• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H5560EI交换机vlan互访不通

1天前提问
  • 0关注
  • 0收藏,67浏览
粉丝:0人 关注:0人

问题描述:

交换机划分了几个vlan及配置了vlan接口,网关和DHCP都在交换机上,现在vlan内部互访没问题,vlan间互访大部分设备不能互访,有一部分又可以互访,交换机上mac地址表、FIB及ARP表都是正常的,交换机带源ping和tracertf都是超时的,这是什么原因

5 个回答
粉丝:11人 关注:9人

排查步骤及命令:
1. 检查VLAN接口状态:
display interface vlan-interface [vlan-id] 确认接口up且IP配置正确。
2. 检查VLAN间路由:
display ip routing-table 确认各VLAN网段路由存在(直连路由)。
3. 检查ACL或策略:
display acl all 查看是否有ACL限制VLAN间流量;
display traffic-policy applied-record 检查是否有流量策略过滤跨VLAN包。
4. 检查DHCP分配的网关是否正确:
客户端执行ipconfig(Windows)或ifconfig(Linux)确认网关指向交换机VLAN接口IP。
5. 检查ARP表项:
display arp 确认跨VLAN设备的ARP表项存在且正确(IP与MAC对应)。
6. 检查STP状态:
display stp brief 确认无端口被STP阻塞导致部分设备不通。
7. 抓包分析:
在交换机上对VLAN接口抓包(如vlan 10和vlan 20):
mirroring-group 1 local
mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 both
mirroring-group 1 monitor-port GigabitEthernet 1/0/24
用Wireshark分析是否有ICMP请求但无响应,或存在ARP请求无回复。
8. 检查设备防火墙:
客户端关闭防火墙后测试互访。
可能原因:ACL或流量策略限制、客户端网关配置错误、STP阻塞端口、设备防火墙拦截、交换机硬件故障(如部分端口异常)。

暂无评论

zhiliao_gx4JMx 知了小白
粉丝:0人 关注:0人

前面六条都没问题,这个问题我已经弄了几天了,每七条抓包分析是不是还要下载安装wireshark软件,抓包分析能说具体一点吗?以下图片是昨天截图的

暂无评论

粉丝:21人 关注:0人

你这个现象里有个关键信号:交换机自己 ping -a vlan-if10 x.x.x.x都超时、tracert也出不去,但 MAC/ARP/FIB 都正常、VLAN 内部又通——这说明不是终端防火墙问题(那种 Windows 防火墙可以排除了),问题锁定在交换机自身的三层转发路径上。
S5560-EI 是 Comware V7,"部分通、部分不通 + 交换机带源都超时" 这个组合,按概率从高到低给你拆:
🎯 最可能根因一:DHCP 下发参数不一致("部分通"的元凶)
你说 DHCP 也在交换机上,重点查不同 VLAN 的 DHCP 地址池里网关、掩码是不是都配对了:
display dhcp server ip-in-use all ; 看已分配 IP
display dhcp server pool [pool名] ; 看每个池子的 gateway-list / mask / dns
典型踩坑:
某个池子 gateway-list填错成了别的 VLAN 的网关 → 那批终端跨 VLAN 时走了错误网关,自然不通
掩码不一致:比如 VLAN10 是 /24、VLAN20 某个池子手滑写成 /16 → 终端判断"对方是不是同网段"会错,ICMP 不走网关走 ARP,跨 VLAN 又 ARP 不到,就超时
部分终端是静态 IP,网关填错 → 也会造成"大部分不通、少数通"
💡 "部分通部分不通" + "交换机带源都超时" 其实还能反推:交换机带源 ping 是从 vlan-if 出的,如果 vlan-if 本身没问题,那回程的 ARP/二层可能没回来——先确认你带源 ping 的目标,终端那边 ARP 能不能学到交换机 vlan-if 的 MAC。
🔍 根因二:端口隔离 / PVLAN(S5560 头号坑)
知了社区明确点过:S5560 开了 port-isolate或私有 VLAN,同 VLAN 都未必通,跨 VLAN 更不用说。但你 VLAN 内通,所以重点查下联是不是还有二层交换机、那些"不通的设备"是不是被隔离了。
display port-isolate interface ; 看哪些口开了隔离
display pvlan configuration ; 看私有 VLAN
如果下联还有 SMB 交换机,那边开了隔离也会导致"部分设备"跨 VLAN 回不来。
🔍 根因三:uRPF 或 vlan-interface 下的 packet-filter
S5560-EI 默认没开 uRPF,但如果你之前做过安全加固,可能在全局或接口下开了:
display current-configuration | include urpf
display current-configuration interface Vlan-interface xx | include packet-filter
ip urpf strict开了的话,回程路径校验不通过就会丢包,现象就是"去有回无",交换机带源 ping 也超时
vlan-interface 下挂了 packet-filter漏掉了 ICMP 或某些源网段 → 部分通部分不通也对得上
🔍 根因四:下联还有二层、trunk 没全放通
如果"不通的那批设备"恰好都在某台下联二层交换机上,查那台的上联 trunk:
display port vlan interface GigabitEthernet 1/0/x ; 看 trunk 放通了哪些 VLAN
故障5就是这个:VLAN10/20 通、VLAN30 不通 → trunk 没放通 VLAN30。但你描述是"VLAN 间大部分不通、少部分通",更像是多个 VLAN 里有部分终端路径异常,所以下联 trunk 只放通了部分 VLAN 也能对上。
🔍 根因五:ARP 代理 / 限速 / 抑制(S5560 特有)
提的:接口下开了 arp-proxy、arp rate-limit、arp-suppress会导致三层 ping 怪异:
display current-configuration interface Vlan-interface xx | include arp
特别是如果之前为了省 ARP 表项开过 arp suppress或 arp-proxy enable,跨 VLAN 回包可能被拦。
给你的定位顺序(5 分钟走完)
# 1. 先确认 vlan-if 都是 up/up
display ip interface brief | include Vlan-

