H3C新網(wǎng)絡(luò)系列產(chǎn)品VSR維護(hù)指導(dǎo)

1、H3C新網(wǎng)絡(luò)系列產(chǎn)品VSR維護(hù)指導(dǎo)技術(shù)創(chuàng)新，變革未來(lái)目錄第一章VSR虛擬路由器基本使用方法第二章VSR虛擬路由器基礎(chǔ)維護(hù)命令第三章VSR虛擬路由器典型問(wèn)題處理2 VSR虛擬路由器產(chǎn)品簡(jiǎn)介VSR(Virtual Services Router)虛擬路由器是專(zhuān)業(yè)的網(wǎng)絡(luò)軟 件產(chǎn)品，基于Comware V7平臺(tái)，運(yùn)行在標(biāo)準(zhǔn)服務(wù)器的虛擬機(jī) 或BareMetal上，提供和物理路由器相同的功能和體驗(yàn)：ServerHypervisorVMVMVMvSwitchISO, OVA, and IPE formatsVMware vSphere, Linux KVM, H3C CAS, Citrix XenServe

2、r*, Microsoft Hyper-V*Standard X86 serverMinimal Resource Requirement for VM: 1 vCPU, 1GB RAM, 8GB Disk, 2 vNICsLicense based on:The number of Virtual CPU (1, 4, 8, 1664*)Time (1-year, 3-years, permanent)Throughput*E1000, VMXNET3, VirtIO, SR-IOV*虛擬機(jī)：作為虛機(jī)單元，共享物理機(jī)硬 件資源，由Hypervisor層協(xié)調(diào)物理資源， 虛擬化資源。 BareM

3、etal：獨(dú)占物理資源，不存在虛 擬化層面。3 VSR虛擬路由器產(chǎn)品簡(jiǎn)介VSR實(shí)現(xiàn)框架：4 VSR虛擬路由器產(chǎn)品簡(jiǎn)介VSR軟硬件適配環(huán)境：iMCiMC PLAT 7.2 (E0403L01) iMC BIMS 7.2 (E0402L01) iMC EAD 7.2 (E0402) iMC EIA 7.2 (E0402)iMC IVM 7.2 (E0402H01) iMC MVM 7.2 (E0402) iMC NTA 7.2 (E0401P01) iMC QoSM 7.2(E0403H01) iMC RAM 7.2 (E0402)iMC SHM 7.2 (E0402L01) iMC UBA 7.

4、2 (E0401P01)iNodeiNode PC 7.1 (E0307)5 VSR虛擬路由器登錄管理H3C VSR虛擬路由器可支持多種方式進(jìn)行管理：配置管理方式： Telnet/SSH NetconfiMC組件虛 機(jī) 管 理 工 具 ： vCenter,VNC,CAS NFVM6 VSR虛擬路由器登錄管理H3C VSR虛擬路由器支持IMC網(wǎng)管：【注意】VSR識(shí)別的端口順序可能與虛擬機(jī)的虛擬網(wǎng)卡順序不一致，二者通過(guò)MAC地址關(guān)聯(lián)。7 VSR虛擬路由器License管理8H3C VSR虛擬路由器License分為基礎(chǔ)License和特性License：基礎(chǔ)License:NFV產(chǎn)品單機(jī)側(cè)Lice

5、nse方式分三級(jí)：產(chǎn)品形態(tài)，核數(shù)（AP數(shù)），時(shí)間產(chǎn)品形態(tài)：VSR，vFW，vLB，vAC，vBRAS。核數(shù)（AP數(shù)）：1vCPU，4vCPU，8vCPU，1CPU（物理機(jī)） 時(shí)間：1年，3年，永久特性License：VSR1000 Feature License(Comware V7, Enhanced Control Plane, 4vCPU)Control Plane ApplicationsAssign more CPUresource to the control plane applications.VSR1000 Feature License(Comware V7,Data Ce

