处理ARP故障

发布时间:  2014-09-20 浏览次数:  276 下载次数:  0
问题描述
如图17-1所示,NGFW与对端设备直连。NGFW与对端设备都支持在接口上的VLAN配置。物理链路连接和配置都正确,接口Up但ping不通对端设备,ARP的故障处理将基于该网络。
图17-1 ARP典型组网应用

处理过程
步骤 1 执行命令display arp,检查是否学到对端ARP表项。
<NGFW> display arp
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE  
                                                                                
                                          VLAN/PVC                              
------------------------------------------------------------------------------
128.18.196.208  0018-8239-1e63            I           GE1/0/3                   
128.18.196.20   0021-97cf-cfc1  16        D           GE1/0/3                   
128.18.196.4    001e-90a0-154f  16        D           GE1/0/3                   
128.18.196.8    001e-9060-405a  20        D           GE1/0/3                   
128.18.196.216  00e0-fcfc-1010  20        D           GE1/0/3                   
------------------------------------------------------------------------------  
Total:5         Dynamic:4       Static:0    Interface:1    Authorized:0         SNMP:0
IP ADDRESS字段表示IP地址,MAC ADDRESS表示MAC地址。
TYPE字段表示类型。I表示接口本身的MAC地址;D表示通过ARP协议报文获取的动态表项。
 如果NGFW学习到了对端的ARP表项,请检查Vlanif接口,执行步骤4。
 如果发现NGFW未学习到对端的ARP表项,执行步骤2。
步骤 2 检查ARP报文收发是否正常。
在NGFW上执行命令debugging arp packet。
<NGFW> debugging arp packet
<NGFW> terminal monitor
Info:Current terminal monitor is on 
<NGFW> terminal debugging
Info:Current terminal debugging is on
如果正确收发了ARP报文,将输出如下信息。
*0.1090420 NGFW ARP/7/arp_send:Send an ARP Packet, operation : 1, send
er_eth_addr : 0018-8239-1e63,sender_ip_addr : 128.18.196.208, target_eth_addr : 
00e0-4c84-0b04, target_ip_addr : 128.18.196.2 

*0.1083955 NGFW ARP/7/arp_rcv:Receive an ARP Packet, operation : 2, se
nder_eth_addr : 00e0-fcfc-1010, sender_ip_addr : 128.18.196.216, target_eth_addr
: 0000-0000-0000, target_ip_addr : 128.18.196.216
正常能够ping通的环境,请求和应答报文都应该显示,如果配置环境有问题,可能会只有请求而没有应答,或者请求报文和应答报文都没有。
如果上层收发正常,执行命令debugging ethernet packet arp interface GigabitEthernet 1/0/3,检查链路层是否发送正常。
<NGFW> debugging ethernet packet arp interface GigabitEthernet 1/0/3
<NGFW> terminal monitor
Info:Current terminal monitor is on 
<NGFW> terminal debugging
Info:Current terminal debugging is on

*0.3743890 NGFW ETH/7/eth_rcv:Receive an Eth Packet, interface : GigabitEthernet 1/0/3, eth format: 0, length: 60, prototype: 0806 arp, src_eth_addr: 
001e-9060-405a, dst_eth_addr: 0018-8239-1e63 

*0.3743789 NGFW ETH/7/eth_send:Send an Eth Packet, interface : GigabitEthernet 1/0/3, eth format: 0, length: 42, prototype: 0806 arp, src_eth_addr : 0
018-8239-1e63, dst_eth_addr : ffff-ffff-ffff
以上信息表明链路层发送ARP请求报文正常,可用检查报文收发计数是否正确进一步定位,执行步骤3。
步骤 3 检查报文收发计数是否正确。
在接口视图下执行命令display this interface,或执行命令display interface interface-type interface-number,查看报文计数。
<NGFW> display interface GigabitEthernet 1/0/3
GigabitEthernet1/0/3 current state : UP                                        
Line protocol current state : UP                                                
Description : Route Port 
The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)                  
Internet Address is 10.1.1.1/24                                                 
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a106-0e5b 
Media type is twisted pair, loopback not set, promiscuous mode not set          
1000Mb/s-speed mode, full-duplex mode, link type is auto negotiation            
QoS max-bandwidth : 1000000 Kbps                                                
Output queue : (Urgent queue : Size/Length/Discards)  0/50/0                    
Output queue : (Frag queue : Size/Length/Discards)  0/1000/0                    
Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0                 
Output queue : (FIFO queue : Size/Length/Discards)  0/256/0                     
    Last 300 seconds input rate 2619  bytes/sec, 16  packets/sec                
    Last 300 seconds output rate 28627  bytes/sec, 26  packets/sec              
    Input: 277618 packets, 46890659 bytes                                       
          275866 unicasts, 1740 broadcasts, 12 multicasts, 0 pauses             
          0 overruns, 0 runts, 0 jumbos, 0 FCS errors                           
          0 length errors,  0 code errors, 0 align errors                       
          0 fragment errors,  0 giants, 0 jabber errors                         
          0 dribble condition detected,  0 other errors                         
    Output: 303774 packets, 157242945 bytes                                     
          285539 unicasts, 6 broadcasts, 18229 multicasts, 0 pauses             
          0 underruns, 0 runts, 0 jumbos, 0 FCS errors                          
          0 fragment errors, 0 giants, 0 jabber errors                          
          0 collisions, 0 late collisions                                       
          0 ex. collisions, 0 deferred, 0 other errors
Input字段表示输入的报文数,Output字段表示输出的报文数,unicasts表示单播报文的个数,broadcasts字段表示广播报文的个数,multicasts表示组播报文的个数。
 对于ARP请求报文,请查看广播报文收发情况。
 对于ARP应答报文,请查看单播报文收发情况。
如果出现以下情况,请记录定位过程和显示的调试信息以及接口计数,并联系技术支持工程师。
 上层没有发送、或没有正确发送ARP请求或者应答报文。
 上层正确发送了ARP请求或者应答报文,但是链路层没有发送或者发送错误。
 上层正确发送了ARP请求或者应答报文,链路层也收发正常,但是对应接口没有收发计数。
步骤 4 检查Vlanif接口。
对于Vlanif逻辑口,需要同步更新主机路由。可以执行命令display fib检查FIB表是否已更新。对于普通物理接口和其他逻辑接口则不需要检查。
<NGFW> display fib
Fib Flags: B - blackhole, D - dynamic, G - gateway, H - host, S - static        
           U - up                                                               
------------------------------------------------------------------------------  
FIB Table:                                                                     
Total number of Routes : 4
Destination/Mask   Nexthop         Flag TimeStamp     Interface     TunnelID 
127.0.0.1/32       127.0.0.1       HU   t[77]         InLoop0       0x0  
127.0.0.0/8        127.0.0.1       U    t[77]         InLoop0       0x0 
100.1.1.1/32       127.0.0.1       HU   t[105]        InLoop0       0x0  
100.1.1.0/24       100.1.1.1       U    t[105]        GE1/0/3       0x0 
步骤 5 检查ICMP报文收发是否正常。
如果ARP表项都正常,并且是Vlanif逻辑口的时候也正确更新了路由表,仍出现其他异常,可进行下述操作。
1. 执行命令debugging ip packet acl acl-number,检查IP报文收发情况。
2. 执行命令debugging ip icmp,收集更多的故障信息以定位问题。
如果问题仍然无法定位或无法解决,请联系技术支持工程师。
根因
VLAN属性配置错误。
图17-2 ARP故障诊断流程图


END