【经典案例】交换机三层直连不通排查指导

发布时间：2024-06-04

点击量：1285

一、故障现象

交换机作为网络接入设备，和其他网络设备通过三层口互联，出现交换机和其他网络设备无法互相ping通的情况。

二、组网拓扑

拓扑描述： 接入交换机作为网络接入设备，和其他网络设备通过g 0/3三层口互联

三、可能原因

1、排查两端互联地址是否配置为同一网段

2、是否配置了acl进行了限制

3、其他网络设备有相关策略拦截

四、故障排查步骤

步骤一：排查配置层面的因素

1、检查交换机接口ip地址配置情况以及是否有配acl，静态arp绑定登录交换机cli命令行执行以下命令检查 show run int g0/3 show access-group show run | in xxx（对端设备ip地址）若g 0/3口下配置的ip地址和对端设备配置的ip地址掩码一致，同网段，则ip地址配置无问题；若g 0/3口下未配置acl且show access-group查看全局下没有调用acl，则说明没有acl进行限制，若有acl则需要检查acl是否有ace拦截相关报文；若show run | in xxx未过滤到对应配置则说明无静态arp绑定，若有则需要检查绑定的arp表项里对应的mac地址是否是对端设备的mac地址；

2、检查其他网络设备配置情况；
若其他网络设备也是交换机可按第1步相同排查，若是其他如防火墙等安全设备，需要联系对应工程师检查配置是否有问题

步骤二：排查产品层面的因素

1、检查交换机是否有正常学习到对端的arp
登录交换机执行命令 show arp de | in xxx(对端ip地址) 若有输出则说明可以正常学习到对端的arp表项，若无输出说明未学习到对端的arp表项需要通过命令show cpu-protect检查cpp是否有丢包，看对应arp行的最后一列total drop是否有数值，有数值则说明有arp丢包，若cpp无丢包需要通过arp计数明确arp报文收发情况具体可参考arp计数脚本，
点击查看：ARP计数

2、通过acl计数明确丢包点；登录交换机进行acl计数相关配置具体可参考acl计数脚本ACL计数

3、通过快转debug查看报文交互过程登录交换机配置以下命令 ter monitor //arp debug命令如下 debug efmp packet etype arp dmac edef.bcde.aeff（其他网络设备的mac地址） smac aedf.ec37.54ed（交换机mac地址）counter 5 //icmp debug命令如下 debug efmp packet ping sip 172.26.129.210（交换机ip地址） smac aedf.ec37.54ed（交换机mac地址） dip 172.26.129.214（其他网络设备的ip地址） dmac edef.bcde.aeff（其他网络设备的mac地址） counter 5 然后交换机上执行ping 172.26.129.214（对端ip地址） source 172.26.129.210（本端ip地址）等待debug打印完毕后执行ter no monitor