H3CTE排錯(cuò)報(bào)告范例

1、排錯(cuò)報(bào)告整體排錯(cuò)思路：首先按照分段排錯(cuò)方法，將這個(gè)網(wǎng)絡(luò)拓?fù)浒凑誳spf的區(qū)域和ospf外部區(qū)域劃為排錯(cuò)區(qū)域。每一個(gè)排錯(cuò)區(qū)域中按照分層排錯(cuò)方法，從osi模型的物理層到應(yīng)用層進(jìn)行排錯(cuò)檢查，然后在按照分塊排錯(cuò)方法對(duì)每一層中的協(xié)議進(jìn)行等級(jí)劃分來進(jìn)行排錯(cuò)檢查，最后進(jìn)行全網(wǎng)綜合檢測(cè)。故障一8021x無(wú)法驗(yàn)證故障： 故障現(xiàn)象：通過windows終端測(cè)試802.1x功能，發(fā)現(xiàn)無(wú)法驗(yàn)證，在sw3上通過dis dot1x命令檢查dot1x功能，發(fā)現(xiàn)dot1x功能沒有在全局啟動(dòng)，只是在接口上啟動(dòng)了802.1x功能，并使用display cu檢查用來進(jìn)行802.1x驗(yàn)證的帳號(hào)信息，發(fā)現(xiàn)帳號(hào)服務(wù)類型沒有添加。 解決故障

2、的方法：在sw3上，通過dot1x命令在全局啟動(dòng)802.1x功能，并在帳號(hào)模式下，通過service-type命令將其服務(wù)類型設(shè)置為lan-access，故障得以解決。 故障產(chǎn)生原因：如果在全局沒有啟動(dòng)802.1x功能，是無(wú)法運(yùn)行802.1x功能的。而在帳號(hào)模式下，不指定帳號(hào)的服務(wù)類型，會(huì)造成帳號(hào)驗(yàn)證失敗的問題。故障二VRRP主備設(shè)備故障： 故障現(xiàn)象：通過在sw1和sw2上使用display vrrp命令檢查VRRP狀態(tài)發(fā)現(xiàn)主備狀態(tài)與要求不符，根據(jù)要求VLAN100應(yīng)以sw1為主設(shè)備進(jìn)行傳輸，VLAN200應(yīng)以sw2為主設(shè)備進(jìn)行傳輸，實(shí)現(xiàn)負(fù)載均衡。 解決故障的方法：在sw1的vlan100接口

3、下，將vrrp vrid 1 priority 90這條命令刪除，并在sw1的vlan200接口下，將vrrp vrid 2 priority 90這條命令添加；在sw2的vlan100接口下，將vrrp vrid 1 priority 90這條命令添加，在sw2的vlan200接口下，將vrrp vrid 2 priority 90這條命令刪除，故障得以解決。 故障產(chǎn)生原因：如果按照錯(cuò)誤配置，那么對(duì)于vrrp的vlan100來說，在sw1上的優(yōu)先級(jí)為90，對(duì)于vrrp的vlan100來說，在sw2上的優(yōu)先級(jí)為100，這樣對(duì)于vlan100來說，sw2就成為了vrrp的主設(shè)備，所以按照以上解決

4、方法修改命令，這樣對(duì)于vlan100來說，sw1成為主設(shè)備，并跟蹤上聯(lián)端口減少的優(yōu)先級(jí)為50；對(duì)于vlan200來說，sw2成為主設(shè)備，并跟蹤上聯(lián)端口減少的優(yōu)先級(jí)為50，配置合理。故障三PPP鏈路協(xié)商故障： 故障現(xiàn)象：通過在rt2和rt4上使用命令display interface檢查運(yùn)行ppp協(xié)議的接口發(fā)現(xiàn)接口協(xié)議是down狀態(tài)并且lcp功能是關(guān)閉狀態(tài)。判斷在進(jìn)行l(wèi)cp協(xié)商時(shí)出現(xiàn)問題。并使用debugging ppp chap packet檢查協(xié)商過程，發(fā)現(xiàn)協(xié)商不成功導(dǎo)致接口無(wú)法啟動(dòng)。通過display cu檢查ppp的相關(guān)配置，發(fā)現(xiàn)接口上啟動(dòng)了驗(yàn)證功能并配置了驗(yàn)證用的帳號(hào)，但是沒有配置驗(yàn)證

