月度归档： 2023 年 1 月

问题描述
通过交换机内存监控发现设备运行内存持续或者间歇性高(70%-909%6)。

可能原因
1、整网业务和配置较多;
2、设备运行异常。

问题排查 
1、一般来说，由业务量大或者新增配置引发的内存利用率高，在业务量相对稳定的情况下，内存利用率会稳定到某一数值，不会有大幅度变化，减少相应的业务可以缓解内存高的问题。
2、如果发现内存利用率无持续增长的趋势，但是隔一段时会有增长的趋势，且增长到一定程度后出现设备运行异常;需要记录下增长的周期以及初始内存值大小并联系技术支持协助判断。

问题描述
通过交换机CPU监控发现设备运行CPU持续或者间歇性高(70%-90%)。

可能原因
1、整网带机量超过设备主机路由表;
2、网络环路;
3、网络攻击;
4、网络震荡;
5、设备硬件故障

问题排查 
1、带机量过大。通过查询设备的ARP 表项了解整机当前的带机量，和设备主机路由表参数比较。如果大于主机路由表，建议更换更高规格设备，如果远小于主机路由表进行第二步排查。
2、网络环路。定位是否是网络环路引起，可以通过观察端口指示灯闪烁情况，和端口收包统计来判断是否是网络环路引起，当端口收包有大量增长端口指示灯高频率同频闪烁可以判断是网络环路引起，此时需要通过拔线方式来逐一破解环路。
3、网络攻击和网络震荡。定位是否是网络攻击和网络震荡引起CPU高，常见的网络攻击包括ARP以及DHCP等协议报文攻击，这些攻击行为的共同特点是攻击源产生大量的协议报文对设备进行冲击。这种需要进交换机串口命令下统计CPU的收包情况。
4、设备硬件故障。如果发现设备工作明显异常，指示灯异常，则可能是设备硬件故障。

故障原因：
1、网关冲突
2、线路问题
3、非法DHCP服务器
4、环路
5、ARP欺骗

故障排查：
1、观察掉线时的现象，是交换机下全部终端掉线还是个别终端掉线

2、如果是全体掉线，从以下几个方面排查:
a、网关冲突。内网中非法设备配置了与网关相同的IP 地址，造成ARP 网关欺骗，可以在掉线的主机上通过arp -a命令查看，网关对应的MAC地址是否正确。如果确定存在此问题，可以尝试修改网关的IP地址。
b、环路。当网络中存在环路时，交换机所有接口的指示灯会同频闪烁，现象其实比较明显，可以通过拔线确认并消除环路链路。
c、交换机上联口链路不稳定。比如级联用的网线质量差，过长、线序不稳定等，可尝试更换级联口网线.
d、ARP欺骗。如果内网有非法客户使用ARP 欺骗手段欺骗主机或者网关，也可能导致全体掉线，但是一般情况下，概率很小，很少碰到这样的问题。可以通过arp -a 命令查看网关对应的MAC地址是否正确，网关中ARP列表中主机IP地址对应的MAC是否正确来判断。

3、如果是个别或者部分主机掉线，从以下几个方面排查
a、检查掉线主机连接交换机的网线是否有问题，比如质量差，过长、线序不稳定等。此时本地连接可能出现频繁断开重连现象，同时协商速率也可能比较低如10Mbps，可以尝试更换网线
b、非法DHCP服务器。当网络中LAN 接入了一些路由器且没有关闭DHCP服务器时，内网主机可能获取了错误的网络参数，这个查看本地连接获取的参数即可判断。如果确实存在，需要找到这个设备，关闭DHCP服务器或者直接移除。
c、ARP 欺骗。如果内网有非法客户使用ARP欺骗手段欺骗主机，也会导致掉线，但是一般情况下，概率很小，很少碰到这样的问题，可以通过arp -a命令查看网关对应的MAC地址是否正确。

故障现象：
所有设备指示灯频繁闪烁，设备转发异常甚至死机，判断网络中是否存在二层环路，一般可以使用查看接口带宽流量、部署环路检测、查看CPU占用率几种方法进行确认。这几种方法没有严格的操作顺序，为更加准确判断故障属性，可以使用其中的一种或多种方法来进行问题定位。

