澎湃框交换机仅支持面板口上线,不支持mgmt口激活上线;
澎湃框在控制器上发现激活的前提条件为澎湃框交换机的模式为瘦模式,只有在确保时瘦模式的情况
下出现此类问题再按照该章节方法排查。如果澎湃框交换机是胖模式,需要优先切换为瘦模式后在再看下是否有问题;
核实澎湃框交换机是否存在二层环路,网络环境中是否有多台NAC;
1.1.1澎湃框主控&板卡status灯是否正常
检测澎湃框的供电是否正常,观察网口灯是否正常亮起,状态灯是否正常。
1.1.2控制器是首次激活澎湃框吗?
确保控制器版本能支持澎湃框交换机,TS7905最低版本要求3.9.5P1;
TS7908,TS7914最低版本要求3.8.1.1 P1
NAC上序列号中交换机的授权个数为0时,交换机无法发现,设备与订单系统关联,联网自动同步
授权。3.9.0及以上版本的设备可以联网自动获取授权;如果是测试设备,需联系当地办事处技服申
请授权
1.1.3采用的是哪一种发现方式
1.1.3.1手动指定控制器IP发现
澎湃框不支持使用troubleshoot扫描工具配置控制器IP地址,保证三层可达,可以在web页面手动指定控制器IP地址
1.1.3.2DNS方式发现
澎湃框获取地址和DNS后,会自动请求域名www.wlanadmin.com以及域名www.sangforwlanac.com,澎湃框会把请求得到的地址认为是NAC控制器,澎湃框会向NAC发起udp:7777发现报文,确保DNS服务器或代理服务器能正常回包响应;
由于NAC支持做DNS代理服务器,且支持写HOSTS,所以在客户环境测试,可以把澎湃框的DNS服务器设置为NAC的接口地址,并写HOSTS把域名www.wlanadmin.com或域名www.sangforwlanac.com指向NAC接口的IP地址;把网络环境中的DNS服务器配置为NAC的接口地址,当澎湃框获取地址和DNS后,就会发出DNS请求到NAC,这样也是可以让澎湃框自动发现NAC。
1.1.3.3Webagent方式发现
当澎湃框和控制器都关联到同一个webagent时,控制器的地址发生变化时,澎湃框可以通过webagent服务器获取控制器的最新地址。适用于控制器使用PPPoE拨号上网时出口地址,需要注意解析到的公网IP需要是能直接访问到控制器,部分PPPoE拨号方式获取的地址为运营商内部地址无法通过公网直接访问到将导致澎湃框无法发现控制器。
1.1.3.4DHCP Option43方式发现
多数DHCP服务器都支持添加DHCP option43,需求确保添加的DHCP option43字段编码格式正确。如果使用控制器当DHCP服务器,则DHCP option43字段如下截图配置即可,具体option43格式的配置可查看各厂商的配置手册。配置格式不正确将导致澎湃框无法解析option43字段的内容,从而无法发现控制器。
1.1.3.5二层环境自动发现
澎湃框与NAC同2层网络环境中,采用2层广播的方式发现,但由于交换机VLAN配置不当,配置了错误的vlan,导致澎湃框与NAC不在同一个广播域。
1.1.4 澎湃框到NAC中间的路由与端口是否正常通畅?
