單位將原有的思科設(shè)備替換為華為設(shè)備，網(wǎng)絡(luò)中心選擇華為S9306交換機(jī)作為匯聚設(shè)備。在S9306的使用維護(hù)過(guò)程中，出現(xiàn)了Ping包不通的問(wèn)題，經(jīng)過(guò)對(duì)S9306的分析，發(fā)現(xiàn)問(wèn)題都與S9300系列交換機(jī)上特有的稱為ICMPREPLY FAST（快速回應(yīng)）的機(jī)制有關(guān)。

故障現(xiàn)象

中心與S9306相關(guān)的網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

在PC網(wǎng) 關(guān)S9306的VLAN5視圖下配置重定向，把PC上行的所有流量都重定向到SACG做安全認(rèn)證，出現(xiàn)的問(wèn)題是：

1.對(duì)S9306進(jìn)行遠(yuǎn)程網(wǎng)管時(shí)，發(fā)現(xiàn)可以Ping通S9306的網(wǎng)管地址，但遠(yuǎn)程登錄失敗。

2.PC主動(dòng)Ping S9306上的網(wǎng)關(guān)不通，但是S9306主動(dòng)Ping pc能通。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)

故障排查

針對(duì)（1）S9306并沒(méi)有告警。

針 對(duì)（2）首 先 查 看設(shè)備關(guān)鍵配置，主要是利用訪問(wèn)控制列表，針對(duì)VLAN 5做了一個(gè)源地址為xx.xx.5.128-255重定向?yàn)閤x.xx.11.141的訪問(wèn)策略。其次打開(kāi)icmp的debug，debugging ip icmp能 夠看到基本的icmp信息。再次打開(kāi)特定IP的icmp的debug，即做一個(gè)源地址和目的地址均為xx.xx.5.184的訪問(wèn)控制列表，能夠顯示特定IP的icmp從哪個(gè)接口進(jìn)來(lái)，從哪個(gè)接口出去。1.在S9306上打開(kāi)debugging ip icmp，對(duì) 于網(wǎng) 關(guān)S9306主動(dòng)Ping PC的報(bào)文能夠顯示正常收發(fā)，但對(duì)于PC主動(dòng)Ping網(wǎng)關(guān)的無(wú)法顯示出來(lái)，因?yàn)镾9306默認(rèn)開(kāi)啟快Ping，PC主動(dòng)Ping網(wǎng)關(guān)是在接口板CPU處理的，而debug顯示的是主控板的信息。

2.仔細(xì)分析主動(dòng)Ping和被動(dòng)響應(yīng)Ping的原理，網(wǎng)關(guān)S9306 Ping PC，請(qǐng)求和回應(yīng)報(bào)文都是主控CPU處理。PC Ping網(wǎng)關(guān)，請(qǐng)求和響應(yīng)報(bào)文都是接口板CPU處理。

3.關(guān) 閉 快 Ping（undo icmp-reply fast），此 時(shí) 互Ping都可以通；同時(shí)打開(kāi)特定IP的icmp報(bào)文開(kāi)關(guān)，debugging ip packet acl 3003，此時(shí)互Ping的報(bào)文都能夠顯示。

故障分析

華為S9306交換機(jī)上有種特有的機(jī)制稱為ICMP-REPLY FAST（快 速 回應(yīng)），即使在路由不通的情況下，對(duì)S9306進(jìn) 行Ping包也能Ping通。這是因?yàn)楫?dāng)ICMP-REPLY FAST功能開(kāi)啟，當(dāng)交換機(jī)收到Ping包時(shí)，它不會(huì)送往CPU去處理，而是立即回應(yīng)可以Ping通，不管路由是否真的可達(dá)。

1.PC發(fā)給網(wǎng)關(guān)的報(bào)文（echo、echo-reply）都受到重定向的影響，到了Vlan11，同時(shí)由于受到系統(tǒng)缺省靜態(tài)acl（到S9306本機(jī)的報(bào)文優(yōu)先上送CPU）的作用，所以從Vlanif11上送CPU。

2.當(dāng)快Ping開(kāi)啟時(shí)，PC 主 動(dòng) Ping（echo）， 從Vlanif11上到接口板CPU，S9306回應(yīng)（reply）報(bào)文直接從接口板CPU回應(yīng)，不會(huì)去查表項(xiàng)，直接從Vlanif11發(fā)出去，導(dǎo)致丟棄。

3.當(dāng)快Ping關(guān)閉，PC主動(dòng) Ping（echo），從 Vlanif11上到主控CPU，S9306回應(yīng)（reply）報(bào)文是從主控CPU發(fā)起的，會(huì)去查表項(xiàng)，所以從Vlanif5發(fā)出去，Ping成功。

經(jīng)驗(yàn)總結(jié)

1.在S9306交換機(jī)開(kāi)局調(diào)試時(shí)建議將ICMP-REPLY FAST功能關(guān)閉。因?yàn)樵谧鰳I(yè)務(wù)測(cè)試的時(shí)候，無(wú)法即時(shí)對(duì)每一條業(yè)務(wù)進(jìn)行測(cè)試，大部分業(yè)務(wù)仍是通過(guò)Ping包來(lái)檢測(cè)。

2.可將S9306交換機(jī)軟件版本從V100R001C02版本升級(jí)到V100R001C03版本，就不會(huì)出現(xiàn)上送主機(jī)的報(bào)文被修改到其他VLAN后再上送，而是直接從本VLAN上送。