安视交换机(RS系列)

信锐技术安视交换机除了满足传统交换机的数据高速转发需求之外,还解决了传统交换机的快速部署、后期运维、价值单一等难题,具有瘦模式零配置上线、图形化集中配置所有交换机、一键替换老旧设备、可视化交换机状态,以及提供更多的安全增值特性,包括网络安全画像、终端安全画像、账号安全画像,让IT网络运维更安全、更简单、更有价值!
SW3.3 - SW3.7
安视交换机(RS系列) 文档 故障案例FAQ 安视交换机交付常见问题FAQ
{{sendMatomoQuery("安视交换机(RS系列)","安视交换机交付常见问题FAQ")}}

安视交换机交付常见问题FAQ

更新时间:2024-01-19

1 常用排错工具 

1.1 有哪些常用的排查工具和手段可以使用? 

1.1.1 NAC的WEB页面命令控制台 

在《平台管理》-《命令行控制台》,可以使用ping、udpconnect、tcpconnect等命令测试IP和端口联通性。

对于tcpconnect与udpconnect测试端口的结果,仅可以作为初步判断,不能完成依赖和可信,由于网络中其他设备拦截与伪造数据包回复,比如网络中的防火墙或其他带有行为管理的设备,会引起对tcpconnect和udpconnect测试端口造成误判;如果工具探测不通,那么端口肯定不通;如果测试端口通,最终结果也不一定通,需要在网络中抓包来判断。

1.1.2 NAC 网络检测工具 

在网络开局或者设备调试过程中,需要检查各个区域网络的可用性时,可使用网络检测功能模拟终端进行排查网络问题以及改造/新建网络时验证网络连通性,无需再跑到故障节点连接终端进行测试。

可模拟无线终端以及有线终端进行检测。

在使用网络检测功能时,有如下注意事项:

1、检测端口只能选择access属性的端口;

2、DHCP服务不能在选择端口所在的交换机上开启,否则将导致模拟终端获取不到地址,从而无法成功完成检测;

3、无法检测选择端口所在交换机上的接口地址;

4、模拟终端的网关不能在配置在选择端口所在的交换机上;

5、DNS无法通过选择端口所在交换机代理转发;

6、历史记录不支持绘制路径;

7、单多终端模拟时会导致下联接口不能通信;

8、默认保留最近3天的检测记录。

1.1.3  NAC 路径监测工具  

在用户访问网络服务出现故障时,可以通过路径监测功能绘制出用户终端访问网络经过的网络设备,并可以通过路径绘制的结果定位到是哪一个网络设备出现故障,帮助网络管理人员快速定位问题。路径监测功能可支持用户无线接入和有线接入时进行绘制。路径监测为辅助排障功能,可单独配置使用也可以组合其他业务感知类功能一起使用。

在使用路径监测功能时,有如下注意事项:

有线网络的限制

1、路径监测需要搭配智能拓扑图,未开启智能拓扑图时不能使用;

2、路径经过的网络节点中存在不在拓扑图中的设备时,不支持显示出这个设备(如友商设备、胖模式、网络出口后的设备,不在同一个控制器下的设备等);

3、路径监测时,网络中经过了NAT设备后,不能绘制出NAT后的路径;

4、路径监测不支持框式交换机使用,若路径中经过有框设备,效果同2;

5、路径监测模拟绘制时,不支持模拟无线终端的无线网络不能绘制;

6、路径监测任务占用交换机用户ACL资源,资源超出时路径任务与用户ACL互相影响;

7、路径绘制最大同时可支持31个同时进行;

8、不支持接入点有线认证的用户触发路径监测。

无线的限制

1、不支持对网关模式+本地转发的无线网络做路径监测;

2、仅支持真实无线终端访问业务失败的事件(服务器端未返回syn-ack报文的场景)进行路径绘制;

3、集中转发下,流量先到控制器再转发,如果控制器后面没有信锐交换机,此时无法绘制路径;

4、不支持只有AP没有信锐交换机的情况下绘制上网路径。

1.1.4NAC ping检测工具 

在网络出现故障时,通过ping检测可以检测出交换机与目的地址之间连通性和时延。页面上支持直接选择交换机进行ping检测操作,无需进入命令行后台操作。

即时ping能会实时将ping结果显示在页面上;持续ping可配置检测任务,使交换机发送固定时长ping包到目的地址,持续统计丢包计数,测试结果支持下载。

在使用ping检测功能时,有如下注意事项:

1、该功能同时支持胖瘦模式

2、瘦模式支持保存最近10条记录,默认保存3天(最多支持30天)交换机重启后ping记录不会清除

3、胖模式检测记录可以下载,但交换机重启后ping记录会清除(持续ping检测)

4、持续ping检测累计失败300次后,将自动停止任务

5、ping检测同时支持域名和IP两种形式,可选ping包源IP以及设置ping包大小

6、胖模式不支持保存检测记录(即时ping检测)

