为了更快速、更高效地处理交换机的故障,争取在现场能够一次性地将故障相关的信息捕获完全,确保通过与相关厂商研发相关人员的沟通和联系,能够根据这些信息快速地定位故障的原因,所以有必要对交换机在出现故障时现场处理的步骤进行总结和规范,方便网络管理人员能够高效处理各类网络故障。
故障描述
IEEE 802 LAN 中,用户只要能接到网络设备上,不需要经过认证和授权即可直接使用。这样,一个未经授权的用户,他可以没有任何阻碍地通过连接到局域网的设备进入网络。随着局域网技术的广泛应用,特别是在运营网络的出现,对网络的安全认证的需求已经提到了议事日程上。
如何在以太网技术简单、廉价的组网特点的基础上,提供用户对网络或设备访问合法性认证的手段,已经成为业界关注的焦点。IEEE 802.1X 协议正是在这样的背景下提出的。
IEEE802.1X(Port-Based Network Access Control)是一个基于端口的网络存取控制标准,为L A N 接入提供点对点式的安全接入。这是IEEE 标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用IEEE 802 LAN 的优势基础上,提供一种对连接到局域网设备或用户进行认证的手段。
以启用802.1X 功能的复杂故障现场环境为例。交换机下连的用户不能认证,或能够认证通过但不能获得IP 地址(通过D H C P 方式获得I P 地址),不能上网等;或静态配置IP 地址的情况下,不能认证或能够认证通过但不能跟网关通讯,不能上网的故障。
交换机故障现场处理步骤
在开启802.1X 功能之后,802.1X 标准定义了一种基于“客户端——服务器”(Client-Server)模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。在客户端通过认证之前,只有EAPOL 报文(Extensible Authentication Protocol over LAN)可以在网络上通行。交换机只提供Authentication、Authorization and Accounting 三种安全功能。针对此类故障可以通过以下步骤解决。
1、详细了解出现故障前后网络环境变化的相关信息;
2、 详细了解交换机使用的数量及出现故障的交换机的数量;
3 、详细了解出现故障的交换机每个端口下连的最终的用户数及整台交换机所带的用户数;
4 、详细了解每台交换机出现故障的用户数,及部分用户的MAC 地址和IP 地址信息(至少要求三个以上);
5 、提供完整的网络拓扑图(从最终用户的电脑→交换机→汇聚层交换机→核心层交换机→ DHCP Server 及RG-SAMServer; 要求在拓扑图上标出设备的型号,管理I P 地址,各交换设备相连的准确的端口标识及DHCP Server 和RG-SAM Server 服务器的M A C 地址和I P 地址及认证客户端的版本及配置信息);
6、收集故障机的指示灯的状态信息( 比如灯的闪烁情况,L i n k / A c t i v e 指示灯的情况,Power 指示灯情况,光纤模块指示灯的情况, 堆叠指示灯的情况等信息);
7、在交换机上打开debug aaa 命令,收集认证过程Debug 信息, 具体操作如下:switch#debug aaa
8、收集出现故障时的交换机的show 信息,具体如下:
在交换机上需要收集的信息如下:
Show version;show vesion slot;show version devices;show service;show cpu;show memory;show
vlan;show run;show dot1x summary;show mac-addresstable dynamic;show arp;show interfaces;show interfaces status;show ip interface;
9、收集出现故障时的交换机的Sdebug信息,具体如下:
sd
console on
showerr
memory
Semophores // 间隔30s 再操作一次;
Semo2 // 间隔30s 再操作一次;
Event // 间隔30s 再操作一次;
Queue // 间隔30s 再操作一次;
Task // 间隔30s 再操作一次;
ShowAppMemory
hwerrlog
su 0
console on
dump pcim
dump soc
dump arl
dump vtable
dump ptable
dump stg
dump phy 1
dump phy ge0
dump phy ge1
dump irule.0
dump imask.0
dump irule.1
dump imask.1
dump irule.2
dump imask.2
dump girule.0
dump gimask.0
dump girule.1
dump gimask.1
console on
dump pcim
dump soc
dump arl
dump ptable
dump stg
dump phy 1
dump phy ge0
dump phy ge1
dump irule.0
dump imask.0
dump irule.1
dump imask.1
dump irule.2
dump imask.2
dump girule.0
dump gimask.0
dump girule.1
dump gimask.1
10、在汇聚层及核心层交换机上需要收集的信息如下:
Show version;show vesion slot;show service;show cpu;show memory;show vlan;show
run;show mac-address-table dynamic;show arp;show interfaces;show interfaces status;show ip
interface;show ip route show log
11、故障排查步骤:
A. 通过串口登陆交换机,在特权模式下p i n g 交换机的管理I P 地址及管理网关的I P地址\DHCP Server IP地址及RG-SAM IP地址;
B. 将笔记本电脑接在出现故障的交换机用户VLAN 的端口上;
C . 设置笔记本电脑的I P 地址;(通过ipconfig/all 确认,要求提供截图)
D. 在笔记本电脑上运行Sniffer 软件( 需要定义过滤模板, 只捕获I C M P 协议),然后在笔记本电脑上开一个d o s 窗口,去p i n g网关\ 同网段的设备及其他网段的I P 地址,将测试过程( 要求截图) 及报文保存;
E. 在交换机上需要收集如下信息:
Show dot1x summary;show mac-address-table dy;show arp;在汇聚层或核心层交换机上需要收集如下信息:Show mac-address-table dy;show arp
F . 将笔记本电脑接在跟交换机管理I P同一个VLAN 的端口上;
G . 设置笔记本电脑的I P 地址;(通过ipconfig/all 确认,要求提供截图)
H. 在笔记本电脑上运行Sniffer 软件( 需要定义过滤模板, 只捕获I C M P 协议),然后在笔记本电脑上开一个d o s 窗口,去p i n g网关\ 同网段的设备及其他网段的I P 地址,将测试过程( 要求截图) 及报文保存;
I. 在交换机上需要收集如下信息:Show dot1x summary;Show mac-address-table dy;show arp;
在汇聚层或核心层交换机上需要收集如下信息:Show mac-address-table dy;show arp传统的网络故障处理,没有合理规范的处理流程,造成网络管理人员对网络故障通常采用经验法等方式处理故障,既浪费时间又不能及时处理故障。通过本文的处理流程经验介绍,希望能对网络管理人员有所帮助和提高。
(作者单位为三峡电力职业学院)
