1、光纤链路排错经验一、 组网:用户采用 4 台 S5500 作为接入交换机、1 台 S5500 作为核心交换机组网,4 台接入交换机分别在三个仓库以及门卫处与核心机房都是通过 2 根八芯单模光纤走地井连接,在这 5 个机房再通过跳纤来连接到交换上。用户要求实现内网的用户主机访问公共服务器资源,并实现全网互通。组网如下图所示:二、 问题描述:PC 现无法访问 server 服务器,进一步发现 S5500 光纤端口灯不亮,端口信息显示 down 状态。在核心交换机端通过自环测试发现该端口以及光模块正常,接入交换机端也同样测试发现正常。监控网络正常使用,再将网络接口转接到监控主干链路上,发现网络同样无
2、法正常使用。三、 过程分析:想要恢复链路,首先要排查出故障点,根据故障点情况结合实际恢复链路通畅。在这里主要分析光纤通路,光信号从接入交换机光口出来通过跳线,转接到主干光纤,然后再通过核心跳线转接到核心交换上。由于该链路不通,首先要排除两端接口以及光模块问题,这里使用自环检测(如果是超远距离传输光纤线缆需要接光衰然后在自环,防止烧坏光模块)。当检测完成发现无问题,再测试接入端的光纤跳纤:如果是多模光纤可以将一端接到多模光纤模块的 tx 口,检测对端是否有光;单模光纤如果没有光功率计可以使用光电笔检测(该方法只能检测出中间无断路,并不能检测出线路光衰较大的情况)。最后再检测主线路部分,检测方式同
3、跳线一样。光路走向流程如图所示:四、 解决方法:从上述的分析可以看出,只要保证了光信号一出一收两条路径都能正常就可以解决用户无法访问服务器的问题。为了保证光路正常通路,最好的解决方法就是,通过使用光功率计来检测对端发射光在本端的光功率是否在光口可接受范围内。由于用户组网使用了一些监控设备来接入该主干光缆,并且该光路现正常使用,通过将网络光纤转接到该监控主干光缆,发现网络光路仍然不通;并且两端端口自环检测正常。由此可以判断出主要问题在两端的跳纤上。如图所示:在没有光功率计并且客户业务又比较着急恢复的情况,可以先将两端的接入跳纤更换。有光功率计时就可以直接检测跳纤的光衰是否正常。五、 说明及注意事
4、项:1、光纤的连接需要注意以下几点:(1)光纤接口有没有插紧完全对接上;(2)光纤接口端面是否受灰尘等污染;(3)光纤中间是否存在物理损坏,部分损伤或者断开;(4)光纤弯曲是否半径小于8cm;(5)其他相关问题。2、该案例适用于光纤网络基本排错。某大学城防病毒案例问题描述:某大规模教育园区网络中,采用两台万兆交换机 FORCE 10 作为网络核心,三个分校区各采用两台 FORCE 10 作为校区核心,而采用我司的 S6506 共 22 台做为三级汇聚层交换机,并接入 800 多台接入交换机 S3026E,接园区一万多个信息点,承载整个校园 INTERNET 业务。设备拓扑图如下:发生问题时,客
5、户反馈 S6506 出现 VLAN 内不停的有 ARP 扫描(就是6506 的 VLAN INTERFACE 不停的发本 VLAN 内每个 IP 地址的 ARP REQUEST 解析报文),网络速度很慢。现场抓包记录如下:在接入层交换机 S3026E 上的电脑上网发现网络速度缓慢,且 S3026 的 cpu占用率也较高处理过程:通过使用抓包软件分析发现网络内有大量的 ARP 解析报文,从而导致网络速度缓慢,怀疑可能是网内有多台电脑感染病毒造成。解决方案:在上网 PC 机上安装天等防火墙个人版,通过看防火墙的攻击日志可以得知攻击是从 219.223.180.155 和 219.223.169.5
6、4 这两台电脑来的,(由于是下班时间,可能网内还有其它电脑也感染)。所以在 S6506 上做 :acl number 110rule 35 deny tcp destination-port eq 135rule 36 deny udp destination-port eq 135rule 49 deny tcp destination-port eq 445rule 50 deny udp destination-port eq 445int g 1/0/1qospacket-filter inbound ip-group 110 not-carefo以阻止病毒攻击。由于是下班时间,所以无
7、法得知这两台电脑的更详细的信息。如果没有防火墙个人版或者没有明确的病毒信息,可以添加如下列表测试:rule 30 deny tcp destination-port eq 3127rule 31 deny tcp destination-port eq 1025rule 32 deny tcp destination-port eq 5554rule 33 deny tcp destination-port eq 9996rule 34 deny tcp destination-port eq 1068rule 35 deny tcp destination-port eq 135rule 3
8、6 deny udp destination-port eq 135rule 37 deny tcp destination-port eq 137rule 38 deny udp destination-port eq netbios-nsrule 39 deny tcp destination-port eq 138rule 40 deny udp destination-port eq netbios-dgmrule 41 deny tcp destination-port eq 139rule 42 deny udp destination-port eq netbios-ssnrul