澎湃框到NAC需要路由可达,澎湃框能ping通NAC,澎湃框到NAC的UDP7777端口以及备用的TCP7778端口(在UDP7777端口不通的时候使用)需要能正常通,比如:
1、澎湃框接在了10M的交换机与集线器上,而澎湃框的某些接口不支持10M的速率,无法协商获取地址
2、当澎湃框获取到了非法私接DHCP服务器分配的IP地址,澎湃框不能与NAC通讯,
3、澎湃框到NAC之间的UDP7777以及TCP7778被网络中的防火墙或运营商拦截了,跨公网部署还需要考虑是否端口映射有问题;
4、澎湃框非首次激活,已经被写入了其他不可用网段地址或错误的网关地址或控制器地址;
澎湃框处于离线模式,说明澎湃框和控制器二层是不通的,也未能成功建立TCP7070控制器隧道。此时可做如下排查确认。
1.2.1 检查基本的网络配置是否正确
给澎湃框配置了固定IP和网关,且需要确保正确,澎湃框与NAC能正常通讯。
1.2.2 是否有配置交换机组参数的控制器IP
澎湃框激活时,给澎湃框配置写入了NAC控制器地址,但是澎湃框的控制器IP地址与澎湃框所在组的主控制器不匹配,导致澎湃框一直在寻找交换机组中的主控制器。给澎湃框写的控制器地址要和交换机组的控制器地址一致。
1.2.3控制器的版本是否支持澎湃框上线
激活澎湃框时,可以查看澎湃框的版本,当澎湃框与NAC版本不匹配,澎湃框无法上线
注意:
1、NAC版本高于澎湃框版本,澎湃框不会自动下载升级到新版本,需要手动升级
2、3.12.0 目前没有对应的澎湃框版本
3、TS7908和TS7914最低支持版本是3.8.1.1.P1,TS7905最低支持版本是3.9.5P1
1.2.4 重新删掉澎湃框,再次激活尝试
在NAC上删掉澎湃框,看澎湃框是否还会自动发现成功,重新给澎湃框激活配置。给澎湃框进行重置操作,重新激活使用等。
1.2.5 抓包分析定位具体问题
以上排查无法解决,可联系信锐厂商售后协助登录澎湃框和NAC后台抓包确认,如果通过澎湃框和NAC上抓的包还是无法定位问题,则需在澎湃框和控制器通讯中经过的设备上同步抓包分析。
澎湃框处于待修复模式,说明澎湃框和控制器二层是通的,但是未能成功建立TCP7070控制器隧道。此时可做如下排查确认:
1.3.1 检查控制器是否可以ping通 澎湃框
1、如果无法ping通,则做如下排查:
• 手动给澎湃框配置了固定IP和网关,都需要确保正确,澎湃框与NAC能正常通讯;
• 澎湃框通过自动获取地址的方式,需要确保获取的地址是正确的网段,需排除由于DHCP服务器配置错误或同二层有其他私接路由器导致地址分配错误的问题;
• 排除澎湃框获取或手动配置的IP与其他设备地址冲突的可能
2、如果可以正常ping通,则继续往下排查,排查方法与澎湃框离线排查方法一致
1.3.2 是否有配置交换机组参数的控制器IP
澎湃框激活时,给澎湃框配置写入了NAC控制器地址,但是澎湃框的控制器IP地址与澎湃框所在组的主控制器不匹配,导致澎湃框一直在寻找交换机组中的主控制器。给澎湃框写的控制器地址要和交换机组的控制器地址一致。
1.3.3 控制器 的版本是否支持澎湃框上线
激活澎湃框时,可以查看澎湃框的版本,当澎湃框与NAC版本不匹配,澎湃框无法上线
注意:
1、NAC版本高于澎湃框版本,澎湃框不会自动下载升级到新版本,需要手动升级
2、3.12.0 目前没有对应的澎湃框版本
3、TS7908和TS7914最低支持版本是3.8.1.1.P1,TS7905最低支持版本是3.9.5P1
1.3.4 重新删掉澎湃框,再次激活尝试
在NAC上删掉澎湃框,看澎湃框是否还会自动发现成功,重新给澎湃框激活配置。给澎湃框进行重置操作,重新激活使用等。
1.3.5 抓包分析定位具体问题
以上排查无法解决,可联系信锐厂商售后协助登录澎湃框和NAC后台抓包确认,如果通过澎湃框和NAC上抓的包还是无法定位问题,则需在澎湃框和控制器通讯中经过的设备上同步抓包分析。
1.4.1 如何观察澎湃框是否掉线?
可以观察澎湃框接入时间是否有更新,在NAC的接入点状态中查看澎湃框的接入时间点,是否在不断更新,可以通过看这个接入时间可以判定是交换机集体掉线还是个别交换机掉线。
1.4.2 观察NAC设备是否有重启,看是否是NAC重启导致的离线
1、查看是系统日志,以及管理员操作日志,看是否人为在界面上执行了重启操作
2、如界面上未发现有认为重启的日志,进一步定位问题可联系信锐厂商售后排查。
1.4.3 如果是双机部署,观察是否有双机切换
如果是NAC有双机部署,查看系统日志、告警日志等,检查NAC是否有双机切换动作。
1.4.4 在NAC上查看告警事件是否有IP地址冲突事件
在告警事件看下是否AP有IP地址冲突的情况,如果有,建议给AP配置固定IP地址,且建议AP与其他网段设备进行建立独立VLAN,相互隔离。
1.4.5 NAC上告警事件是否有接口断开的情况
网络链路有中断的情况,光纤线路中断,网线掉线等物理原因,排查环境中各个设备的接口的up和down状态日志,如果NAC直连的接口出现过down掉,NAC的告警事件会提示有接口断开和连接的状态告警。
1.4.6网络中是否有经过防火墙或上网行为管理等设备
如果有,请检测一下相关策略,是否有拦截TCP7070端口,如果有直通策略,建议开启直通策略观察看是否还有问题。
1.4.7 澎湃框到NAC之间带宽是否存在瓶颈问题
澎湃框到NAC之间的链路带宽已经跑满,链路不稳定,控制隧道TCP7070数据包丢包,导致AP不稳定;建议增加带宽,并做带宽保障策略。
1.4.8 网络中有流量控制设备吗?
