故障排除综合实验教师用书

1、HCTE故障排除综合实验教师指导书1.1 组网需求描述21.2 教师实验前准备4 配置全网互通4 设置故障点211.3 故障现象描述221.4 故障相关信息收集231.5 原因分析及故障排除参考流程231.6 教师实验指导建议28 分组建议28 组长推举以及组员分工28 分组讨论28 各组总结28 提问28 教师总结29 实验中的时间点控制291.7 经验总结29HCTE故障排除综合实验1.1 组网需求描述图1-1 故障排除综合实验组网本综合实验中共用到了六台路由器，五台交换机（两台三层，三台二层）。其中RTB、RTC和RTD三台路由器用于模拟一个运营商（ISP）的网络，其具体连接如上图所示，

2、在RTB和RTC之间以及RTB和RTD之间的链路层封装为帧中继，RTC和RTD之间的链路层封装为PPP。在运营商网络中，运行的路由协议为OSPF。路由器RTF和二层交换机S3026-3用来模拟某公司的总部网络（Headquarters Network）；路由器RTA和两台三层交换机S3526-1和S3526-2以及一台二层交换机S3026-1用来模拟公司分部A的网络（Branch Office A）；路由器RTE和二层交换机S3026-2用来模拟分部B的网络（Branch Office B）；另外还用一台主机（操作系统为win2000）来模拟公司的拨号用户。下面分别进行描述：l 总部网络（He

3、adquarters Network）：总部网络中路由器RTF作为DHCP server，由于整个公司网络都属于一个大的主网，而各分部和总部都属于不同的子网，所以在总部侧需要一个DHCP server来统一分配IP地址。在总部的子网中，我们可以用一台主机来作为FTP server。l 分部A网络（Branch Office A）：分部A的网络在本实验中设计得比较复杂。首先路由器RTA作为分部A的出口路由器，通过GRE+IPSec隧道和总部进行连接，在隧道上和分部A网络内部都运行OSPF路由协议（在S0接口上不能启用OSPF协议）。在RTA连接的局域网当中，有两台三层以太网交换机S3526-1和

4、S3526-2一起做一个VRRP备份组，下面局域网中处于两个不同VLAN（VLAN2和VLAN3）的用户都通过配置在VRRP备份组中的网关访问其他网络。l 分部B网络（Branch Office B）：分部B的出口路由器为RTE，通过L2tp隧道和总部网络进行连接（静态路由实现，不运行路由协议）。l 拨号用户：用一台主机（操作系统为win2000）拨号接入到运营商网络的路由器RTB上，通过L2tp连接到总部网络。拨号用户名：，密码：win2000。具体的IP地址规划如下表所示：网络设备接口IP地址子网掩码运营商ISPRTBSerial1Serial2

5、Serial3RTCSerial0Serial1Serial2RTDSerial0Serial1Serial2总部RTFSerial0Tunnel0Virtual-

6、Template1Ethernet0分部ARTAEthernet0Ethernet1Serial0Tunnel0S3526-1Vlan-interface2Vlan-interface3Vlan-interface4192.16

7、8.3.2S3526-2Vlan-interface2Vlan-interface3Vlan-interface5VRRPvirtual-ip (VLAN2)virtual-ip (VLAN2)分部BRTEEthernet0以上是本实验的网络概况与要求。本实验的最终目的是让学员成功排除

8、教师在网络中设置的全部故障点，调试达到分部网络和总部网络之间的VPN互通，表现在各主机能够正确从DHCP server获取IP地址，互相能够ping通以及能够成功访问FTP server并下载数据。1.2 教师实验前准备1.2.1 配置全网互通作为教师，在实验前的第一项重要准备工作应该是准备好实验环境，根据组网需求描述中的要求配置网络互通，并进行验证。下面列出网络互通时六台路由器和三台交换机上的全部配置信息以供参考（其中S3026-2和S3026-3上使用缺省配置）：RTAdisplay current-configuration Now create configuration. Curre

9、nt configuration ! version 1.74 local-user ftp ftp-directory flash: service-type ftp password simple 1234 info-center console firewall enable sysname RTA ftp-server enable ! ! acl 101 match-order auto rule normal deny ip source any destination any ! ipsec proposal toheadquarters ! ipsec policy tohea

10、dquarters 1 isakmp security acl 101 proposal toheadquarters ! interface Aux0 async mode flow link-protocol ppp ! interface Ethernet0 ! interface Ethernet1 ! interface Serial0 clock DTECLK1 link-protocol ppp ! interface Serial1 link-protocol ppp ! interface Tunnel0 link-protocol tunnel ospf network-t

