《2020网络ARP-DETECTION故障排查.docx》由会员分享,可在线阅读,更多相关《2020网络ARP-DETECTION故障排查.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ARP-DETECTION 故障排查、开始定位故障思路是:开始先检查ARP-DETECTION是否正确使能。如果配置无问题,再看目的端口是否为ARP信任端口。如果不是ARP信任端口,则需要进行用户的合法性检查。关 于用户合法性检查,首先进行的是匹配ARP规则,如果匹配,则按照规 则处理,如果不匹配,则查看是否匹配IP SOURCE GUARDo关于IP- SOURCE-GUARD的匹配,如果找到对应的IP表项,则判断是否非法,如果不匹配 ,则查看是否匹配OUI-MAC、DOT1X、DHCP-SNOOPING的其中一项。1、检查ARP-DETECTION的酉己置查看ARP-DETECTION在设
2、备上对应的VLAN中是否使能。如果未使能,则进行下一 步处理。命令:display arp detection例如:ARP-DETECT I ON在VLAN 10中使能,则有如下显示H3Cdis arp detectionARP detection is enabled in the following VLANs: 1, 102、检查ARP信任端口的配置查看该ARP所在或所应该的端口是否为信任端口,如果不为信任端口, 则进行下一步处理。命令:display this例如:TEN5/0/1为ARP信任端口H3C-Ten-GigabitEthernet5/0/ldisplay thisport
3、link-mode bridgeport link-type hybridport hybrid vlan 1 untagged arp detection trust3、匹配配置规则查看在设备上是否配置了ARP的规则。如果匹配,则按照规则处理(pe rmit/deny),如果未匹配,则进行下一步处理。命令:display arp detection例如:IP为 1. 1. 1.0/24, MAC为2222-2222-2200/ffff-ffff-ffOO的ARP,被丢弃。H3C di splay arp detectionARP detection is enabled in the fol
4、lowing VLANs:1, 10ARP detection:arp detection 0 deny ip 1.1.1.0 255. 255.255.0 mac 2222-2222-2200 ffff-ffff-ffOO4、匹配IPSOURCEGUARD查看是否匹配IP SOURCE 0GUARD的静态配置。如果找到了对应源IP 址不符,认为谢RP报文非法,进行丢弃。身未匹配,则进行1命令:display ip source bindingAdministrator2015-12-12 07:06:30让到对应的,认为合法,进行转发;Administrator2015-12-12 07:0
5、9:15继续进彳亍 dhcp snooping,802.1x,oui mac播例如:L L L 1 0002-0002-0002的ARP报文会被丢弃,1.1111-版权所有:杭州华三通信技术有限公司1111报文符合静态绑定表项,会正常学到,其他IP地址非LLL1的AR P正常学习。display ip source bindingTotal entries found: 1MAC AddressIP AddressVLAN InterfaceType0011-1111-1111 1.1.1.1N/A GE1/0/28Static5、匹配OUI-MAC、DOT1X、DHCP-SNOOPING检查
6、源MAC是否为OUI-MAC, VOICEVLAN是否使能;如果未匹配,则进行下一步处理。命令:display voice vlan ouidisplay voice vlan state例如:查看交换机上目前配置的OUI-MAC如下且端口Ten-GigabitEthernet5/0/l使能了voice vlan 。H3Cdis voiceOui Address0001-e300-00000003-6b00-0000 0004-0d00-0000 0060-b900-0000 OOdO-leOO-OOOO 00e0-7500-0000 OOeO-bbOO-OOOOvlan ouiMaskfff
7、f-ffOO-OOOO ffff-ffOO-OOOO ffff-ffOO-OOOO ffff-ffOO-OOOO ffff-ffOO-OOOO ffff-ffOO-OOOO ffff-ffOO-OOOOvlan state128H3Cdis voiceMaximum of Voice VLANs:Description Siemens phone Cisco phone Avaya phone Philips/NEC phone Pingtel phone Polycom phone 3com phoneCurrent Voice VLANs: 1Voice VLAN security mod
8、e: SecurityVoice VLAN aging time: 1440 minutesVoice VLAN enabled port and its mode:DSCPPORTVLAN MODE COSTen-GigabitEthernet5/0/12AUTO 646检查IP、MAC是否匹配DHCP-SNOOPING表项;如果未匹配,则进行下一步处理命令:display dhcp-snooping例如:匹配1.1. 1.1 1111 - 1111-1H1的ARP正常学习,其符合dhcp- snooping 表项。H3Cdis dhcp-snoopingDHCP Snooping is e
9、nabled.The client binding table for all ports.Type : D-Dynamic , S-Static , R-RecoveringType IP Address MAC Address Lease VLAN SVLANInterfaceD 1.1.1.11111-1111-111128612GigabitEthernet1/0/1检查源MAC是否为dotlx的mac。如果是,则正常学习。否则丢弃报文。命令: display connection access-type dotlx例如:源MAC 2c59-e501-a055dotlxffl/=1MMACoH3Cdisplay connection access-type dotlxSlot: 1Index=23 , Usernaroe=dot1xdot1xIP=N/AIPv6二N/AMAC=2c59-e501-a055Total 1 connection(s) matched on slot 1.