5、發(fā)送的帳號(hào)信息。 解決故障的方法：在rt2運(yùn)行ppp的兩個(gè)接口上，分別配置ppp chap user rt2和ppp chap password simple h3c，來實(shí)現(xiàn)待驗(yàn)證帳號(hào)的發(fā)送。同理在rt4的接口上也要進(jìn)行相應(yīng)的配置ppp chap user rt4和ppp chap password simple h3c，重啟接口發(fā)現(xiàn)協(xié)商通過，并使用display ppp mp命令檢查mp捆綁狀態(tài)，發(fā)現(xiàn)捆綁成功。故障得以解決。 故障產(chǎn)生原因：由于沒有配置發(fā)送的驗(yàn)證帳號(hào)信息，對(duì)端卻啟動(dòng)了ppp驗(yàn)證協(xié)議。這樣導(dǎo)致驗(yàn)證無(wú)法通過，從而使得lcp功能無(wú)法協(xié)商成功和ppp mp捆綁無(wú)法成功。根據(jù)用戶需求，

6、需要在鏈路上進(jìn)行ppp驗(yàn)證，所以進(jìn)行以上的改正之后，問題得以解決。故障四ospf stub區(qū)域故障： 故障現(xiàn)象：通過display ospf brief檢查ospf 區(qū)域10中使用的路由器狀態(tài)，發(fā)現(xiàn)sw1和sw2已經(jīng)啟動(dòng)了ospf stub區(qū)域功能并配置了區(qū)域和發(fā)布網(wǎng)段，但是rt3卻沒有配置完全stub區(qū)域配置，根據(jù)要求區(qū)域10為完全stub區(qū)域，所以判斷特定區(qū)域狀態(tài)配置出錯(cuò)，并在sw1和sw2上用過命令display ospf lsdb檢查發(fā)現(xiàn)lsdb中仍然存在LSA3類型的具體路由。 解決故障的方法：在rt3上，ospf area 10模式下添加命令stub no-summary，將are

7、a10配置成為完全stub，再檢查ospf狀態(tài)和LSA信息，問題解決。 故障產(chǎn)生原因：由于rt3為area0和area10之間的ABR，根據(jù)題目要求為了提高area10中設(shè)備性能，要將area10設(shè)置為完全stub區(qū)域，而完全stub區(qū)域中的設(shè)備在學(xué)習(xí)LSA的時(shí)候，不能存在LSA3和LSA5類型的具體網(wǎng)段LSA信息。在sw1和sw2的ospf路由表中應(yīng)該存在一條默認(rèn)路由的LSA3類型的信息，用來訪問外部區(qū)域。故障五ospf路徑選擇故障： 故障現(xiàn)象：通過display ospf routing-table檢查rt3、sw1、sw2的路由表，可以發(fā)現(xiàn)數(shù)據(jù)傳輸往返路徑不一致，根據(jù)題目要求往返路徑一致

8、。檢查配置發(fā)現(xiàn)在sw1和sw2的vlan接口上做了ospf cost來修改開銷值。判斷由于開銷值修改錯(cuò)誤導(dǎo)致路徑控制錯(cuò)誤。 解決故障的方法：在sw1的VLAN 200接口模式下，配置ospf cost 200。在sw2的VLAN 100的接口模式下，配置ospf cost 200。通過命令display ospf routing-table檢查rt3路由表發(fā)現(xiàn)路由信息往返路徑一致，問題解決。 故障產(chǎn)生原因：由于ospf是通過路由信息中的cost來進(jìn)行選路的，選路原則是cost值越小，路由越優(yōu)先。所以通過修改cost值的方式來使得rt3學(xué)到路由信息來轉(zhuǎn)發(fā)回程報(bào)文，去往VLAN100的數(shù)據(jù)通過sw

9、1來進(jìn)行轉(zhuǎn)發(fā)，去往VLAN200的數(shù)據(jù)通過sw2來進(jìn)行轉(zhuǎn)發(fā)。故障六ospf區(qū)域發(fā)布網(wǎng)段問題： 故障現(xiàn)象：通過在rt1和rt2上使用display ospf brief命令檢查ospf的工作狀態(tài)，發(fā)現(xiàn)rt1和rt2之間的兩條子接口鏈路被發(fā)布到了area0中，這樣的網(wǎng)絡(luò)規(guī)劃是存在問題的，如果物理鏈路斷掉，會(huì)產(chǎn)生area0被分割的情況，如果是一條物理鏈路應(yīng)該將其發(fā)布到area1中，保證area0的穩(wěn)定。但是根據(jù)題目要求有兩條子接口鏈路存在。故判斷在這個(gè)地方ospf的發(fā)布方法存在隱患。 解決故障的方法：在rt1和rt2上，將一條子接口鏈路通過network發(fā)布到area0中，比如network 10.

