H3CTE 可能存在的故障点

goodluck

1、物理链路故障点：
a． 物理线路没接到端口上；
b． 物理线路接错端口；
c． 物理接口被 shutdown
d． 接口下,两端的封装协议不一致,波特率不一致，工作速率不一致
2、链路协议故障点：
a． PPP
①．用户名，密码的匹配错误
②．建立的用户服务类型错误（比如被做成FTP 服务）
③．验证的方式不一样
④．Chap 验证时，如果两端不发送密码时，需要将两端密码设为一致
b． MP
①．PPP 设置的绑定类型错误（华为默认绑定用户与接口，PPP MP BIND ……命令，在全局模
式下）
②．PPP mp 是否已经把用户绑定到虚拟接口模板（全局模式下，PPP MP USER …… BIND
VIR ……）
③．是否将端口加入到ppp mp（命令 ppp mp，在接口模式下）
④．aaa-enable 命令启用后，如果没有计费，则应配置aaa accounting-scheme optional
c． HDLC
①．Keepalive 故障，一边默认发keepalive 信息，另一边使用了no keepalive 命令
②．Hello time，dead time 等两边设置不一样
d． FR
①．FR 端口模式（应该一端为DTE，另一端为DCE）
②．DLCI 的本地有效性（要写本地的dlci 号）
③．在点到多点，DTE 只会从DCE 学习到主地址的参数，故DTE 一定要指定MAP。
④．对于有子接口一定要配置DLCI
⑤．LMI 的类型（Q933），两边不一致
⑥．MAP 能否转送广播，手动配置的默认为不传送（可以加broadcast），inarp 创建的可以传送。
⑦．PVC 路由交换在出入接口上都有相应的配置
⑧．两端设备是否都为对端配置（或产生）了正确的地址映射。
⑨．启用OSPF 路由协议时，两边的网络类型是否相同
⑩．当路由器做fr 交换机时： 必须在全局下启动 fr switching
①①．FR 的PVC 交换路由方式在:进出的接口都配置： fr dlci-switch
①②．fr map 时，因为fr 为非广播的，最好写关键字broadcast
①③．在FR 链路上运行OSPF 必须指定邻居
e． X.25
①．X.25 两边封装类型不一致
②．映射对端地址错误
③．X.25 交换时，进出口VC-RANGE 范围一定要一致
④．指定VC-RANGE 后，自己配置的PVC 应该在VC-RANGE 的范围内
例：x25 vc-range bi-channel 100 200 ，x25 switch pvc 49 interface Serial 2 pvc 99
⑤．x25 svc 交换路由，在全局视图下创建:例：x25 switch svc 200 interface Serial 2
3、路由协议故障点
a． RIP
①．版本问题（v1 用广播发送，v2 用多播发送，导致v1 与v2 之间无法更新路由。修改v2 用广
播发送。）
②．版本问题（在不支持广播的链路上，v1 无法发送路由信息。改用v2 版本）
③．关于v1 无类路由，以及聚合的问题
b． OSPF
①．在nbma 网络中，ospf 不管网络接口为什么类型，都要求配置邻居（在接口视图下ospf
peer……。虽然可以更改ospf 的接口类型，
②．router ID 的问题（路由器一旦启动，就会选出ID，修改ID 是无法应用到ospf 中去。由此引
发的vlink 问题，在正确的一端多配置一条目前ID 的vlink，千万拒绝重新启动）
③．区域的问题（AREA0 要连通，其他区域都要和AREA0 连通）
④．接口两端的ospf 接口类型不同，导致无法计算正确路由。（接口模式，ospf network-type ……
修改）
⑤．路由聚合的问题。（通常会导致环路，或者部分目的地不可达）
⑥．建立虚连接时，在错误的端口下启用虚连接
⑦．有ACL 建立时将OSPF 的89 端口禁掉了
c． BGP
①．BGP 邻居配置。（邻居无法建立，一般是因为IP 地址不在同一个网段，故无法通信。或者是
因为ACL 将179 端口禁止了）
②．建好的邻居DOWN 掉（通常是因为MTU 值的问题，或者是延时太大，修改MTU 值或者
keepalive 值）
③．路由丢失（BGP 只发布最优路由和自己使用的路由。用des bgp 查看路由是否最优，并保
证需要的路由在BGP 路由表中）
④．在用NETWORK 引入路由时，一定要与IP ROUT 表中的路由条目一模一样。否则无法引入。
并且在用NETWORK 引入时候一定要加上掩码信息。如果不加上掩码，BGP 会认为是自然掩码
⑤．在BGP 路由聚合的时候使用命令aggregate，其参数detail-suppressed 表示抑制发布具体
路由。会导致无法找到具体路由。
⑥．BGP 为EGP，故其邻居都需要指定，不管是IBGP 还是EBGP
⑦．路由聚合的问题。（通常是由于IBGP 没有全互连，并又在边界路由器上进行了路由聚合，
这样导致出现环路。最简单的解决办法为，
配置全互连。并且建议IBGP 尽量配置为全互连。）
⑧．EBGP 在向IBGP 发布路由时，在IBGP 上显示路由不可达，其显示的下一跳为NULL。（配
置EBGP 在向IBGP 发布EBGP 路由时，强制下一跳为自己。
4、安全故障点：
a． GRE
①．TUNNEL 指定的源目的地址错误
