拓扑如上。
ARUBA的AP不定期在主备AC之间切换,其间经过我们的二三层交换机,并且主AC上有心跳丢失的日志。
其中AP与local AC二层注册(vlan 263),AP与remote AC三层注册。S5120-SI作为二层交换机接入,图中省略了5120下挂的PoE交换机。
客户反馈WAN 4是新增线路,故障现象从WAN 4打开后开始出现,如果关闭WAN 4口,没有任何问题出现
现场怀疑是L3交换机上有丢包,故障时直接在连AP的口进行了抓包操作,对抓包文件分析如下:
1.
2.
3.
4.
通过上述抓包分析可以推测出大概原因:
1.
2.
ARP更新失败导致AC无法应答AP发过来的心跳报文。
问题转向怀疑为什么从下行口广播了ARP-req后,经过10s才收到响应。继续向下排查L2交换机。检查L2交换机(S5120-SI)上和arp相关的配置如下:
#
vlan 1143
arp snooping enable
#
vlan 361
arp snooping enable
#
……
所有无线用户vlan内都使能了arp snooping,但是vlan 263(AC-AP管理vlan)内没有任何arp相关配置,讲道理263内的arp广播应该不受影响。
经确认配置arp snooping enable后,vlan内收到的所有arp报文(包括路过的)都会上送CPU处理。通过debug softcar rxtx 29发现设备的arp softcar只有100 pps,怀疑是arp上送CPU超速丢弃。进一步确认发现S5120SI使用的是Marvell 2代的芯片,该芯片无法区分vlan信息,所以不管哪个vlan下配置了arp snooping,其他vlan内上来的arp都会上送到CPU,至此问题基本定位。
结合客户反馈的WAN 4口开启后才会出现故障,检查L3交换机WAN 4口的配置,发现该口被划到了vlan 263,同时wan 4口开启时抓包发现有大量arp广播进来,符合上面arp超限速的分析。
将S5120-SI上全部vlan内的arp snooping配置删掉
#
vlan 1143
arp snooping enable(undo)
#
vlan 361
arp snooping enable(undo)
#
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作