可能原因：
1、用户误操作接线产生环路;
2、余链路运行的除环协议异常(STP/ERPS);
3、线路老化异常。

故障排查：
1、人为接线环路。通过手动拔线的方式逐步破解环路。
2、环网协议工作异常。去除几余线路接线，然后检查环路协议配置。
3、更换老化异常的线路。

故障现象
同一时间下或短时间内，同一个MAC地址出现在设备的两个端口下或者多个端口下。注：端口之间出现MAC漂移不一定都是网络环路引起的，无线用户在AP间漫游、PC从不同的接入交换机上线等场景也可能触发汇聚交换机产生MAC漂移现象。

故障原因
1、手机终端AP间漫游或者PC快速在多个交换机接入;
2、网络出现环路;
3、有异常终端伪造其它终端的MAC加入网络;
4、有相同MAC地址的终端。

故障排查
1、终端漫游情况影响。了解现场的使用环境是否存在终端漫游或者移动PC 更换端口接入的情况，如果存在且网络应用正常则不用过于担心该信息。
2、网络环路。定位是否是网络环路引起，可以通过观察端口指示灯闪烁情况，和端口收包统计来判断是否是网络环路引起，当端口收包有大量增长端口指示灯高频率同频闪烁可以判断是网络环路引起，此时需要通过拔线方式来逐一破解环路。
3、非法MAC地址攻击。MAC地址漂移通常只针对固定的一个或几个MAC地址，因此需要根据发送MAC地址漂移的接口查找对应接口下挂终端是否存在使用相同MAC地址的情况。若存在此情况，请修改终端MAC地址或排除多个终端使用相同MAC地址的情况;若存在非法MAC攻击，请阻断非法用户接入网络。

问题描述
终端接在交换机下，交换机端口学习不到终端的ARP信息。

可能原因
1、终端PC网卡问题;
2、链接线路不正常对应端口没有UP;
3、设备设置了端口安全限制了端口学习的MAC数目
4、到达了设备ARP学习数目的上限。

解决方法
1、PC本身网卡问题。终端网卡异常不发包或者不回复ARP 信息，可以对比将终端换到其它线路下尝试是否正常，如果正常则进行下一步的排查。
2、物理线路异常。查看接终端的端口是否正常LINK，端口指示灯有无正常亮起，网卡的指示灯有无正常亮起，两端的协商速率双工是否一致，如果正常则进行下一步排查。
3、端口安全限制。检查设备有无设置相关的MAC数量学习限制，有则增加端口能学习到的最大数目。

4、端口学习地址数目超上限。默认情况下端口也有最大的地址学习数目，需要检查下该端口默认情况下已经学习到的最大地址数是否超过端口上限，上限值也可在端口安全页面查看。

故障现象
终端配置动态获取IP的情况下无法获取到IP地址。

可能原因
1、终端PC网卡问题
2、链接线路不正常
3、设备设置了MAC黑名单;
4、DHCP地址池占用完
5、AP设置了DHCP防护或者交换机设置了DHCP侦听。

故障排查 
1、排查 PC本身问题。将PC接入其它DHCP服务器尝试能否正常获取地址，如果其它在其它服务器下可以正常获取地址则进行下一步排查。
2、检测 PC 到服务器链路问题。将PC配置静态IP 地址，尝试 ping 下DHCP 服务器，如果不能通则检查这一段链路是否异常，如果能通则进行下一步排查。
3、服务器设置了相关限制策略。检查设备是否有设置对应的MAC丢弃策略或者PC和DHCP服务器之间是否设置了错误的DHCP侦听以及错误的DHCP防护。
4、尝试增加地址池范围看能否获取地址。

故障现象
用户上网时:
a.网络速度不稳定，打开网页的速度特别的慢，有时候还会出现网页部分内容，或是整个页面无法显示的问题;
b.观看视频业务时有马赛克或花屏等卡顿现象;
c.下载文件速度慢。