6、nter Interconnect, 4vCPU)DC, DCIEVIVSR1000 Feature License(Comware V7,BRAS, 4vCPU)vPOP, 園區(qū)IPoE Server, VSR1000 Feature License(Comware V7,Advanced VPN, 4vCPU)vCPE, VPCgatewayADVPN, GDVPN VSR虛擬路由器版本管理H3C VSR虛擬路由器版本升級(jí)方式：通過(guò)命令行升級(jí)：1、在VSR 命令下，使用FTP 或TFTP 下載新的VSR IPE 版本。2、設(shè)置新的啟動(dòng)文件為該VSR IPE 版本。3、 保存配置，重新啟動(dòng)系

7、統(tǒng)完成升級(jí)。通過(guò)過(guò)ISO升級(jí)VSR ：1、初始升級(jí)步驟和通過(guò)ISO安裝VSR相同。2、在進(jìn)入安裝界面后，注意選擇菜單 Upgrade Install，將VSR運(yùn)行的版本升級(jí)到 ISO光盤(pán)中的版本。3、安裝完成后，注意先斷開(kāi)CD連接，然后重啟系統(tǒng)。9 VSR虛擬路由器版本管理H3C VSR虛擬路由器版本可以通過(guò)ISO恢復(fù)：1、進(jìn)入VMware/KVM/CAS安裝頁(yè)面：2、選擇菜單 Recovery Install，將VSR運(yùn)行的版本恢復(fù)到ISO光盤(pán)中的版本。3、安裝完成后，注意先斷開(kāi)CD連接，然后重啟系統(tǒng)。10目錄第一章VSR虛擬路由器基本使用方法第二章VSR虛擬路由器基礎(chǔ)維護(hù)命令第三章VSR虛

8、擬路由器典型問(wèn)題處理11VSR虛擬路由器基本狀態(tài)維護(hù)命令12當(dāng)VSR運(yùn)行異常時(shí)，可先行使用display diagnostic-information命令收集診斷信息。也可以手動(dòng)收集以下信息，同時(shí)導(dǎo)出設(shè)備的logfile文件：命令行收集信息display cpu顯示當(dāng)前CPU利用率display process顯示進(jìn)程的狀態(tài)信息display process cpu顯示所有進(jìn)程的CPU使用率信息display process memory顯示所有進(jìn)程的代碼段、數(shù)據(jù)段及堆棧等內(nèi)存信息display process log顯示所有進(jìn)程的CPU使用率信息display kernel deadloop

9、 20 verbose顯示內(nèi)核線程死循環(huán)信息display kernel exception 10 verbose顯示內(nèi)核線程的異常信息display kernel reboot 20 verbose顯示內(nèi)核重啟信息display clock顯示系統(tǒng)當(dāng)前的時(shí)間display device verbose顯示設(shè)備信息display current-configuration顯示設(shè)備當(dāng)前生效的配置display saved-configuration查看下次啟動(dòng)配置文件的內(nèi)容命令行收集信息display interface顯示指定接口當(dāng)前的運(yùn)行狀態(tài)和相關(guān)信息display logbuffer顯示日

10、志緩沖區(qū)的狀態(tài)和日志緩沖區(qū)記錄的日志信息display memory顯示內(nèi)存使用情況display placement location all顯示具體位置上正在運(yùn)行的進(jìn)程信息display boot-loader顯示本次啟動(dòng)和下次啟動(dòng)所采用的啟動(dòng)軟件包的名稱(chēng)display debugging顯示系統(tǒng)中已經(jīng)打開(kāi)的調(diào)試開(kāi)關(guān)display install active顯示當(dāng)前系統(tǒng)中處于激活狀態(tài)的軟件包的相關(guān)信息display install committed顯示設(shè)備下次啟動(dòng)時(shí)使用的主用軟件包的相關(guān)信息display license顯示License的詳細(xì)信息display license fea

