VRRP故障排查
一、客户需求
某分支单位现网只有一条电信专线、一台路由器进行上网办公,为了提高网络带宽增加网络设备的可靠性,用户又增加了一条联通10M的专线购买了一台MSR3620。要求部分业务网关在原来华为路由器上走电信专线上网办公,部分业务网关在MSR3620路由器上走联通专线上网办公。路由器上添加访问控制功能,特殊业务只允许特定IP段访问。网络故障的六个命令
二、配置思路
1. .两台路由器启用vrrp,一部分业务网关在华为路由器上为master,在华三路由器上为slave;另一部分业务网关在华三路由器上为master,在华为路由器上为slave。这样既实现了网关设备的备份又实现了业务流量的负载分担。
2.路由器上要划分子接口作为网关,思科交换机上要添加相应vlan两个上行口配置成trunk模式允许相应vlan通过。
3.添加相应的acl在路由器的网关接口上应用实现访问控制需求
三、拓扑图
四、故障现象
基本配置完毕后发现两个路由器的vrrp都是master,vrrp没有生效。检查配置无误且两个路由器子接口同一业务段的地址可以ping通。怀疑acl限制了vrrp传递报文将acl应用配置取消后现象依旧。
五、故障排查
1. 既然业务段子接口可以ping通说明物理链路没问题。
2.抓包分析,命令如下:
<MSR>terminal debugging
The current terminal is enabled to display debugging logs.
<MSR> terminal  monitor
The current terminal is enabled to display logs.
<MSR >debugging vrrp packet
%Aug  5 18:33:01:598 2014 XZN-LS-DZX-E-S1 VRRP4/6/VRRP_PACKET_ERROR:
The IPv4 virtual router 65 (configured on GigabitEthernet0/2) received an error packet: PROTOCOL VERSION ERROR.
*Aug  5 18:33:01:916 2014 XZN-LS-DZX-E-S1 VRRP4/7/Packet:
Sent Advertisement message from GigabitEthernet0/0
VRID: 65  Pri: 120  Adver timer: 100 centisecs
根据抓包现象初步分析出vrrp的版本错误,应该是MSR36的vrrp版本与华为的不一致导致的结果,经过查看相关资料了解到MSR36 v7平台的vrrp版本默认是version 3(v 5平台的默认是version 2),华为的默认也是version 2,将MSR36的vrrp改成version 2,命令如下:
interface GigabitEthernet0/0.10
ip address    255.255.255.0
vrrp version 2
改完配置后vrrp状态正常,业务测试正常。证明就是vrrp版本不一致导致。
3.将acl应用在接口上后发现vrrp备的状态由slave变为master,说明acl限制了vrrp的传递报文,经查资料发现vrrp的协议传送报文使用固定组播地址224.0.0.18。将acl的vrrp组播地址224.0.0.18放开再应用到子接口上后,命令如下:
acl number 3050
rule 05 permit ip destination    0.0.3.255
rule 10 permit ip destination    0.0.7.255
rule 15 permit ip destination  224.0.0.18  0
rule 30 deny ip
应用完毕,vrrp的状态恢复正常说明就是acl限制了vrrp的传递报文。
六、小结
网络故障排查中抓包分析不失为一种非常精准有效的排错方法,要学会运用抓包分析的方法解决网络故障问题。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。