7、单台交换机最多添加3条策略(持续ping检测)

8、最多检测7天,时间单位是分钟、小时、天(持续ping检测)

1.1.5 设备诊断工具 

设备诊断工具(troubleshoot.exe)可以通过在NAC的《系统管理》-《故障排除》-《调试选项》-设备故障分析页面(NMC在《平台管理》-《平台维护》-《调试选项》-设备故障分析页面)下载设备诊断工具,下载后,在PC上双击运行:

使用该工具时,需要确保AP、安视交换机与笔记本处于同一个有线以太网二层环境中,扫描后输入密码:admin(如果已经被NAC激活过,需要采用的以激活过NAC的admin密码操作);这样可以临时给AP和交换机配置IP地址与控制器IP地址,便于AP和交换机激活上线和调试排错。

尤其是在没有DHCP的环境中,该工具给交换机配置IP,修改IP,和控制器IP。

设备诊断工具使用注意事项:

PC需要安装winpcap,建议安装winpcap4.1.3版本,下载地址:点击查看

PC电脑不能开启防火墙,尤其是小红伞等工具,否则诊断工具无法发现交换机

PC要与交换机在同一个二层环境下,不在一个网段也要可以正常通讯。

该工具目前只能临时修改生效,AP和交换机重启后失效,需要在控制台上修改配置才能永久生效

使用设备诊断工具时,建议在与AP和交换机相同版本的控制器上下载,AP、交换机如果与控制器下载的设备诊断工具,版本跨度大,可能会存在不兼容的情况。

诊断工具采用的二层协议,如果发现无法使用时,可以在PC和交换机上同时抓包,看是否有交互。

确认交换机连接NAC的接口无误。

1.1.6 后台工具 

1.1.6.1NAC后台登录方式

1、NAC可以用串口登录,以115200波特率方式登录到后台,可以使用ping,等常用诊断小工具。

2、Telnet方式登录后与WEBUI调试选项中的命令控制台一致,提前确保控制器有开启telnetd调试端口,密码使用控制器admin用户登录密码即可,如下图:

3、ssh方式需提前确保控制器有开启sshd调试端口,ssh用于进入控制器后台的开发者模式,通常为信锐原厂工程师判断需要进行设备抓包、打印调试日志等操作时才进入,需信锐原厂工程师才有权限登录。

1.1.6.2交换机后台登录方式

1、交换机有console登陆方式,设置超级终端,以115200波特率方式登录到后台,可以使用ping,等常用诊断小工具。如需输入密码,默认密码为admin。如果交换机已经在控制器上激活上线,则使用的密码为控制器admin账户的密码。

此外在web页面,交换机有webconsole功能,可以查看一些简单信息,如下图:

2、ssh登录设备,提前确保交换机开启sshd调试端口,在交换机列表找到要进入后台的交换机,点击交换机名称后可以看到一个“打开SSH调试端口”按钮,勾选后即可开启SSH调试端口

密码使用控制器admin用户登录密码即可进入交换机后台。

2 安视交换机登录相关问题 

2.1 安视交换机登录界面打不开怎么办? 

2.1.1  是否可以ping通安视交换机  

2.1.1.1可以ping交换机

1、如果交换机是在线状态,尝试用不同的浏览器打开NAC的WEB控制台,比如尝试用最新版本的Chrome浏览器,更换其他浏览器等;

2、设备默认的监听端口443,有修改过吗?如有修改过,请用修改过的端口;

3、如果是从公网登录设备的,请从内网登录尝试,这样可以排除端口映射错误,以及公网链路封堵端口的情况;

4、如果交换机是离线状态,可以从交换机Manage口尝试登录WEB页面,可以排除IP冲突、网络端口封堵等原因;

5、SUNDRAY UPDATE升级客户端可以登录设备吗?如果可以,还是无法登录交换机,则使用console线进交换机后台查看,具体查看信息可以联系信锐厂商售后。

2.1.1.2不能ping通交换机

1、从交换机上任何一个接口都可以登录交换机,但需要确保登录PC能正常ping通设备,请确保PC到交换机路由可达;如果不确定是否路由可达,需要从manage(有的型号没有此端口)口登录设备;

2、如果manage口都无法ping通且无法登录上,需使用console线尝试进入设备后台,如果能进入设备后台可以检查下控制器的manage口IP是否修改过,可联系信锐厂商售后排查。

 

2.1.2  交换机SYS(有的型号是PWR/DIAG)灯绿色闪烁或橙色常亮?  

