路由器产品维护和故障定位.ppt

路由器产品维护和故障定位,Page2,中低端路由器实际应用业务类型较多，如常见的E1链路对接、MP捆绑和L2TP拨号等等。中低端路由器在运行当中出现的常见问题有CPU利用率高、E1接口对接不通、L2TP拨号不通等等，本胶片对上述常见问题进行解析，为您以后遇到类似问题提供指导和帮助。,前言,Page3,第1章故障排除步骤和常用方法第2章案例分析,内容介绍,Page4,故障排除基本步骤,Page5,分层故障排除法分块故障排除法分段故障排除法替换法,故障排除常用方法,常用的几种故障排除法,Page6,所有的技术都是分层的！,（一）分层故障排除法,Page7,（一）分层故障排除法,主要关注：端口的状态，协议是为UP，则为链路层工作正常。,封装的不一致,Page8,主要关注：地址和子网掩码是否正确，路由协议配置是否正确。排除时沿着源到目的地的路径查看路由表。同时检查接口的IP地址。,分段打包和重组及差错报告,（一）分层故障排除法,Page9,负责端到端的数据,（一）分层故障排除法,Page10,（二）分块故障排除法,配置文件分为以下部分：管理部分（路由器名称、口令、服务、日志等）端口部分（地址、封装、cost、认证等）路由协议部分（静态路由、RIP、OSPF、BGP、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制台、Telnet登录或哑终端、拨号等）其他应用部分（语言配置、VPN配置、Qos配置等）,Page11,把网络分段，逐段排除故障主机到路由器LAN接口的这一段路由器到CSU/DSU界面的这一段CSU/DSU到电信部门界面的这一段WAN电路CSU/DSU本身问题路由器本身问题,（二）分块故障排除法,Page12,替换法是检查硬件问题最常用的方法：当怀疑是网线问题时，更换一根确定是好的网线试一试；当怀疑是接口模块有问题时，更换一个其它接口模块试一试；在实际网络故障排错时，可以先采用分段法确定故障点，再通过分层或其它方法排除故障；,（三）替换法,Page13,（四）常用故障诊断命令,华为网络设备故障诊断主要有以下命令：ping命令tracert命令display命令reset命令debugging命令,Page14,Ping命令,Ping命令简介VRP平台的ping命令Windows平台的ping命令案例：使用大包ping对端进行MTU不一致的故障排除,Page15,Tracert命令简介VRP平台的tracert命令Windows平台的tracert命令案例：使用tracert命令定位不当的网络配置点,Tracert命令,E0：/8,/8,RIP域,网云,/8,E0：/8,S0：/8,S0：/8,S1：/8,E1：/8,S1：/8,Page16,Display命令,displayversiondisplaycurrent-configurationdisplaysaved-configurationdisplayinterfaceDisplay命令是我们从路由器上获取信息的一个重要手段。,Page17,Displayversion命令（一）,displayversionCopyrightNotice:Allrightsreserved(Sep212005).Withouttheownerspriorwrittenconsent,nodecompilingnorreverse-engineeringshallbeallowed.Huawei-3ComVersatileRoutingPlatformSoftwareVRP(R)software,Version3.40,ReleaseRT-0014(发布版本号)Copyright(c)2003-2005HangzhouHuawei-3ComTech.Co.,Ltd.Allrightsreserved.Copyright(c)2000-2003HuaweiTech.Co.,Ltd.Allrightsreserved.QuidwayAR28-11uptimeis0week,5days,5hours,8minutes（路由器启动后运行时间）SystemreturnedtoROMByCommand.,Page18,Displayversion命令(二),CPUtype:PowerPC8241200MHz128MbytesSDRAMMemory（内存大小）32MbytesFlashMemory（flash大小）PcbVersion:1.0LogicVersion:1.0BootROMVersion:9.13（bootrom软件版本）SLOT0AUX(Hardware)1.0,(Driver)1.0,(Cpld)1.0SLOT01FE(Hardware)3.0,(Driver)2.0,(Cpld)0.0SLOT01FE(Hardware)3.0,(Driver)2.0,(Cpld)0.0SLOT0WAN(Hardware)1.0,(Driver)1.0,(Cpld)1.0SLOT1NDEC(Hardware)1.0,(Driver)2.1,(Cpld)2.0SLOT31SA(Hardware)1.0,(Driver)1.0,(Cpld)2.0（各槽位插的模块类型及硬件驱动版本）,Page19,Displaycurrent-configuration,显示当前设备配置文件信息把启动配置文件存放到路由器以外的其他设备上升级前备份配置；使维护人员能够迅速配置一个替代的路由器；将该配置文件及版本、其他相关信息通过E-mail形式发给800技术支持人员以帮助定位配置问题；,Page20,Displayinterface,Quidwaydisplayinterfacesserial0Serial0isup,lineprotocolisupphysicallayerissynchronous,baudrateis64000bpsinterfaceisDCE,clockisDCECLK,cabletypeisRS232MaximumTransmissionUnitis1500Internetaddressis（端口的IP地址和掩码）Link-protocolisPPP（链路层协议是PPP）LCPopened,IPCPinitial,IPXCPinitial,CCPinitial,BRIDGECPinitial（PPP协议状态）5minutesinputrate0.00bytes/sec,0.00packets/sec5minutesoutputrate0.00bytes/sec,0.00packets/secInputqueue:(size/max/drops)0/50/0FIFOqueuing:FIFOOutputqueue:(size/max/drops)FIFO:0/75/0inputpackets:8,bytes:108,nobuffers:0outputpackets:8,bytes:108,nobuffers:0inputerrors:0,CRC:0,frameerrors:0overrunners:0,abortedsequences:0,inputnobuffers:0(接口计数)DCD=UPDTR=UPDSR=UPRTS=UPCTS=UP,Page21,Reset命令,reset：清空当前的统计信息resetcountersinterfaceresetipstatisticsresetaclcountersReset命令清空当前统计信息，用于观察某些包计数是否增长。,Page22,Debug命令,debugging命令概述获得路由器中交换的报文和帧的细节信息用于调试信息debugging命令使用注意事项不使用debug命令监控正常的网络运行不要轻易使用类似debuggingall之类的命令在网络流量低峰期时使用使用debugging命令后，应立即以“undodebuggingall”命令终止debugging命令的执行。display和debugging命令配合使用,Page23,第1章故障排除步骤和常用方法第2章案例分析,内容介绍,Page24,（一）PC不能ping通路由器的上行口地址,R3680E,DCN,PC,该网络为某运营商新建的传输网管组网，中心网管服务器与各地市网元通过我司中低端路由器相连，实现告警信息的实时上报。R3680E以太网口Eth0的IP为X.X.32.1，以太口Eth1的IP为X.X.32.100网管服务器为X.X.32.5。,R2631E,R2631E,E0,E1,Page25,故障现象描述如何描述故障现象准确地描述故障现象同一网段的网络中是否有其他设备业务受到影响？该问题是否可以复现正确故障描述从PC可以ping通网关地址（R3680E的Eth0地址），但是ping不通R3680E的Eth1接口地址，PC的网关配置没有问题。