第5章网络应用故障排除

第5章网络应用故障排除杭州华三通信技术有限公司，掌握ACL故障排除掌握NAT故障排除掌握VRRP故障排除掌握DHCP故障排除课程目标学习完本课程，您应该能够：ACL故障排除

DHCP故障排除NAT故障排除VRRP故障排除目录ACL故障排除ACL概述ACL常见故障及排除方法ACL排障相关命令介绍ACL排障典型案例ACL概述ACL的定义：ACL（AccessControlList，访问控制列表）是用来实现流识别功能的。网络设备为了对特定的报文进行操作，需要配置一系列的匹配规则，以识别出特定的报文，然后根据预先设定的策略对该报文进行操作。ACL常见的应用：报文过滤；QoS；NAT地址转换；路由策略；ACL常见故障配置ACL过滤，但没有生效；配置ACL过滤报文后，网络连通性产生影响；配置了MQC，但所引用的ACL没有匹配到相关流；ACL故障排除步骤（1）ACL不生效问题的故障处理步骤更新计时器查看防火墙功能是否开启检查防火墙的缺省过滤方式检查ACL规则配置是否正确检查ACL规则的匹配顺序是否合理检查报文匹配到哪条规则网络连通性产生影响的故障处理步骤确定是包过滤导致的问题检查防火墙的缺省过滤方式检查ACL规则配置是否正确检查是否ACL配置不当导致正常协议交互中断ACL故障排除步骤（2）配置了MQC，但所引用的ACL没有匹配到相关流的故障处理步骤检查QOS策略是否已经应用到端口检查ACL规则配置是否正确查看报文匹配到哪条规则ACL故障排除步骤（3）ACL排障相关命令（1）displayacl{acl-number|all|nameacl-name}该命令用来显示当前ACL的配置信息<H3C>displayaclallAdvancedACL3004,namedto-gss_permit,18rules,ACL'sstepis1rule0permitipsource0destination0rule1permitipsource00destination0rule2permitipsource00destination0rule3permitipsource80destination0rule4permitipsource43destination0rule5permitipsource2827destination0rule6permitipsource43destination0rule7permitipsource2827destination0rule8permiticmpsource20destination0AdvancedACL3014,namedto-gss_deny,1rule,ACL'sstepis1rule5permitip

displayqospolicyinterface该命令用来显示指定端口或所有端口上策略的配置信息和运行情况ACL排障相关命令介绍（2）<H3C>displayqospolicyinterfaceInterface:Serial0/2/0Direction:InboundPolicy:filterClassifier:permitMatched:0(Packets)Operator:ANDRule(s):If-matchacl3004Behavior:permitFilterEnable:permitClassifier:denyMatched:0(Packets)Operator:ANDRule(s):If-matchacl3014Behavior:denyFilterEnable:denydisplayfirewall-statistics{all|interfaceinterface-typeinterface-number|fragments-inspect}该命令用来查看防火墙的统计信息ACL排障相关命令介绍（3）<H3C>displayfirewall-statisticsallFirewallisenable,defaultfilteringmethodis'deny'.Interface:Serial0/0In-boundPolicy:acl2001FragmentsmatchednormallyFrom2008-11-1710:33:46to2008-11-1813:59:460packets,0bytes,0%permitted,0packets,0bytes,0%denied,0packets,0bytes,0%permitteddefault,0packets,0bytes,0%denieddefault,Totally0packets,0bytes,0%permitted,Totally0packets,0bytes,0%denied.ACL典型案例一（1）故障现象:要求终端PCA只能访问服务器，不能访问其它网段。ACL应用后，发现PCA访问不到网络中的任何设备服务器IP：21IP网络SWAPCAACL典型案例一（2）SWA上的相关配置：aclnumber3001rule0permiticmprule1permitipdestination210aclnumber3999rule0permitip#trafficclassifierdenyoperatorandif-matchacl3999trafficclassifierpermitoperatorandif-matchacl3001#trafficbehaviordenyfilterdenytrafficbehaviorpermitfilterpermit#qospolicyfilterclassifierdenybehaviordenyclassifierpermitbehaviorpermit#interfaceEthernet1/0/1qosapplypolicyfilterinbound排障过程使用“displayaclall”和“displayqospolicyinterface”命令来检查ACL的配置，可以看到配置正确下发；怀疑是qospolicyfilter中的classifierdenybehaviordeny先生效。在流行为中增加Accounting行为，用于查看报文匹配到哪条规则。ACL典型案例一（3）<SWA>displayqospolicyinterfaceInterface:Ethernet1/0/1Direction:InboundPolicy:filterClassifier:denyOperator:ANDRule(s):If-matchacl3999Behavior:AccountingEnable:

