la table de routage, l'entrée de correspondance la plus longue correspondant à l'adresse IP de destination 2.1.1.1 est vide. Exécuter la commande undo icmp-reply fast sur le commutateur A pour désactiver la fonction de réponse ICMP rapide. Le commutateur C ne fonctionne pas sur le commutateur A.

Dans une conclusion, le commutateur C peut ping switch A parce que la fonction de réponse ICMP rapide est activée sur switch A. Switch C échoue à ping switch A parce que le commutateur A n'a pas de route vers 2.1.1.1.

Procédure de dépannage

1. Exécuter la commande system-view sur le commutateur C pour entrer dans la vue du système.

2. Exécuter la commande ip route-static 2.1.1.0 255.255.255.0 1.1.1.2 pour configurer une route statique vers 1.1.1.2.

Ensuite, le commutateur C peut accéder au commutateur A à l'aide de Telnet.

1.1.4a switch undergoes an ARP attack and cannot be pinged

Symptôme de défaut

Dans figure 1-6, Les fonctions de commutation en tant que passerelle, Switch _ 1 (commutateur modulaire) est souvent hors de gestion, et les utilisateurs sur Switch _ 1 sont déconnectés fréquemment. Il y a un retard lorsque Switch _ 1 frappe le commutateur ou l'opération de ping échoue. Les services sur Switch _ 2 sont normaux, et Switch _ 2 peut ping la passerelle avec succès.

Figure 1-4 Le commutateur A subit une attaque AR******e peut pas être bloqué

Analyse des causes

Switch _ 1 reçoit des paquets ARP avec une adresse MAC source fixe. Les périphériques utilisateur ne peuvent pas envoyer ou recevoir des paquets ARP.

Procédure de dépannage

Effectuez les opérations suivantes sur Switch _ 1 :

1.Vérifier si l'utilisation de l'unité centrale est élevée.

<Switch_1> display cpu-usage 
CPU Usage Stat. Cycle: 10 (Second) 
CPU Usage         : 82% Max: 99% 
CPU Usage Stat. Time : 2010-12-18  15:35:56 
CPU utilization for five seconds: 68%: one minute: 60%: five minutes: 55%.

L'utilisation du CPU atteint 82%.

2.Voir les entrées temporaires ARP pour vérifier si l'apprentissage ARP est normal.

<Switch_1> display arp 
IP ADDRESS  MAC ADDRESS EXPIRE(M) TYPE VPN-INSTANCE   INTERFACE 
VLAN/CEVLAN 
------------------------------------------------------------------------------------------------------ 
10.137.222.139  00e0-fc01-4422            I -         Eth0/0/0 
10.137.222.1    0025-9e36-e8c1  20        D-0         Eth0/0/0 
10.137.222.100  0025-9e80-b278  6         D-0         Eth0/0/0 
10.137.222.99   00e0-4c77-b0e1  9         D-0         Eth0/0/0 
10.137.222.173  000f-3d80-cba4  18        D-0         Eth0/0/0 
10.137.222.34   0025-9e36-e8c1  1         D-0         Eth0/0/0 
10.137.222.172  0016-ec71-ea8c  7         D-0         Eth0/0/0 
10.137.222.35   0025-9e36-e8c1  18        D-0         Eth0/0/0 
10.137.222.179  0014-2ae2-3128  20        D-0         Eth0/0/0 
10.137.222.38   0025-9e36-e8c1  17        D-0         Eth0/0/0 
10.137.222.175  0014-2261-2b22  1         D-0         Eth0/0/0 
50.1.1.3        Incomplete      1         D-0         GE5/0/0 
500/- 
50.1.1.2        Incomplete      1         D-0         GE5/0/0 
500/- 
6.1.1.2         00e0-fc01-4422            I -         Vlanif6 
10.0.0.139      00e0-fc01-4422            I -         Vlanif10 
192.0.0.4       00e0-fc01-4422            I -         Vlanif192 
20.1.1.1        00e0-fc01-4422            I -         Vlanif200 
192.168.2.2     00e0-fc01-4422            I -         Vlanif100 
------------------------------------------------------------------------------------------------------ 
Total:16        Dynamic:10      Static:0    Interface:6

Le champ MAC ADDRESS de deux entrées ARP sont incomplètes, indiquant des entrées temporaires. Certaines entrées ARP ne peuvent pas être apprises.