,（一）PC不能ping通路由器的上行口地址,Page26,故障相关信息收集：信息收集途径向受影响的用户、网络人员或其他关键人员提出问题；根据故障描述性质，使用各种工具搜集情况，如网络管理系统、协议分析仪、相关display和debug命令等；收集到以下信息在R3680E上用displayiproute查看路由表在R3680E上打开debugipicmp和debugarp,（一）PC不能ping通路由器的上行口地址,Page27,经验判断和理论分析各种可能原因列表传输介质网线出现问题；路由器转发出现问题；数据配置问题；,（一）PC不能ping通路由器的上行口地址,Page28,对每一原因实施排错方案；观察故障排除结果；循环进行故障排除过程：当针对某一可能原因的排错方案没有达到预期目的，循环进入下一可能原因制定排错方案并实施；当所有可能原因列表的排错方案均没有达到排错目的，重现进行故障相关信息收集以分析新的可能原因。案例可能故障循环分析可以ping通网关说明中间的传输介质网线没有问题。用displayiproute查看路由表，发现以太口E1接口的直连路由存在，说明路由没有问题。打开debugipicmp后，从PC上pingR3680E的以太口E1的地址，发现路由器上没有任何调试信息出来，说明PC的报文没有送到路由器上，或者PC无法知道如何到达R3680E的E1接口。（续）,（一）PC不能ping通路由器的上行口地址,Page29,案例可能故障循环分析（续）PC为什么没有把pingR3680E的E1接口报文送出去？经过在PC机ping包的同时，进行抓包分析，发现当PC机ping路由器R3680E的E1接口地址的时候，PC机会发出ARPrequest报文，寻找目的地址X.X.32.100的MAC地址，注意此目的IP地址正好是R3680E的Eth1接口的IP地址。从抓包信息上分析，PC认为R3680E的Eth1接口的IP地址和自己的IP地址是同一网段的，所以当ping路由器R3680E的Eth1接口地址时候，会发出ARP请求，但是没有回应，导致不通。查看PC的IP地址配置发现掩码配置是24位，此网段包含了R3680E的E1接口地址。把PC的掩码改小（小到不包含R3680E的E1接口地址）后，就可以ping通了。思考：不修改PC的掩码，有没有其他方法让PC可以ping路由器R3680E的E1接口地址？,（一）PC不能ping通路由器的上行口地址,Page30,（二）两台路由器E1对接不通,组网AR28-09和AR28-10通过E1链路对接，通过传输链接。故障描述两台路由器E1链路对接后，ping不通对方的直连地址，E1接口物理层UP协议层DOWN。,AR28-10,AR28-09,TXRX,光端机,TXRX,光端机,传输,Page31,（二）两台路由器E1对接不通,分析可能的原因E1接口物理层UP，协议层DOWN，说明PPP的LCP没有协商起来主要有以下几个原因E1接口配置问题，比如一边是成帧模式另外一边是非成帧模式；验证不通过；线路上存在较大的干扰，传输有问题；,Page32,（二）两台路由器E1对接不通,对各种原因进行一一排除查看两边的配置发现E1工作模式是一样的，而且端口并没有配置验证，所以排除配置上的原因导致协议层不UP。故障定位问题应该出在中间链路部分，中间链路包含两部分，两台路由器到光端机部分和两台光端机之间的传输部分，可以通过打环来测试链路是否是好的，一般需要打四个环，分别是：两个路由器本身自环（E1电缆收发对接）、跨本地光端机打环和跨对方光端机打环：,光端机,光端机,Page33,（二）两台路由器E1对接不通,故障排除首先打本地环，本地打环方法是把E1电缆的收发对接就可以了，若两个路由器的本地打环是正常的，说明本地路由器的E1模块和电缆没有问题，否则说明E1模块有问题或是E1电缆有问题，可以通过替换法来判断是那个的问题；若本地打环是OK的，就需要跨本地光端机进行打环，跨本地光端机打环方法是在光端机上打环，若跨本地光端机打环是OK的，说明从路由器到光端机之间的链路是没有问题，否则就是光端机侧的链路问题或是光端机有问题；若跨本地光端机打环是OK的，就需要跨传输进行打环，来测试传输链路是否有问题，打环方法是在对方光端机上把收发对接，若打环后，在路由器上看不到有环，说明传输链路有问题，需要传输工程师配合排查；,Page34,（二）两台路由器E1对接不通,如何判断打环是否成功在上面提到四个打环测试中，判断打环是否成功的标准都是一致的。