11、ture顯示特性的License摘要信息display startup顯示用于本次及下次啟動(dòng)的配置文件的名稱(chēng)display users顯示當(dāng)前正在使用的用戶(hù)線以及用戶(hù)的相關(guān)信息display system internal kernel memory pool顯示內(nèi)核態(tài)正在使用的內(nèi)存池的統(tǒng)計(jì)信息view /proc/ipfw/ipstat查看快轉(zhuǎn)相關(guān)信息13 VSR虛擬路由器基本狀態(tài)維護(hù)命令VSR虛擬路由器母機(jī)狀態(tài)維護(hù)命令查看磁盤(pán)空間：常用的查看磁盤(pán)空間的命令有df和du命令，df可以查看一級(jí)文 件夾大小，使用比例，檔案系統(tǒng)及其掛入點(diǎn)，但不能查看文件。du可以查看文 件及文件夾的大小。通?？梢?/p>

12、通過(guò)df查看那個(gè)一級(jí)目錄過(guò)大，然后用du查看文 件夾或文件的大小。-h 參數(shù)表示使用Human-readable輸出，也就是在檔案系統(tǒng)大小使用GB,MB等易讀格式14du命令查詢(xún)文件或文件夾的磁盤(pán)使用空間，使用sort對(duì)文件進(jìn)行大小排序VSR虛擬路由器母機(jī)狀態(tài)維護(hù)命令查看進(jìn)程占用的CPU和內(nèi)存：查看系統(tǒng)占用的內(nèi)存可以通過(guò)top命令或者linux 系統(tǒng)進(jìn)程的status文件查看。通常，使用os的內(nèi)存查看方式比jvm虛機(jī)提供的 內(nèi)存查看更為準(zhǔn)確。top是實(shí)時(shí)顯示的，默認(rèn) 3s刷新一次，可用于查看 實(shí)時(shí)CPU和內(nèi)存占用率top u 查看指定用戶(hù)的進(jìn)程信息15VIRT進(jìn)程占用的虛擬內(nèi)存RES進(jìn)程占用的

13、物理內(nèi)存SHR進(jìn)程使用的共享內(nèi)存%CPU進(jìn)程占用CPU的使用率%MEM進(jìn)程使用的物理內(nèi)存和總內(nèi)存的百分比top顯示信息說(shuō)明VSR虛擬路由器母機(jī)狀態(tài)維護(hù)命令proc文件查看：Linux的proc文件系統(tǒng)是存儲(chǔ)當(dāng)前內(nèi)核運(yùn)行狀態(tài)的一系列特殊文件，通過(guò)/proc/pid/status文件，可以更詳細(xì)的查看進(jìn)程信息。Pid任務(wù)IDVmPeak進(jìn)程在運(yùn)行過(guò)程中占用虛擬內(nèi)存的峰值VmSize進(jìn)程正在占用的虛擬內(nèi)存大小VmHWM進(jìn)程分配到物理內(nèi)存的峰值VmRSS進(jìn)程正在使用的物理內(nèi)存的大小16通常使用VmRSS 來(lái)判斷進(jìn)程占用 內(nèi)存的大小。目錄第一章VSR虛擬路由器基本使用方法第二章VSR虛擬路由器基礎(chǔ)維護(hù)命

14、令第三章VSR虛擬路由器典型問(wèn)題處理17VSR虛擬路由器典型協(xié)議問(wèn)題18典型協(xié)議問(wèn)題之一：?jiǎn)栴}現(xiàn)象：VSR1000作為IPSEC VPN網(wǎng)關(guān)，與山石設(shè)備對(duì)接時(shí)，初始時(shí)山石發(fā)起協(xié)商，協(xié)商成功，重協(xié)商時(shí)VSR發(fā)起協(xié)商失敗。分析過(guò)程:從debug過(guò)程我們可以看到：debugging ike all前兩條協(xié)商報(bào)文就可以看到有類(lèi)似下面的提示信息：*Jan 16 16:14:49:679 2016 H3C IKE/7/ERROR: Failed to find matched proposal in profile profile2.%Jan 16 16:14:49:679 2016 H3C IKE/6/