在澎湃框到NAC之间,如果有流量控制设备,需要澎湃框AP到NAC之间的流量不要被限制,最好能做流量保障策略,澎湃框到NAC的端口:TCP7070、UDP7077/7777/5246/5247
远程部署澎湃框时,需要在出口设备上,对NAC和澎湃框之间的流量进行通道保障,避免丢包,当有AC时,可做流控保障,有其他设备时,也可做流控保障,避免出口带宽跑满,流控应用端口为:TCP7070、UDP7077/7777/5246/5247、TCP800。
1.4.9 网络中交换机是否有启用ARP防护、BPDU Guard防护
与NAC直连的核心三层有ARP-Guard类似的防护命令、与澎湃框直连的接口,BPDU Guard等防护命令;如果有,取消掉试试。
1.4.10 其他原因
如问题一直无法定位(比如离线交换机随机、问题不定时出现、要排查时无问题现象等),可联系信锐厂商售后通过控制器循环抓包配合给交换机下发离线抓包脚本观察。当复现问题后,可取出问题时间点的数据包进行分析定位。
2.1.1澎湃框组建堆叠时有硬件限制
澎湃框组建堆叠时,需要核实硬件是否符合要求
1、堆叠成员交换机型号必须相同,例如TS7908与TS7914无法组建堆叠
2、堆叠成员交换机主控型号必须相同,例如S5主控的机框不能与S7主控的机框组建堆叠
3、只支持两台设备做堆叠
2.1.2检查基本配置是否正确
可能导致堆叠无法建立的配置有:
2.多堆叠口时,所有堆叠口必须属于同一个线卡,
3.堆叠口建议选择线卡的10G光口,不能选择主控上的光口,不支持电口做堆叠口
2.1.3交叉测试物理介质
核实堆叠模块是否是信锐授权的光模块(信锐光模块上有彩色logo),光纤线是否有损坏,可以参考以下测过结果,来确认物理介质的故障点
• 如果中间经过传输或波分等中间设备,测试绕过或者更换中间设备,如果能正常UP,说明和中间设备有关。
• 更换光纤、跳线架,如果能正常UP,说明和光纤链路有关。
• 更换本端光模块后如果能正常UP,则本端光模块有问题。
• 本端更换其他接口如果能正常UP,说明本端接口有问题。
• 更换对端光模块后如果能正常UP,说明对端光模块问题。
• 更换对端接口后如果能正常UP,则对端接口有问题。
首先确保线卡的工作状态是正常, web页面确认线卡是在线状态,如果线卡不在线,尝试拔插或者更换槽位测试
3.1.1核实端口的配置是否正确
确认端口是否被禁用,如果被禁用设置为启用。
确认端口的速率与对端设备是否一致,如果不一致调成一致
例如:对端是强制100M,半双工,澎湃框也需要设置为一致,否则端口不UP
注意:
澎湃框主控上的光口目前不支持使用
3.1.2确认传输介质是否正常
电口不亮时,需要交叉测试下网线是否正常,并确认网线是否接近100M(网线传输上限是100M),最好用短距离网线,如1M,3M的网线直连交换机测试
光口不亮时,需要交叉测试下光纤,光模块是否正常,40G端口建议使用OM3及以上类型的光纤,但使用距离不建议超过100M,另外,如果光口配置为强制速率和双工时,建议将光模块自适应功能关闭
光口不亮时,还需要确认光模块以及光纤类型,单模光纤只能用于单模光模块,多模光纤只能用于多模光模块
首先核实地址池设置是否合理,比如网关,子网掩码,DNS,起始IP,结束IP,保留IP
如果起始IP,结束IP,保留IP设置符合业务需求,可能会出现无法获取IP地址的情况
4.1.1地址池配置错误导致无法获取IP地址
检查地址池配置是否正确,主要是网关地址,起始ip,结束ip,保留地址是否设置合理。
例如,客户业务环境有250个用户,但地址池只有244个,会导致部分终端无法获取ip地址
4.1.2DHCP策略关联错误地址池导致无法获取IP地址
核实DHCP策略关联的地址池是否正确,如果关联到错误的地址池或者空的地址池,可能导致终端无法获取IP地址
4.1.3端口没有正确关联DHCP服务导致无法获取IP地址
检查对应的三层口ip地址是否配置正确,关联的DHCP服务策略是否符合预期,如果端口没有启动DHCP服务或者服务策略关联错误,可能会导致终端无法获取IP地址
