【经典案例】互换机二层直连不通排查领导

颁布功夫：2024-06-05

点击量：2162

一、故障景象

互换机作为网络接入设备，，，，，，下联的PC1，，，，，，PC2和其他网络设备处于统一网段，，，，，，互换机的1,2,3口均为二层口，，，，，，出现PC之间无法相互ping通或互换机和其他网络设备无法ping通

二、组网拓扑

拓扑描述：

接入互换机作为网络接入设备，，，，，，PC1衔接在接入互换机的1口，，，，，，PC2衔接在互换机的2口，，，，，，其他网络设备衔接在接入互换机的3口。。。。。。

三、可能原因

1、排查互换机两个接口是否划到统一vlan

2、是否配置了acl进行了限度

3、终端开启了防火墙拦截了数据报文

4、网络环境存在环路导致互换机转发异常

四、故障排查步骤

情况一：互换机作为网络接入设备，，，，，，下联的PC1和PC2处于统一网段，，，，，，无法相互ping通；；；；；；；；

步骤一：排查配置层面的成分

1、查抄互换机接口配置以及是否有配置acl

登录互换机cli号令行执行以下号令查抄

show run int g0/1

show run int g0/2

show access-group

若g 0/1和g 0/2口下划分的vlan一致，，，，，，则注明vlan配置无问题；；；；；；；；

若g 0/1和g 0/2下未配置acl且show access-group查看终端所属vlan下未挪用acl，，，，，，则注明没有acl进行限度；；；；；；；；

2、查抄PC1和PC2的防火墙是否有关关

终端搜索框输入查抄防火墙状态看两个防火墙是否关关

若两台PC电脑的防火墙均已关关，，，，，，则注明不是防火墙拦截导致

步骤二：排查环境层面的成分

1、查抄终端否能够正常进建到对端的arp

终端cmd里输入arp -a查看，，，，，，看internet地址列是否有对端的ip地址

2、查抄网络环境是否存在环路等异常

登录互换机cli执行号令

show clock

show mac int g0/3

查看对应终端的mac进建功夫是否和当前功夫很近

若其他网络设备对应mac的进建功夫很久，，，，，，则注明无mac漂移

环路具体排查可参考：环路排查SOP

步骤三：排查产品层面的成分

通过acl计数明确丢包点

登录互换机进行acl计数有关配置 

具体可参考acl计数剧本：ACL计数 

若通过acl计数查看到是互换机转发丢包，，，，，，则进行第五步信息网络

情况二：互换机作为网络接入设备，，，，，，和其他网络设备二层互联，，，，，，无法相互ping通；；；；；；；；

步骤一：排查配置层面的成分

1、查抄互换机接口配置以及是否有配置acl

登录互换机cli号令行执行以下号令查抄

show run int g0/3

show access-group

若g 0/3口划到了对应通讯的vlan下，，，，，，则注明vlan配置无问题；；；；；；；；

若g 0/3口下未配置acl且show access-group查看对应通讯vlan下未挪用acl，，，，，，则注明没有acl进行限度；；；；；；；；

2、查抄其他网络设备配置若其他网络设备也是互换机，，，，，，可按上面第一步排查，，，，，，若其他网络设备是防火墙之类的安全设备，，，，，，必要找对应工程师排查对应配置是否有问题  

步骤二：排查环境层面的成分

1、查抄是否能够正常进建到对端的arp通过号令show arp de | in xxx（对端ip地址），，，，，，查抄是否能够正常进建到对端的arp
2、查抄网络环境是否存在环路等异常

登录互换机cli执行号令

show clock

show mac int g0/3

查看对应终端的mac进建功夫是否和当前功夫很近

若其他网络设备对应mac的进建功夫很久，，，，，，则注明无mac漂移

环路具体排查可参考：环路排查SOP

步骤三：排查产品层面的成分

1、通过acl计数明确丢包点

登录互换机进行acl计数有关配置 

具体可参考acl计数剧本ACL计数 

2、通过快转debug查看报文交互过程

登录互换机配置以下号令

ter monitor

debug efmp packet ping sip 172.26.129.210（互换机ip地址） smac aedf.ec37.54ed（互换机mac地址） dip 172.26.129.214（其他网络设备的ip地址） dmac edef.bcde.aeff（其他网络设备的mac地址） counter 5

而后互换机上执行ping 172.26.129.214 source 172.26.129.210

期待debug打印结束后执行ter no monitor

五、故障信息网络

点击以下链接下载剧本：场景网络剧本

六、总结与建议

直连二层ping不通的问题，，，，，，必要把稳以下几点

1、终端防火墙默认都是开启的，，，，，，肯定要关关掉

2、查抄环境问题是否存在环路，，，，，，攻击等

3、两端必要有arp能力正常ping通，，，，，，故肯定要先查抄arp是否进建改常

如遇该故障无法定位解决可点击进入：售后闪电兔 处置

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】8082平台提醒谬误

• ?【经典案例】8082平台提醒谬误

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?【经典案例】云桌面闪屏问题排查

• ?【经典案例】云桌面闪屏问题排查