?

13260580922

87538126

VRRP故障處理

2019-07-29 09:57:22 作者:季老板
虛擬路由器冗余協議(VRRP)是一種選擇協議,它可以把一個虛擬路由器的責任動態分配到局域網上的 VRRP 路由器中的一臺。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器,它負責轉發數據包到這些虛擬 IP 地址。
 
使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。
 
一旦主路由器不可用,這種選擇過程就提供了動態的故障轉移機制,這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。因此當VRRP出現故障時,又該如何操作呢,金信潤天資深講師“季老板”為您答疑解惑......
 
檢查是否存在VRRP狀態異常的日志
操作步驟 
 
設備在VRRP狀態變化時會記錄日志,通過查看log日志初步確認狀態變化的原因。 
 
VRRP/4/vrrpTrapNewMaster: The VRRP status changed to master. (ifIndex=114, VrId=10,
MasterIPAddress=192.168.1.2, sysName=JSYZH­DCN­SNL3F­TSM­CE12804­02,
ifName=Vlanif100, ChangeReason=protocol timer expired)
VRRP/4/vrrpTrapNonMaster: The VRRP status changed between backup and initialize.
(ifIndex=114, VrId=10, MasterIpAddr=192.168.1.2, sysName=JSYZH­DCN­SNL3F­TSM­
CE12804­02, ifName=Vlanif10, CurrentState=initialize, ChangeReason=interface down)
如上VRRP狀態變化是由于Backup設備收包超時和鏈路狀態變化導致,需排查端口狀態及鏈路的連通性。
 
檢查VRRP配置是否正確
操作步驟 
 
在任意視圖下執行display vrrp verbose命令或者在接口視圖下執行display this命令,觀察兩端配置
是否對稱、優先級設置(包括優先級配置和監視接口降低值)是否合理。VRRP要求組成虛擬路由
器的多個路由器必須配置一致,即要求虛擬IP地址、VRRP報文廣播間隔時間、認證方式和認證字
的配置必須相同。
 
display vrrp verbose
Vlanif100 | Virtual Router 1 
State : Master
Virtual IP : 10.1.1.100 
Master IP : 10.1.1.2
Send VRRP Packet To Subvlan : all 
PriorityRun : 120
PriorityConfig : 120
MasterPriority : 120
Preempt : YES Delay Time : 20 s Remain : – 
Hold Multiplier : 3
TimerRun : 2 s 
TimerConfig : 2 s 
Auth Type : MD5 Auth Key : ** 
Virtual MAC : 0000­5e00­0101 
Check TTL : YES
Config Type : Normal 
Track BFD : atob Priority Reduced :20 
BFD­session State : UP
Create Time : 2017­10­07 15:43:42 
Last Change Time : 2017­10­07 15:44:03
 
檢查VRRP心跳報文收發是否正常
操作步驟 
 
如果有端口狀態的變化,則檢查端口速率配置以及端口雙工模式等是否正確,以及對端端口的相關
屬性配置是否一致。具體請參考故障啟示錄《光口對接異常》或《電口對接異常》進行排查。
在Backup設備上打開debug開關,查看能否正常接收VRRP心跳報文,并且觀察能否穩定的收到
VRRP心跳報文(默認情況下每個session都是1s發送一個心跳報文)。 
terminal debugging
terminal monitor
debugging vrrp packet
如果能收到VRRP心跳報文,并且收到的頻率正常(1 packet/Sec),記錄操作日志并尋求技術支
持。完成后關閉debug開關。 
undo debugging vrrp packet
undo terminal debugging
undo terminal monitor
 
檢查是否存在STP震蕩
操作步驟 
 
執行命令display stp brief查看設備STP狀態,如果STP存在震蕩,會影響VRRP心跳報文的轉發和
處理。在VRRP狀態變化期間反復查看環路協議的狀態,或者查看VRRP狀態變化期間的日志,確認
是否存在環路協議震蕩。
display stp brief
MSTID Port Role STP State Protection Cost Edged
0 10GE1/0/1 ROOT forwarding none 2000 disable
0 10GE1/0/2 DESI forwarding none 2000 disable
 