9、e 43 deny tcp destination-port eq 593rule 44 deny tcp destination-port eq 4444rule 45 deny tcp destination-port eq 5800rule 46 deny tcp destination-port eq 5900rule 48 deny tcp destination-port eq 8998rule 49 deny tcp destination-port eq 445rule 50 deny udp destination-port eq 445rule 51 deny udp de
10、stination-port eq 1434结论:对染毒电脑进行杀毒并对所有电脑加装微软的漏洞补丁,并安装防病毒软件,已彻底清除病毒对网络的影响。MSR 系列路由器QoS CBQ(基于类的队列)基本功能的配置关键字:MSR;QoS;CBQ;基于类的队列;MQC;WRED一、组网需求:MSR 路由器是互联网出口,下挂 2 个网段,对 10 网段访问 Internet作 AF 队列 8k 保证,对于所有 RTP 流则给与 EF 队列 32k 保证设备清单:MSR 系列路由器 1 台二、组网图:三、配置步骤:适用设备和版本:MSR 系列、Version 5.20, Beta 1202 后所有版本。M
11、SR 配置#/定义流量类型 acl2000traffic classifier acl2000 operator and/匹配 ACL 2000if-match acl 2000/定义流量类型 rtptraffic classifier rtp operator and/匹配协议类型为 RTPif-match protocol rtp#/定义流量行为 ef32ktraffic behavior ef32k/队列保证 ef 32k 带宽queue ef bandwidth 32 cbs 1500/定义流量行为 af8ktraffic behavior af8k/队列保证 af 8k 带宽queu
12、e af bandwidth 8/使能该队列的 wredwred#/定义 QoS 策略 s3/0cbqqos policy s3/0cbq/蒋流量类型 acl2000 和流量行为 af8k 绑定classifier acl2000 behavior af8k/蒋流量类型 rtp 和流量行为 ef32k 绑定classifier rtp behavior ef32k#/定义 ACL 2000acl number 2000/匹配源地址为 10.0.0.0/24 的流rule 0 permit source 10.0.0.0 0.0.0.255#/出外网接口interface Serial3/0li
13、nk-protocol ppp/设置接口的 QoS 最大带宽为 64kqos max-bandwidth 64ip address 1.2.0.2 255.255.255.252/在接口的出方向应用 QoS 策略 s3/0cbqqos apply policy s3/0cbq outbound#/连结 10 网段的接口interface Ethernet0/0port link-mode routeip address 10.0.0.1 255.255.255.0#/连结 20 网段的接口interface Ethernet0/1port link-mode routeip address 2
14、0.0.0.1 255.255.255.0#四、配置关键点:1) CBQ 的配置其实是 MQC 配置,需要配置流量类型、流量行为和QoS 策略;2) 注意流量类型和流量行为的对应关系;3) 在同一个 QoS 策略中,所有流量行为的队列带宽统一使用固定值或百分比。MSR 系列路由器教育网双出口 NAT 服务器的典型配置一、组网需求:MSR 的 G0/0 连接某学校内网,G5/0 连接电信出口,G5/1 连接教育网出口,路由配置:访问教育网地址通过 G5/1 出去,其余通过默认路由通过 G5/0 出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从 G5/1
15、 进来,如果以教育网源地址(211.1.1.0/24)从 G5/0 访问电信网络,会被电信过滤。该校内网服务器 192.168.34.55 需要对外提供访问,其域名是,对应 DNS 解析结果是 211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或 211.1.1.4 正常访问,且要求校园网内部可以通过 NAT 任意访问电信网络或教育网络。设备清单:MSR 一台二、组网图:三、配置步骤:适用设备和版本:MSR 系列、Version 5.20, Release 1205P01 后所有版本。MSR 关键配置(路由部分配置略)#/地址池 0 用于访问电信的 NATnat address-
16、group 0 202.2.2.50 202.2.2.100/地址池 1 用于访问教育网的 NATnat address-group 1 211.1.1.50 211.1.1.100/静态 NAT 用于外部访问内部服务器 nat static 192.168.34.55 211.1.1.4#/ACL 2000 用于内网访问教育网和电信的 NAT,允许 192.168.0.0/0 的源acl number 2000description “NAT“rule 10 permit source 192.168.0.0 0.0.255.255/ACL 2222 用于策略路由的允许节点,即内部服务器往外发的 HTTP 从 G5/1 出去acl number 2222description “policy-based-route permit node“rule 0 permit source 192.168.34.55 0#