4.1.4通过抓包分析具体问题
以上排查无法解决,可尝试使用wireshark或者联系信锐厂商售后协助登录澎湃框后台抓包确认,
网络环境中是否存在多个DHCP服务器或者非法DHCP服务器(使用了与预期DHCP服务器相同的IP地址)
端口聚合与对端建立不起来,首先确认线卡状态是否正常,如果不正常排查线卡问题
核实两端设备端口的参数配置是否一致,如果不一致,将其调整为一致
5.1.1物理端口参数不一致导致端口聚合失败
确认两端设备端口聚合的物理端口,双工,速率,聚合模式是否一致
注意:
LACP模式下两端设备不能都配置为被动模式(passive),否则无法建立端口聚合,可以都为主动模式(active)或者一端为主动模式另外一端为被动模式
5.1.2物理端口超过8个导致端口聚合失败
澎湃框单个端口聚合最大支持8个,第9个端口无法加入聚合,如下图所示
5.1.3端口处于禁用状态导致聚合端口失败
澎湃框在创建完聚合后,物理端口可以手动禁用,且不容易发现,如果端口被禁用,聚合口成功,需要启用,如下图:
6.1.1STP根优先级配置不当,导致STP异常
二层网络中所有设备都配置了STP,但在新加入新交换机时,网络出现了大范围波动情况。此时,需要核实STP根配置是否合理,一般来说STP根需要配置在性能较好的设备上(核心交换机),数字越小优先级越高
6.1.2STP 配置完成后,block端口是非预期端口怎么办?
根据STP的算法,在所有交换机配置完STP后,block的端口可能是非预期端口, 此时可以通过调整优先级或者对应端口的cost值来改变STP的block端口
通过更改端口cost值改变block端口参考示例:
通过更改交换机优先级改变block端口参考示例:
7.1.1OSPF配置完成后,邻居无法建立怎么办?
澎湃框支持loopback、vlanif、三层接口作为OSPF的互联接口,当使用三层时互联时,核实两端设备是否有ACL限制了彼此的源目IP地址(OSPF 基于IP 89端口),如果有放行该流量或者临时禁用ACL测试
其次,需要核实两台OSPF之间是否有安全设备,如果有,检查安全设备是否阻止了OSPF的流量(不确定的情况下,可以将安全设备临时更改为直通模式),放通后再次测试
7.1.2OSPF配置完成后域间路由无法互相学习怎么办?
一个自治系统(AS)中只能有一个area0,所有区域都在与area0直连,域间通信必须通过area0。对于单个区域可以不设置area0,多区域环境下一定要有area0骨干区域,如下图所示
澎湃框交换机的ACL策略最后一条默认是允许所有
ACL策略无法限制目的地址为本机的地址,因为目的地址为本地的地址,会命中CPU的ACL,由于CPU的ACL优先级比较高,会导致用户ACL不生效,目前澎湃框是这么设计的。
8.1.1一个端口应用多条ACL策略,某些ACL策略不生效
一个端口应用多条ACL策略时,ACL的读取顺序是自上而下读取,如果上面的ACL策略命中了流量,就会停止读取,此时第二条策略就无法生效,这是澎湃框设计上的预期的行为
8.1.2二层特定场景导致ACL策略不生效
在特定场景下二层ACL某些条目可能会不生效,并非软件问题导致,而是澎湃框预期的行为
例如:第一条ACL规则是指定源MAC(PC1)、目的MAC(PC2)协议不限,允许
第二条ACL规则是指定源MAC(PC1)、目的MAC(所有)协议不限,拒绝
会出现PC1 ping PC2不通,这是因为PC1需要先发arp请求PC2的mac地址,但arp是广播的,匹配不到第一条ACL,匹配到第二条ACL,导致ARP请求报文丢弃
解决方法:
新增一条ACL规则匹配条件为指定源MAC(PC1),目的MAC(所有)二层协议选择ARP,动作允许且优先级比第二条拒绝规则的高
8.1.3三层特定场景导致ACL策略不生效
在特定场景下三层ACL某些条目可能会不生效,并非软件问题导致,而是澎湃框预期的行为
