VTP协议裁剪功能引故障
2015-12-03■
■
前一段时间,单位将“服役”近十年的思科4506交换机替换为华三的S7502E交换机,但是在替换后,出现了部分处室无法上网的问题,经排查,定位故障的直接原因为VTP协议的裁剪功能导致某个VLAN的数据报文无法正常转发。之所以裁剪功能生效,是因为华三的S7502E交换机不支持思科私有的VTP协议。下面就将对整个故障的定位及排除过程进行详细介绍。
网络结构
单位网络结构如图1所示,三个楼层机房中的三个思科2960接入交换机通过中继线直接连接到中心机房的核心交换机(此次割接替换的设备),经过核心交换机上联的出口连接互联网(这里省略了上联的出口路由器及相应的安全设备),另外有的楼层由于一台交换机的接入接口数不够,还下挂了一台思科2960交换机,各交换机之间通过中继线连接,中继线配置为允许所有的VLAN通过。各楼层用户直接连接到相应楼层的接入交换机上,不同的处室通过划分不同的VLAN进行逻辑上的隔离以防止广播风暴。
图1 网络拓扑结构图
故障现象
在华三S7502E交换机替换掉思科4506交换机之后,在有的楼层出现一定数量用户无法上网的情况,而且问题用户都是来自于同一处室。
分析处理
1.通过对各问题用户进行分析,我们注意到,无法上网的用户都是以处室为单位出现故障,即他们是处于同一个VLAN中;楼层的思科交换机VLAN是通过思科的私有VTP协议进行配置的,目前所有楼层思科2960都是配置成Client模式,之前替换的思科4506设备配置的是VTP的Server模式。于是,我们首先将图1中思科2960-B1设备修改为Server模式,使各楼层的VLAN能够保持一致。完成配置后,故障并未消失,这个情况也在意料之内,于是进一步进行分析。
2.基于以上的分析结论,怀疑是因为相应的VLAN数据报文无法进行转发导致,于是对所有中继线上的VLAN报文透传情况进行查询。查看发现,思科2960-A1和思科2960-A2之间的中继线允许VLAN17通过,而思科2960-A1上联华三S7502E的中继线并未允许VLAN17的报文通过,VLAN17即下挂在思科2960-A2下出问题的处室所处的VLAN。另外,思科2960-B1和思科2960-B2之间的中继线允许通过VLAN25通过,但是思科2960-B1上联华三S7502E的中继线并未允许VLAN25的报文通过,VLAN25即下挂在思科2960-B2下出问题的处室所处的VLAN。
3.分析至此,我们有两个疑问:第一,为什么我们配置的是允许所有VLAN数据报文都能从中继线通过,但是特定两个VLAN未能得到允许?第二,我们已经对照过华三S7502E和思科4506的配置,并未发现有配置缺失,为什么替换之前没有问题呢?
4.根据比较替换设备前后的配置及网络环境差异,我们基本可以将问题集中在思科的私有VTP协议上,于是对接入交换机上所有设备的VTP状态进行了查询,发现所有思科设备上的VTP裁剪功能都是打开的。VTP裁剪是为了避免不必要的泛洪数据流,而选择性地对个别VLAN数据报文不进行转发,选择的依据为接收端交换机是否存在活跃的相应VLAN的端口。
5.我们推测,VLAN17和VLAN25的数据报文很有可能就是被裁剪掉了,基于需要快速恢复业务的原则,先将所有思科交换机上的VTP裁剪功能进行关闭,观察业务是否恢复,之后再进一步的分析。
VTP裁剪功能关闭之后,VLAN17和VLAN25中的业务恢复正常,通过网管软件查看各楼层用户情况,确认所有的楼层用户业务也都正常,至此问题全部解决。
故障分析
业务已经全部恢复,但是为了确保不再出现类似的问题,还需要将问题根源做进一步的分析。
我们已经能够基本确定,故障的原因来自VTP协议的裁剪功能,但是尚未解决为什么替换之前思科4506在线时不存在此问题的疑问。经过查看配置发现,在核心交换机上存在接口VLAN17和VLAN25的配置,但是在其他楼层的交换机上并未配置VLAN17和VLAN25接 口。结合VTP裁剪功能的描述,问题的根源就浮出水面了。
当思科4506在线时,由于思科4506上存在接口VLAN17和VLAN25,所以思科2960-A1与思科2960-B1上联的中继线能够转发相应VLAN的数据报文,但是当思科4506替换为华三S7502E之后,因为华三S7502E并不支持VTP协议,所以思科2960-A1认为它的接收端并不存在接入VLAN17的设备(这个信息需要从VTP报文中获取),于是将VLAN17从中继线上进行了裁剪。同理,思科2960-B1也将VLAN25进行了裁剪,从而导致了VLAN17和VLAN25中用户无法上网的问题。
VTP协议的裁剪功能是默认关闭的,建议只有在泛洪流量占用资源特别严重的情况下开启,否则,在对思科设备进行替换的操作中,就很有可能出现不希望的裁剪动作。
经验总结
VTP协议属于思科的私有协议,由于在早些年,大家使用的设备大多数都是思科的设备,所以在整个网络中的互联互通不存在问题。随着近些年国内设备厂商的崛起,越来越多的企业选择华三、华为等设备厂商的产品,这样就可能出现在产品替换过程中一些兼容性问题。
所以,在进行不同厂商产品替换的时候,建议最好在替换前搭建模拟环境进行互通性测试,以防止在真正的割接中出现问题,导致业务中断。另外,在替换设备的割接操作中,如果出现了问题,应该尝试从不同厂商功能实现的差异性方面去分析问题。