15、IKE_P1_SA_ESTABLISH_FAIL: Failedto establish phase 1 SA for the reason of malformed payload.原因：山石設(shè)備的ike proposal 默認(rèn)指定的dh算法組為g2，VSR設(shè)備默認(rèn)是g0，但VSR有兼容處理，山石設(shè)備無(wú)兼容處理。這樣結(jié)果是山石發(fā)起的協(xié)商能協(xié)商成功，VSR發(fā)起協(xié)商時(shí)因dh組配置不一致失敗。VSR虛擬路由器典型協(xié)議問(wèn)題19典型協(xié)議問(wèn)題之一：解決方法：修改出錯(cuò)配置，然后 reset ipsec sa/reset ike sa，重新觸發(fā)協(xié)商。注意兩條指令的執(zhí)行順序要保證，先執(zhí)行 reset ipse

16、c sa，再執(zhí)行 reset ike sa.問(wèn)題總結(jié)：友商設(shè)備與VSR的默認(rèn)配置及兼容處理不一致，會(huì)導(dǎo)致協(xié)商主動(dòng)方發(fā)生變化時(shí)協(xié)商失敗。通常是ike 安全提議（proposal） 中一些默認(rèn)配置項(xiàng)不一致導(dǎo)致VSR虛擬路由器典型協(xié)議問(wèn)題20典型協(xié)議問(wèn)題之二：?jiǎn)栴}現(xiàn)象：VSR1000作為IPSEC VPN網(wǎng)關(guān)，IPsec業(yè)務(wù)流量不通，sa 正常，無(wú)重協(xié)商。分析過(guò)程:由組網(wǎng)及鏈路問(wèn)題導(dǎo)致報(bào)文不通，用dis ipsec statistics 命令查看，會(huì)發(fā)現(xiàn)Received/sent packets只有單向流量在增長(zhǎng)解決方法：這種問(wèn)題需要排查具體組網(wǎng)，如只有Received 報(bào)文沒(méi)有sent 報(bào)文，說(shuō)明

17、問(wèn)題在VSR設(shè)備的后方；反之，問(wèn)題出現(xiàn)在VSR設(shè)備的前方。VSR虛擬路由器典型協(xié)議問(wèn)題21典型協(xié)議問(wèn)題之三：?jiǎn)栴}現(xiàn)象：VSR1000作為IPSEC VPN網(wǎng)關(guān)，與juniper對(duì)接，ACL配置多條rule，只有一條rule能協(xié)商成功，其他的rule觸發(fā)的協(xié)商包發(fā)出之后沒(méi)有回復(fù)。分析過(guò)程:Juniper設(shè)備上，IPsec隧道的建立是基于接口方式的：基于接口的方式是將IPsec安全策略應(yīng)用到接口上，這樣設(shè)備就可以對(duì)通過(guò)該接口 收發(fā)的報(bào)文依據(jù)已應(yīng)用的安全策略進(jìn)行IPsec保護(hù)；目前，基于接口的IPsec實(shí)現(xiàn)方 式下僅支持基于ACL建立IPsec隧道。基于ACL方式下，是通過(guò)定義ACL來(lái)指定對(duì) 等體見(jiàn)