1326(Bytes)Classifier:permitOperator:ANDRule(s):If-matchacl3001Behavior:permitAccountingEnable:

0(Bytes)FilterEnable:permit解决方案更改SWA上qospolicyfilter的相关下发顺序可以解决问题。ACL典型案例一（4）trafficbehaviorpermitfilterpermittrafficbehaviordenyfilterdeny#qospolicyfilterclassifierpermitbehaviorpermitclassifierdenybehaviordenyACL典型案例二（1）服务器IP：21IP网络SWAPCASWB故障现象要求SWB下接终端PCA只能访问服务器；应用ACL十多分钟后，PCA访问不到网络中的任何设备。ACL典型案例二（2）SWB上的相关配置：aclnumber3001rule0permitipdestination210#trafficclassifierpermitoperatororif-matchacl3001trafficclassifierdenyoperatorandif-matchany#trafficbehaviorpermitfilterpermittrafficbehaviordenyfilterdeny#qospolicyfilterclassifierpermitbehaviorpermitclassifierdenybehaviordeny#interfaceGigabitEthernet1/0/1qosapplypolicyfilterinboundACL典型案例二（3）排障过程在交换机SWB的相应端口上取消ACL，故障消失。由此确定是ACL导致问题。使用“displayaclall”和“displayqospolicyinterface”命令查看相关配置发现交换机上配置的ACL规则是只允许目的地址为21的报文通过，阻断所有其它报文。所以基本可以断定是ACL阻断了ARP报文在ACL下发十多分钟后，使用“displayarpall”查看ARP表项，发现没有PCA的ARP表项。由此确认是ACL配置不当导致ARP报文被阻断。解决方案在SWB上添加相关ARP的ACL如下：允许ARP报文通过后，PCA和SWA都能进行正常的ARP学习。ACL典型案例二（4）aclnumber4000rule0permittype0806fffftrafficclassifierpermitoperatororif-matchacl3001if-matchacl4000ACL故障排除NAT故障排除VRRP故障排除DHCP故障排除目录NAT故障排除NAT概述NAT常见故障及排除方法NAT故障排除相关命令NAT排障案例NAT概述NAT（NetworkAddressTranslation）网络地址转换，又称地址代理。NAT的过程即是将IP数据包中的IP头部地址转换成其他IP地址的过程。NAT用于实现私有网络与外部网络的互通，节省了IP地址资源，同时向外隐藏了私有网络的内部结构，在远程接入等网络环境中得到了很多应用。网络中常见的NAT应用有：NATeasyIPNATPNATstaticNATserverNAT常见故障网络中所有主机都无法进行地址转换；网络中部分主机不能进行地址转换；配置NAT后，外部主机无法访问内部服务器。NAT故障排除的一般步骤（1）网络中所有主机都无法进行地址转换的故障处理步骤检查ACL是否配置了允许进行NAT转换的内网地址段检查NAT的配置是否正确检查设备的NATsession的建立情况确认对端设备是否有到地址池IP地址段的路由NAT故障排除的一般步骤（2）网络中部分主机不能进行地址转换的故障处理步骤检查ACL是否配置了允许进行NAT转换的内网地址段检查NAT配置是否正确NAT故障排除的一般步骤（3）配置NAT后，外部主机无法访问内部服务器的故障处理步骤检查路由器上NATServer的配置添加ICMP报文的NATServer转换进行辅助排障通过debug命令查看详细的debug信息displaynat[all|address-group|outbound|server|session]该命令用来查看当前NAT的所有配置信息<H3C>displaynatallNATaddress-groupinformation:Therearecurrently1nataddress-group(s)1:fromto0NAToutboundinformation:Therearecurrently1natoutboundrule(s)Serial0/2/0:acl(2000)---NATaddress-group(1)NATserverinprivatenetworkinformation:Therearecurrently1internalserver(s)Interface:Serial0/2/0,Protocol:6(tcp),[global]00:23(teln)[local]:23(teln)NATstaticinformation:NoNATstatichavebeenconfiguredNATaging-timevalueinformation:tcp----aging-timevalueis86400(seconds)udp----aging-timevalueis300(seconds)icmp----aging-timevalueis60(seconds)pptp----aging-timevalueis86400(seconds)dns----aging-timevalueis60(seconds)tcp-fin----aging-timevalueis60(seconds)tcp-syn----aging-timevalueis60(seconds)ftp-ctrl----aging-timevalueis7200(seconds)ftp-data----aging-timevalueis300(seconds)NATloginformation:NATlogisnotconfiguredNAT排障相关命令（1）NAT排障相关命令（2）displaynatsession显示当前NAT设备进行NAT地址转换的表项信息<H3C>displaynatsessionTherearecurrently1NATsession:ProtocolGlobalAddrPortInsideAddrPortDestAddrPort612289102523VPN:0,status:11,TTL:24:00:00,Left:23:59:53NAT排障相关命令（3）debuggingnatpacket打开NAT调试信息开关*Dec1614:43:36:6012008RouterNAT/7/debug:(Serial0/2/0-out:)Pro:ICMP(:512-:512)------>(:12288-:512)*Dec1614:43:36:6112008RouterNAT/7/debug:(Serial0/2/0-in:)Pro:ICMP(:512-:12288)------>(:512-:512)NAT典型案例一（1）InternetRTAPCARTBSWA故障现象在RTB上配置NAT后，发现内网主机PCA不能访问Internet。NAT地址池：/24/30/30/24/240/24NAT典型案例一（2）RTB上的相关配置：nataddress-group154#aclnumber2000rule0permitsource55#interfaceSerial0/2/0link-protocolpppnatoutbound2000address-group1ipaddress52#interfaceEthernet0/1/0ipaddress#iproute-staticiproute-staticNAT典型案例一（3）排障过程在交换机检查ACL是否配置了允许进行NAT转换的内网地址段，正常；检查公网IP地址池的配置是否正确，正常；检查NATsession的建立情况，发现只有出方向报文，没有入方向报文，所以怀疑是没有回程路由所致；在对端设备上查看，确认对端设备上没有配置回程路由，问题原因找到。NAT典型案例一（4）解决方案在对端设备RTA上配置路由，目的地址为RTB上的地址池。[RTA]iproute-staticNAT典型案例二（1）InternetRTAServerRTBSWA故障现象在RTB上配置NAT后，发现外部主机不能访问内部服务器。NAT地址池：/24/30/30/24/240/24NAT典型案例二（2）RTB上的相关配置：nataddress-group154#aclnumber2000rule0permitsource55#interfaceSerial0/2/0link-protocolpppnatoutbound2000address-group1natserverprotocoltcpglobal0wwwinside0wwwipaddress52#interfaceEthernet0/1/0ipaddress#iproute-staticiproute-staticNAT典型案例二（3）排障过程因为内部主机能够访问外部网络，外部主机无法访问内部服务器，所以判定不是地址池配置错误或没有回程路由；使用“displaynatserver”查看NATServer的配置信息；发现global和local配置的IP地址有误，global是指内部服务器映射的外部公有地址，local(inside)是指内部服务器的实际IP地址。<RTB>displaynatserverNATserverinprivatenetworkinformation:Therearecurrently2internalserver(s)Interface:Serial0/2/0,Protocol:6(tcp),

