2020网络ARP-DETECTION故障排查.docx
-
资源ID:548789
资源大小:61.69KB
全文页数:6页
- 资源格式: DOCX
下载积分:5金币
|
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
2020网络ARP-DETECTION故障排查.docx
ARP-DETECTIoN故障排查APX-DETECTI。"敌传排查一、开始定位故障思路是:开始先检查ARP-DETECTION是否正确使能。如果配置无问题,再看目的端口是否为ARP信任端口。如果不是ARP信任端口,则需要进行用户的合法性检查。关于用户合法性检查,首先进行的是匹配ARP规则,如果匹配,则按照规则处理,如果不匹配,则查看是否匹配IPSOURCEGUARDo关于IP-SOURCE-GUARD的匹配,如果找到对应的IP表项,则判断是否非法,如果不匹配,则查看是否匹配OUI-MAC、DOTlX、DHCP-SNOOPING的其中一项。1、检查ARP-DETEcnON的酉己置查看ARP-DETECTlON在设备上对应的VLAN中是否使能。如果未使能,则进行下一步处理。命令:displayarpdetection例如:ARP-DETECTION在VLAN10中使能,则有如下显示H3CdisarpdetectionARPdetectionisenabledinthefollowingVLANs:1,102、检查ARP信任端口的配置查看该ARP所在或所应该的端口是否为信任端口,如果不为信任端口,则进行下一步处理。命令:displaythis例如:TEN5/0/1为ARP信任端口H3C-Ten-GigabitEthernet5/0/1displaythisportlink-modebridgeportlink-typehybridporthybridvlan1untaggedarpdetectiontrust3、匹配配置规则查看在设备上是否配置了ARP的规则。如果匹配,则按照规则处理(Permit/deny),如果未匹配,则进行下一步处理。命令:displayarpdetection例如:IP为LLLO/24,MAC为2222-2222-2200/ffff-ffff-ffOO的ARP,被丢弃。H3CdisplayarpdetectionARPdetectionisenabledinthefollowingVLANs:1j10ARPdetection:arpdetection0denyip1.1.1.0255.255.255.0mac2222-2222-2200ffff-ffff-ffOO4、匹配IPSOURCE-GUARD查看是否匹配IPSOURCE叵AdministratorGUARD的静态配置。如果找到了对应源I耳JtLAdministrator2015-12-12 07:09:15址不符,认为i刻RP报文非法,进行丢弃。产到对应的,认为合法,进行转发一里未匹配,则进行彳!I继续进行 dhcp snooping,802.1 x1oui mac植命令:displayipsourcebindingII例如:LLLlOoo2-0002-0002的ARP报文会被丢弃,1.Illl-版权所有:杭州华三通信技术有限公司Illl报文符合静态绑定表项,会正常学到,其他IP地址非LLLI的ARP正常学习。<H3C>displayipsourcebindingTotalentriesfound:1MACAddressIPAddressVLANInterfaceType0011-1111-11111.1.1.1N/AGE1O28Static5、匹配OUl-MAC、DOTlX、DHCP-SNOOPING检查源MAC是否为OUl-MAC,VOICEVLAN是否使能;如果未匹配,则进行下一步处理。命令:displayvoicevlanouidisplayvoicevlanstate例如:查看交换机上目前配置的。UI-MAC如下且端口Ten-GigabitEthernet5/0/1使能了VOiCevlan。H3CdisvoicevlanouiOuiAddressMaskDescription0001-e300-0000ffff-ff00-0000Siemensphone0003-6b00-0000ffff-ff00-0000Ciscophone0004-0d00-0000ffff-ff00-0000Avayaphone0060-b900-0000ffff-ff00-0000Philips/NECphoneOOdO-Ie00-0000ffff-ff00-0000Pingtelphone00e0-7500-0000ffff-ff00-0000Polycomphone00e0-bb00-0000ffff-ff00-00003comphoneH3CdisvoicevlanstateMaximumofVoiceVLANs:128CurrentVoiceVLANs:1VoiceVLANsecuritymode:SecurityVoiceVLANagingtime:1440minutesVoiceVLANenabledportanditsmode:PORTVLANMODECOSDSCPTen-GigabitEthernetBZOZl2AUTO646检查IP、MAC是否匹配DHCp-SNOOPlNG表项;如果未匹配,则进行下一步处理命令:displaydhcp-snooping例如:匹配1.1.LlIIIl-1111-1111的ARP正常学习,其符合dhcp-SnoOPing表项。H3Cdisdhcp-snoopingDHCPSnoopingisenabled.Theclientbindingtableforallports.Type:D-Dynamic,S-Static,R一-RecoveringTypeIPAddressMACAddressLeaseVLANSVLANInterfaceD1.1.1.11111-1111-111128612GigabitEthernetlZOZl检查源MAC是否为dotIx的mac。如果是,则正常学习。否则丢弃报文。命令:displayconnectionaccess-typedotlx例如:源MAC2c59-e501-a055是dotlx用户的MACoH3Cdisplayconnectionaccess-typedotlxSlot:1Index=23,Username=dot1xdot1xIP=NAIPv6=NAMAC=2c59-e501-a055Total1connect!on(s)matchedonslot1.
