單位將原有的思科設(shè)備替換為華為設(shè)備，網(wǎng)絡(luò)中心選擇華為S9306交換機作為匯聚設(shè)備。在S9306的使用維護過程中，出現(xiàn)了Ping包不通的問題，經(jīng)過對S9306的分析，發(fā)現(xiàn)問題都與S9300系列交換機上特有的稱為ICMPREPLY FAST（快速回應(yīng)）的機制有關(guān)。

故障現(xiàn)象

中心與S9306相關(guān)的網(wǎng)絡(luò)拓撲如圖1所示。

在PC網(wǎng) 關(guān)S9306的VLAN5視圖下配置重定向，把PC上行的所有流量都重定向到SACG做安全認證，出現(xiàn)的問題是：

1.對S9306進行遠程網(wǎng)管時，發(fā)現(xiàn)可以Ping通S9306的網(wǎng)管地址，但遠程登錄失敗。

2.PC主動Ping S9306上的網(wǎng)關(guān)不通，但是S9306主動Ping pc能通。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)

故障排查

針對（1）S9306并沒有告警。

針 對（2）首 先 查 看設(shè)備關(guān)鍵配置，主要是利用訪問控制列表，針對VLAN 5做了一個源地址為xx.xx.5.128-255重定向為xx.xx.11.141的訪問策略。其次打開icmp的debug，debugging ip icmp能 夠看到基本的icmp信息。再次打開特定IP的icmp的debug，即做一個源地址和目的地址均為xx.xx.5.184的訪問控制列表，能夠顯示特定IP的icmp從哪個接口進來，從哪個接口出去。1.在S9306上打開debugging ip icmp，對 于網(wǎng) 關(guān)S9306主動Ping PC的報文能夠顯示正常收發(fā)，但對于PC主動Ping網(wǎng)關(guān)的無法顯示出來，因為S9306默認開啟快Ping，PC主動Ping網(wǎng)關(guān)是在接口板CPU處理的，而debug顯示的是主控板的信息。

2.仔細分析主動Ping和被動響應(yīng)Ping的原理，網(wǎng)關(guān)S9306 Ping PC，請求和回應(yīng)報文都是主控CPU處理。PC Ping網(wǎng)關(guān)，請求和響應(yīng)報文都是接口板CPU處理。

3.關(guān) 閉 快 Ping（undo icmp-reply fast），此 時 互Ping都可以通；同時打開特定IP的icmp報文開關(guān)，debugging ip packet acl 3003，此時互Ping的報文都能夠顯示。

故障分析

華為S9306交換機上有種特有的機制稱為ICMP-REPLY FAST（快 速 回應(yīng)），即使在路由不通的情況下，對S9306進 行Ping包也能Ping通。這是因為當ICMP-REPLY FAST功能開啟，當交換機收到Ping包時，它不會送往CPU去處理，而是立即回應(yīng)可以Ping通，不管路由是否真的可達。

1.PC發(fā)給網(wǎng)關(guān)的報文（echo、echo-reply）都受到重定向的影響，到了Vlan11，同時由于受到系統(tǒng)缺省靜態(tài)acl（到S9306本機的報文優(yōu)先上送CPU）的作用，所以從Vlanif11上送CPU。

2.當快Ping開啟時，PC 主 動 Ping（echo）， 從Vlanif11上到接口板CPU，S9306回應(yīng)（reply）報文直接從接口板CPU回應(yīng)，不會去查表項，直接從Vlanif11發(fā)出去，導(dǎo)致丟棄。

3.當快Ping關(guān)閉，PC主動 Ping（echo），從 Vlanif11上到主控CPU，S9306回應(yīng)（reply）報文是從主控CPU發(fā)起的，會去查表項，所以從Vlanif5發(fā)出去，Ping成功。

經(jīng)驗總結(jié)

1.在S9306交換機開局調(diào)試時建議將ICMP-REPLY FAST功能關(guān)閉。因為在做業(yè)務(wù)測試的時候，無法即時對每一條業(yè)務(wù)進行測試，大部分業(yè)務(wù)仍是通過Ping包來檢測。

2.可將S9306交換機軟件版本從V100R001C02版本升級到V100R001C03版本，就不會出現(xiàn)上送主機的報文被修改到其他VLAN后再上送，而是直接從本VLAN上送。