10、0.0.0 0.0.0.3命令；將另一條子接口鏈路通過network發(fā)布到area1中，比如network 10.0.1.0 0.0.0.3，這樣可以達(dá)到區(qū)域備份的作用。 故障產(chǎn)生原因：這種組網(wǎng)方式是當(dāng)area0和其他區(qū)域之間存在兩個(gè)ABR時(shí)，要注意避免ospf區(qū)域規(guī)劃與網(wǎng)段發(fā)布的問題，如果出現(xiàn)錯(cuò)誤的規(guī)劃，就有可能出現(xiàn)骨干區(qū)域被分割的情況，所以當(dāng)ABR之間存在一條鏈路時(shí)，要將其發(fā)布在非骨干區(qū)域中，如果存在多條鏈路可以實(shí)現(xiàn)鏈路備份的功能。因此通過上述配置故障得以解決。故障七ospf引入路由的問題： 故障現(xiàn)象：通過area10中的用戶網(wǎng)段使用ping命令測(cè)試達(dá)到internet的鏈路，發(fā)現(xiàn)無(wú)法連通

11、。之后通過tracert命令發(fā)現(xiàn)數(shù)據(jù)到達(dá)rt3之后便不能轉(zhuǎn)發(fā)，使用display ip routing-table檢查路由表發(fā)現(xiàn)沒有達(dá)到internet的路由信息。故判斷rt1中沒有將訪問internet的缺省路由發(fā)布過來。 解決故障的方法：在rt1的ospf配置模式中，使用命令import-route static和default-route-advertise來將到達(dá)internet的缺省路由引入到ospf區(qū)域內(nèi)并發(fā)布，此時(shí)在rt3上使用display ip routing-table檢查路由表后得到了從rt1發(fā)布過來的缺省路由信息。故障得以解決。 故障產(chǎn)生原因：由于rt1沒有將缺省路由引

12、入，所以導(dǎo)致rt3的路由表中沒有到達(dá)internet的路由信息。根據(jù)上述修改問題解決。故障八NAT策略配置問題：故障現(xiàn)象：當(dāng)把rt4與internet連接的線纜斷開時(shí)，通過ping命令來測(cè)試是否能通過總部路由器來訪問internet，發(fā)現(xiàn)無(wú)法訪問。但是測(cè)試到總部路由器發(fā)現(xiàn)可以連通，總部可以訪問internet，由此判斷NAT出現(xiàn)問題。通過display nat命令來檢查nat轉(zhuǎn)換信息，發(fā)現(xiàn)總部數(shù)據(jù)可以進(jìn)行轉(zhuǎn)換，但是分部數(shù)據(jù)無(wú)法進(jìn)行轉(zhuǎn)換。通過display cu檢查nat中的acl配置發(fā)現(xiàn)沒有分部網(wǎng)段的permit信息。解決故障的方法：在rt1的nat acl配置上，添加一條規(guī)則rule 3 p

13、ermit ip source 10.4.0.0 0.0.0.255，配置之后測(cè)試連通性發(fā)現(xiàn)可以連通，故障解決。故障產(chǎn)生原因：由于nat acl中沒有對(duì)應(yīng)分部網(wǎng)段的規(guī)則，所以流量被deny ip規(guī)則匹配不進(jìn)行nat轉(zhuǎn)換，所以internet的設(shè)備無(wú)法將返程數(shù)據(jù)傳輸。根據(jù)上述修改問題得以解決。故障九IPSEC問題：故障現(xiàn)象：將rt2和rt4之間的專線斷開，通過gre over ipsec去連接總部和分部進(jìn)行ping測(cè)試，發(fā)現(xiàn)無(wú)法連通。在rt1和rt4上，使用display ike sa和display ipsec sa檢查其狀態(tài)，發(fā)現(xiàn)沒有安全聯(lián)盟信息。判斷ipsec和ike的配置出現(xiàn)問題。檢查i

14、psec和ike配置發(fā)現(xiàn)，ipsec的封裝方式一端為transport，另一端封裝方式為tunnel，封裝方式不一致。并且ipsec策略應(yīng)用的接口為tunnel接口，這樣就無(wú)法實(shí)現(xiàn)gre over ipsec的VPN方式。解決故障的方法：首先將ipsec封裝方式統(tǒng)一，在rt1的ipsec proposal模式下，配置encapsulation-mode transport命令，然后在rt1和rt4上將ipsec policy h3c命令在tunnel接口的應(yīng)用取消，將其應(yīng)用到物理接口上。然后使用display ike sa和display ipsec sa來測(cè)試檢查發(fā)現(xiàn)安全聯(lián)盟可以建立，問題得以解決。故障產(chǎn)生原因：由于封裝方式不一致，會(huì)導(dǎo)致ipsec無(wú)法協(xié)商成功，而將策略應(yīng)用在錯(cuò)誤的接口，則無(wú)法正確的觸發(fā)ipsec策略。配置中使用傳輸模式transport進(jìn)行封裝可以減小封裝報(bào)文，減小ipsec對(duì)于路由器的處理資源。故障十GRE問題： 故障現(xiàn)象：將rt1連接internet的物理連接斷開，通過使用命令display internet tunnel檢查gre隧道接口的狀態(tài)，發(fā)現(xiàn)tunnel接口仍然為開啟狀態(tài)。根據(jù)題目要求tunnel接口上需要通過keepalive功能來進(jìn)行隧道檢測(cè)。檢查tu