[global]0:80(www)[local]0:80(www)NAT典型案例二（4）解决方案在RTB上重新配置NATServer，指定正确的global地址和inside地址。interfaceSerial0/2/0

natserverprotocoltcpglobal0wwwinside0wwwACL故障排除NAT故障排除VRRP故障排除DHCP故障排除目录VRRP故障排除VRRP概述VRRP故障排除方法VRRP故障排除相关命令VRRP故障案例分析

VRRP概述VRRP(VirtualRouterRedundancyProtocol,虚拟路由器冗余协议)是一种容错协议，是由一台以上的路由器或三层交换机虚拟成一台路由器，而增加网关可靠性的协议。VRRP协议的实现有VRRPv2和VRRPv3两个版本。其中，VRRPv2基于IPv4，VRRPv3基于IPv6。VRRP常见故障设备Log日志里出现VRRP配置错误的信息同一个VRRP组内出现多个主设备；主从设备的VRRP状态同时频繁切换；主设备状态不变，从设备状态频繁切换；VRRP故障排除的一般步骤（1）设备Log日志里出现VRRP配置错误信息的处理步骤查看各交换机的VRRP配置信息，保证VRRP组中所有设备的VRRP配置参数一致查看接收到的VRRP调试信息，可以找出配置错误VRRP参数的设备VRRP故障排除的一般步骤（2）同一个VRRP组内出现多个主设备的故障处理步骤若短时间内存在多个Master，属于正常情况若多个Master长时间共存，这很有可能是由于VRRP组内各设备之间收不到VRRP报文，或者收到不合法的报文造成的在VRRP设备之间执行“ping接口实际IP地址”来测试设备间的可达性查看设备系统CPU资源的使用情况，如果设备CPU使用率过高，查找相关原因VRRP故障排除的一般步骤（3）主从设备的VRRP状态同时频繁切换的故障处理步骤执行命令displayvrrpverbose查看VRRP的参数设置，检查是否在VRRP组中启用了监视端口的功能排查被监视端口连接线路状态或使用VRRP的非抢占模式VRRP故障排除的一般步骤（4）Backup设备的状态频繁切换的故障处理步骤在VRRP设备之间执行“ping接口实际IP地址”来测试设备间的可达性查看设备系统CPU资源的使用情况，如果设备CPU使用率过高，查找相关原因VRRP排障相关命令（1）displayvrrp[verbose]该命令用来显示VRRP当前运行状态及配置信息<H3C>displayvrrpverboseIPv4StandbyInformation:RunMethod:VIRTUAL-MACVirtualIPPing:EnableTotalnumberofvirtualrouters:1Interface:Vlan-interface100VRID:10Adver.Timer:1AdminStatus:UPState:BackupConfigPri:100RunPri:100PreemptMode:YESDelayTime:0AuthType:NONEVirtualIP:54MasterIP:53VRRP排障相关命令（2）debuggingvrrppacket该命令用来显示了解当前各接口收发VRRP协议报文的情况<H3C>debuggingvrrppacketIPv4Vlan-interface10|VirtualRouter10:receivingfrom53,version=2,type=1,priority=110,countipaddrs=1,timer=1,authtypeisno,checksum=3061VRRP相关log的介绍%Nov1716:58:45:3342008SW_AARP/3/DUPVRRPIP:Slot=4;IPaddress54collisionwithVRRPvirtualIPaddressoninterfaceVlan-interface100,sourcedby0000-5e00-010a一般系统log的格式是：timestampsysnamemodule/level/digest:content，所分别对应中文格式为：时间戳主机名模块名/信息级别/信息摘要：信息内容。以上log显示信息表示：在接口Vlan-interface100上发生了IP地址54的地址冲突，这个冲突信息是由MAC地址为0000-5e00-010a的设备发出的。VRRP典型案例一（1）SWBSWA故障现象VRRP状态正常，但在控制台上频繁报VRRP配置错误信息。