3.Vérifiez si le commutateur souffre d'une attaque ARP.

A.Voir les statistiques sur les paquets de demande ARP envoyés à l'unité centrale.

<Switch_1>display cpu-defend arp-request statistics all 
Statistics on mainboard: 
------------------------------------------------------------------------------------------------------------------ 
Packet Type         Pass(Bytes)       Drop(Bytes)   Pass(Packets)     Drop(Packets) 
----------------------------------------------------------------------------------------------------------------- 
arp-request            67908288            0         1061067               0 
------------------------------------------------------------------------------------------------------------------ 
Statistics on slot 4: 
------------------------------------------------------------------------------------------------------------------ 
Packet Type         Pass(Bytes)       Drop(Bytes)   Pass(Packets)     Drop(Packets) 
------------------------------------------------------------------------------------------------------------------ 
arp-request            80928            44380928          2301         693450 
------------------------------------------------------------------------------------------------------------------ 
Statistics on slot 5: 
------------------------------------------------------------------------------------------------------------------ 
Packet Type         Pass(Bytes)       Drop(Bytes)   Pass(Packets)     Drop(Packets) 
------------------------------------------------------------------------------------------------------------------ 
arp-request                 N/A          N/A               0               0 
------------------------------------------------------------------------------------------------------------------ 
Statistics on slot 6: 
------------------------------------------------------------------------------------------------------------------ 
Packet Type         Pass(Bytes)       Drop(Bytes)   Pass(Packets)     Drop(Packets) 
------------------------------------------------------------------------------------------------------------------ 
arp-request                 N/A          N/A               0               0 
------------------------------------------------------------------------------------------------------------------

Il y a un grand nombre de paquets de demande ARP sur la carte dans la fente 4.

B.Configurer la source d'attaque pour identifier la source d'attaque.

<Switch_1>system-view 
[Switch_1]cpu-defend policy policy1 
[Switch_1-cpu-defend-policy-policy1]auto-defend enable 
[Switch_1-cpu-defend-policy-policy1]auto-defend attack-packet sample 5   
//One packet is sampled out of five sent packets. A small sampling rate will consume many CPU resources. 
[Switch_1-cpu-defend-policy-policy1]auto-defend threshold 30   
//The packets of which the rate reaches 30 pps are considered attack packets. If there are many attack sources, reduce this value. 
[Switch_1-cpu-defend-policy-policy1]undo auto-defend trace-type source-ip source-portvlan   
//Identify the attack source based on source MAC address. 
[Switch_1-cpu-defend-policy-policy1]undo auto-defend protocol 8021x dhcp icmp igmp tcp telnet ttl-expired udp   
//Identify the attack source of the ARP attack. 
[Switch_1-cpu-defend-policy-policy1]quit 
[Switch_1]cpu-defend-policy policy1 
[Switch_1]cpu-defend-policy policy1 global

C.Voir les informations de source d'attaque.

[Switch_1]display auto-defend attack-source 
Attack Source User Table (MPU): 
------------------------------------------------------------------------------------------------ 
MacAddress       InterfaceName      Vlan:Outer/Inner      TOTAL 
------------------------------------------------------------------------------------------------ 
0000-0000-00db   GigabitEthernet2/0/22         193           416 
------------------------------------------------------------------------------------------------

L'adresse MAC de la source d'attaque est 0000-0000-00db, qui est connectée à GigabitEthernet2/0 / 22

Si l'adresse MAC a une entrée ARP correspondante, exécutez la commande display arp | include 0000-0000-00db pour vérifier son adresse IP.