11、ype p2p ipsec policy toheadquarters ! quit ospf enable ! quit ! quit ! returnRTBdisplay current-configuration Now create configuration. Current configuration ! version 1.74 local-user vpdn service-type ppp password simple huawei local-user win2000 service-type ppp password simple win2000 local-user

12、ftp ftp-directory flash: service-type ftp password simple 1234 l2tp enable l2tp match-order domain l2tp domain suffix-separator firewall enable aaa-enable aaa authentication-scheme ppp default local aaa authentication-scheme login default local aaa accounting-scheme optional sysname RTB fr switching

13、 ftp-server enable ! interface Aux0 async mode flow phy-mru 0 link-protocol ppp ! interface Ethernet0 ! interface Serial0 baudrate 2048000 link-protocol ppp ppp authentication-mode pap ! interface Serial1 physical-mode async modem async mode protocol link-protocol ppp ppp authentication-mode pap ! i

14、nterface Serial2 baudrate 2048000 link-protocol fr ospf network-type nbma fr interface-type DCE fr dlci 100 quit ! interface Serial3 baudrate 2048000 link-protocol fr ospf network-type nbma fr interface-type DCE fr dlci 200 quit ! interface Serial4 link-protocol ppp ! interface Serial5 link-protocol

15、 ppp ! l2tp-group 1 tunnel name vpdnlac tunnel password simple vpdn ! quit ospf enable import-route direct ! quit ! return RTCdisplay current-configuration Now create configuration. Current configuration ! version 1.74 local-user ftp ftp-directory flash: service-type ftp password simple 1234 firewal

16、l enable sysname RTC ftp-server enable ! interface Aux0 async mode flow phy-mru 0 link-protocol ppp ! interface Ethernet0 ! interface Serial0 clock DTECLK1 link-protocol fr ospf network-type nbma ! interface Serial1 clock DTECLK1 link-protocol ppp ! interface Serial2 clock DTECLK1 link-protocol ppp

17、! interface Serial3 link-protocol ppp ! quit ospf enable import-route direct ! quit ! returnRTDdisplay current-configuration Now create configuration. Current configuration ! version 1.74 local-user ftp ftp-directory flash: service-type ftp password simple 1234 firewall enable sysname RTD ftp-server

18、 enable ! interface Aux0 async mode flow phy-mru 0 link-protocol ppp ! interface Ethernet0 ! interface Serial0 clock DTECLK1 link-protocol fr ospf network-type nbma ! interface Serial1 baudrate 2048000 link-protocol ppp ! interface Serial2 baudrate 2048000 link-protocol ppp ! interface Serial3 link-

19、protocol ppp ! interface Serial4 link-protocol ppp ! interface Serial5 link-protocol ppp ! quit ospf enable import-route direct ! quit ! return RTEdisplay current-configuration Now create configuration. Current configuration ! version 1.74 local-user ftp ftp-directory flash: service-type ftp passwor

20、d simple 1234 info-center console firewall enable sysname RTE ftp-server enable ! interface Aux0 async mode flow link-protocol ppp ! interface Ethernet0 ! interface Ethernet1 ! interface Serial0 clock DTECLK1 link-protocol ppp ppp chap password simple huawei ppp pap local-user vpdn password simple h

21、uawei ip address ppp-negotiate ! interface Serial1 link-protocol ppp ! quit ! returnRTFdisplay current-configuration Now create configuration. Current configuration ! version 1.74 local-user vpdn service-type ppp password simple huawei local-user win2000 service-type ppp password simple win2000 loca

22、l-user ftp ftp-directory flash: service-type ftp password simple 1234 l2tp enable info-center console firewall enable sysname RTF ftp-server enable encrypt-card fast-switch ! ! dhcp server ip-pool 4 expired day 7 ! dhcp server ip-pool 3 expired day 7 ! dhcp server ip-pool 2 expired day 7 ! dhcp serv

23、er ip-pool 1 expired day 7 ! dhcp server ip-pool 0 domain-name ! acl 101 match-order auto rule normal deny ip source any destination any ! ipsec proposal tobrancha ! ipsec policy tobrancha 1 isakmp security acl 101 proposal tobrancha ! interface Aux0 async mode flow phy-mru 0 link-protocol ppp ! int