G1/0/1VLAN-Interface10:53/24G1/0/1VLAN-Interface10:52/24L2交换机VRRP典型案例一（2）SWA上相关配置：interfaceVlan-interface10ipaddress53vrrpvrid10virtual-ip54vrrpvrid10priority110#interfaceGigabitEthernet1/0/1portaccessvlan10SWB上相关配置：interfaceVlan-interface10ipaddress52vrrpvrid10virtual-ip54#interfaceGigabitEthernet1/0/1portaccessvlan10VRRP典型案例一（3）排障过程执行命令displayvrrp命令来查看VRRP组状态。状态正常；执行命令displayvrrpverbose检查VRRP组的配置是否一致。可以看到所有设备上的VRRP配置都正确；打开设备上的debugvrrppacket开关，查看设备调试信息。发现IP地址为52的设备发送了具有相同的VRID号的VRRP通告报文。*Nov1815:28:55:2652008SWAVRRP/7/DebugPacket:IPv4Vlan-interface1000|VirtualRouter10:sendingfrom53,version=2,type=1,priority=110,countipaddrs=1,timer=1,authtypeisno,checksum=42316*Nov1815:28:55:3312008SWAVRRP/7/DebugPacket:IPv4Vlan-interface1000|VirtualRouter10:receivingfrom52,version=2,type=1,priority=100,countipaddrs=1,timer=1,authtypeisno,checksum=47436VRRP典型案例一（4）解决方案根据IP地址找到该设备，取消VRRP组配置或修改VRRP组为另一个不同的VRID号，问题解决。如果从IP地址不容易找到出问题的设备，可以根据MAC地址来查找。在VRRP设备上，VirtualRouter的MAC地址是00-00-5E-00-01-{vrid}，所以IP地址为52的设备的虚MAC地址是0000-5e00-010a。VRRP典型案例二（1）SWBSWA故障现象设备的VRRP主备状态频繁切换。G1/0/1VLAN-Interface10:53/24G1/0/1VLAN-Interface10:52/24L2交换机InternetVRRP典型案例二（2）SWA上相关配置：interfaceVlan-interface10ipaddress53vrrpvrid10virtual-ip54vrrpvrid10priority110vrrpvrid10trackinterfaceVlan-interface20reduced20#interfaceGigabitEthernet1/0/1portaccessvlan10SWB上相关配置：interfaceVlan-interface10ipaddress52vrrpvrid10virtual-ip54#interfaceGigabitEthernet1/0/1portaccessvlan10VRRP典型案例二（3）排障过程执行displayvrrpverbose查看VRRP的参数设置，可以看到VRRP启用了对Vlan-interface20接口监控功能；<SWA>displayvrrpverboseRunMethod:VIRTUAL-MACVirtualIpPing:EnableInterface:Vlan-interface10VRID:10Adver.Timer:1AdminStatus:UPState:MasterConfigPri:110RunPri:110PreemptMode:YESDelayTime:0AuthType:NONETrackIF:Vlan-interface20PriReduced:20VirtualIP:54VirtualMAC:0000-5e00-010aMasterIP:53VRRP典型案例二（4）排障过程执行命令displaylogbuffer查看设备的log日志，发现日志中有大量如下的信息：问题原因找到了，是因为VRRP监控接口状态频繁变化，导致VRRP组中的主备状态频繁切换。解决方案修复Vlan-interface20对应的上行链路，问题解决。也可以使用VRRP的非抢占模式来进行规避。在上行链路频繁切换的情况下，能够减少VRRP主备状态频繁切换次数。%Nov1817:35:23:4662008SWAIFNET/4/UPDOWN:LineprotocolontheinterfaceVlan-interface20isDOWNACL故障排除NAT故障排除VRRP故障排除DHCP故障排除目录DHCP故障排除DHCP概述DHCP故障排除方法DHCP故障排除相关命令DHCP故障案例分析

