华为NE5000E链路故障导致部分IP ping不通的处理

superttgd

华为NE5000E链路故障导致部分IP ping不通的处理

故障现象：
MAN内主机地址10.42.254.70/27无法ping通目标地址10.37.72.5，而同一网段的10.42.254.71/27却可以正常ping通。

MAN CORE设备类型：NE5000E
BACKBONE CORE设备类型：NE5000E

处理过程：
1、  在6509上进行测试，在6509上无法ping通10.42.254.70/27，而指定6509 HSRP网关源地址10.42.254.65/27可以ping通，怀疑10.42.254.70做了ACL或掩码网关配置有误。
2、  在6509上接测试PC，配置10.42.254.70地址进行测试可以ping通目标主机上联6509上10.37.72.225，但无法ping通防火墙后主机 10.37.72.230及10.37.72.5，从故障现象无法准确对故障进行定位，也初步怀疑防火墙设置存在问题。
3、  尝试在MAN CORE 1上手工指10.37.72.5/32静态路由指向 MAN CORE 2，此时10.42.254.70/27可以ping通目标10.37.72.5，故障恢复。
4、 继续查找故障原因，发现BACKBONE ACCESS 1上 POS3/0/0与BACKBONE ACCESS 2 互联端口只有单向流量，且端口error不断增加（SDH的B1B2B3的error及crc等error），判定端口或传输中继存在问题，遂将该端口关闭，至此故障得以彻底解决。

故障分析：
1、MAN和BACKBONE间通过EBGP连接，BACKBONE只广播default路由到MAN内
2、由于MAN内只有default路由，6509上联时选取最短路径，从左边的MAN CORE 1出城域网。而流量从BACKBONE的目标主机返回时，最短路径是从右边的MAN CORE 2返回。
3、在从测试PC到目标主机的流量方向，由于在BACKBONE ACCESS上有链路故障，因此表现为不通。
4、由于BACKBONE ACCESS上有2条负载分担的链路（通过ISIS路由协议实现负载分担），路由器根据通过流量的源和目的IP及一些其他参数进行hash计算，将不同的数据流分布在不同的端口上。
5、由于hash的结果，造成了某些测试IP通过正常的链路就可以ping通，而某些测试IP通过故障链路则ping不通的现象。

故障解决：
1、更换故障端口
2、测试故障链路间的物理链路

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/62349/showart_523596.html