IPS(ACG)MQC引流问题故障排查.pdfVIP

IPS(ACG)MQC引流问题故障排查 一、开始 版权所有:杭州华三通信技术有限公司 MQC技术主要用于二层插卡的引流。在堆叠或者其他无法使用OAA的情 况下，往往需要通过配置MQC来进行引流工作，将需要经过IPS/ACG处 理的报文重定向到二层板卡。 MQC引流问题定位故障的思路是：参考配置进行一步步的排查，查看单 板注册状态，内联口配置，以及MQC具体配置等。 1、查看设备型号95E/125 通过登录交换机设备，查看交换机版本，确认交换机型号 命令：display version 举例：通过命令查看当前交换机型号及版本。此设备是125系列交换机 。 2、查看单板注册状态 确认了现场设备为95E/125后，查看板卡在交换机的注册状态。 命令：display device 版权所有:杭州华三通信技术有限公司 例如：通过命令查看，可以确认单板已经成功注册。 如果单板注册失败，为fault状态，请联系400处理。 3、查看ACSEI配置及注册状态 查看交换机上ACSEI配置及注册状态，同时确认IPS/ACG上ACFP CLIENT是否使能。 命令：display current-configuration | include acsei display acsei client info 例如：通过命令查看，可以确认交换机使能acsei server。 通过命令查看，还可以确认单板已经成功完成acsei注册。 版权所有:杭州华三通信技术有限公司 通过查看WEB页面，确认IPS/ACG板卡ACFP client是不是能状态。 如果单板未成功注册acsei，确认内联口未shutdown后，请联系400处 理。 4、查看内联口配置 查看交换机内联口配置，是否放通了业务vlan同时下发了防环路acl。 版权所有:杭州华三通信技术有限公司 命令：display current-configuration | begin (interface XXX) display acl XXX 例如：通过查看内联口配置，确认内联口放通了业务VLAN，同时配置 了过滤策略。 port trunk permit vlan 10 20表示放通业务vlan； stp disable表示关闭此接口生成树协议； packet-filter 4000 outbound表示出方向过滤非业务报文； packet-filter 4000 inbound表示入方向过滤非业务报文； mac-address max-mac-count 0表示关闭MAC地址学习功能。 通过查看ACL，确认过滤规则的配置。 版权所有:杭州华三通信技术有限公司 rule 0 permit type 0800 ffff dest-mac 0cda-41b6-41d8 ffff- ffff-ffff表示放通业务报文； rule 50 permit type 88a7 ffff表示放通ACSEI注册报文； rule 100 deny表示拒绝非业务报文。 5、查看MQC配置 查看交接口下MQC配置，确认配置正确下发，同时与IPS/ACG上安全域 配置相匹配。 命令：display qos policy interface XXX display acl XXX 例如：通过查看接口下QOS配置，确认引流规则正确下发。 版权所有:杭州华三通信技术有限公司 Redirect destination: Ten- GigabitEthernet4/0/1表示重定向目的接口。 通过查看ACL配置，确认引流地址正确。 rule 5 permit ip source 10.0.0.0 0.0.0.255表示匹配业务地址网段。 查看IPS/ACG插卡上安全区域配置，确认配置匹配。 版权所有:杭州华三通信技术有限公司 查看IPS/ACG插卡上段配置，确认配置正确。 6、查看设备型号75E/105 通过登录交换机设备，查看交换机版本，确认交换机型号 命令：display version 例如：通过命令查看当前交换机型号及版本。 版权所有:杭州华三通信技术有限公司 7、查看单板注册状态 确