Solution

l   Configurez une liste noire.

# 
acl number 4000 
 rule 10 permit type 0806 ffff source-mac 0000-0000-00db ffff-ffff-ffff 
# 
cpu-defend policy 1 
 blacklist 1 acl 4000   
//Add the users with specified characteristics to the blacklist through an ACL. The switch discards the packets from the users in blacklist. 
# 
cpu-defend-policy 1  
cpu-defend-policy 1 global 
#

l   Configurez l'action de traçage de la source d'attaque.

#  
cpu-defend policy policy1  
 auto-defend enable  
 auto-defend threshold 30  
 undo auto-defend trace-type source-ip source-portvlan  
 undo auto-defend protocol 8021x dhcp icmp igmp tcp telnet ttl-expired udp 
 auto-defend action deny   
//Set the attack source tracing action. The switch discards all attack packets within the default interval, 300s. 
# 
 cpu-defend-policy policy1 global  
 cpu-defend-policy policy1  
#

1.1.5 VPN PE ne peut pas se mettre l'un à l'autre

Symptôme de défaut

Dans figure 1-7 deux interfaces de loopback sont créées sur deux PEs respectivement. Les interfaces Loopback1 sur les PE sont des interfaces réseau public, avec les adresses IP 1.1.1.1/32 et 1.1.1.2/32 respectivement. Les interfaces Loopback2 sont liées à l'instance VPN et ont des adresses IP 10.1.1.1/24 et 10.1.1.2/24 respectivement. Les PEs ne peuvent pas échanger des routes VPN et ne peuvent pas s'entraider.

Figure 1-5 PE ne peuvent pas s'entraider

Analyse des causes

Lorsqu'un dispositif a deux routes vers la même destination, une route directe et une route BGP, le dispositif utilise de préférence la voie directe pour créer une entrée de routage VPN locale. Le ping échoue parce qu'aucune route BGP n'existe dans la table de routage VPN.

Procédure de dépannage

1. Exécuter la commande display ip routing-table sur PE1 et PE2 pour vérifier les routes vers le segment de réseau distant. Vous pouvez trouver que les routes vers le segment de réseau distant de Loopback1 existent dans la table de routage.

2. Exécuter la commande display ip routing-table vpn-instance vpn-instance-name sur PE1 et PE2 pour vérifier les routes dans le routage VPN table La table de routage VPN n'a qu'un route 10.1.1.0/24 Direct qui est la route vers le loopback2 du dispositif local. En outre, le masque d'adresse IP a 24 bits mais pas 32 bits.

Dans ce cas, les adresses de Loopback2 des deux PE sont sur le même segment réseau. Bien que chaque PE ait reçu la route VPN, le PE considère que la route BGP est la même que la route directe parce que son adresse Loopback2 est sur le même segment réseau que celui de la loopback2 distante. Le dispositif utilise de préférence la voie directe pour créer une entrée de routage VPN locale. Les PEs ne s'échangent pas parce qu'aucune route BGP n'existe dans la table de routage VPN.

Solution

Exécutez les commandes suivantes sur PE1 et PE2 :

1. Exécuter la commande system-view pour entrer dans la vue du système.

2. Exécuter la commande interface loopback loopback-number pour entrer la vue de l'interface Loopback2.

3. Exécuter la commande ip address ip-address { mask | mask-length } pour configurer une adresse IP pour Loopback2 et changer la longueur du masque d'adresse IP à 32 bits.

Conclusion

Lorsque deux mêmes itinéraires sont destinés à un segment de réseau, le dispositif ne met à jour qu'un seul d'entre eux à la table de routage VPN.

