问题描述:
RTM自动执行命令不生效,已经问过AI了,作用不大,
dis track all
Track ID: 5
State: Negative
Duration: 0 days 0 hours 11 minutes 43 seconds
Tracked object type: NQA
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
NQA entry: 5 dmg
Reaction: 5
Remote IP/URL: 49.233.217.203
Local IP: --
Interface: --
%Jun 10 15:37:44:020 2026 huajiao-router-10.30.64.2 NQA/6/NQA_ENTRY_PROBE_RESULT: Reaction entry 5 of NQA entry admin-name 5 operation-tag dmg: probe-fail.
组网及组网描述:
nqa entry 5 dmg
type icmp-echo
destination ip 49.233.217.203(故意写的不可达地址)
frequency 5
history-record enable
history-record number 10
next-hop ip 219.128.1.1(网关下一跳)
reaction 5 checked-element probe-fail threshold-type consecutive 6 action-type trigger-only
#
#
track 5 nqa entry 5 dmg reaction 5
nqa schedule 5 dmg start-time now lifetime forever
rtm cli-policy dmg
event track 5 state negative
action 0 cli system-view
action 1 cli acl advanced 3005
action 2 cli undo rule 9
action 3 cli commit
user-role network-operator
user-role network-admin
user-role level-15
#
rtm cli-policy dmg-HF
event track 5 state positive
action 0 cli system-view
action 1 cli acl advanced 3005
action 2 cli rule 9 deny ip source 10.40.220.0 0.0.0.255 destination 10.66.65.6 0
action 3 cli commit
user-role network-operator
user-role network-admin
user-role level-15
display nqa entry configuration 5:确认NQA类型(如ICMP)、目的IP(49.233.217.203)、源IP(若配置)、发送周期等。
display nqa entry statistics 5:检查探测成功次数(Success),若为0则NQA未连通。
执行start nqa entry 5 dmg启动NQA探测。
2. 检查RTM配置:
display track configuration:确认Track ID 5关联NQA entry 5 dmg,Reaction ID为5,触发条件(Negative/Positive)正确。
display track reaction 5:查看Reaction 5对应的命令(如路由切换)是否语法正确。
3. 验证Reaction命令:
手动执行Reaction 5的命令(如ip route-static 0.0.0.0 0.0.0.0 10.1.1.2),确认执行成功。
可能原因:NQA探测失败(修正目的IP/源IP)、Reaction命令错误或未启动NQA。
commit激活策略,且action cli命令需直接使用全局视图下的完整操作指令(无需重复进入子视图)。以下是具体分析和解决方案:一、根本原因分析
1. RTM策略未激活
- 关键证据:
用户配置了rtm cli-policy dmg和dmg-HF策略,但未执行commit命令激活策略。
根据H3C官方文档,RTM策略创建后需显式提交才能生效1。 - 验证方法:
执行display rtm policy registered,若策略状态为Not Running,表明未激活;若为Running则已激活。
2. ACL配置命令格式错误
- 错误配置:
action 1 cli acl advanced 3005 # 进入ACL视图 action 2 cli undo rule 9 # 试图在ACL视图下执行,但RTM无法自动继承视图 - 问题本质:
RTM的action cli命令每次执行均从用户视图(非系统视图)开始,每条命令必须是独立完整的操作序列,不能依赖上一条命令切换的视图1。action 1执行后退出系统视图,action 2实际在用户视图下尝试执行undo rule 9,必然失败。
3. 权限配置冗余
- 无效配置:
同时指定user-role network-operator、network-admin、level-15,但仅最高权限network-admin生效。 - 风险提示:
network-admin权限足够,但若账号实际权限不足(如未绑定角色),策略仍会失败。需确认登录账号已授权network-admin角色6。
二、解决方案
1. 修正RTM策略命令格式
- 正确写法(每条
action cli必须包含完整视图切换):rtm cli-policy dmg event track 5 state negative action 0 cli "system-view" # 进入系统视图 action 1 cli "acl advanced 3005" # 进入ACL 3005视图 action 2 cli "undo rule 9" # 执行删除规则 action 3 cli "commit" # 提交配置 user-role network-admin # 仅保留必要权限 commit # 激活策略 - 关键修改点:
- 所有CLI命令必须用双引号包裹,确保作为完整字符串执行。
- 每条命令独立完成视图切换,例如
undo rule 9必须在ACL视图下执行,因此需前置acl advanced 3005。
2. 必须激活RTM策略
- 执行命令:
[Huawei] rtm cli-policy dmg [Huawei-rtm-dmg] commit # 激活策略 [Huawei-rtm-dmg] quit [Huawei] rtm cli-policy dmg-HF [Huawei-rtm-dmg-HF] commit # 激活备用策略 - 验证激活状态:
display rtm policy registered verbose # 查看策略状态是否为"Running"
3. 补充必要配置
- 检查NQA与Track关联:
确保nqa schedule已启动且Track状态实时更新:display nqa results test-instance 5 dmg # 确认NQA探测结果 display track 5 # 确认Track状态与NQA同步 - 验证ACL规则是否存在:
若rule 9在ACL 3005中不存在,undo rule 9将静默失败。需先确认规则存在:display acl 3005 # 检查rule 9是否已配置