# 2. 查 DHCP 池网关/掩码是否和 vlan-if 对齐
display dhcp server pool all

# 3. 查端口隔离 / pvlan
display port-isolate interface
display pvlan configuration

# 4. 查 uRPF 和 vlan-if 下 packet-filter
display current-configuration | include urpf
display current-configuration | include packet-filter.*Vlan

# 5. 交换机带源 ping 某台"不通的终端"时,在交换机上同时 display arp 看有没有学到终端 ARP
# 如果 ARP 有但 ping 还是超时 → 三层转发被拦(uRPF / ACL / hardware-resource 问题)
# 如果 ARP 都学不到 → 二层回程断了(trunk / 隔离 / 下联拓扑)
⚠️ 一个 S5560-EI 特有坑顺手提:hardware-resource模式如果改过(比如切到 l3-gateway/ l3-max之类),老版本固件会有表项异常,R1119 之后修过一些。你如果版本比较老(display version看),可以考虑升一下,但先排配置。

暂无评论

粉丝:18人 关注:2人

核心前置现象梳理
同 VLAN 内互通正常 → 二层转发无问题;
三层 VLANIF 网关、ARP、MAC、FIB 表项全部完整;
交换机本机带源 ping/tracert 跨 VLAN 全部超时;
少数终端能跨 VLAN 互通,大部分不行;
网关、DHCP 都部署在这台 S5560EI 交换机上。
一、最高概率根因(按排查优先级排序)
1. 全局 / 接口 ACL 阻断三层跨 VLAN 流量(最常见)
S5560EI 支持全局 ACL、VLANIF 接口 inbound/outbound ACL,仅放通了少量终端 IP 段,其余网段被 deny。
典型特征:
少数 IP 匹配 permit 规则能互通,其余全部阻断;
交换机本机三层转发被 ACL 拦截,带源 ping 直接超时;
排查命令:
bash
运行
# 查看全局下发ACL
display packet-filter global
# 查看所有三层VLANIF接口入/出方向ACL
display packet-filter interface Vlan-interface all
# 查看ACL完整规则,检查是否大量deny
display acl all

修复:
删除限制跨网段的 deny 规则,或新增允许所有内网业务网段:
bash
运行
acl number 3000
rule permit source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
packet-filter 3000 inbound interface Vlan-interface X

2. 开启了 IRF / 堆叠、MSTP 环路保护、ACL 全局下发,硬件转发异常
S5560-EI 硬件三层转发芯片故障 / 表项下发异常:
ARP/FIB 控制平面显示正常,但 ASIC 硬件无转发条目;
交换机 CPU 软件转发被拦截,所以本机 ping 不通,少量流量走特殊路径放行;
校验:
关闭硬件加速强制 CPU 转发测试,临时验证是否硬件问题:
bash
运行
system-view
undo hardware fast-forward

