N18012 接口加入防火墙内联聚合口重启后配置丢失

发布时间：2023-04-13

点击量：265

关键词：防火墙板卡内联口、接口配置丢失

一、故障现象

客户方核心交换机重启之后，会出现以下问题：

1.ten 5/2和5/3对应接口重启之后，会被下发no port-group命令，从而导致接口退出聚合组，自动生成shutdown命令

2.聚合组成员口重启会多出一条sw tr al vl re 1-4094的命令。

二、设备型号和版本

设备型号：N18012

设备版本：N18000_RGOS 11.0(4)B56

网络拓扑：5750H --- N18012

三、故障排查步骤

1、明确对应丢失的配置以及对应配置丢失的根因。

2、根据对应根因结合防火墙线卡部署原理分析故障逻辑。

四、故障排查过程

1、核实交换机配置，复现对应故障，确实存在聚合口配置重启发现变动故障现象。

2、发现对应网络架构中存在ONC设备，怀疑是ONC的自动配置同步功能导致，将对应与ONC连接的上联口shutdown中断设备与ONC的连接，确保不会因为ONC原因导致配置同步，修改后重启设备核实故障现象依旧存在。

3、怀疑是SNMP或者SSH/Telnet配置导致导致配置被网管软件亦或是SSH/Telnet刷配置导致，更改客户端SNMP以及SSH/Telnet配置，确保不会因为SNMP，SSH/Telnet导致配置被刷。修改后重启设备核实故障现象依旧存在。

4、针对故障收集以下几条命令：

show cli record ------ 查看CLI命令记录

show memory ------ 查看设备内存利用率

@@@@i

5、通过show cli record发现确实存在有组件进行刷配置：

lijq@mng-OptiPlex-3010:~/tmp/images/rootfs/sbin [Wed Aug 11, 11:02]

$ strings fw_group | grep switchport

switchport

switchport access vlan %d

switchport

switchport access vlan %d

no switchport access vlan

switchport

switchport mode trunk

switchport trunk allowed vlan add 1-4094

switchport trunk allowed vlan remove %d

switchport

switchport mode trunk

switchport trunk allowed vlan add 1-4094

switchport

switchport mode trunk

switchport trunk allowed vlan add %d,%d

switchport trunk allowed vlan remove %d,%d

switchport

switchport mode trunk

switchport trunk allowed vlan remove 1-4094

switchport

switchport mode trunk

switchport trunk allowed vlan add

switchport trunk allowed vlan remove

6、发现对应组件为fw_group，再次核实18K线卡，发现确实存在FW线卡，与防火墙研发核对之后，发现问题是对应聚合口为防火墙的内连口聚合口，防火墙存在机制，普通业务口加入内联聚合口之后，一旦设备重启，就会将对应业务口踢出内连口，并刷固定内联口的配置（sw tr al vl re 1-4094）。

故障原因总结：普通业务口加入FW卡内联聚合口导致，FW卡内联聚合口每次重启会重置对应聚合口配置以保证防火墙卡业务正常。（firewall-group group-id 1 aggregateport 1 对应FW卡内联聚合口为AGG1，对应正常业务不要使用AGG 1）