FAQ-USG9300-V100R0003-GE接口无法学习到对端的arp问题

发布时间:  2012-07-18 浏览次数:  136 下载次数:  0
问题描述

现场环境为 USG9300-SW(H3C)-OTN M920(中兴波分设备)-M60。
用户反馈的信息是:通过H3C交换机(2层接入),在USG9300上可以学习到对端的M60接口的ARP信息,但是USG 9300直接连接波分设备,则不能学习到对端M60接口的ARP信息。

告警信息
处理过程
通过沟通确认:跨接交换机可以连接到对端的情况下,交换机的工作状态时直接连接,没有在交换机接口做配置。
    由于存在可以通讯的情况,因此可以把当前直连波分不通讯的问题集中在协商、光强等方面。故登陆系统进行查看信息和测试:
1)display  int  g1/0/11 命令查看接口状态。发现接口和协议都是UP的。接收光强在-10db左右。都正常
2)ping本地接口可以,但ping对端接口ip则不通。 display arp int g1/0/11。发现确实无法学习到对端的arp。
3)shutdown 接口,看外网能否ping通对端地址,发现shutdown都就无法从公网ping到对端地址,启用后,由能ping通了。
3)选择通过debug来看通讯是否正常:
    先启用debug和监视:
        terminal debugging/terminal monitor.
    再确认debug的内容:
       debugging ethernet packet arp interface g1/0/11
       debugging ethernet packet ip interface g1/0/11
 这时发现当通过防火墙去ping对端设备时,没有发起任何报文,也没有arp的request报文。基本上可以确认时内部配置的问题,检查配置发现用户没有把该接口加入任何的安全域。把接口加入任意选择的区域,则马上有arp学习报文,而且马上可以ping通对端设备了。
根因

首先收集现场的所有的信息,主要是相关设备的配置和版本、接口的状态等。对端设备或级联设备的相关信息。
问题可能存在:光纤连接光强、相关接口协商参数、系统配置以及其他原因。

建议与总结
1.USG9300设备必须把接口加入安全域后才能对外通讯,学习arp的信息.
  2.对于用户的测试结果,还是需要有怀疑的态度,用户提供的信息可能时全面的:用户网络中已经使用了很多的安全接口,当前扩展一个新的接口,就忘了把接口加入安全域,

END