交换机三层转发不通
- 0关注
- 1收藏,2325浏览
问题描述:
三层转发过核心交换机不转发问题
1.组网说明:
S10510作为县局视频专网核心交换机。网关全部落在核心交换机上,近期频繁出现跨网段流量不被核心交换机转发问题。
2.关键配置如下
interface Vlan-interface3400
description to-ZhongXinJiFang
ip address 22.99.0.1 255.255.240.0
interface Vlan-interface3510
description to-KuoErLongXian
ip address 22.99.224.1 255.255.248.0
interface GigabitEthernet2/0/16
port link-mode bridge
port access vlan 3400
qos apply policy 123 inbound
qos apply policy 123 outbound
interface GigabitEthernet3/0/48
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 3400 to 3569
qos apply policy 123 inbound
qos apply policy 123 outbound
3. 问题描述及测试
客户端A使用22.99.15.253地址接入2/0/16端口。客户端B使用22.99.250.2地址接入3/0/48端口。在核心交换机上查看ARP相关表项均正常,客户端B ping客户端A 不能正常通讯
[AKTXGAJ_SPZW_HX]dis arp 22.99.15.253
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
22.99.15.253 f0de-f1e6-627b 3400 GE2/0/16 20 D
[AKTXGAJ_SPZW_HX]ping 22.99.15.253
Ping 22.99.15.253 (22.99.15.253): 56 data bytes, press CTRL_C to break
56 bytes from 22.99.15.253: icmp_seq=0 ttl=64 time=1.965 ms
56 bytes from 22.99.15.253: icmp_seq=1 ttl=64 time=1.672 ms
56 bytes from 22.99.15.253: icmp_seq=2 ttl=64 time=2.134 ms
56 bytes from 22.99.15.253: icmp_seq=3 ttl=64 time=1.733 ms
[AKTXGAJ_SPZW_HX]dis arp 22.99.250.2
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
22.99.250.2 6c4b-906a-7e71 3513 GE3/0/48 20 D
[AKTXGAJ_SPZW_HX]ping 22.99.250.2
Ping 22.99.250.2 (22.99.250.2): 56 data bytes, press CTRL_C to break
56 bytes from 22.99.250.2: icmp_seq=0 ttl=128 time=2.018 ms
56 bytes from 22.99.250.2: icmp_seq=1 ttl=128 time=2.380 ms
56 bytes from 22.99.250.2: icmp_seq=2 ttl=128 time=1.892 ms
56 bytes from 22.99.250.2: icmp_seq=3 ttl=128 time=2.521 ms
56 bytes from 22.99.250.2: icmp_seq=4 ttl=128 time=2.377 ms
在核心交换机上做流统计发现客户端B PING A的流量到核心交换机后,交换机没有往下去转发。
acl number 3200
rule 0 permit icmp source 22.99.250.2 0 destination 22.99.15.253 0
rule 5 permit icmp source 22.99.15.253 0 destination 22.99.250.2 0
#
traffic classifier 123 operator and
if-match acl 3200
#
traffic behavior 123
accounting packet
#
qos policy 123
classifier 123 behavior 123
#
interface GigabitEthernet2/0/16
port link-mode bridge
port access vlan 3400
qos apply policy 123 inbound
qos apply policy 123 outbound
#
interface GigabitEthernet3/0/48
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 3400 to 3569
qos apply policy 123 inbound
qos apply policy 123 outbound
流统计信息
[AKTXGAJ_SPZW_HX]dis qos policy interface GigabitEthernet 3/0/48
Interface: GigabitEthernet3/0/48
Direction: Inbound
Policy: 123
Classifier: 123
Operator: AND
Rule(s) :
If-match acl 3200
Behavior: 123
Accounting enable:
4 (Packets)
Interface: GigabitEthernet3/0/48
Direction: Outbound
Policy: 123
Classifier: 123
Operator: AND
Rule(s) :
If-match acl 3200
Behavior: 123
Accounting enable:
0 (Packets)
[AKTXGAJ_SPZW_HX]dis qos policy interface GigabitEthernet 2/0/16
Interface: GigabitEthernet2/0/16
Direction: Inbound
Policy: 123
Classifier: 123
Operator: AND
Rule(s) :
If-match acl 3200
Behavior: 123
Accounting enable:
0 (Packets)
Interface: GigabitEthernet2/0/16
Direction: Outbound
Policy: 123
Classifier: 123
Operator: AND
Rule(s) :
If-match acl 3200
Behavior: 123
Accounting enable:
0 (Packets)
总结:正常客户端B(22.99.250.2)访问 客户端A(22.99.15.253)的流量正常应该 从3/0/48口进来 再从2/0/16出去
但从流统计信息里发现交换机并没有从2/0/16口转发出去
组网及组网描述:
- 2021-02-04提问
- 举报
-
(0)
最佳答案
您好,请知:
通过QOS的流统的情况来看,已经确定是在交换机上丢包。
检查下是否有可能存在环路。
其次看下交换机的软件版本是否最新,可考虑升级到最新。
另外看下是否有可能存在ARP攻击。
- 2021-02-04回答
- 评论(0)
- 举报
-
(0)
有两个疑点,一是按你的配置客户端B 22.99.250.2其网关应该是vlan interface 3510的ip地址22.99.224.1 子网掩码255.255.248.0,但是我算了几遍他们不是在一个网段的啊,二是客户端B接3/0/48口其是trunk口,它会把B的数据打上默认pvid的标签vlan 1 ,但是vlan 1没有网关,不会转发吧;
- 2021-02-04回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
倒是还有一种可能,是不是有仿冒网关攻击,可以在终端A/B上抓一下报文,看看目的mac是不是核心交换机。