“软隔离”网桥造成的麻烦
2015-12-03■
■
故障现象
笔者单位先前有两个网络,分别有不同的终端和服务器,下级单位与中心通过一个E1信道相连,中间用单口网桥(E1转1路以太网协议转换器)转换,交换机“透明”混用。2个网络主要是通过设置不同的网段来区分,网络拓扑结构如图1所示。
这种网络结构存在几个问题,一是两个网络没有从物理上隔离开,易混用。由于只是简单的“逻辑”隔离,一个网络的终端通过修改IP地址就能访问另一个网络。二是交换机未配置参数,不能进行远程登录,不便于维护、管理。单位决定对网络进行改造,一是将两个网络从物理上隔离开,同时下级单位划分不同的VLAN,实现清晰的网络结构。二是交换机配置管理地址等参数,便于进行远程管理。由于信道限制,为了将两个网络隔离开,选择了一款带有两个网口的网桥(E1转2路以太网协议转换器),网络拓扑结构如图2所示。
图1 改造前的网络拓扑结构
图2 改造后的网络拓扑结构
此款网桥具有“隔离”和“交换”两种模式,本次网络改造主要是用网桥的“隔离”模式,将2个网络隔离开。网络1的终端地址规划为VLAN11,交换机管理地址规划为VLAN9,服务器地址规划为VLAN8。设备重新配置IP地址,线路联通后进行测试,发现中心可以Ping通下级单位的交换机地址,同时能远程管理下级单位的交换机,但Ping不通下级单位的终端。
故障排查
IP地址规划、VLAN划分先前在没有网桥的环境下测试过,网络能够正常联通,现在中心能够联通下级单位的交换机,证明中间E1信道也是正常的,造成下级单位的终端与中心不通,问题肯定出在网桥上。
首先怀疑网桥的“隔离”模式未设置成功,重新设置两端网桥为“隔离”模式,并重启网桥,现象依旧。接着,抱着试一试的心态,把网桥设置为“交换”模式,结果发现下级单位的终端与中心能够正常联通,中心也可以管理下级单位的交换机。
到这一步,可以确定问题出在网桥的“隔离”模式上。马上联系这款网桥的技术支持,详细询问“隔离”模式的具体实现原理,原来这款网桥两个网口的“隔离”是通过网桥内部自动划分VLAN的方式来实现的:不同网口进来的数据包,有VLAN tag的网桥会去掉重新封装自己的VLAN tag,没有VLAN tag的网桥封装自己的VLAN tag,然后在网桥内部“隔离”传输;数据包从对应网口出去的时候网桥把相应的VLAN tag再去掉。
此次应用中,交换机级联的trunk口配置参数具体如下:
交换机管理地址为VLAN9,从交换机 trunk口出去的时候VLAN tag已经被去掉,所以经过网桥处理后不受影响;而终端地址为VLAN11,从交换机trunk口出去的时候VLAN tag仍在,经过网桥处理后原VLAN tag被去掉。因此在此款网桥“隔离”模式下,中心与下级单位的交换机可以联通,而与终端联不通。
故障解决
明白了原理之后,笔者重新选了一款“硬隔离”网桥,即2个网口通过分配不同的E1时隙来隔离,网络顺利联通,改造按照预期效果完成。
经验总结
这次故障的发生,主要是对网桥的“隔离”模式没有理解透彻,造成了网络改造中的一些困难。从事网络维护工作,还是要对设备的基本原理了解清楚,这样才能用好设备、减少麻烦。