18、需要保護(hù)的流的范圍。支持以下三種數(shù)據(jù)流的保護(hù)方式、標(biāo)準(zhǔn)方式：一條隧道只保護(hù)一條數(shù)據(jù)流，這個(gè)是系統(tǒng)缺省的方式。故缺省狀態(tài)下，每條permit流會(huì)生成一對(duì)出和入兩個(gè)方向的隧道（即出入兩個(gè)IPsec SA）；、聚合方式：只有一條隧道保護(hù)ACL中定義的所有數(shù)據(jù)流。這個(gè)方式存在的意義是為了和老版本設(shè)備互通；VSR虛擬路由器典型協(xié)議問(wèn)題22典型協(xié)議問(wèn)題之三：1.3、主機(jī)方式：一條隧道只保護(hù)一對(duì)主機(jī)之間的數(shù)據(jù)流，這種方式太消耗資源， 不推薦使用；VSR IPSEC的實(shí)現(xiàn)模式是標(biāo)準(zhǔn)模式，多條permit即多條rule預(yù)期協(xié)商成多對(duì)IPSEC SA隧道。而對(duì)端設(shè)備可能對(duì)應(yīng)的是聚合方式，默認(rèn)多條流只協(xié)商一個(gè)IPS

19、EC SA隧 道。解決方法：修改我們的配置為聚合模式，具體配置方法為：# 配置IPsec安全策略引用IPv4高級(jí)ACL 3002，并設(shè)置數(shù)據(jù)流保護(hù)方式為聚合方式。 system-view Sysname acl advanced 3002Sysname-acl-ipv4-adv-3002 rule 0 permit ip source 55destination 55VSR虛擬路由器典型協(xié)議問(wèn)題23典型協(xié)議問(wèn)題之三：Sysname-acl-ipv4-adv-3002 rule 1 permit ip source 55destination 55Sysname ipsec policy pol

20、icy2 1 isakmpSysname-ipsec-policy-isakmp-policy2-1 security acl 3002 aggregation問(wèn)題總結(jié)：新上ipsec業(yè)務(wù)對(duì)接異常，多是對(duì)接時(shí)，由配置不對(duì)等導(dǎo)致的協(xié)商失敗。如果配置 檢查不出來(lái)，就要考慮到對(duì)端廠商與VSR兼容性和實(shí)現(xiàn)的差別了。VSR虛擬路由器典型轉(zhuǎn)發(fā)問(wèn)題24典型轉(zhuǎn)發(fā)問(wèn)題之一：?jiǎn)栴}現(xiàn)象：業(yè)務(wù)流量不穩(wěn)定，有丟包現(xiàn)象。具體現(xiàn)象如下：dis clock07:28:40 UTC Wed 11/25/2015dis int GE1/2/0 | in FIFO queuing:Output queue - FIFO queui

21、ng: Size/Length/Discards 0/75/481116dis clock07:28:47 UTC Wed 11/25/2015dis int GE1/2/0 | in FIFO queuing:Output queue - FIFO queuing: Size/Length/Discards 0/75/481127分析過(guò)程:從debug過(guò)程我們可以看到：1、云平臺(tái)中，VSR1000設(shè)備以虛機(jī)的形態(tài)運(yùn)行于客戶(hù)提供的母機(jī)環(huán)境(KVM)中， 使用的接口類(lèi)型為virtIO接口，VSR虛擬路由器典型轉(zhuǎn)發(fā)問(wèn)題25典型轉(zhuǎn)發(fā)問(wèn)題之一：該接口類(lèi)型在母機(jī)上體現(xiàn)有一個(gè)對(duì)應(yīng)vhost進(jìn)程，該進(jìn)程是協(xié)

22、助加速虛機(jī)(即 VSR1000)與母機(jī)之間進(jìn)行報(bào)文交互的，即母機(jī)上的報(bào)文上送VSR或者VSR的報(bào)文 發(fā)前往母機(jī)都會(huì)經(jīng)過(guò)vhost的處理，所以在vhost對(duì)整個(gè)環(huán)境的性能起著關(guān)鍵性作用2、VSR上output queuing對(duì)應(yīng)的FIFO queuing機(jī)制為：qos調(diào)用驅(qū)動(dòng)發(fā)送接口發(fā)送報(bào)文，驅(qū)動(dòng)發(fā)送報(bào)文接口獲取底層資源并發(fā)送，如果發(fā) 送失敗則返回失敗，如底層資源不足時(shí)會(huì)返回失??；qos調(diào)用驅(qū)動(dòng)發(fā)送接口發(fā)送報(bào) 文如果返回失敗，報(bào)文進(jìn)入FIFO隊(duì)列，如果隊(duì)列滿(mǎn)了，則會(huì)出現(xiàn)discards。在虛機(jī)環(huán)境中，上述“底層資源”表現(xiàn)為母機(jī)為虛機(jī)提供的出口隊(duì)列緩存，VSR發(fā) 送的報(bào)文其實(shí)是寫(xiě)入出口隊(duì)列緩存的，