一般SYS闪烁代表交换机在系统自检中,当出现SYS灯橙色常亮时,交换机可能系统自检异常。可关机10分钟,再开机观察,在开机过程中不能中途断电,如果未恢复,设备依旧橙色常亮,并且各种方式都登录不了交换机,则可联系信锐售后排查确认具体问题原因。

2.1.3  其他登录异常问题  

安视交换机在部署或运维过程中,在登录交换机时或登录到交换机调试界面后遇到以下异常现象或告警提示时,请及时联系原厂工程师协助排查处理:

使用正确的用户名和密码,点击登录无反应;

登录加载完后web界面显示一片空白;

点击配置界面任意菜单报错:如页面初始化失败;

界面某些数据显示异常;

等等无法处理的页面问题

2.2 安视交换机密码忘了怎么办? 

1、如果是加入集中管理的设备,或非admin用户,请联系上级管理员修改密码。

2、如果是admin用户,console口进入后台,console的波特率是115200

SW2.4及之前版本,没有单独恢复密码的功能需要重置交换机,进入“(none)#”界面,输入reset回车即可恢复出厂设置,恢复后密码默认是admin

SW2.6及之后版本,进入“SWITCH#”界面,输入reset_pwd回车,输入y回车,然后等待交换机重启(3.5版本后重置密码不会重启)起来即恢复密码成功,密码恢复成初始密码admin

image.png

 

3安视交换机激活上线相关问题

 

3.1在控制器上无法发现安视交换机怎么办?

安视交换机交换机仅支持面板口上线,不支持mgmt口激活上线;

安视交换机在控制器上发现激活的前提条件为安视交换机交换机的模式为瘦模式,只有在确保时瘦模式的情况

下出现此类问题再按照该章节方法排查。如果安视交换机交换机是胖模式,需要优先切换为瘦模式后在再看下是否有问题;

核实安视交换机交换机是否存在二层环路,网络环境中是否有多台NAC;

3.1.1安视交换机SYS(有的型号是PWR/DIAG)灯是否正常

检测安视交换机的供电是否正常,网口灯是否正常亮起,状态灯是否正常。

3.1.2控制器是首次激活安视交换机吗?

确保控制器版本能支持安视交换机,交换机版本高于控制器版本,则无法上线;

NAC上序列号中交换机的授权个数为0时,交换机无法发现,设备与订单系统关联,联网自动同步

授权。3.9.0及以上版本的设备可以联网自动获取授权;如果是测试设备,需联系当地办事处技服申

请授权

3.1.3采用的是哪一种发现方式

3.1.3.1手动指定控制器IP发现

安视交换机与控制器跨三层部署场景,可以使用设备诊断工具手动给交换机指定控制器IP的方式来发现控制器,需要确保配置的控制器IP正确,且交换机能正常ping通该IP。

3.1.3.2DNS方式发现

安视交换机获取地址和DNS后,会自动请求域名www.wlanadmin.com以及域名www.sangforwlanac.com,安视交换机会把请求得到的地址认为是NAC控制器,安视交换机会向NAC发起udp:7777发现报文,确保DNS服务器或代理服务器能正常回包响应;

由于NAC支持做DNS代理服务器,且支持写HOSTS,所以在客户环境测试,可以把安视交换机的DNS服务器设置为NAC的接口地址,并写HOSTS把域名www.wlanadmin.com或域名www.sangforwlanac.com指向NAC接口的IP地址;把网络环境中的DNS服务器配置为NAC的接口地址,当安视交换机获取地址和DNS后,就会发出DNS请求到NAC,这样也是可以让安视交换机自动发现NAC。

3.1.3.3Webagent方式发现

当安视交换机和控制器都关联到同一个webagent时,如果控制器的地址发生变化,安视交换机可以通过webagent服务器获取控制器的最新地址。适用于控制器使用PPPoE拨号上网时出口地址,需要注意解析到的公网IP需要是能直接访问到控制器,部分PPPoE拨号方式获取的地址为运营商内部地址无法通过公网直接访问到将导致安视交换机无法发现控制器。

3.1.3.4DHCP Option43方式发现

多数DHCP服务器都支持添加DHCP option43,需求确保添加的DHCP option43字段编码格式正确。如果使用控制器当DHCP服务器,则DHCP option43字段如下截图配置即可,具体option43格式的配置可查看各厂商的配置手册。配置格式不正确将导致安视交换机无法解析option43字段的内容,从而无法发现控制器。

3.1.3.5二层环境自动发现

安视交换机与NAC在同二层网络环境中,采用二层广播的方式发现,但由于交换机VLAN配置不当,配置了错误的vlan,导致安视交换机与NAC不在同一个广播域。

3.1.3.6云发现方式

安视交换机通过云发现方式发现控制器,需确保控制器在添加安视交换机信息是填写正确的交换机MAC地址和SN码,控制器需要登录云管家,交换机自身能正常上网。

3.1.3.7设备诊断工具

参照1.1.5章节设备诊断工具使用的方法进行操作。按照上述方法发现还是扫描不到时,可更换电脑和网线尝试。如还有问题,请准备console 线,并及时联系原厂工程师获取技术支持!

3.1.4  安视交换机到NAC中间的路由与端口是否正常通畅?  