每一次打环后，用resetcounterinterface把端口的计数器清零，再用displayinterface查看端口的状态，打环是否成功有三个标志：端口收发报文一致，即input方向的报文数量和output方向的报文数量是相等的；Serial口状态信息有“Loopbackisset”或“loopbackisdetected”的字符；Serial口调试信息中收发成对出现信息中的MagicNumber内容要相同；,Page35,（二）两台路由器E1对接不通,成功打环的serial口信息，注意红色字体部分：displayintSerial1/0Serial1/0currentstate:UPLineprotocolcurrentstate:DOWNDescription:Serial1/0InterfacephysicallayerisE1-F,baudrateis2048000bpsfe1unframedTheMaximumTransmitUnitis1500,Holdtimeris10(sec)Internetprotocolprocessing:disabledLinklayerprotocolisPPP,loopbackisdetectedLCPclosedOutputqueue:(Urgentqueue:Size/Length/Discards)0/50/0Outputqueue:(Protocolqueue:Size/Length/Discards)0/500/0,Page36,（二）两台路由器E1对接不通,成功打环的serial口信息，注意红色字体部分（续）：Outputqueue:(FIFOqueuing:Size/Length/Discards)0/75/0Lastclearingofcounters:19:02:27UTCSat01/21/2006Last300secondsinputrate2.13bytes/sec,17bits/sec,0.13packets/secLast300secondsoutputrate2.13bytes/sec,17bits/sec,0.13packets/secInput:216packets,3440bytes0broadcasts,0multicasts0errors,0runts,0giants0CRC,0alignerrors,0overruns0dribbles,0aborts,0nobuffers0frameerrorsOutput:216packets,3440bytes0errors,0underruns,0collisions0deferred（接口有报文收发计数增长，而且收发数量相等),Page37,（三）AR28-31的CPU利用率高达100,对各种原因进行一一排除我们知道路由器是靠CPU来转发报文的，CPU利用率高说明转发的报文很多，通常情况下正常业务报文业务不会耗费太多CPU资源，很多时候由于病毒报文攻击导致CPU资源被大量的占用。故障定位在CPU利用率达到100的时候，若路由器没有配置防病毒列表，可以参考support网站的防病毒大全，在路由器上配置ACL，并在路由器的所有使用的端口上下发，包括inbound方向和outbound方向。若把防病毒ACL列表下发后，CPU利用率还是居高不下，可以通过下面三种方式来查看到底是那些报文占用大量的CPU资源：若路由器打开快转，用displayipfastercache查看快速转发表若没有打开快转，查看是否配置NAT转换，如已配置，可以用displaynat；translations(VRP1.74)或displaynatsession(VRP3.4)查看nat转换表；若路由器快转和NAT都没有配置，需要打开报文转发调试开关(debuggingippacket)，从调试信息看哪些报文转发出现的频率较高；,Page38,故障排除用displayipfastercache查看路由器的快速转发表，若发现某些IP地址占用大量的转发条目，或者端口号一样，可以通过ACL禁止掉，比如用displayipfastercache查看转发表的内容如下：561:0653816074456Ethernet0Ethernet01561:1681239064456Ethernet0Ethernet01561:265487984456Ethernet0Ethernet01561:3653029374456Ethernet0Ethernet01在上面的转发表中发现有445端口号，可以通过ACL规则来禁止此端口,（三）AR28-31的CPU利用率高达100,Page39,故障排除用displaynatsession（VRP3.4）或displaynattranslations查看路由器的NAT转换表，若发现某些IP地址占用大量的转发条目，或者端口号一样，可以通过ACL禁止掉，比如用命令查看转发表的内容如下：1741309402701501148317714165027015911561771236802701521176177132950270151465017713787027015421453在上面的转发表中发现0占用了大量的nat转换表项，可以通过ACL规则来禁止此IP地址。