例如:第一条ACL规则是指定源IP(PC1)、目的IP(PC2),协议不限,允许
第二条ACL规则是指定源IP(PC1)、目的IP(所有),协议不限,拒绝
会出现PC1 ping PC2不通,这是因为PC1需要先发arp请求PC2的mac地址,但arp是广播的,匹配不到第一条ACL,匹配到第二条ACL,导致ARP请求报文丢弃, 从而PC1无法ping通PC2
解决方法:
第一条ACL规则修改为:指定源IP(PC1)、目的IP(PC2),三层协议(IP),允许
第二条ACL规则修改为:指定源IP(PC1)、目的IP(所有),三层协议(IP),拒绝
澎湃框创建好报文镜像后,如果发现不生效,需要核实源目端口是否配置正确,所选交换机以及物理端口接线是否正确
9.1.1报文镜像会话ACL配置不当导致的镜像不生效
在配置报文镜像ACL时,务必确认流量是否从该端口经过(源端口),如果不确定,可以将ACL策略删除后再次测试
9.1.2报文镜像会话达到上限,新的镜像会话无法生效
澎湃框交换机支持4条报文镜像会话(单向4条,双向2条),如果配置了2条双向报文镜像会话后,再添加第三条报文镜像会话时,会提示如下报错, 这是设备预期的行为
直连澎湃框ping不通有很多因素导致,如PC自身网卡问题,网络中发生环路,物理链路损坏,配置了ACL,澎湃框端口或者板卡状态异常等等因素,需要逐步排查确认
10.1.1笔记本无线网卡路由优先级比有线高导致的ping不通
使用笔记本直连ping澎湃框时,需要留意是否开启了无线网卡,如果开启无线网卡,可能会导致ping不通直连设备,建议关闭无线网卡后尝试
10.1.2网线物理问题导致的直连ping不通
遇到直连ping不通时,首先要确认网络物理状态是否异常,比如:破损,水晶头没压好,内部线断开或者接触不良,如果发现网线有破损情况,更换网线交叉测试,或者使用网线测试仪器检测是否完好
也可以通过查看端口计数查看是否有CRC错误,如果计数增加数量与ping包个数对应,尝试更换网线
此外,还需要观察网线线序是否正确,如果不正确更换为标准的586B线序(或者成品线)再测试
10.1.3网络中发生了环路,设备负载较高,导致的直连ping不通
网络中出现环路一般伴随着大量广播包,可以通过观察设备各个端口使用率,来判断是否有异常流量。
端口流量占用较高时可能会导致正常的数据包无法收发,此时可以使用简单且有效的方法来规避环路,将设备上的端口逐个或者逐批次拔掉,同时观察网络状态,如果拔到某个端口时,网络恢复正常,需要进一步核实端口下所连接的设备是否存在异常或者物理环路,建议将环路排除后,再接回该线路
下面是查看端口历史使用率的方法
10.1.4聚合口配置不当,导致的直连ping不通
安视交换机默认情况下没有开启STP,如果两端设备创建链路聚合时由于配置不当导致的临时环路,可能会直连ping不通的情况。遇到这种情况,首先把链路聚合成员端口拔掉,只剩一条线,再测试ping,如果可以ping通,检查两端聚合口配置,检测项包括:工作模式,接口类型,vlan属性以及物理接线是否一致
参考10.1的内容排查直连是否可以ping通澎湃框,如果可以ping通说明二层转发没有问题
然后逐段ping直连设备,每段直连设备之间没有问题的情况下,核实路由,以及中间安全设备配置是否合理
10.2.1端口调用了安全策略,导致无法访问其他网段
核实终端直连澎湃框上的端口上是否调用了ACL,如果有先将其禁用再尝试
10.2.2三层路由配置问题,导致无法访问其他网段
核实两端设备之间二层可以通讯,但是两个不同网段之间无法通讯,需要检查两端设备路由是否配置正确,路由表学习是否正确
10.2.3串联的安全设备阻止了相关流量
核实交换机配置无误后,如果中间串联了安全设备,例如, ac,af,ids,ips等等,需要查看相关策略是否阻止了相关流量。在无法确定的情况下,可以尝试将安全设备模式临时更改为直通模式测试,如果更改后可以访问其他网段,进一步核实安全策略对现有业务的合理性