安视交换机到NAC需要路由可达,安视交换机能ping通NAC,安视交换机到NAC的UDP7777端口以及备用的TCP7778端口(在UDP7777端口不通的时候使用)需要能正常通,比如:

1、安视交换机接在了10M的交换机与集线器上,而安视交换机的某些接口不支持10M的速率,无法协商获取地址

2、当安视交换机获取到了非法私接DHCP服务器分配的IP地址,安视交换机不能与NAC通讯,

3、安视交换机到NAC之间的UDP7777以及TCP7778被网络中的防火墙或运营商拦截了,跨公网部署还需要考虑是否端口映射有问题;

4、安视交换机非首次激活,已经被写入了其他不可用网段地址或错误的网关地址或控制器地址;

3.2安视交换机激活后设备显示离线怎么办?

安视交换机处于离线模式,说明安视交换机和控制器二层是不通的,也未能成功建立TCP7070控制器隧道。此时可做如下排查确认。

3.2.1  检查基本的网络配置是否正确  

给安视交换机配置了固定IP和网关,且需要确保正确,安视交换机与NAC能正常通讯。

3.2.2  是否有配置交换机组参数的控制器IP  

安视交换机激活时,给安视交换机配置写入了NAC控制器地址,但是安视交换机的控制器IP地址与安视交换机所在组的主控制器不匹配,导致安视交换机一直在寻找交换机组中的主控制器。给安视交换机写的控制器地址要和交换机组的控制器地址一致。

3.2.3控制器的版本是否支持安视交换机上线

激活安视交换机时,可以查看安视交换机的版本,当安视交换机与NAC版本不匹配,安视交换机无法上线

3.2.4  重新删掉安视交换机,再次激活尝试  

在NAC上删掉安视交换机,看安视交换机是否还会自动发现成功,重新给安视交换机激活配置。给安视交换机进行重置操作,重新激活使用等。

3.2.5  抓包分析定位具体问题  

以上排查无法解决,可联系信锐厂商售后协助登录安视交换机和NAC后台抓包确认,如果通过安视交换机和NAC上抓的包还是无法定位问题,则需在安视交换机和控制器通讯中经过的设备上同步抓包分析。

3.3安视交换机激活后设备显示待修复状态怎么办?

安视交换机处于待修复模式,说明安视交换机和控制器二层是通的,但是未能成功建立TCP7070控制器隧道。此时可做如下排查确认:

3.3.1 检查控制器是否可以ping通 安视交换机

1、如果无法ping通,则做如下排查:

手动给安视交换机配置了固定IP和网关,都需要确保正确,安视交换机与NAC能正常通讯;

安视交换机通过自动获取地址的方式,需要确保获取的地址是正确的网段,需排除由于DHCP服务器配置错误或同二层有其他私接路由器导致地址分配错误的问题;

排除安视交换机获取或手动配置的IP与其他设备地址冲突的可能

2、如果可以正常ping通,则继续往下排查,排查方法与安视交换机离线排查方法一致

 

3.3.2 是否有配置交换机组参数的控制器IP 

安视交换机激活时,给安视交换机配置写入了NAC控制器地址,但是安视交换机的控制器IP地址与安视交换机所在组的主控制器不匹配,导致安视交换机一直在寻找交换机组中的主控制器。给安视交换机写的控制器地址要和交换机组的控制器地址一致。

3.3.3 控制器 的版本是否支持安视交换机上线

激活安视交换机时,可以查看安视交换机的版本,当安视交换机与NAC版本不匹配,安视交换机无法上线

注意:

1、NAC版本高于安视交换机版本,安视交换机不会自动下载升级到新版本,能直接上线。

2、NAC版本低于安视交换机版本,安视交换机不会自动降级到NAC版本,不能上线。

3、NAC 3.12.0版本对应交换机的版本是SW 3.5。

3.3.4 重新删掉安视交换机,再次激活尝试 

在NAC上删掉安视交换机,看安视交换机是否还会自动发现成功,重新给安视交换机激活配置。给安视交换机进行重置操作,重新激活使用等。

3.3.5 抓包分析定位具体问题 

以上排查无法解决,可联系信锐厂商售后协助登录安视交换机和NAC后台抓包确认,如果通过安视交换机和NAC上抓的包还是无法定位问题,则需在安视交换机和控制器通讯中经过的设备上同步抓包分析。

3.4安视交换机在线一段时间后突然离线怎么办?

3.4.1  如何观察安视交换机是否掉线?  