修改后重新跨 VLAN ping,通了就是硬件转发表下发异常,解决方案:升级交换机固件、重启设备重置芯片。
3. 端口安全 / IP Source Guard IPSG 绑定导致跨 VLAN 阻断
接入端口配置了静态 IP+MAC 绑定,仅绑定的终端允许三层转发,未做绑定的终端三层流量丢弃,二层同 VLAN 不受影响。
现象完全匹配你的故障:
同 VLAN 能通,跨 VLAN 只有做了 IPSG 绑定的设备互通,其余全部不通;交换机三层转发校验绑定条目,无绑定直接丢弃跨网段报文。
排查命令:
bash
运行
# 查看全局IPSG是否开启
display ip source binding
display ip source guard interface GigabitEthernet all

修复:
不需要管控的端口关闭 IPSG,批量补充所有合法终端 IP-MAC 绑定。
4. VLANIF 接口下配置了arp anti-attack check gateway-arp/ARP 校验拦截跨网段
网关 ARP 防护、ARP 限速、ARP 报文校验开启后,部分终端 ARP 应答被交换机丢弃,三层路由无法完成转发。
bash
运行
# 查看ARP防攻击配置
display arp anti-attack configuration
# 临时关闭测试
interface Vlan-interface all
undo arp anti-attack check gateway-arp

5. 全局安全功能:端口隔离、用户隔离、isolate-user-vlan 隔离三层流量
isolate-user-vlan 隔离型 VLAN,Secondary VLAN 之间默认三层阻断,仅能和 Primary 互通;
全局user-isolation enable用户隔离,同交换机不同 VLAN 终端三层互访拦截;
bash
运行
display isolate-user-vlan
display user-isolation configuration

6. 防火墙功能 / ACL 包过滤全局下发拦截三层流量
部分 S5560EI 版本支持微型防火墙策略,全局 packet-filter 下发后阻断跨 VLAN 流量,仅少量 IP 白名单放行。
二、分层标准化排查步骤(现场直接执行)
步骤 1:先排查 ACL 包过滤(90% 故障出处)
检查全局 packet-filter、所有 Vlan-interface 出入方向 ACL;
清空测试:undo packet-filter all 临时删除所有包过滤,测试跨 VLAN 是否互通,通则说明 ACL 限制问题。
步骤 2:排查 IP Source Guard、端口安全
查看接入端口 IPSG 绑定条目,未绑定终端三层被拦截;
临时关闭接口 IPSG:undo ip source guard 测试。
步骤 3:隔离类功能排查
isolate-user-vlan、user-isolation 端口隔离、PVLAN 私有 VLAN,这类功能会隔离跨 VLAN 三层流量。
步骤 4:硬件转发故障校验
关闭硬件快速转发,强制 CPU 软件转发,若能互通,为芯片表项下发 BUG,升级固件 / 重启交换机解决。
步骤 5:ARP 防攻击校验
关闭网关 ARP 校验、ARP 限速,排除 ARP 应答报文丢弃导致三层断流。
三、关键现象解释:为什么 ARP/FIB/MAC 表正常但不通?
ARP、FIB、MAC 表是控制平面软件表,交换机 CPU 能学习到;
但跨 VLAN 转发依靠ASIC 硬件芯片,ACL、IPSG、隔离、硬件 BUG 都会在硬件层面直接丢弃报文,不会删除软件表项,因此查表全部正常,流量实际被丢弃。
同时交换机本机三层 ping 属于 CPU 转发,若全局 ACL / 硬件转发异常,本机带源 ping 直接超时,和你现场现象完全吻合。
四、快速应急验证命令(定位故障范围)
临时清空所有 ACL 包过滤
bash
运行
system-view
undo packet-filter global
interface Vlan-interface all
undo packet-filter inbound
undo packet-filter outbound

临时关闭 IPSG
bash
运行
interface GigabitEthernet 1/0/1 to GigabitEthernet 1/0/48
undo ip source guard

关闭硬件快速转发测试
bash
运行
undo hardware fast-forward

每执行一组测试一次跨 VLAN 互访,执行后恢复正常即为对应功能导致的阻断。
五、补充总结故障特征匹配
你的场景「大部分不通、少数能通」只有 ACL 白名单、IPSG 静态绑定两个功能会产生该现象:
ACL:仅规则内 IP 允许跨 VLAN,其余 deny;
IPSG:仅做了 IP-MAC 绑定的终端允许三层转发,未绑定全部阻断;
优先排查这两项即可快速定位问题。

暂无评论

粉丝:0人 关注:0人

我有个大胆的想法,你如果到自己网关跟跨段网关都是正常的。证明路由跟配置都没问题。但是到跨段就有问题,有可能是stp的问题。全局不是统一的mstp或者rstp。导致转发有问题。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明