24、erface Ethernet0 undo ip fast-forwarding ! interface Serial0 baudrate 2048000 link-protocol ppp ! interface Serial1 link-protocol ppp ! interface Tunnel0 link-protocol tunnel ospf network-type p2p ipsec policy tobrancha ! interface Virtual-Template1 link-protocol ppp ppp authentication-mode pap remo

25、te address pool 1 undo ip fast-forwarding ! l2tp-group 1 allow l2tp virtual-template 1 remote vpdnlac mandatory-chap tunnel name vpdnlns tunnel password simple vpdn ! quit ospf enable import-route static ! quit ! quit ! returnS3526-1display current-configuration# sysname S3526-1# FTP server enable#r

26、adius scheme system server-type huawei user-name-format without-domaindomain system radius-scheme system access-limit disable state active idle-cut disable domain default enable system#local-user ftp password simple 1234 service-type ftp ftp-directory flash:#vlan 1#vlan 2#vlan 3#vlan 4#interface Vla

27、n-interface2 dhcp-server 0 vrrp vrid 1 priority 50#interface Vlan-interface3 dhcp-server 0 vrrp vrid 1 priority 50#interface Vlan-interface4#interface Aux0/0#interface Ethernet0/1 port link-type trunk port trunk permit vlan all#interface Ethernet0/2 port link-type trunk port trunk permit vlan all#in

28、terface Ethernet0/3#interface Ethernet0/4#interface Ethernet0/5#interface Ethernet0/6#interface Ethernet0/7#interface Ethernet0/8#interface Ethernet0/9 port access vlan 4#interface Ethernet0/10#interface Ethernet0/24#interface NULL0#ospf #user-interface aux 0user-interface vty 0 4#returnS3526-2displ

29、ay current-configuration# sysname S3526-2# FTP server enable#radius scheme system server-type huawei user-name-format without-domaindomain system radius-scheme system access-limit disable state active idle-cut disable domain default enable system#local-user ftp password simple 1234 service-type ftp

30、ftp-directory flash:#vlan 1#vlan 2#vlan 3#vlan 5#interface Vlan-interface2 dhcp-server 0#interface Vlan-interface3 dhcp-server 0#interface Vlan-interface5#interface Aux0/0#interface Ethernet0/1 port link-type trunk port trunk permit vlan all#interface Ethernet0/2 port link-type trunk port trunk perm

31、it vlan all#interface Ethernet0/3#interface Ethernet0/4#interface Ethernet0/5#interface Ethernet0/6#interface Ethernet0/7#interface Ethernet0/8#interface Ethernet0/9 port access vlan 5#interface Ethernet0/10#interface Ethernet0/11#interface Ethernet0/12#interface Ethernet0/13#interface Ethernet0/14#

32、interface Ethernet0/15#interface Ethernet0/16#interface Ethernet0/17#interface Ethernet0/18#interface Ethernet0/19#interface Ethernet0/20#interface Ethernet0/21#interface Ethernet0/22#interface Ethernet0/23#interface Ethernet0/24#interface NULL0#ospf #user-interface aux 0user-interface vty 0 4#retur

33、nS3026-1display current-configuration# sysname S3026-1# FTP server enable#radius scheme system server-type huawei user-name-format without-domaindomain system radius-scheme system access-limit disable state active idle-cut disable domain default enable system#local-user ftp password simple 1234 serv

34、ice-type ftp ftp-directory flash:# dhcp-snooping#interface Aux0/0#vlan 1#vlan 2#vlan 3#interface Ethernet0/1 port link-type trunk port trunk permit vlan all#interface Ethernet0/2 port link-type trunk port trunk permit vlan all#interface Ethernet0/3#interface Ethernet0/4#interface Ethernet0/5#interfa

35、ce Ethernet0/6#interface Ethernet0/7#interface Ethernet0/8#interface Ethernet0/9 port access vlan 2#interface Ethernet0/10 port access vlan 2#interface Ethernet0/11 port access vlan 2#interface Ethernet0/12 port access vlan 2#interface Ethernet0/13 port access vlan 2#interface Ethernet0/14 port acce

36、ss vlan 2#interface Ethernet0/15 port access vlan 2#interface Ethernet0/16 port access vlan 2#interface Ethernet0/17 port access vlan 3#interface Ethernet0/18 port access vlan 3#interface Ethernet0/19 port access vlan 3#interface Ethernet0/20 port access vlan 3#interface Ethernet0/21 port access vla