1.1.6 Le commutateur Huawei échoue de Ping le commutateur Non-Huawei C3750

Symptôme de défaut

Comme le montre la figure 1-8, le commutateur est directement connecté à C3750 Ils ont mis en place une relation de voisinage OSPF par l'intermédiaire du VLAN 200 et font connaître les routes du VLAN 100 et du VLAN 300 aux extrémités distantes. Le serveur de surveillance (172.19.2.2) effectue des opérations de ping pour détecter si le serveur (172.19.3.2) est online

La figure 1-6 Huawei switch échoue au ping le C3750 directement connecté

Une panne de ping se produit environ toutes les 18 heures, et est récupérée après 0,5 heures, affectant le service de surveillance.

Analyse des causes

Route aging on C3750 est anormale, de sorte que la route 172.19.2.0 sur le segment network vers le serveur de surveillance est perdue, provoquant une panne de ping.

Procédure de dépannage

1.Vérifier les statistiques du trafic. Les paquets de demande ICMP du serveur de surveillance peuvent être correctement envoyés par Switch mais Switch ne reçoit pas de paquets de réponse ICMP. Le problème peut se produire sur C3750.

2.Afficher les informations de routage sur C3750 Lorsque le problème se produit, l'itinéraire vers le segment de réseau où le serveur de surveillance est localisé disparaît. Par conséquent, les paquets de réponse ICMP retournés sont rejetés par C3750

Lorsque le problème se produit, les deux LSA de réseau suivant existent dans les informations LSDB sur Switch, mais n'existent pas sur C3750.

Type      LinkState ID    AdvRouter        Age  Len   Sequence   Metric 
Network   172.19.5.1      172.19.1.250      1256  32    80000208    0 
Network   172.19.5.1      172.19.99.10      3600  32    800026C9    0

Basculer les inondations la LSA annoncée par 172.19.99.10 à tous les voisins. Lors de la réception de cette LSA, le C3750 supprime la LSA annoncée par 172.19.1.250 et provoque une perte de route dans le calcul de la route. Après 30 minutes, le commutateur (172.19.1.250) met à jour les LSA et annonce ses propres LSA Network à C3750. Puis les routes sur C3750 sont récupérées.

Attention aux points suivants :

−           Le protocole OSPF définit trois éléments essentiels dans un LSA : Type, LinkStateID et AdvRouter Par conséquent, Switch estime que les LSA annoncées par 172.19.99.10 et 172.19.1.250 sont différentes. C3750 peut considérer que les deux LSA sont les mêmes ; par conséquent, il écrase la LSA annoncée par 172.19.1.250 avec la LSA annoncée par 172.19.99.10 En outre, le temps de vieillissement de la LSA annoncée par C3750 est de 3600 ; c'est pourquoi C3750 vieillit cette LSA, provoquant une perte de route.

−           La LSA annoncée par 172.19.99.10 a un drapeau DC.

Type      : Network 
Ls id     : 172.19.5.1 
Adv rtr   : 172.19.99.10 
Ls age    : 3600 
Len       : 32 
Options   :  DC  E 
seq#      : 800026c9 
chksum    : 0xd55 
Net mask  : 255.255.255.0 
Attached Router    172.19.99.10 
Attached Router    172.19.8.1

Selon RFC 1793 lorsque DoNotAge bit (le plus haut bit dans le champ Age) est défini à 1, cette LSA n'a pas besoin d'être supprimée, même si l'annonceur n'est pas disponible.

Quand ces LSA ont-elles été supprimées ?

Le problème se pose lorsque toutes les conditions suivantes sont remplies :

-La LSA a existé dans le LSDB pour au moins 3600s.

-Il n'y a pas d'itinéraire accessible à l'annonceur LSA.

Solution

l   Changez les types de voisins OSPF sur Switch et C3750 à P2P, afin d'éviter les interférences de LSAs incorrectes.

l   Changez les adresses IP des interfaces entre Switch et C3750 Cela peut également éviter les interférences de LSAs incorrectes.