23、由母機(jī)(vhost)負(fù)責(zé)讀走緩存中的數(shù)據(jù)， VSR先獲取出口隊(duì)列緩存空間，如果獲取成功則寫(xiě)入，如果獲取失敗則返回失敗， 并 在 內(nèi) 存 中 記 錄 失 敗 次 數(shù) ， 獲 取 底 層 資 源 的 接 口 有 ： virtqueue_get_buf,virtqueue_add_buf，移植開(kāi)源實(shí)現(xiàn)內(nèi)容。確認(rèn)是否為底層資源不足導(dǎo)致隊(duì)列丟包方法：步驟1：給VSR1000設(shè)備安裝devkit工具包(具體安裝方法請(qǐng)參考ISSU指導(dǎo)手 冊(cè):install active .)VSR虛擬路由器典型轉(zhuǎn)發(fā)問(wèn)題26典型轉(zhuǎn)發(fā)問(wèn)題之一：步驟2：進(jìn)入probe視圖，使用如下命令即可查看到因?yàn)榈讓淤Y源不足導(dǎo)致報(bào)文發(fā)送 失敗

24、進(jìn)FIFO隊(duì)列的次數(shù)：H3C-probedis driver g1/2/0 message | in TxLater/獲取資源返回不正常時(shí)該計(jì)數(shù)就會(huì)增加（此處增加，F(xiàn)IFO不一定增加，因?yàn)镕IFO有緩沖）uiTxLaterCnt: 6098655H3C-probedis driver g1/2/0 message | in TxLateruiTxLaterCnt: 6099682H3C-probedis driver g1/2/0 message | in TxLater uiTxLaterCnt: 6100150注意：使用完后請(qǐng)及時(shí)卸載devkit包，避免引入問(wèn)題 現(xiàn)場(chǎng)環(huán)境中定位到此處確實(shí)計(jì)

25、數(shù)在不斷增加解決方法：求助母機(jī)提供部門(mén)，分析vhost性能不足問(wèn)題，將vhost進(jìn)程綁定cpu以提高其性能。有時(shí)是出現(xiàn)突發(fā)高峰值流量導(dǎo)致偶爾丟包，可以配置增加FIFO隊(duì)列大小緩解：H3C-GigabitEthernet1/2/0qos fifo queue-length 1024VSR虛擬路由器典型轉(zhuǎn)發(fā)問(wèn)題典型轉(zhuǎn)發(fā)問(wèn)題之二：?jiǎn)栴}現(xiàn)象：VSR子接口是用來(lái)終結(jié)VLAN，多個(gè)子接口可終結(jié)多個(gè)VLAN。在VMware上已經(jīng)給 虛擬交換機(jī)端口組分配了VLAN ID=4095，表示所有VLANID的報(bào)文都會(huì)送到VSR， 但是，實(shí)際上VSR只收到一個(gè)VLAN ID的報(bào)文。問(wèn)題原因:VMWARE平臺(tái)上的虛擬交