可以观察安视交换机接入时间是否有更新,在NAC的交换机状态中查看安视交换机的接入时间点,是否在不断更新,可以通过看这个接入时间可以判定是交换机集体掉线还是个别交换机掉线。

 

还可以通过首页-设备-交换机-交换机状态-设备详情,点击交换机名称,即可看到交换机的活跃状态,离线时间段会显示空白。

3.4.2  观察NAC设备是否有重启,看是否是NAC重启导致的交换机离线  

1、查看是系统日志,以及管理员操作日志,看是否人为在界面上执行了重启操作

2、如界面上未发现有认为重启的日志,进一步定位问题可联系信锐厂商售后排查。

3.4.3  如果是双机部署,观察是否有双机切换  

如果是NAC有双机部署,查看系统日志、告警日志等,检查NAC是否有双机切换动作。

image

3.4.4  在NAC上查看告警事件是否有IP地址冲突事件  

在告警事件看下是否有IP地址冲突的情况,如果有,建议给交换机配置固定IP地址,且建议交换机与其他网段设备进行建立独立VLAN,相互隔离。

IMG_256

3.4.5  NAC上告警事件是否有接口断开的情况    

网络链路有中断的情况,光纤线路中断,网线掉线等物理原因,排查环境中各个设备的接口的up和down状态日志,如果NAC直连的接口出现过down掉,NAC的告警事件会提示有接口断开和连接的状态告警。

3.4.6网络中是否有经过防火墙或上网行为管理等设备  

如果有,请检测一下相关策略,是否有拦截TCP7070端口,如果有直通策略,建议开启直通策略观察看是否还有问题。

3.4.7  安视交换机到NAC之间带宽是否存在瓶颈问题  

安视交换机到NAC之间的链路带宽已经跑满,链路不稳定,控制隧道TCP7070数据包丢包,导致交换机不稳定;建议增加带宽,并做带宽保障策略。

3.4.8  网络中有流量控制设备吗?  

在安视交换机到NAC之间,如果有流量控制设备,需要安视交换机到NAC之间的流量不要被限制,最好能做流量保障策略,安视交换机到NAC的端口:TCP7070、UDP7077/7777/5246/5247

远程部署安视交换机时,需要在出口设备上,对NAC和安视交换机之间的流量进行通道保障,避免丢包,当有AC时,可做流控保障,有其他设备时,也可做流控保障,避免出口带宽跑满,流控应用端口为:TCP7070、UDP7077/7777/5246/5247、TCP800。

 

3.4.9  网络中交换机是否有启用ARP防护、BPDU Guard防护  

与NAC直连的核心三层有ARP-Guard类似的防护命令、与安视交换机直连的接口,BPDU Guard等防护命令;如果有,取消掉测试。

3.4.10  其他原因  

如问题一直无法定位(比如离线交换机随机、问题不定时出现、要排查时无问题现象等),可联系信锐厂商售后通过控制器循环抓包配合给交换机下发离线抓包脚本观察。当复现问题后,可取出问题时间点的数据包进行分析定位。

4堆叠配置相关问题

4.1安视交换机组建堆叠不成功怎么办?

4.1.1安视交换机组建堆叠时有硬件限制

安视交换机组建堆叠时,需要核实硬件是否符合要求

1、堆叠成员交换机型号必须相同,除了(RS3300-28T-4F和RS3300-52T-4F可以混用堆叠) (RS5300-28T-4F和RS5300-52T-4F可以混用堆叠)

2、只支持两台设备做堆叠

4.1.2检查基本配置是否正确

可能导致堆叠无法建立的配置有:

  1. 堆叠系统ID不一致或者成员ID冲突(胖模式需要核实,瘦模式新版本不需要配置),若此处存在问题,证明配置错误,重新修改配置即可。

2.多堆叠口时,所有堆叠口必须属于同一个ASIC芯片

4.1.3交叉测试物理介质

核实堆叠模块是否是信锐授权的光模块(信锐光模块上有彩色logo),光纤线是否有损坏,可以参考以下测过结果,来确认物理介质的故障点

如果中间经过传输或波分等中间设备,测试绕过或者更换中间设备,如果能正常UP,说明和中间设备有关。

更换光纤、跳线架,如果能正常UP,说明和光纤链路有关。

更换本端光模块后如果能正常UP,则本端光模块有问题。

本端更换其他接口如果能正常UP,说明本端接口有问题。

更换对端光模块后如果能正常UP,说明对端光模块问题。

更换对端接口后如果能正常UP,则对端接口有问题。

5接口配置相关问题

5.1安视交换机电口/光口不亮怎么办?

首先交换机的工作状态是正常, web页面确认交换机是在线状态,如果交换机不在线,接入交换机console口查看交换机的工作状态。

5.1.1核实端口的配置是否正确

确认端口是否被禁用,如果被禁用设置为启用。

确认端口的速率与对端设备是否一致,如果不一致调成一致

例如:对端是强制100M,半双工,安视交换机也需要设置为一致,否则端口不UP

 

5.1.2确认传输介质是否正常

电口不亮时,需要交叉测试下网线是否正常,并确认网线是否接近100M(网线传输上限是100M),最好用短距离网线,如1M,3M的网线直连交换机测试

光口不亮时,需要交叉测试下光纤,光模块是否正常,40G端口建议使用OM3及以上类型的光纤,但使用距离不建议超过100M,另外,如果光口配置为强制速率和双工时,建议将光模块自适应功能关闭

光口不亮时,还需要确认光模块以及光纤类型,单模光纤只能用于单模光模块,多模光纤只能用于多模光模块

5.2 安视交换机光口与对端协商不起来怎么办? 

