#原创分享#交换机上ACL错误添加引起故障

         故障现象：

              周五快要下班时，接到故障电话，说部分网络区域有故障，许多工位上不了系统，请求处理。

         故障分析：

                 马上进入网管系统，检查故障 负责这本部分网络的接入层交换机，发现无法登陆，初步判断是交换机故障和链路故障，通知同事带到备分交换机去现场出理。

                 到楼层弱电间后，看到交换机的指示灯正常，马上用cons口线登陆到这台交换机上，发现这台设备硬状态正常，于是排查是否是链路引起的故障。

                 用命令查看链路是否正常

                 

            display transceiver interface GigabitEthernet 5/0/1 verbose   

             1 光模块正常

             2  收发也正常

         说明链路也正常，排除了交换机的硬件和链路故障后，很奇怪为什么业务有问题。cons口登陆交换机后，ping交换机到管理地址网关正常。

            

       但是发现交换机到dot1x认证服务器不通，原因找到了，交换机到dot1x认证服务器不通，导致下面的用户无法通过dot1x认证。

             结论是交换机到dot1x认证服务器不通导致业务受到影响。

         故障解决：

                交换机到dot1x认证服务器不通，引起原因有三个：

                   1）交换机硬 件故障--已排除

                   2）链路故障--已排除

                   3）核心交换机的ACL--没有排查

                 检查核心交换机ACL时，发现把这台换机管理地地址写进去了，动作是deny，所以导致故障出现，处理方法，删除这条命令后，业务正常。

              故障总结：核心交换机配置要小心，ACL很重要，最好是双人复核，减少人为错误。

一般情况下，不建议工程师对客户的网络设备等进行操作，楼主应该属于对客户网络较为属于的人员，建议也在客户授权的情况下进行操作。
不过在客户遇到业务问题的时候，协助客户进行问题定位，先进行硬件情况排查，再进行配置间检查，连通性权限控制等，其他兄弟们排查问题的时候可以借鉴。
遇到问题不要慌，对于不清楚的客户出现异常，先梳理出业务的走向，再逐步排查，思路清晰

感谢楼主分享，核心交换机配置要小心，ACL很重要，最好是双人复核，减少人为错误这句是点睛之笔，拒绝策略做时要慎重再慎重。
排障第三方设备我们建议和客户的负责人告知问题分析原因，及建议解决方案，不能直接操作客户网络设备，社区的小伙伴们要注意。
排错思路还是十分清晰的，值得收藏

打卡学习

您好，感谢您参与社区原创分享计划8，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，奖励将在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

学习了交换机上ACL错误添加引起故障，核心交换机配置要小心，ACL很重要，最好是双人复核，减少人为错误。

进入网管系统

感谢分享

感谢分享