2020网络ARP-DETECTION故障排查.docx
-
资源ID:892624
资源大小:65.04KB
全文页数:6页
- 资源格式: DOCX
下载积分:10金币
快捷下载
账号登录下载
微信登录下载
三方登录下载:
|
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
2020网络ARP-DETECTION故障排查.docx
ARP-DETECTIoN故障排查APX-DETECTI。"敌传排查一、开始定位故障思路是:开始先检查ARP-DETECTION是否正确使能。如果配置无问题,再看目的端口是否为ARP信任端口。如果不是ARP信任端口,则需要进行用户的合法性检查。关于用户合法性检查,首先进行的是匹配ARP规则,如果匹配,则按照规则处理,如果不匹配,则查看是否匹配IPSOURCEGUARDo关于IP-SOURCE-GUARD的匹配,如果找到对应的IP表项,则判断是否非法,如果不匹配,则查看是否匹配OUI-MAC、DOT1X、DHCP-SNOOPING的其中一项。1、检查ARP-DETEcnON的酉己置查看ARP-DETECT1ON在设备上对应的V1AN中是否使能。如果未使能,则进行下一步处理。命令:disp1ayarpdetection例如:ARP-DETECTION在V1AN10中使能,则有如下显示H3CdisarpdetectionARPdetectionisenab1edinthefo11owingV1ANs:1,102、检查ARP信任端口的配置查看该ARP所在或所应该的端口是否为信任端口,如果不为信任端口,则进行下一步处理。命令:disp1aythis例如:TEN5/0/1为ARP信任端口H3C-Ten-GigabitEthernet5/0/1disp1aythisport1ink-modebridgeport1ink-typehybridporthybridv1an1untaggedarpdetectiontrust3、匹配配置规则查看在设备上是否配置了ARP的规则。如果匹配,则按照规则处理(Permit/deny),如果未匹配,则进行下一步处理。命令:disp1ayarpdetection例如:IP为111O/24,MAC为2222-2222-2200/ffff-ffff-ffOO的ARP,被丢弃。H3Cdisp1ayarpdetectionARPdetectionisenab1edinthefo11owingV1ANs:1j10ARPdetection:arpdetection0denyip1.1.1.0255.255.255.0mac2222-2222-2200ffff-ffff-ffOO4、匹配IPSOURCE-GUARD查看是否匹配IPSOURCE叵AdministratorGUARD的静态配置。如果找到了对应源I耳Jt1Administrator2015-12-1207:09:15址不符,认为i刻RP报文非法,进行丢弃。产到对应的,认为合法,进行转发一里未匹配,则进行彳!I继续进行dhcpsnooping,802.1x1ouimac植命令:disp1ayipsourcebindingII例如:1111Ooo2-0002-0002的ARP报文会被丢弃,1.I111-版权所有:杭州华三通信技术有限公司I111报文符合静态绑定表项,会正常学到,其他IP地址非111I的ARP正常学习。<H3C>disp1ayipsourcebindingTota1entriesfound:1MACAddressIPAddressV1ANInterfaceType0011-1111-11111.1.1.1N/AGE1O28Static5、匹配OU1-MAC、DOT1X、DHCP-SNOOPING检查源MAC是否为OU1-MAC,VOICEV1AN是否使能;如果未匹配,则进行下一步处理。命令:disp1ayvoicev1anouidisp1ayvoicev1anstate例如:查看交换机上目前配置的。UI-MAC如下且端口Ten-GigabitEthernet5/0/1使能了VOiCev1an。H3Cdisvoicev1anouiOuiAddressMaskDescription0001-e300-0000ffff-ff00-0000Siemensphone0003-6b00-0000ffff-ff00-0000Ciscophone0004-0d00-0000ffff-ff00-0000Avayaphone0060-b900-0000ffff-ff00-0000Phi1ips/NECphoneOOdO-Ie00-0000ffff-ff00-0000Pingte1phone00e0-7500-0000ffff-ff00-0000Po1ycomphone00e0-bb00-0000ffff-ff00-00003comphoneH3Cdisvoicev1anstateMaximumofVoiceV1ANs:128CurrentVoiceV1ANs:1VoiceV1ANsecuritymode:SecurityVoiceV1ANagingtime:1440minutesVoiceV1ANenab1edportanditsmode:PORTV1ANMODECOSDSCPTen-GigabitEthernetBZOZ12AUTO646检查IP、MAC是否匹配DHCp-SNOOP1NG表项;如果未匹配,则进行下一步处理命令:disp1aydhcp-snooping例如:匹配1.1.11I1I1-1111-1111的ARP正常学习,其符合dhcp-SnoOPing表项。H3Cdisdhcp-snoopingDHCPSnoopingisenab1ed.Thec1ientbindingtab1efora11ports.Type:D-Dynamic,S-Static,R一-RecoveringTypeIPAddressMACAddress1easeV1ANSV1ANInterfaceD1.1.1.11111-1111-111128612GigabitEthernet1ZOZ1检查源MAC是否为dotIx的mac。如果是,则正常学习。否则丢弃报文。命令:disp1ayconnectionaccess-typedot1x例如:源MAC2c59-e501-a055是dot1x用户的MACoH3Cdisp1ayconnectionaccess-typedot1xS1ot:1Index=23,Username=dot1xdot1xIP=NAIPv6=NAMAC=2c59-e501-a055Tota11connect!on(s)matchedons1ot1.