安视交换机光口与对端协商不起来,首先核实两端设备工作状态是否正常,web页面确认交换机是在线状态,如果交换机不在线,接入交换机console口查看交换机的工作状态。

5.2.1核实端口的配置是否正确

确认端口是否被禁用,如果被禁用设置为启用。

确认端口的速率与对端设备是否一致,如果不一致调成一致

例如:对端是强制1000M,全双工,安视交换机也需要设置为一致,建议将光模块自适应功能去掉,否则可能协商失败

5.2.2核实两端设备的传输介质

光口协商不起来,要确认光模块以及光纤类型,单模光纤只能用于单模光模块,多模光纤只能用于多模光模块。例如:一端交换机用多模块光模块,另外一端交换机用单模光模块,这种情况光口无法协商起来,可以参考以下测过结果,来确认物理介质的故障点

如果中间经过传输或波分等中间设备,测试绕过或者更换中间设备,如果能正常UP,说明和中间设备有关。

更换光纤、跳线架,如果能正常UP,说明和光纤链路有关。

更换本端光模块后如果能正常UP,则本端光模块有问题。

本端更换其他接口如果能正常UP,说明本端接口有问题。

更换对端光模块后如果能正常UP,说明对端光模块问题。

更换对端接口后如果能正常UP,则对端接口有问题。

此外,还需要交叉测试下光纤是否正常,40G端口建议使用OM3及以上类型的光纤,但使用距离不建议超过100M,否则也有导致端口协商不起来

6DHCP配置相关问题

6.1安视交换机创建DHCP后终端获取不到地址怎么办?

首先核实地址池设置是否合理,比如网关,子网掩码,DNS,起始IP,结束IP,保留IP

如果起始IP,结束IP,保留IP设置符合业务需求,可能会出现无法获取IP地址的情况

6.1.1地址池配置错误导致无法获取IP地址

检查地址池配置是否正确,主要是网关地址,起始ip,结束ip,保留地址是否设置合理。

例如,客户业务环境有250个用户,但地址池只有244个,会导致部分终端无法获取ip地址

6.1.2DHCP策略关联错误地址池导致无法获取IP地址

核实DHCP策略关联的地址池是否正确,如果关联到错误的地址池或者空的地址池,可能导致终端无法获取IP地址

6.1.3端口没有正确关联DHCP服务导致无法获取IP地址

  检查对应的三层口ip地址是否配置正确,关联的DHCP服务策略是否符合预期,如果端口没有启动DHCP服务或者服务策略关联错误,可能会导致终端无法获取IP地址

6.1.4通过抓包分析具体问题

以上排查无法解决,可尝试使用wireshark或者联系信锐厂商售后协助登录安视交换机后台抓包确认,

网络环境中是否存在多个DHCP服务器或者非法DHCP服务器(使用了与预期DHCP服务器相同的IP地址)

7端口聚合配置相关问题

7.1安视交换机端口聚合与对端建立不起来怎么办?

端口聚合与对端建立不起来,首先确认交换机状态是否正常,如果不正常排查交换机问题

核实两端设备端口的参数配置是否一致,如果不一致,将其调整为一致

7.1.1物理端口参数不一致导致端口聚合失败

确认两端设备端口聚合的物理端口,双工,速率,聚合模式是否一致

  注意:

  LACP模式下两端设备不能都配置为被动模式(passive),否则无法建立端口聚合,可以都为主动模式(active)或者一端为主动模式另外一端为被动模式

7.1.2物理端口超过8个导致端口聚合失败

安视交换机单个端口聚合最大支持8个,第9个端口无法加入聚合,如下图所示

7.1.3端口处于禁用状态导致聚合端口失败

安视交换机在创建完聚合后,物理端口可以手动禁用,且不容易发现,如果端口被禁用,聚合口失败,需要启用,如下图:

 

8STP配置相关问题

8.1.1STP根优先级配置不当,导致STP异常

二层网络中所有设备都配置了STP,但在新加入新交换机时,网络出现了大范围波动情况。此时,需要核实STP根配置是否合理,一般来说STP根需要配置在性能较好的设备上(核心交换机),数字越小优先级越高

8.1.2STP 配置完成后,block端口是非预期端口

根据STP的算法,在所有交换机配置完STP后,block的端口可能是非预期端口, 此时可以通过调整优先级或者对应端口的cost值来改变STPblock端口

通过更改端口cost值改变block端口参考示例:

通过更改交换机优先级改变block端口参考示例:

8.1.3 STP 配置完成后,电脑连接时出现较长时间的收敛怎么办? 

交换机开启STP后,为了防止出现环路,新的设备接入时端口需要STP算法收敛,确定是否将该端口置于转发或者阻塞状态。

根据使用STP模式不同,收敛时间也会有差异,如果确定交换机下联接口是终端而不是交换机或者其他类似交换机设备,可以将端口配置为边缘端口同时开启BPDU保护,缩短收敛时间

9OSPF配置相关问题

9.1.1OSPF配置完成后,邻居无法建立

安视交换机支持loopbackvlanif、三层接口作为OSPF的互联接口,当使用三层时互联时,核实两端设备是否有ACL限制了彼此的源目IP地址(OSPF 基于IP 89端口),如果有放行该流量或者临时禁用ACL测试

其次,需要核实两台OSPF之间是否有安全设备,如果有,检查安全设备是否阻止了OSPF的流量(不确定的情况下,可以将安全设备临时更改为直通模式),放通后再次测试

9.1.2OSPF配置完成后,域间路由无法互相学习

一个自治系统(AS)中只能有一个area0,所有区域都在与area0直连,域间通信必须通过area0。对于单个区域可以不设置area0,多区域环境下一定要有area0骨干区域,如下图所示

10ACL配置相关问题

10.1ACL策略创建后不生效怎么办?

安视交换机交换机的ACL策略最后一条默认是允许所有

ACL策略无法限制目的地址为本机的地址,因为目的地址为本地的地址,会命中CPU的ACL,由于CPU的ACL优先级比较高,会导致用户ACL不生效,目前安视交换机是这么设计的。

10.1.1一个端口应用多条ACL策略,某些ACL策略不生效

一个端口应用多条ACL策略时,ACL的读取顺序是自上而下读取,如果上面的ACL策略命中了流量,就会停止读取,此时第二条策略就无法生效,这是安视交换机设计上的预期的行为

10.1.2二层特定场景导致ACL策略不生效

在特定场景下二层ACL某些条目可能会不生效,并非软件问题导致,而是安视交换机预期的行为

例如:第一条ACL规则是指定源MAC(PC1)、目的MAC(PC2)协议不限,允许

      第二条ACL规则是指定源MAC(PC1)、目的MAC(所有)协议不限,拒绝

会出现PC1 ping PC2不通,这是因为PC1需要先发arp请求PC2的mac地址,但arp是广播的,匹配不到第一条ACL,匹配到第二条ACL,导致ARP请求报文丢弃

解决方法:

新增一条ACL规则匹配条件为指定源MAC(PC1),目的MAC(所有)二层协议选择ARP,动作允许且优先级比第二条拒绝规则的高

10.1.3三层特定场景导致ACL策略不生效

在特定场景下三层ACL某些条目可能会不生效,并非软件问题导致,而是安视交换机预期的行为

例如:第一条ACL规则是指定源IP(PC1)、目的IP(PC2),协议不限,允许

      第二条ACL规则是指定源IP(PC1)、目的IP(所有),协议不限,拒绝

会出现PC1 ping PC2不通,这是因为PC1需要先发arp请求PC2的mac地址,但arp是广播的,匹配不到第一条ACL,匹配到第二条ACL,导致ARP请求报文丢弃, 从而PC1无法ping通PC2

解决方法:

第一条ACL规则修改为:指定源IP(PC1)、目的IP(PC2),三层协议(IP),允许

第二条ACL规则修改为:指定源IP(PC1)、目的IP(所有),三层协议(IP),拒绝

 

 

11端口镜像配置相关问题

11.1报文镜像会话创建后不生效怎么办?

安视交换机创建好报文镜像后,如果发现不生效,需要核实源目端口是否配置正确,所选交换机以及物理端口接线是否正确

11.1.1报文镜像会话ACL配置不当导致的镜像不生效

在配置报文镜像ACL时,务必确认流量是否从该端口经过(源端口),如果不确定,可以将ACL策略删除后再次测试

11.1.2报文镜像会话达到上限,新的镜像会话无法生效

安视交换机支只持一条报文镜像会话,如果配置了一条报文镜像会话后,再添加第二条报文镜像会话时,会提示如下报错, 这是设备预期的行为

12交换机丢包相关问题

12.1直连安视交换机ping不通怎么办?

