网络结构:
客户典型园区网结构,一对核心交换机S12708做堆叠,各楼层交换机双链路连接核心交换机的主备设备
配置脚本:
普通Vlan配置,接口使能MAC地址认证功能
authentication mac-authen
mac-authen username macaddress format without-hyphen
undo mac-authen reauthenticate
故障现象:
视频业务卡顿,抓包显示是卡顿出现在楼层接入交换机上,出现卡顿时,终端有流量上行到交换机,交换机上行接口没有转发该流量,周期为5分钟
处理过程
1、检查交换机配置,发现客户配置有MAC地址认证,配置有radius服务器和DHCP服务器,为同一厂商设备,交换机vlan和trunk口配置均合理
2、检查接口错包计数,数量不增加
3、配置流量统计,因接口存在大量其它流量,暂无法参考
4、检查交换机日志,抓包软件出现故障的现象时间,结合交换机时钟,检查出现故障时交换机日志,存在ARP检测失败记录
5、该日志情况与5分钟卡顿时同时存在,怀疑卡顿时卡顿是因为ARP下线引起的。
6、通过命令display aaa offline-record all,显示交换机下线记录,回显结果存在大量下线原因是“ARP detect fail”记录,且周期为5分钟
根因
交换机配置了MAC地址认证,默认情况下5分钟会自动发ARP探测报文,检测终端是否在线,如果无响应,使终端下线,而现网交换机版本为V2R8版本,以及该版本之前的版本,默认使用255.255.255.255地址的探测报文去检查终端是否在线,而当前主流的终端电脑或者视频终端网卡,不响应255.255.255.255的ARP探测报文,只响应0.0.0.0的ARP探测报文。
当前默认情况,5分钟检测失败,终端下线一次,下线过程中数据流量非法,不进行转发,导致用户流量卡顿
解决方案
任选1种即可:
1、删除MAC地址认证
2、升级交换机版本,大于V2R8版本即可,后续版本默认情况下,ARP探测使用0.0.0.0进行检测
3、配置ARP探测命令,access-user arp-detect default ip-address 0.0.0.0,手动修改探测地址为0.0.0.0