交換機快速回應故障處理

單位將原有的思科設備替換為華為設備，網絡中心選擇華為S9306交換機作為匯聚設備。在S9306的使用維護過程中，出現了Ping包不通的問題，經過對S9306的分析，發(fā)現問題都與S9300系列交換機上特有的稱為ICMPREPLY FAST（快速回應）的機制有關。

故障現象

中心與S9306相關的網絡拓撲如圖1所示。

在PC網 關S9306的VLAN5視圖下配置重定向，把PC上行的所有流量都重定向到SACG做安全認證，出現的問題是：

1.對S9306進行遠程網管時，發(fā)現可以Ping通S9306的網管地址，但遠程登錄失敗。

2.PC主動Ping S9306上的網關不通，但是S9306主動Ping pc能通。

圖1 網絡結構

故障排查

針對（1）S9306并沒有告警。

針 對（2）首 先 查 看設備關鍵配置，主要是利用訪問控制列表，針對VLAN 5做了一個源地址為xx.xx.5.128-255重定向為xx.xx.11.141的訪問策略。其次打開icmp的debug，debugging ip icmp能 夠看到基本的icmp信息。再次打開特定IP的icmp的debug，即做一個源地址和目的地址均為xx.xx.5.184的訪問控制列表，能夠顯示特定IP的icmp從哪個接口進來，從哪個接口出去。1.在S9306上打開debugging ip icmp，對 于網 關S9306主動Ping PC的報文能夠顯示正常收發(fā)，但對于PC主動Ping網關的無法顯示出來，因為S9306默認開啟快Ping，PC主動Ping網關是在接口板CPU處理的，而debug顯示的是主控板的信息。

2.仔細分析主動Ping和被動響應Ping的原理，網關S9306 Ping PC，請求和回應報文都是主控CPU處理。PC Ping網關，請求和響應報文都是接口板CPU處理。

3.關 閉 快 Ping（undo icmp-reply fast），此 時 互Ping都可以通；同時打開特定IP的icmp報文開關，debugging ip packet acl 3003，此時互Ping的報文都能夠顯示。

故障分析

華為S9306交換機上有種特有的機制稱為ICMP-REPLY FAST（快 速 回應），即使在路由不通的情況下，對S9306進 行Ping包也能Ping通。這是因為當ICMP-REPLY FAST功能開啟，當交換機收到Ping包時，它不會送往CPU去處理，而是立即回應可以Ping通，不管路由是否真的可達。

1.PC發(fā)給網關的報文（echo、echo-reply）都受到重定向的影響，到了Vlan11，同時由于受到系統(tǒng)缺省靜態(tài)acl（到S9306本機的報文優(yōu)先上送CPU）的作用，所以從Vlanif11上送CPU。

2.當快Ping開啟時，PC 主 動 Ping（echo）， 從Vlanif11上到接口板CPU，S9306回應（reply）報文直接從接口板CPU回應，不會去查表項，直接從Vlanif11發(fā)出去，導致丟棄。

3.當快Ping關閉，PC主動 Ping（echo），從 Vlanif11上到主控CPU，S9306回應（reply）報文是從主控CPU發(fā)起的，會去查表項，所以從Vlanif5發(fā)出去，Ping成功。

經驗總結

1.在S9306交換機開局調試時建議將ICMP-REPLY FAST功能關閉。因為在做業(yè)務測試的時候，無法即時對每一條業(yè)務進行測試，大部分業(yè)務仍是通過Ping包來檢測。

2.可將S9306交換機軟件版本從V100R001C02版本升級到V100R001C03版本，就不會出現上送主機的報文被修改到其他VLAN后再上送，而是直接從本VLAN上送。