• 文章搜索:
  • 灵犀一指

        • 分享到...

        • 新浪微博
        • 腾讯微博
        • 推荐到豆瓣 豆瓣空间
        • 分享到搜狐微博 搜狐微博
        • 分享到QQ空间 QQ空间
        • 分享到腾讯朋友 腾讯朋友
        • 网易微博分享 网易微博
        • 添加到百度搜藏 百度搜藏
        • 转贴到开心网 开心网
        • 转发好友 告诉聊友
    • 推荐
    • 打印
    • 收藏

    深度剖析报文内容火眼金睛辨识真伪

    作者:  |  上传时间:2014-03-20  |  关键字:深度剖析报文内容火眼金睛辨识真伪

    --王京

    一 组网:

    二 问题描述:

    某单位在S75上进行单板扩容,在4槽位增加FT48E 100M 电口单板,单板完成注册后,将此板卡所有接口都放在VLAN 8,网关为192.168.8.254。查看各项数据和配置均正常,但是进行业务测试时,发现有异常情况:

    1:该单板下的PC互ping能通。

    2:该单板下的pc ping 192.168.8.254能通。

    3:该单板下的pc ping其它单板下VLAN8的PC不通。

    三 过程分析:

    根据现场的测试情况,可以断定访问不通时,报文丢失在S75上。但对diag信息进行分析,并未发现设备的芯片有丢失报文的情况发生。

    在设备的vlan 8上分别接入ip地址为192.168.8.13 和192.168.8.16的2台PC。192.168.8.16接在4槽位的FT48E上,192.168.8.13接在3槽位的单板上。在192.168.8.13上xping 192.168.8.16 (xping能模拟快速ping动作,产生较大icmp流)。跟踪该流量发现,出端口和入端口数据相等,说明设备并未丢失该流量。但是ping的结果的确还是不通。

    进一步测试,在192.168.8.13和192.168.8.16上进行抓报文分析,该抓包能看到完整的192.168.8.13 ping 192.168.8.16的过程。

    1:192.168.8.13 发起一个icmp 的request 请求(蓝色路径),该报文经过S75设备转发后达到192.168.8.16。

    2:192.168.8.16识别报文后,正确回应icmp的reply报文到达S75交换机(红色路径)。此时分别在192.168.8.13和192.168.8.16上进行抓报,发现如下现象:

    192.168.8.16回应的报文为:

    但是该报文经过75转发后,到达192.168.8.13时,却被变为:

    由于该报文内容的更改,所以被192.168.8.13认为错误报文而丢弃。

    从报文的转发示意图我们能看到,报文进入75交换机后,需要做跨单板转发,报文到达slot 4后,经过内部通道转发到引擎板,再由引擎板转发到slot 3,找到192.168.8.13所在的端口转发出去。

    即该报文要经过slot 4-引擎板-slot 3。

    调备件单板进行替换和对比测试,测试发现:

    1:更换新的FT48E,问题现象一样,还是存在报文被改写情况。所以确认slot 4槽位单板没有问题。

    2:将192.168.8.13从slot 3转移到另外一个槽位slot 2,还是存在问题。说明slot 3槽位单板也没有问题。

    3:由于各个单板通过背板进行连接,如果是由于背板损坏而导致问题,出现的是报文丢失,而不是报文改写,因此将背板因素排除。

    综合分析,可以断定是引擎板存在问题。

    四 解决方法:

    更换引擎板后问题解决。