檢查是否存在VRRP報文攻擊
操作步驟 
 
Master設備發送VRRP報文的時間間隔默認為1秒,如果設備上的備份組的數量不多,但是Backup
設備上出現了大量的VRRP報文CPCAR丟包,則有可能是網絡中存在VRRP報文的攻擊,導致
Master設備發送的心跳報文被擠占,引起VRRP狀態變化。
查看log日志,排查是否存在如下的超過默認CPCAR的記錄。 
Rate of packets to cpu exceeded the CPCAR limit in slot 1. (Protocol=vrrp, PPS/CBS=256/2048,
ExceededPacketCount=03473425)
或者,通過display cpu­defend statistics命令,排查是否存在如下的超過默認CPCAR而導致報文丟
棄的記錄。 
《 display cpu­defend statistics packet­type vrrp all 》 
Statistics(packets) on slot 1 :
《——————————————————————————– 
PacketType Total Passed Total Dropped Last Dropping Time 
Last 5 Min Passed Last 5 Min Dropped
《——————————————————————————– 
vrrp 39413185 12950486396 2017­08­07 15:50
575126 250926259
《——————————————————————————– 
《Statistics(packets) on slot 2 : 
《——————————————————————————– 
PacketType Total Passed Total Dropped Last Dropping Time 
Last 5 Min Passed Last 5 Min Dropped
《——————————————————————————– 
vrrp 28905966 142484581 2017­08­07 15:50
332073 1174817 
《——————————————————————————– 
針對報文攻擊場景,通過打開VRRP的調試開關或通過WireShark等工具獲取報文頭來觀察報文來
源,同時確認疑似攻擊報文是否為錯誤的VRRP報文。 
命令: 
display vrrp statistics
display vrrp error packet(診斷視圖) 
debugging vrrp packet
display vrrp statistics
Vlanif100 statistics information :
IP protocol number errors : 0
Destination IP address errors : 0
Checksum errors : 0
Version errors : 0 
Vrid errors : 33121
Vlanif100 | Virtual Router 1 
Transited to master : 0 
Sent advertisements : 0
Received advertisements : 0
Advertisement interval errors : 0
Failed to authentication check : 0
Received IP TTL errors : 0
Received packets with priority zero : 0
Sent packets with priority zero : 0
Received invalid type packets : 0
Received unmatched address list packets : 0
Unknown authentication type packets : 0
Mismatched authentication type : 0
Packet length errors : 0
Received packets vrrp master self sent : 0
Received attack packets : 0
Failed to learn advertisement interval : 0
 
檢查VRRP心跳報文是否在中間鏈路丟棄
操作步驟 
 
 
若通過流量統計或獲取報文頭,已經確認Backup設備的端口沒有接收到VRRP心跳報文,則需要排
查端口或中間鏈路是否存在丟包。
如果建立備份組的兩臺設備通過鏈路直連,通過display interface檢查故障期間互連端口下是否有
discard丟包計數增長。 
如果建立備份組的兩臺設備間還有其他設備,需要在中間設備上繼續排查VRRP心跳報文是否正常
轉發。 
同時CPU使用率高可能會導致VRRP報文無法正常被處理,可使用display cpu命令查看設備的CPU
占用率。如果CPU利用率過高,請參考故障啟示錄《CPU使用率高》處理。 
收集信息并尋求技術支持 
操作步驟 
收集上述步驟的操作結果,并記錄到文件中。 
一鍵式收集設備的所有診斷信息并導出文件。 
在用戶視圖下,執行display diagnostic­information file­name命令,采集設備診斷信息并保存為文
件。
display diagnostic­information dia­info.txt
Now saving the diagnostic information to the device
100%
Info: The diagnostic information was saved to the device successfully. 
說明: 
生成的文本文件的缺省保存路徑為flash:/,您可以在用戶視圖下使用dir命令可以確認文件是否正確
生成。
當診斷信息文件生成之后,您可以通過FTP、SFTP、SCP等方式將其從設備上導出,詳細操作可
參考“管理本地文件”。
說明: 
您也可以直接執行display diagnostic­information命令,并通過終端日志存盤方式獲取設備診斷信息
文件,詳細操作可參見“設備診斷信息文件獲取指導”。
收集設備的日志和告警信息并導出文件。 
執行以下命令,將緩沖區的日志和告警信息保存為文件。
save logfile //收集普通用戶日志 
system­view
[~HUAWEI] diagnose 
[~HUAWEI­diagnose] save logfile diagnose­log //收集診斷日志 
[~HUAWEI­diagnose] collect diagnostic information //收集操作系統診斷信息
當日志信息文件生成之后,您可以通過FTP、SFTP、SCP等方式將其從設備上導出,詳細操作可
參考“管理本地文件”。
說明: 
您也可以直接執行display logbuffer和display trapbuffer命令查看設備的日志和告警信息,并通過終
端日志存盤方式獲取日志和告警信息文件,操作方法與設備診斷信息文件的獲取方式相同,可參
見“設備診斷信息文件獲取指導”。
 
 
本人作者:季老板
HCIE-R&S
多年IT行業從業經驗,
具有豐富的企業項目實施經驗
以及數據中心交付經驗。
授課內容:
路由與交換HCIA、HCIP、HCIE、H3CNE、H3CSE
 
項目經驗:
1、寧波電力數據中心網絡改造項目實施;
2、粵電集團廣域網改造項目;
3、清遠政務云系統項目實施;
4、廣州網絡安全數據中心改造項目實施;
5、中國人壽保險南數據中心網絡改造項目實施。
 
教學理念:
學海無涯苦做舟,野渡無人舟自橫。
 
教學特點:
具有良好的責任心和耐心,
具備豐富的項目經驗,
授課知識點分析細致
從需求出發,從項目緯度為目標,
讓學員能夠充分認識項目體系。
擅長通過項目案例引導學生學習知識,
用通俗的生活實例去講解復雜的知識點,
通過實驗演示去幫助學員理解疑難知識點,
注重培養學員解決問題的思路和方法。
做到教以致用,學以致用。
?
QQ在線咨詢
咨詢熱線
13260580922
報名電話
87538126
360彩票网-首页_欢迎您 旬邑县 | 扬中市 | 和林格尔县 | 饶阳县 | 渑池县 | 会理县 | 泰兴市 | 舒兰市 | 五常市 | 深州市 | 那坡县 | 芜湖县 | 古丈县 | 托里县 | 通许县 | 江达县 | 贵南县 | 博乐市 | 临泽县 | 咸阳市 | 麻城市 | 岢岚县 | 高密市 | 临潭县 | 永康市 | 顺平县 |