26、換機(jī)或者虛擬端口組沒(méi)有啟動(dòng)混雜模式。解決辦法:在VMWARE虛擬交換機(jī)的虛擬端口組啟動(dòng)混雜模式接口和多個(gè)子接口端口組打開(kāi)混雜模式27VSR虛擬路由器典型轉(zhuǎn)發(fā)問(wèn)題典型轉(zhuǎn)發(fā)問(wèn)題之三：?jiǎn)栴}現(xiàn)象：在vmware平臺(tái)上，VSR網(wǎng)口設(shè)置的MTU超過(guò)1500，發(fā)送超過(guò)1500的大包，發(fā)送失敗。問(wèn)題原因:vmware虛擬交換機(jī)的MTU默認(rèn)配置是1500，沒(méi)有做同步修改。 解決辦法:修改虛擬交換機(jī)的MTU配置。28VSR虛擬路由器典型控制器問(wèn)題29典型控制器問(wèn)題之一：?jiǎn)栴}現(xiàn)象：NFVM上提示VSR Unavailable告警分析過(guò)程:問(wèn)題原因：VSR Unavailable告警表明，對(duì)應(yīng)VSR與NFVM之間的保

27、活報(bào)文超時(shí)， NFVM判斷 該VSR掉線不可管理，然后上報(bào)告警；可能原因：對(duì)應(yīng)VSR的管理口Down、中間 網(wǎng)絡(luò)出現(xiàn)擁塞或風(fēng)暴、VSR運(yùn)行設(shè)備出現(xiàn)異常。VSR不可用告警僅僅局限在控制層面，對(duì)于VPNGW系統(tǒng)而言，IPSec業(yè)務(wù)不受影響。解決方法：VSR具有自動(dòng)注冊(cè)的機(jī)制，一旦對(duì)應(yīng)VSR的管理口UP，或鏈路通信恢復(fù)正常，則該 VSR會(huì)自動(dòng)向NFVM進(jìn)行注冊(cè)，并再次上線；除非對(duì)應(yīng)VSR主機(jī)出現(xiàn)運(yùn)行異常，可 登錄Host主機(jī)，恢復(fù)VSR重新運(yùn)行。系統(tǒng)穩(wěn)定后，可以登錄VPNGW，搜集下設(shè)備運(yùn)行日志：VSR虛擬路由器典型控制器問(wèn)題30典型控制器問(wèn)題之一：1、進(jìn)入系統(tǒng)的flash:/logfile目錄，保

28、存最新的logfile文件并導(dǎo)出：cd flash:/logfile/logfile saveThe contents in the log file buffer have been saved to the file flash:/logfile/logfile12.log.2、系統(tǒng)穩(wěn)定后，觀測(cè)對(duì)應(yīng)VSR的CPU、內(nèi)存、管理口及中間網(wǎng)絡(luò)狀況，防止再次超時(shí)掉線。VSR虛擬路由器典型控制器問(wèn)題典型控制器問(wèn)題之二：?jiǎn)栴}現(xiàn)象：NFVM上報(bào)認(rèn)證失敗trap。網(wǎng)管平臺(tái)獲取不到現(xiàn)網(wǎng)運(yùn)行vsr節(jié)點(diǎn)的相關(guān)狀態(tài)、統(tǒng)計(jì)信息等，不能正常監(jiān)控。問(wèn)題原因：網(wǎng)管平臺(tái)使用的團(tuán)體名與vsr配置的團(tuán)體名不一致，導(dǎo)致snmp訪

29、問(wèn)失??；比如：vsr缺省使用public團(tuán)體名，網(wǎng)管平臺(tái)使用tcnw，這樣就會(huì)導(dǎo)致訪問(wèn)時(shí)認(rèn)證失?。簊nmp-agent community read public acl 200031VSR虛擬路由器典型控制器問(wèn)題32典型控制器問(wèn)題之二：解決方法：新部署的vsr可以通過(guò)NFVM自動(dòng)下發(fā)snmp配置，并使用客戶(hù)指定的tcnw團(tuán)體名；現(xiàn)網(wǎng)已運(yùn)行設(shè)備須手工修改。VSR虛擬路由器典型控制器問(wèn)題33典型控制器問(wèn)題之三：?jiǎn)栴}現(xiàn)象：VSR主備分裂，產(chǎn)生雙主。NFVM能夠精準(zhǔn)識(shí)別主備倒換和堆疊分裂行為，分裂操 作不牽涉到VPC側(cè)路由的刷新；業(yè)務(wù)流量仍會(huì)走到原來(lái)的主設(shè)備，IPSec VPN通道 正常存在，因此業(yè)