37、n 3#interface Ethernet0/22 port access vlan 3#interface Ethernet0/23 port access vlan 3#interface Ethernet0/24 port access vlan 3#interface Ethernet1/1#interface NULL0#user-interface aux 0user-interface vty 0 4#return完成上述配置之后，可以用组网需求描述中介绍的方法来验证一下是否达到了网络互通。1.2.2 设置故障点在完成全网互通的配置之后，接下来的准备工作是在网络中进行故障点的设

38、置。可以在网络中设置如下几类故障：(1) 静态路由问题：在路由器RTF上取消静态路由，这样会直接导致L2tp隧道的建立失败。(2) 路由的引入问题：在本实验中，由于ISP和公司网络都在内部相互独立的运行OSPF协议，而总部和分部B之间又是通过静态路由进行联系。在这种情况下，如果分部A需要和分部B进行通信，就必须通过总部引入静态路由来进行。因此我们可以在总部路由器RTF上取消静态路由的引入，来造成一个分部A和分部B不能互相通信的故障点。可选的路由故障点：帧中继网络中运行OSPF时必须手工配置邻居peer是大家在实际操作中容易忽略的地方。而在GRE中，tunnel接口上运行OSPF时也必须要手工配

39、置邻居关系。这些都是在本实验中可选的故障点。(3) 交换机之间作VRRP的问题：在作VRRP的两台交换机S3526-1和S3526-2上的Vlan-interface2、Vlan-interface3接口上只配置VRRP的虚拟IP地址，而取消掉实际的IP地址（undo ip address）。这样Vlan-interface都会down掉。(4) DHCP relay问题：在交换机S3526-1和S3526-2系统视图下取消关于DHCP server的配置（系统视图下undo dhcp-server 0），同时也要在Vlan-interface2、Vlan-interface3接口下取消DHC

40、P server的配置，以消除痕迹。然后在RTA的两个以太口上都配置，作为干扰。这样实际上是无法起到DHCP relay的作用的，在交换机下面的用户网段也无法正常获取IP地址。注意：在配置DHCP relay的时候，一定要在离用户网段最近的三层设备上进行相关配置。而且要保证在该三层设备上要有到达DHCP server的路由，同时在该三层设备之后的路由器上则不需要重复进行DHCP relay的配置。(5) VPN接入的验证问题：在路由器RTB上，我们可以修改对拨号用户的本地用户数据库条目，的service-type由PPP改为ftp。这样拨号用户由于在用户数据库中找不到用户名和密码，将无法成功进

41、行VPN接入。其显示信息如下图所示：图1-2 拨号验证信息可选的VPN故障点：在总部侧的路由器RTF上，我们针对L2tp用户配置了chap强制验证（mandatory-chap），也就是说在通过了pap验证之后，路由器还会强制进行第二轮的chap验证。因此如果我们在分部B侧的RTE路由器的s0接口取消相关的chap验证命令（ppp chap user 、ppp chap password simple huawei），也会造成因用户名/密码无效而无法访问的故障。注意：在上面的参考配置信息中，我们已经用粗体加下划线的方式标示出了相应的故障点，以供参考。1.3 故障现象描述在正式进行故障排除实验之

42、前，教师必须先向学员明确网络的需求概况，即正常的网络应该是个什么样子，接下来还应该正确的描述出目前的故障现象。由于在设置故障点之后，各故障点之间可能会有所影响，最终网络的大体故障现象如下：在总部网络中的主机可以正确获取到IP地址，并在局域网内实现互通。但在分部A和分部B中的主机都无法获取到IP地址，无法和总部进行通信。拨号接入的用户报告验证失败拒绝访问。图1-3 DHCP错误1.4 故障相关信息收集在完整准确的描述了网络的故障现象，并让学员确认之后。教师应该引导学员利用各种方法收集信息，定位故障。在本实验中，首先应该确认各设备之间的物理连接是否正确；如果物理连接没有问题，接下来应该检查各链路的

43、接口上物理层和链路层是否已经UP，以及链路是否通畅。在上面的故障信息收集中，我们需要用到“display interface”命令来检查相应的接口状态。在排除了物理层和链路层故障的可能之后，教师应该引导学员进一步排查网络层及其以上层次的一些故障。对此我们在下面的原因分析及故障排除参考流程中会给大家进行较为详细的介绍。1.5 原因分析及故障排除参考流程故障排错是一个渐进的过程，在本实验中，设置故障点较多，但实际上先解决哪一个问题和先从网络中的哪一点开始故障排除，并没有一定的成规。下面我们要介绍的，只是对该网络进行故障排除的一个参考思路和流程，当学员在故障排除中遇到问题时，教师应该引导学员回到正确