交换机工作时:
a.在交换机上执行Ping操作，对网络进行连通性测试，提示超时;
b.业务经常中断。

可能原因
1、终端PC本身丢包
2、连接线路不稳定;
3、高速端口往低速端口发包
4、交换设备局域网广播拥塞;
5、环路或者攻击
6、设备限速配置值不合理。

故障排查
1、排查产生丢包现象的PC本身问题。如PC的网卡是否正常、PC连接设备的线缆是否正常都有可能造成设备丢包。解决方法:断开网络后给PC 查杀病毒、检查网线重装操作系统、检查网卡等。确认PC正常后，如果故障仍然存在，继续执行下一步。
2、检查接口Link状态和参数。一般来说，接口的物理状态Down，或接口双工模式或速率协商模式与对端不一致，会造成接口的状态异常，可以通过端口状态告警是否有频繁 link up/down 的状态告警日志产生，如果有则需要排查以下是否是物理线路水晶头，光纤需要看下光衰是否合理范围内。
3、网络拥塞问题。网络中，有时会出现在非常短的时间(毫秒级别)内收到非常多的突发数据，以至于瞬时突发速率达到平均速率的数十倍、数百倍，甚至超过端口带宽的现象。这种现象会造成一定的网络丢包，尤其是高速端口往低速端口转包的情况下尤为明显，这种情况建议将两端端口速率不对等的情况下调整成一致的速率:百兆对百兆，千兆对千兆。
4、广播风暴影响。当网络中终端数量较多的时候会产生较多的广播报文在局域网转发，这种现象尤其对无线不太友好，当终端数有一定规模后建议划分 VLAN 并且做端口隔离来保障业务数据的正常转发。网络环路影响。定位是否是网络环路引起，可以通过观察端口指示灯闪烁情况，和端口收包统计来判断是否是网络环路引起，当端口收包有大量增长端口指示灯高频率同频闪烁可以判断是网络环路引起，此时需要通过拔线方式来逐一破解环路。
5、接口限速配置检查。查看接口、VLAN、VLANIF以及全局的配置，检查是否配置了与丢包相关的配置
配置检查项:是否有相关的流量过滤、抑制或限速设置或者采用了ACL丢弃策略。

华为三层交换机请参阅：
华为交换机CLI方式配置跨网段访问

一． 组网说明
在交换机上启用 DHCP 服务器，为网络中的 PC 分配动态 IP 地址。
VLAN 10 使用 10.1.1.1/24网段的地址，网关 10.1.1.1.。
VLAN 20 使用 192.168.20.1/24 网段的地址，网关 192.168.20.1
二． 组网图

注：交换机默认就开启了接口路由，那么当两台 PC 分别从 DHCP Server 交换机上获取了 IP地址，直接两台 PC 就可以正常通信了。
三． CLI 配置步骤
1、创建 VLAN 10
switch(config)#vlan 10
switch(config-vlan10)#exit

2、将端口 ETH 1/0/1 加入 VLAN 10
switch(config)#interface ethernet 1/0/1
switch(config-if-ethernet1/0/1)#switchport access vlan 10
switch(config-if-ethernet1/0/1)#exit

3 、为 VLAN 10 分配接口 IP
switch(config)#interface vlan 10
switch(config-if-vlan10)#ip address 10.1.1.1 255.255.255.0
switch(config-if-vlan10)#exit

4、创建 VLAN20
switch(config)#vlan 20
switch(config-vlan20)#exit

5 、将端口 ETH 1/0/2 加入 VLAN 20
switch(config)#interface ethernet 1/0/2
switch(config-if-ethernet1/0/2)#switchport access vlan 20
switch(config-if-ethernet1/0/2)#exit

6 、为 VLAN20 分配接口 IP
switch(config)#interface vlan 20
switch(config-if-vlan20)#ipaddress 192.168.20.1 255.255.255.0
switch(config-if-vlan20)#exit

7 、启用 DHCP SERVER 功能
switch(config)#service dhcp

8 、创建 VLAN 10 地址池
switch(config)#ip dhcp pool vlan10
switch(dhcp-vlan10-config)#network-address 10.1.1.1 24
switch(dhcp-vlan10-config)#default-router 10.1.1.1
switch(dhcp-vlan10-config)#exit

9 、创建 VLAN20 地址池
switch(config)#ip dhcp pool vlan20
switch(dhcp-vlan20-config)#network-address 192.168.20.1 24
switch(dhcp-vlan20-config)#default-router 192.168.20.1
switch(dhcp-vlan20-config)#exit

四、网页配置步骤
1 、创建 VLAN 10

2、 将端口 ETH 1/0/1 加入 VLAN 10

3、 为 VLAN 10 分配接口 IP


4、 创建 VLAN20

5、 将端口 ETH 1/0/2 加入 VLAN 20

6 、为 VLAN20 分配接口 IP


7 、启用 DHCP SERVER 功能

8 、创建 VLAN 10 地址池



9、 创建 VLAN20 地址池

故障现象：
出入口抓拍机不管白天模式还是夜晚，定时或者自动模式补光灯都不亮

解决方法：
局域网网页访问抓拍机，进入“高级配置→设备配置→抓拍参数”界面，选择“补光灯参数→IO输出参数”，设置自动检测亮度使能常亮灯或按时间启用常亮灯。

路径1：配置——抓拍——抓拍参数——补光灯参数

路径2：配置——设备配置——抓拍参数——补光灯参数