笔者最近在工作中遇到两起比较典型的网络故障,现总结如下。
一、端口镜像导致终端频繁出现无法连接的故障。
端口镜像(port Mirroring)功能通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”。端口镜像功能是对网络监控的一个有效的安全手段,比如笔者使用wireshark抓取过VoIP通信设备的网络交换机镜像端口输出的网络数据镜像文件包,通过解析镜像文件包获取VoIP通话声音。
镜像端口大量复制网络中的数据,并在二层网络中广播,在镜像端口上连接终端设备或者交换机,可能会导致网络风暴。
端口镜像配置方法:
1)华为交换机配置监听端口,observe-port 1 interface GigabitEthernet0/0/1。
2)port-mirroring to observe-port 1,命令行配置时在端口下输入这个命令,它自动会展开为inbound和outbound两条。
笔者在设备调试时,镜像端口上部分终端频繁出现无法连接的故障,甚至影响到其他系统的设备,经检查交换机配置,发现部分端口配置了端口镜像,删除后故障消除。
在这里就有一个问题,镜像端口影响到其他系统的设备了,那两个系统之间的是可以连通的,无法控制控制广播活动。解决方案就是各系统划分各自的VLAN,隔绝二层网络数据。有通信需要的系统之间,采用三层交换机路由方式进行网络数据交互。
二、默认VLAN1造成的网络故障分析
VLAN(Virtual Local Area Network)为"虚拟局域网"。交换机还没有配置daovlan的情况下默认所有端口都在vlan1里,又叫缺省vlan1,所有的口物理上都能ping通。
VLAN作用,总结如下:
1)VLAN限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量;
2)增强局域网的安全性,不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信;
3)提高性能,将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能;
4)节约成本,在现行链路和带宽上传输不同业务。
笔者在分析一起最近发生的系统交换机故障导致数据通信故障的案例。BPDU(Bridge Protocol Data Unit网桥协议数据单元)报文,该报文会造成交换机生成树发生变化,需要重新计算生成树,引起网络拓扑的振荡,从而导致造成网络暂时中断,影响业务正常运行。交换机只配置了基本的快速生成树协议,并没有配置相应BPDU保护或根桥保护机制,收到其他系统的BPDU后很容易造成根桥变动导致网络故障。 交换机划分VLAN,不同业务对应不同VLAN ID,避免不同业务网络之间互相干扰。
网友评论