终端——onu——olt——S12500F-AF——华为设备——网关
组网大致如上
告警信息不涉及
现场反馈下挂终端可以正常获取地址但是无法获取到网关arp表项,流统和抓包均未发现报文从端口出去。
远程排查客户现场的ac表项、vsi表项、隧道表项、封装表项、广播表项都是正常的。
进一步尝试实验室进行复现测试,发现实验室环境中入接口可以统计到arp请求报文,且出方向也可以根据remark的标签统计到。进一步对比实验室环境和现网环境发现,底层acl下发存在差异,现网设备上比实验室多下发了一条系统acl,该acl可以匹配上arp,导致arp都被重定向到CPU不能正常广播出去。
Acl-Type RX IPv4 High, Stage IFP, Global, Installed, Active
L2 PROGRAM : Prio Mjr/Sub 12/545, Group 0 [0], enRtnHealth 1, Entry 9, Mdc 1
Rule Match --------
Dest mac: FFFF-FFFF-FFFF, FFFF-FFFF-FFFF
EtherType: 0x806, 0xffff
SysmRule Index : 29
Inlif Profile: data = 0x4, mask = 0x4
Actions --------
CAR cir 0x400, cbs 0x800, pir 0x400, pbs 0x800, pps 1, kbps 0, mode srTCM color blind
Account mode packets, green and non-green
Redirect and copy to cpu
Change CPU pkt COS 2
Permit
Red Deny
Red_Copy_to_cpu : No
Yel Deny
Yel_Copy_to_cpu : No
MatchedName:29, ARP
Stat L2 PROGRAM : 0x90000021
Accounting: Green 65680, NoGreen 0
MeterPolicerId: 61
L2 PROGRAM : Bank 0 Location 21 HIT(read-clear): YES
查看代码这个系统acl是创建vsi-int的时候会下发,但是现场是二层vxlan环境,配置了undo vxlan ip-forwarding,是不应该配置vsi-int的。就是因为二层转发模式下存在vsi-int所以才创建了上述系统acl导致arp无法完成二层广播。
通过删除vsi-int 可以解决问题。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作