DHCP概述DHCP（DynamicHostConfigurationProtocol）协议是在BootstrapProtocol（BOOTP）的基础上提出，并增加了重新使用的网络地址的自动分配能力和附加配置选项（ConfigurationOptions）。网络中常见的DHCP应用有：DHCPServerDHCPrelayDHCPsnoopingDHCP常见故障设备作为DHCPServer后，DHCPClient无法得到IP地址；设备作为DHCPRelay后，DHCPClient无法得到IP地址；二层交换机配置DHCPsnooping后，DHCPClient无法获得IP地址；DHCPClient可以得到IP地址，但却无法通过域名或主机名访问网络资源。DHCP排障的一般步骤（1）设备作为DHCPServer，DHCPClient无法得到IP地址的故障处理步骤检查DHCPServer设备是否启动了DHCP任务；检查DHCPServer的地址池中是否有IP地址可供分配;检查DHCPServer到DHCPClient网关地址是否路由可达DHCP排障的一般步骤（2）设备作为DHCPRelay，DHCPClient无法得到IP地址的故障处理步骤检查DHCPRelay及DHCPServer设备是否启动了DHCP任务；检查设备DHCPRelay相关配置是否正确;检查DHCPRelay设备和DHCPServer是否配置有相互可达的路由;检查设备DHCPServer上是否配置了DHCPClient所在网段的地址池DHCP排障的一般步骤（3）二层交换机配置DHCPsnooping后，DHCPClient无法获得IP地址的故障处理步骤确认是否是DHCPsnooping导致的故障；确认设备的DHCPsnooping配置是否正确DHCP排障的一般步骤（4）无法通过域名或主机名访问网络资源的故障处理步骤确认终端PC是从正确的DHCPServer得到的IP地址；检测网络的连通性;检测DNS服务器DHCP排障相关命令（1）displaydhcpservertreeall该命令用来显示DHCP地址池的配置信息<H3C>displaydhcpservertreeallGlobalpool:Poolname:pool-1networkmaskgateway-list54dns-listdomain-nameexpired100DHCP排障相关命令（2）displaydhcpserverip-in-useall该命令用来显示DHCPServer地址池中已经分配的IP地址信息。<H3C>displaydhcpserverip-in-useallGlobalpool:IPaddressClient-identifier/LeaseexpirationType

Hardwareaddress0015-c506-99c4Jan2200918:38:46Auto:COMMITTED---total1entry---DHCP排障相关命令（3）displaydhcprelayserver-groupall该命令用来显示DHCP服务器组中服务器的IP地址。<H3C>displaydhcprelayserver-groupallServer-groupGroupIP151252<H3C>displaycurrent-configurationinterfaceVlan-interface192interfaceVlan-interface192ipaddress54dhcpselectrelaydhcprelayserver-select1DHCP排障相关命令（4）displaydhcp-snooping该命令用来显示DHCPsnooping的有效表项。<H3C>displaydhcp-snoopingDHCPSnoopingisenabled.Theclientbindingtableforalluntrustedports.Type:D--Dynamic,S--StaticTypeIPAddressMACAddressLeaseVLANInterfaceD010015-c506-99c48631010GigabitEthernet1/0/20DHCP排障相关命令（5）debuggingdhcprelaypacket该命令用来打开DHCPrelay调试信息开关。<H3C>debuggingdhcprelaypacketRx,DHCPrequestpacket,interfaceVlan-interface20.Fromclienttoserver(Server-group1):Messagetype:requestHardwaretype:1,Hardwareaddresslength:6Hops:0,TransactionID:3452412148Seconds:0,Broadcastflag:0ClientIPaddress:YourIPaddress:ServerIPaddress:RelayagentIPaddress:54Clienthardwareaddress:0000-215c-e232//客户端MAC地址

Serverhostname:NotConfigured,Bootfilename:NotConfiguredDHCPmessagetype:DHCPDiscover//DHCP消息类型：DHCPDiscoverDHCP排障相关命令（6）debuggingdhcp-snooping{all|error|event|packet}该命令用来打开DHCPsnooping调试信息开关。<H3C>debuggingdhcp-snoopingevent………………*Dec1616:35:38:1082008H3CDHCPSP/7/EVENT:SucceedinsendingDHCPsnoopingpackettotrustedportGigabitEthernet1/0/1inVLAN10.…………