30、務(wù)不會(huì)受到影響。問(wèn)題原因：VPN網(wǎng)關(guān)主VSR設(shè)備CPU繁忙、建立堆疊通道的中間網(wǎng)絡(luò)出現(xiàn)擁塞或風(fēng)暴、堆疊使 用的管理口或Host主機(jī)的物理網(wǎng)卡down，都可能都會(huì)導(dǎo)致堆疊設(shè)備間的?；顖?bào)文 收發(fā)不及時(shí)，出現(xiàn)心跳超時(shí)；最終導(dǎo)致堆疊出現(xiàn)分裂。解決方法：VSR堆疊支持自動(dòng)Merge的功能，堆疊分裂發(fā)生后，一旦鏈路恢復(fù)、或心跳報(bào)文收 發(fā)正常，原主會(huì)自動(dòng)檢測(cè)到對(duì)被分離出去的堆疊成員，該成員設(shè)備會(huì)自動(dòng)重啟再次 加入，系統(tǒng)仍保持主備堆疊狀態(tài)。系統(tǒng)穩(wěn)定后，可以登錄VPNGW，搜集下設(shè)備運(yùn)行日志：1、進(jìn)入系統(tǒng)的flash:/logfile目錄，保存最新的logfile文件并導(dǎo)出：VSR虛擬路由器典型控制器問(wèn)題34典

31、型控制器問(wèn)題之三：1、進(jìn)入系統(tǒng)的flash:/logfile目錄，保存最新的logfile文件并導(dǎo)出：cd flash:/logfile/logfile saveThe contents in the log file buffer have been saved to the file flash:/logfile/logfile12.log.2、系統(tǒng)穩(wěn)定后，觀測(cè)主設(shè)備上的CPU、內(nèi)存、堆疊接口及中間網(wǎng)絡(luò)狀況，防止再次發(fā)生分裂。VSR虛擬路由器典型控制器問(wèn)題35典型控制器問(wèn)題之四：?jiǎn)栴}現(xiàn)象：VSR主備切換VPNGW采用VSR堆疊方式，主備倒換后都會(huì)通知NFVM狀態(tài)變化，由NFVM調(diào)用 VPC

32、接口刷新路由，將業(yè)務(wù)流量引到新的VSR主設(shè)備。對(duì)于冗余口方案，冗余口狀 態(tài)會(huì)自動(dòng)響應(yīng)主備倒換事件，冗余口狀態(tài)對(duì)外沒(méi)有變化，IPSec VPN通道不受影響， 用戶(hù)業(yè)務(wù)平滑過(guò)渡；對(duì)于非冗余口方案，原有IPSec通道會(huì)自動(dòng)刪除，同時(shí)由業(yè)務(wù)流量觸發(fā)IPSec SA重協(xié)商、并新建VPN通道，這個(gè)過(guò)程會(huì)有2-3s的中斷。問(wèn)題原因：VSR主設(shè)備由于業(yè)務(wù)運(yùn)行異常、內(nèi)存耗盡、操作失誤虛機(jī)被Destroy、主機(jī)掉電， 可能導(dǎo)致VPNGW產(chǎn)生主備倒換行為。解決方法：一般而言，主備倒換業(yè)務(wù)有自動(dòng)恢復(fù)機(jī)制，不須要人工干預(yù)。系統(tǒng)穩(wěn)定后，可以登 錄VPNGW，搜集下重啟設(shè)備的原因及異常棧記錄。VSR虛擬路由器典型控制器問(wèn)題36典型控制器問(wèn)題之四：具體命令：1、display version，查看原主設(shè)備的重啟原因；2、進(jìn)入probe視圖，查看原主設(shè)備的