44、的思路上来。1. 首先，我们可以先来看一看ISP网络连通是否正常：在路由器RTB上分别ping路由器RTC和RTD的接口地址，发现可以ping通，说明ISP网络在连通性上（从物理层到网络层）没有问题。2. 总部的局域网段比较简单，里面的主机都能正常获取IP地址并互相访问。所以我们可以先来看一看分部A的网络中有什么问题：首先检查分部A网络的物理连接，发现没有问题；接下来从分部A网络的出口路由器RTA开始检查，在RTA上查看路由表：RTAdis ip rouRouting Tables: Destination/Mask Proto Pref Metric Nexthop Interface 发现

45、只有一条到总部用户网段的OSPF路由。查看隧道的状态如下：RTAdis int t0Tunnel0 is up, line protocol is up Maximum Transmission Unit is 1500 input packets:633, bytes:58508 input errors:0, broadcast:0, drops:0 output packets:639, bytes:59168 output errors:0, 0 broadcast, no protocol:0以上的现象说明，从分部A的出口路由器到总部的GREIPSec隧道连通性没有问题，问题应该出在

46、下面的网络中。下面开始检查RTA下挂的交换网络，首先在作接入的二层交换机S3026-1上检查有关VLAN的和trunk的配置，没有问题。接下来回到上层的三层交换机设备上，在这一层由于配置了VRRP备份组，所以在两台交换机上的配置是对称的。首先检查S3526-1的路由表如下：S3526-1dis ip rou Routing Table: public netDestination/Mask Protocol Pre Cost Nexthop Interface 0 发现和上面的RTA一样，也是有一条到总部用户网段的OSPF路由，同时从三层交换机上也可以ping通总部的用户主机。但是在路由表中却

47、没有分部A中用户网关（VLAN2：VLAN3：。在交换机上查看相关Vlan-interface的状态：S3526-1dis int v2Vlan-interface2 current state : UPLine protocol current state : DOWNIP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc06-2380No Internet AddressDescription : HUAWEI, Quidway Series, Vlan-interface2 Interfac

48、eThe Maximum Transmit Unit is 1500S3526-1dis int v3Vlan-interface3 current state : UPLine protocol current state : DOWNIP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc06-2381No Internet AddressDescription : HUAWEI, Quidway Series, Vlan-interface3 InterfaceThe Maximum Tran

49、smit Unit is 1500发现Vlan-interface2和Vlan-interface3的链路层都处于down状态。仔细检查Vlan-interface的相关配置，发现在Vlan-interface2和Vlan-interface3上只配置了VRRP的虚拟网关IP地址，而没有配置实际的IP地址，同样的情况也发生在交换机S3526-2上面。在交换机S3526-1和S3526-2上分别给Vlan-interface2以及Vlan-interface3配上相应的IP地址。Vlan-interface的状态都转为UP，而且在路由器RTA上也增加了相应的OSPF路由。但这时我们在下面用户网段

50、的主机上发现仍然不能正确从DHCP服务器获取到IP地址。再检查有关DHCP的配置。我们知道，DHCP报文一般是广播发送，而在一般情况下，如果路由器收到此类报文就会直接丢弃，而不会进行转发。因此如果DHCP服务器和需要获取IP地址的主机之间相隔了路由器，就需要在连接用户网段的接口上配置DHCP relay来指定DHCP server的IP地址，这样路由器才能将DHCP报文根据路由以单播形式发往相应的DHCP server。需要注意的是必须在最靠近用户网段的三层设备上进行配置，否则是无法起到DHCP relay的作用的。而且在此之后的三层设备上，都不需要重复进行DHCP relay的配置。通过仔细

51、检查路由器RTA和交换机S3526-1和S3526-2上的配置，发现DHCP relay配置在了路由器RTA的E0口和E1口上，而三层交换机S3526-1和S3526-2上没有进行任何DHCP relay的配置，这显然是不对的。接下来取消在RTA的DHCP配置，并在S3526-1和S3526-2上配置DHCP server group指定DHCP server的IP地址（，隧道对端地址），然后将DHCP server group应用到相应的Vlan-interface上面。完成上述配置后，分部A用户网段中的主机已经可以正确获取到IP地址，并成功通过IPSec加密的GRE隧道和总部网络的主机进行通信。3. 下面再来检查分部B和总部之间的L2tp连接问题：分部B网络的故障现象和分部A起初一样，都是用户网段内的主机无法获取IP地址，无法与总部进行通信。首先在路由器RTE检查L2tp隧道的建立情况：R