,（三）AR28-31的CPU利用率高达100,Page40,（三）AR28-31的CPU利用率高达100,故障排除若路由器没有配置NAT，也没有开启快转，一些较老的版本中没有命令查看NAT转换表和快速转换表，或者是其他原因导致，只有通过打开IP报文转发调试开关，观察那些报文转发频率过大，然后通过ACL把那些转发频率过大的报文禁止掉。此方法使用当中有一定的风险，因为打开debuggingippacket开关后，所有的报文转发都显示显示出来，也会占用CPU资源，但是若路由器的CPU已经达到了100，或者是业务已经收到严重影响了，可以通过此方式来定位是那些IP地址占用大量的CPU资源，采用相应的处理方式。在本例中的AR28-31是做为NAT使用，下挂是上网业务，用户反映下面上网很慢，查看CPU利用率，已经达到100，通过用displaynatsession查看，发现某个私网IP的占用的大量（几十个）的nat转换条目，通过ACL把此IP禁止后，CPU下降到30左右，上网业务恢复正常水平。,Page41,（四）中低端路由器Bootrom软件升级介绍,BootRom与VRP对应关系VRP1.74BootRom4.3X(4.6X,4.70)-VRP1.740102之前BootRom7.0X-VRP1.740105之后VRP3.3BootRom9.01至9.06-VRP3.3BootRom9.07以后-VRP3.4BootROM程序的升级包括只升级BootROM程序扩展段（extended）和升级全部BootROM程序，常用升级方式为：1.Xmodem方式2.FTP方式,Page42,一.从VRP1.74的BootRom4.X升级至VRP1.7的BootRom7.x1.升级方法一:采用BootRom提供的菜单升级（Xmodem）注意：BootRom程序分为第一段、第二段和扩展段，在4.X上只允许升级扩展段，第一段和第二段被锁定。因此升级时必须先将扩展段程序升级至7.X（如文件名：BOOTROM-VRP1-7.02-UPGRADE.BIN），再升级整个BootRoM程序（如文件名：BOOTROM-VRP1-7.02.bin）第一步：在路由器的配置口外接一台终端（可以是一台微机，若是微机，则需要在其上运行终端仿真程序），路由器上电自检，当终端仿真程序界面内出现“Quidwaystartbooting”信息时，键入，系统提示输入BootROM口令：Pleaseinputpassword：第二步：输入正确口令（路由器的出厂BootROM口令为空；若是经过配置使用后的路由器软件升级，请输入更改过的口令），终端显示如下菜单。,（四）中低端路由器Bootrom软件升级介绍,Page43,（四）中低端路由器Bootrom软件升级介绍,BootMenu:1:DownloadBootromprogram，选择下载BootROM程序,从超级终端发送扩展段程序；第四步：重新启动路由器后按Ctrl+B进入BootromMenu再升级7.X的整个BootRom程序；2.升级方法二：将主机版本升级到VRP1.74realse0101版本后采用FTP方式升级VRP1.740101之后版本支持以FTP方式升级整个大BootRom，路由器上配置FTPServer,后在PC(FTPClient)上利用FTP方式PUT命令将Bootrom程序上传至路由器以升级BootRom7.X。注意：一定要升级整个BootRom程序,PUT命令“Remotefile”的缺省名称为：bootromfull，如果只升级扩展段，”Remotefile”缺省名称为bootrom,强烈建议用户将Bootrom进行整个升级。,Page44,（四）中低端路由器Bootrom软件升级介绍,二、从VRP1.7的7.x版本升级到VRP1.7的7.X的高版本1、升级方法一Xmodem升级：（在系统启动时按ctrl+D进入升级菜单）系统启动时使用Ctrl+D命令进入如下界面：BootMenu:1:DownloadExtendedSegmentofBootROMwithXModem2:ModifyBootROMpassword3:SystembootingfromFlash4:DonotchecktheversionofExtendedSegmentofBootROM5:RebootEnteryourchoice(1-5):其中：使用命令1升级BootROM扩展段程序即可（如文件名：BOOTROM-VRP1-7.02