②．在为TUNNEL 配置路由的时候最好指定IP ROUT 0.0.0.0 0.0.0.0 TUNNEL 的对端tunnel
地址
③．在私网运行OSPF 时候，必须指定PEER。否则路由无法传递。通过DIS OSPF PEER 查
看PEER 是否已经建立。
b． IPSEC
①．在用IKE 建立联盟时候，PRE-SHADE-KEY 被设置成不一致
②．REMOTE 地址为对端公网地址设置错误
③．在创建ACL 流的时候，IKE 两端没有完全镜象。通常在ACL 末端需要DENY ANY
④．在安全提议中可以配置IPSEC 使用的传输方式，有TUNNEL 和TRANSPORT 方式，配置
成不一样的就不行
⑤．两边的加密算法和验证算法不一致
⑥．指定安全策略中的REMOTE 地址，在直接用IPSEC 建立隧道时候，remote 地址为对端公
网IP，在IPSEC+GRE 的时候为GRE 创建的tunnel 地址
⑦．IPSEC 最后必须在所需要的接口上起用IPSEC 的安全策略。在GRE+IPSEC 的时候，必须
在TUNNEL 通道下起用，而不是直接在接口下
⑧．如果IPSEC 的联盟建立不起来，也有可能是因为没有数据流的触发。使用扩展的PING 命
令，触发数据流。 ping -a 本端内网ip 对端内网IP。在建立IPSEC 联盟之前，必须保证双方的外网
直接可达
⑨．在直接用IPSEC 建立通道的时候，其内网运行的OSPF 和外网必须分开，并且必须指定邻
居
c． L2TP
①．L2TP 的START 为LNS 的公网IP，不同与GRE 指定的IP，在LAC 端可以使用域名，也可
以使用FULLNAME，在使用fullname 时候，注意FULLNAME 是在创建用户时候的名字，可能会出
现FULLNAME 为hcte@huawei.com 这样的名字，这个才是FULLname，而非hcte
②．LNS 没有配置IP POOL
③．在GROUP 中的tunnel 密码不一致
④．地址池的分配应该在VIR 模板中，而不是在GROUP 中。给对端分配ip remote address pool
1
⑤．在ROUTER+LAC+LNS 接入时候，LNS 端可以配置强制CHAP 验证，那么ROUTER 上必
须有chap 的相关命令，而且，在ROUTER 上可以同时存在PAP 和CHAP。在线路接入时候，ROUTER
会自动匹配。
⑥．在ROUTER+LAC+LNS 接入时候。首先必须保证ROUTER 和LAC 建立LCP OPEN，其IPCP
状态可以为协商不通过。并且，ROUTER+LAC 的接口地址
不能配置 IP 地址，否则和IP-POOL 发生冲突，导致LAN 无法建立连接，并且分配不到IP
⑦．ip-pool 必须为总局的同一个网段，否则分配的IP 在总部无法访问（当局域网内运行OSPF
时候，还必须指定邻居，而不用管L2TP 是否能
传输广播报文。一般在用L2TP 接入时候，在LAC 侧用户通常不运行路由协议）
⑧．由ROUTER+LAC+LNS 接入时候，首先必须在ROUTER 和LAC 端建立连接，所以LAC
端必须有ROUTER 的LOCAL-USER
d． ACL
①．设置ACL 的时候注意不要把ospf 报文、tunnul 报文、IPSEC 报文等信息给deny 掉了
②．放置在合适的接口或者路由策略下
5、交换故障点：
a． TRUNK 与HYBRID
①．在一个交换机上设置了一个HYBRID 口之后，不能设置TUNK 口
②．HYBRID 口最好配置为untegged 所有VLAN，但是必须TEGGED 管理VLAN。否则管理
vlan 无法通信。如果允许其下面的VLAN 能穿透的话，必须配置为TEGGED
③．在HYBID 口上必须配置其PVID 为PVLAN 的ID。而且与HYBRID 口相连接的交换机的口，
必须配置为TUNK 口，PVID 同样为PVLAN 的ID
④．如果在本交换机上希望配置VLAN 之间的访问，可以将接口配置为HYBRID，然后通过
TEGGED 标记来控制通信，而不需要借助ROUTE 的路由传递
b． 802.1x
①．认证只在一级交换机上作，不能实现在多级交换机上同时做
②．通常会出现的错误为将上行端口配置了DOT1.X。因为上行端口连接的是route，绝对不能
配置
③．在一个设备上配置了dot1.x，其他的交换机都必须配置本地验证。否则，其他交换机与他的
直接连接将DOWN 掉
④．用户服务类型为lan-access
⑤．做了认证就需要在交换机上建用户数据库
⑥．没用激活802.1x 的用户：state active
c． DHCP
①．在用DHCP 服务器分配IP 的时候，必须配置DHCP-RELAY。（先建立DHCP-ser 的相关参
数，然后在***VLAN 接口下配置，必须在每个VLAN 下都要配置）在路由器上配置DHCP-RELAY 的
时候是在分发IP 的接口上配置（ip-relay ……）注意是在分发IP 的接口下配置，而不是在系统视图
下

                               
登录/注册后可看大图

该贴已经同步到 goodluck的微博

5ibob

yyyy

啥也不说了，楼主就是给力！

etuos

楼主考过TE啦？

teliek

weicisco

jzy1860

ghsjkkhfgdhdfgfgr

夏夜

夏夜