直连安视交换机ping不通有很多因素导致,如PC自身网卡问题,网络中发生环路,物理链路损坏,配置了ACL,安视交换机端口状态异常等等因素,需要逐步排查确认

12.1.1笔记本无线网卡路由优先级比有线高导致的ping不通

使用笔记本直连ping安视交换机时,需要留意是否开启了无线网卡,如果开启无线网卡,可能会导致ping不通直连设备,建议关闭无线网卡后尝试

12.1.2网线物理问题导致的直连ping不通

遇到直连ping不通时,首先要确认网络物理状态是否异常,比如:破损,水晶头没压好,内部线断开或者接触不良,如果发现网线有破损情况,更换网线交叉测试,或者使用网线测试仪器检测是否完好

也可以通过查看端口计数查看是否有CRC错误,如果计数增加数量与ping包个数对应,尝试更换网线

此外,还需要观察网线线序是否正确,如果不正确更换为标准的586B线序(或者成品线)再测试

12.1.3网络中发生了环路,设备负载较高,导致的直连ping不通

网络中出现环路一般伴随着大量广播包,可以通过观察设备各个端口使用率,来判断是否有异常流量。

端口流量占用较高时可能会导致正常的数据包无法收发,此时可以使用简单且有效的方法来规避环路,将设备上的端口逐个或者逐批次拔掉,同时观察网络状态,如果拔到某个端口时,网络恢复正常,需要进一步核实端口下所连接的设备是否存在异常或者物理环路,建议将环路排除后,再接回该线路

下面是查看端口历史使用率的方法

12.1.4聚合口配置不当,导致的直连ping不通 

安视交换机默认情况下没有开启STP,如果两端设备创建链路聚合时由于配置不当导致的临时环路,可能会直连ping不通的情况。遇到这种情况,首先把链路聚合成员端口拔掉,只剩一条线,再测试ping,如果可以ping通,检查两端聚合口配置,检测项包括:工作模式,接口类型,vlan属性以及物理接线是否一致

12.2直连安视交换机无法上网或访问其他网段怎么办?

参考12.1的内容排查直连是否可以ping通安视交换机,如果可以ping通说明二层转发没有问题

然后逐段ping直连设备,每段直连设备之间没有问题的情况下,核实路由,以及中间安全设备配置是否合理

12.2.1端口调用了安全策略,导致无法访问其他网段

核实终端直连安视交换机上的端口上是否调用了ACL,如果有先将其禁用再尝试

12.2.2三层路由配置问题,导致无法访问其他网段

核实两端设备之间二层可以通讯,但是两个不同网段之间无法通讯,需要检查两端设备路由是否配置正确,路由表学习是否正确

12.2.3串联的安全设备阻止了相关流量

核实交换机配置无误后,如果中间串联了安全设备,例如, acafidsips等等,需要查看相关策略是否阻止了相关流量。在无法确定的情况下,可以尝试将安全设备模式临时更改为直通模式测试,如果更改后可以访问其他网段,进一步核实安全策略对现有业务的合理性

13 交换机硬件相关问题 

13.1 POE安视交换机无法供电怎么办? 

首先核实交换机型号是否有POE功能,信锐交换机型号中带PWR关键字才支持POE。例如:
RS5300-28X-PWR-SIRS3320-28M-PWR-LI等等。

13.1.1确认POE交换机端口配置是否正常

安视POE交换机可以针对端口调整供电策略,如:关闭POE供电,优先级,功率等。

13.1.2交叉测试

POE异常时,可以参考以下测过结果,来确认物理介质的故障点

中间经过跳线架时,跳过跳线架,使用1米网线直连测试,如果直连能正常供电,检查中间链路

更换交换机端口后正常供电,交换机端口可能有问题,如果配置一样,联系信锐售后支持进一步确认

更换相同型号的需要供电的设备后正常供电,核实需要供电的设备是否存在问题

更换网线,如果更换后供电正常,网线可能损坏或者老化

以上测试都无法解决,可以尝试断电重启交换机,如果断电重启后仍无法解决,可联系信锐售后支持进一步确认

13.2 安视交换机所有端口常亮怎么办? 

正常情况交换机端口的LED灯是闪烁状态,只有在启动自检时所有端口才会常亮,出现所有端口常亮可能是交换机工作状态异常

13.2.1确认交换机工作状态

瘦模式交换机登陆NAC WEB页面查看交换机是否上线(胖模式尝试登陆WEB页面),如果交换机离线或者WEB页面无法登陆,此时需要连接console口确认交换机的状态(记得保存操作日志)

保存日志后,尝试将所有端口的连接线拔掉(保留console口连接),断电重启交换机(保存console输出信息),如果重启无法恢复,联系信锐售后进一步确认问题原因

 

13.3 安视交换机加电无法正常启动怎么办? 

安视交换机无法正常启动时,首先核实是否将所有端口的互连线拔掉(包括consolemanage口),所有互连线都拔掉后,尝试断电重启

 

13.3.1确认交换机工作状态

确认交换机电源供电是否正常,前面板观察PWR灯(有的型号交换机是SYS/DIAG)是否常亮绿色,如果PWR灯是熄灭状态,尝试更换电源线、供电插排接口等交叉测试

如果PWR灯是常亮的,连接交换机console口(保存日志输出),尝试断电重启,观察交换机状态,如果无法正常进入switch#页面,可联系信锐售后支持进一步确认问题原因