无
客户反馈,近期业务量上升后,出现S5560X-EI设备ssh登录异常问题,SSH不能正常登陆的时候一直提示timeout。
1、PC直连测试,发现故障现象仍一致;
2、PC直连ping测试,发现存在丢包,查看网络stp状态正常。打开debug ip icmp之后设备console口一直报icmp不可达的日志。
*Aug 28 03:12:35:533 2019 hd-zg-JieRu-S5560-2 SOCKET/7/ICMP:
ICMP Discard:ICMP reached rate limit.
*Aug 28 03:12:35:547 2019 hd-zg-JieRu-S5560-2 SOCKET/7/ICMP:
ICMP Discard:ICMP reached rate limit.
*Aug 28 03:12:35:547 2019 hd-zg-JieRu-S5560-2 SOCKET/7/ICMP:
ICMP Discard:ICMP reached rate limit.
3、查看设备配置,发现配置了ip unreachable enable 功能,继续查看路由表信息,发现没有存在缺省路由。因此,满足了设备发送差错报文的条件,即收到的报文在路由表中未找到路由,导致报文上cpu之后设备一直给终端发送ICMP差错报文。
===============display ip routing-table===============
Destinations : 669 Routes : 704
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
设备在满足下列条件时会发送目的不可达报文:
• 设备在转发报文时,如果在路由表中未找到对应的转发路由,且路由表中没有缺省路由,则给源端发送“网络不可达”ICMP差错报文;
4、继续分析,不可达的报文上cpu与ssh报文上送cpu使用的是同一个cpu code,因此,当现网中有很多不可以达的报文上cpu时会导致ssh报文被淹没,进而导致出现ssh登录异常的问题。
有两种方式解决:
1、关闭ip unreachable enable 功能;
2、配置缺省路由;
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作