12508ttl告警
- 0关注
- 0收藏,110浏览
问题描述:
每隔 6分钟交换会收到ttl告警,查看网络、vlan也没看到有环路情况
%Mar 15 01:54:45:597 2026 13U-12508-CS-01 IPFW/4/IPFW_TTLEXP_ALARM: -Chassis=1-Slot=6; TTL-expired alarm was detected on the slot. (CHASSISID=1, SLOTID=6, LASTRATELOW=0, LASTRATEHIGH=0, CURRENTRATELOW=40068, CURRENTRATEHIGH=0, INTERVAL=60, THRESHOLD=10)
%Mar 15 02:00:45:597 2026 13U-12508-CS-01 IPFW/4/IPFW_TTLEXP_ALARM: -Chassis=1-Slot=6; TTL-expired alarm was detected on the slot. (CHASSISID=1, SLOTID=6, LASTRATELOW=0, LASTRATEHIGH=0, CURRENTRATELOW=39984, CURRENTRATEHIGH=0, INTERVAL=60, THRESHOLD=10)
组网及组网描述:
这个是ttl告警不是环路问题,一般不会影响业务,可以排查下网络中是否有设备在做tracert测试或者是否有设备在做网路路径测试、扫描等
tracert测试或者是否有设备在做网路路径测试、扫描等 这些都没有,ttl告警每隔6分钟就会发出来一次
之前业务是在9850上面,然后现在吧网关和线缆迁移到了12508上,之前在9850上没有看到相关类似的告警,现在签到12508上看下有ttl告警了就
日志核心信息解读
设备/时间戳:
%Mar 15 02:00:45:597 2026 13U-12508-CS-01这是设备的主机名和日志产生的时间(2026年3月15日 凌晨2点)。
告警内容:
IPFW/4/IPFW_TTLEXP_ALARM-> TTL过期告警。发生位置:
-Chassis=1-Slot=6-> 告警发生在** chassis 1 的槽位 6** 上。关键指标:
CURRENTRATELOW=39984:当前低优先级(或某种分类下的)TTL过期报文的速率是 39,984 pps(包每秒)。THRESHOLD=10:配置的告警阈值是 10 pps。INTERVAL=60:统计间隔为60秒。LASTRATELOW=0:上一个统计周期该速率是0。
核心问题: 当前 TTL 过期报文的速率(39,984 pps)远远超过了设定的阈值(10 pps)。这通常意味着设备正在处理大量的 TTL=1 的数据包。
一、这个日志到底在说什么
IPFW_TTLEXP_ALARM:- 每 60s 统计一次
- 阈值 10,你现在 4 万 pps / 次,远超标
- 说明:有大量 IP 包在网络里转圈,TTL 减到 0 被丢弃
- 三层路由环路(最常见)
- 静态路由 / OSPF/BGP 互相指向,形成路由环
- 数据包在几台三层设备之间无限转发
- 某个终端 / 服务器大量发目的不可达、TTL=1 的包
- 策略路由、黑洞路由、NAT 配置异常
- 板卡间转发异常、跨板卡三层转发问题(你这是 12508 框式)
二、你现在立刻能做的排查步骤(按优先级)
1. 先确认是不是真的路由环
display ip routing-table statistics
display ip routing-table protocol static
display ip routing-table protocol ospf
display ip routing-table protocol bgp
- 有没有缺省路由 0.0.0.0/0 指回本设备 / 对端又指回来
- 有没有网段重复、互相包含
2. 直接抓 TTL 超时包(最快定位源)
traffic-analysis export ttl-expired enable
display traffic-analysis ttl-expired slot 6
- 源 IP(是谁在发包)
- 目的 IP
- 入接口
3. 查是否有设备把网关又指回这台 12508
- 12508 是核心,下联交换机 / 防火墙
- 下联设备网关 → 12508
- 12508 又把某个网段 → 指回下联设备→ 三层环路
4. 查是否有策略路由 / PBR 写错
display policy-based-route
display current-configuration | include policy
5. 查板卡间转发(12508 框式必看)
display device
display interboard
display forward resource slot 6
三、为什么是「每隔 6 分钟」?
- 不是真的 6 分钟触发一次
- 是环路流量一直存在
- 设备日志是周期性汇总上报
- 你看到的是每 6 分钟一批告警,实际环路一直在跑
四、你给我这 3 个信息,我可以直接帮你定位
- 这台 12508 上:cli
display traffic-analysis ttl-expired slot 6 - 缺省路由 & 回程路由:cli
display ip routing-table 0.0.0.0 display ip routing-table - 下联到 Slot6 的设备是什么(交换机?防火墙?路由器?)
根据您提供的信息,12508设备在Slot 6上每隔6分钟触发TTL过期告警,且速率远超阈值。这通常指示网络中存在异常流量或配置问题。以下是排查步骤:
1. 检查路由配置:
- 执行`display ip routing-table statistics`查看路由表统计信息。
- 分别执行`display ip routing-table protocol static`、`display ip routing-table protocol ospf`和`display ip routing-table protocol bgp`,检查是否有路由环路或配置错误,特别是默认路由0.0.0.0/0的指向。
2. 抓包分析:
- 在Slot 6上启用TTL超时包抓取:`cli traffic-analysis export ttl-expired enable`。
- 使用`display traffic-analysis ttl-expired slot 6`查看抓包结果,确定源IP和目的IP,以便定位问题设备。
3. 检查网关配置:
- 确认是否有设备将网关指向回12508,形成三层环路。
4. 策略路由和PBR检查:
- 执行`display policy-based-route`和`display current-configuration | include policy`,检查策略路由和PBR配置是否正确。
5. 板卡间转发检查:
- 执行`display device`和`display interboard`,检查Slot 6板卡的状态和转发资源使用情况。
由于告警每隔6分钟触发一次,可能是环路流量持续存在,设备日志周期性汇总上报。请按照上述步骤逐一排查,希望能帮助您定位并解决问题。
如有需要,请提供更多信息,如路由表配置、抓包结果等,以便进一步分析。
祝您排查顺利!
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
之前业务是在9850上面,然后现在吧网关和线缆迁移到了12508上,之前在9850上没有看到相关类似的告警,现在签到12508上看下有ttl告警了就