三、故障排查流程
1. 快速验证步骤
- 手动模拟RTM操作:
逐条执行RTM策略中的命令,观察哪一步失败:system-view acl advanced 3005 undo rule 9 commit- 若手动执行成功 → RTM配置错误。
- 若手动执行失败 → ACL规则不存在或权限不足。
- 检查RTM执行日志:
display rtm event history # 查看策略触发记录 display rtm policy dmg verbose # 检查策略错误详情- 若日志显示
CLI policy dmg is running failed→ 命令格式或权限问题。
- 若日志显示
2. 典型错误日志与处理
- 错误日志:
% RTM/6/RTM_POLICY: CLI policy dmg is running failed. - 原因:
- 命令中缺少视图切换(如直接执行
undo rule 9而未进入ACL视图)。 - 账号权限不足(未绑定
network-admin角色)。
- 命令中缺少视图切换(如直接执行
- 解决:
修正命令格式并确认权限:local-user <用户名> class manage authorization-attribute user-role network-admin
暂无评论
一、现状先解读
Track 5 State: Negative → NQA 探测失败,Track 已经触发异常状态,RTM 策略理应执行,但实际没动作。
日志 probe-fail:ICMP 探测连续 6 次失败,reaction 5 正常触发,Track 状态正常切换。
核心问题集中在:RTM 执行权限、命令交互、配置语法、策略启用、commit 指令误用五大点。
二、逐点排查 + 修复(按优先级)
问题 1:V7 RTM 执行system-view嵌套命令,多层视图命令直接失效(最主要原因)
Comware V7 的 RTM CLI 策略不支持连续切换视图:
plaintext
action 0 cli system-view
action 1 cli acl advanced 3005
这两行写法无效。
RTM 每条 cli 都是独立会话,执行完一条自动退回用户视图,不会保留视图上下文。
修复方案:单条命令写完整绝对视图
修改原则:所有命令使用全路径视图,不要分步进视图
问题 2:多余 commit 命令,导致执行报错中断
commit 是IRF / 配置固化 / 部分特性的提交指令,普通 ACL 修改不需要 commit。
这条命令会直接让 RTM 动作执行异常、终止后续流程,必须删掉。
问题 3:RTM 策略未手动启用(极易遗漏)
V7 RTM CLI 策略创建后,默认关闭,必须手动开启策略实例。
问题 4:权限补充(兜底)
你已经配置 user-role,权限基本够用,但补充一条系统全局 EAA/RTM 使能。
问题 5:NQA/Reaction 细节优化(防抖动)
当前探测频率 5 秒、连续 6 次失败,参数没问题,仅做微调建议。
三、完整修正配置(直接覆盖原有策略)
先删除旧策略,再重新配置:
cli
# 1. 删除原有失效RTM策略
undo rtm cli-policy dmg
undo rtm cli-policy dmg-HF
# ====================== 故障态:Track=Negative 执行(删除rule 9)======================
rtm cli-policy dmg
# 触发条件:Track 5 变为异常状态
event track 5 state negative
# 单条完整命令,不切换视图,去掉commit
action 0 cli acl advanced 3005 undo rule 9
# 权限保留
user-role network-operator
user-role network-admin
user-role level-15
# 关键:启用RTM策略(必配!)
rtm cli-policy dmg enable
# ====================== 恢复态:Track=Positive 执行(添加rule 9)======================
rtm cli-policy dmg-HF
event track 5 state positive
# 完整单条命令
action 0 cli acl advanced 3005 rule 9 deny ip source 10.40.220.0 0.0.0.255 destination 10.66.65.6 0
user-role network-operator
user-role network-admin
user-role level-15
# 启用恢复策略
rtm cli-policy dmg-HF enable
四、补充全局兜底配置(可选,防止 EAA 关闭)
cli
# 全局开启EAA(RTM依赖EAA,部分版本默认关闭)
eaa enable
五、关键原理说明(为什么原来不生效)
视图上下文不保留(V7 RTM 硬规则)
RTM 每一条 action cli 都是独立执行:
执行 system-view → 进入系统视图,会话结束,退回用户视图
下一条 acl advanced 3005 = 用户视图下敲命令,直接语法报错
→ 整条动作链中断,完全不生效。
commit 指令误用
普通 ACL、接口、路由配置,V7 不需要 commit;只有配置IRF、业务板、部分虚拟化 / 安全策略才需要。
多余 commit 会报非法命令,动作终止。
策略未 enable
创建 rtm cli-policy 只是定义规则,必须加 xxx enable 才会被调度执行。
六、测试验证步骤(改完之后按下面检查)
1. 查看 RTM 策略状态
cli
display rtm cli-policy
查看两条策略:
Status: Enabled 表示策略已启用
Event 显示绑定 Track 5 状态
2. 查看 Track、NQA 状态
cli
display track all
display nqa entry admin-name 5 operation-tag dmg
当前 Track 5 = Negative,等待 10 秒左右,检查 ACL 3005:
cli
display acl advanced 3005
👉 正常结果:rule 9 已被删除
3. 模拟链路恢复测试
把 NQA 目的地址改为可达 IP,等待 Track 变为Positive:
cli
display track all
display acl advanced 3005
👉 正常结果:rule 9 自动重新生成
七、额外优化建议(防频繁切换)
你当前配置:
frequency 5 5 秒探测一次
consecutive 6 连续 6 次失败触发
触发延时:5 * 6 = 30秒,合理。
如果现场网络抖动大,可增大探测次数:
cli
nqa entry 5 dmg
reaction 5 checked-element probe-fail threshold-type consecutive 10 action-type trigger-only
八、总结一句话
原配置三大致命问题:
分步进视图,RTM 不保留上下文 → 命令报错;
多余 commit 指令 → 动作中断;
RTM 策略未执行 enable → 策略不运行。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论