-UPGRADE.BIN）2、升级方法二-Xmodem升级：（在系统启动时按Ctrl+B进入升级菜单）,Page45,（四）中低端路由器Bootrom软件升级介绍,系统启动时使用ctrl+B命令进入如下界面：BootMenu:1:DownloadapplicationprogramwithXMODEM2:DownloadapplicationprogramwithNET3:Clearconfiguration4:Startupandignoreconfiguration5:BootROMOperationMenu6:Donotchecktheversionofthesoftware7:ExitandrebootEnteryourchoice(1-7):其中：执行命令5，界面如下：BootROMDownloadMenu:1:DownloadBootROMwithXModem2:DownloadExtendedSegmentofBootROMwithXModem3:RestoreExtendedSegmentofBootROMfromFLASH,Page46,（四）中低端路由器Bootrom软件升级介绍,4:BackupExtendedSegmentofBootROMtoFLASH5:ExittoMainMenuEnteryourchoice(1-5):A:命令1为升级BootROM程序（升级整个BootRom程序）B：命令2为升级BootROM扩展段程序3、升级方法三：将主机版本升级到VRP1.74realse0101版本后采用FTP方式升级方法同前，可以升级扩展段（如文件名：BOOTROM-VRP1-7.02-UPGRADE.BIN）或整个BootRom程序（如文件名：BOOTROM-VRP1-7.02.bin）都可以，强烈建议用户将Bootrom进行整个升级。三、VRP3.XBootRom9.X升级至VRP3.XBootRom9.X的高版本说明：VRP3.X版本中AR46的Bootrom软件合成在主机软件里，因此AR46不需要对BootRom进行升级。只有在AR46的大BootRom丢失后，才考虑升级BootRom程序。,Page47,（四）中低端路由器Bootrom软件升级介绍,1、升级方法一：通过Xmodem协议升级BootRom程序第一步：路由器上电启动，当出现“PressCtrl-BtoenterBootMenu.”时，键入，进入Boot菜单。选择，进入BootROM操作菜单选项。BootROM操作菜单内容如下：BootROMDownloadMenu:1:DownloadBootROMwithXmodem=用XModem协议升级全部BootROM程序2:DownloadExtendedSegmentofBootROMwithXmodem=采用XModem协议升级BootROM程序扩展段3:RestoreExtendedSegmentofBootROMfromFLASH=从FLASH中恢复BootROM程序扩展段4:BackupExtendedSegmentofBootROMtoFLASHputvrp.binsystem第二步：重启路由器完成整个升级过程。,Page56,(五)中低端路由器VRP主机软件升级介绍,二、从VRP3.X升级至VRP3.X较高版本1.升级方法一：Xmodem方式升级请参考BootRomXmodem升级方式；2.升级方法二：本地通过网络方式(FTP和TFTP)升级VRP软件第一步：启动TFTP或FTPServer；在路由器的以太网口所连接的PC上启动TFTP或FTPServer，并设置好欲加载文件所在路径。FTPServer还需要设置用户名及口令等信息。第二步：进入BOOT菜单，选择，进入NET下载菜单；NetPortDownloadMenu:1:ChangeNetParameter=改变NET的参数2:DownloadFromNet=从NET下载3:ExittoMainMenu=退回到主菜单Enteryourchoice(1-3):1,Page57,(五)中低端路由器VRP主机软件升级介绍,第三步：选择，进入参数配置界面；ChangeBootParameter:.=clearfield;-=gotopreviousfield;D=quit“.”表示清除当前输入；“-”表示返回到前一个参数域；“CtrlD”表示退出参数配置界面。bootdevice:fei0=网络下载设备名字无需更改processornumber:0=处理器数无需更改hostname:8040=主机名字无需更改filename:M8240ra