引言： 笔者单位组建了两套相互独立的局域网，这两个局域网是物理隔离的，不允许互访。前不久，网络出现故障，用户明明连接的是局域网A的网口，却获得了局域网B的IP地址、子网掩码、网关和DNS，最可能的原因是网络A与网络B间发生了物理连接。如何快速排查接线点呢？笔者使用思科网络助手（CNA），完美解决了此故障。

网络结构

笔者所在单位出于安全考虑，组建了两套相互独立的局域网。综合化布线时为每个用户工作区（办公点）安置了两个网络接口，分属两个不同的局域网。这两个局域网是物理隔离的，不允许互访。每套局域网均为单核心、核心层－接入层的两层式结构，网络拓扑结构如图1所示。

局域网A核心层为Cisco 6504-E三层交换机，通过光纤连接29台Cisco 2960接入层交换机，划分了35个VLAN，IP规划为192.168.0.0 /24，网 络 出口区连接Internet。局域网B核心层为Cisco 6504-E三层交换机，通过光纤连接23台Cisco 2960接 入 层交换机，划分了 2个 VLAN，I P规 划 为172.16.0.0/24，网络出口区连接政务外网。所有用户PC均为单网卡，同一时刻只能连接A、B网络中的一个，切换网络时需拔下网线后插入工作区另一接口。

局域网A、B均有各自的DHCP服务器，是在核心交换机上设置的，每个VLAN设一个DHCP服务器，所以网络A有35个DHCP服务器，网络B有2个DHCP服务器。

故障现象

前不久，部分用户反映无法正常上网。现场发现，用户明明连接的是局域网A的网口，却获得了局域网B的IP地址、子网掩码、网关和DNS。Windows命令行下用ipconfig/renew多次向DHCP服务器重新申请IP，时而得到网络B的IP，时而得到网络A的IP。

故障分析

凭直觉判断，最可能的原因是网络A与网络B间发生了物理连接，使网络A、B组成了一个大的局域网，在这个大的局域网中同时存在35+2＝37个DHCP服务器， DHCP服务器间是竞争关系，都具备向用户提供IP地址的能力。

图1 网络拓扑结构

图2 拓扑图左侧的交换机列表

用户网卡作为DHCP Client，向网络中发送DHCP Discover广播报文，两台DHCP服务器均接收到DHCP Discover报文，然后向DHCP Client发送一个DHCP Offer报文。DHCP Client只能处理其中的一个DHCP Offer报文，一般的原则是DHCP Client处理最先收到的DHCP Offer报文，然后发出一个广播的DHCP Request报文……

故障排查

网络A与网络B间发生了物理连接，该连接发生在核心层或接入层的可能性均存在。由于核心交换机放置在数据中心，由数据中心的网管人员管理维护，外人无法接触，基本上不可能发生核心层错误连线这种低级错误。经在数据中心现场勘查，没有发现两台核心层交换机间有任何连接，核心层互连的可能性被排除，那么互连只可能发生在接入层。

接入层互连点又存在两种可能，一在配线间，二在工作区。如果互连点在配线间，全单位共有十个弱电配线间，现场勘查找到互连点不需要太长时间。但如果互连点在工作区，全单位共有500多个工作区，1100多个网络布线点（每工作区有网络A、网络B接口各一个），且网络接口多数布置在办公桌后，需移动办公设备才能暴露网口和网线，排查的工作量非常大。那么有没有一种简单高效的方法来找到互连点呢？

对于Cisco的交换机，一种简单高效的方法是，使用Cisco公司为中小型企业提供的一款免费的、帮助网管员配置思科设备的工具——思科网络助手（CNA），优点是图形化、可自动产生网络拓扑，很直观。

到思科官网下载CAN，最新版本为6.3.0，安装过程很简单。运行CNA，首先Create community，输入要添加到管理组的交换机的IP或IP范围，输入交换机口令，软件即开始尝试与要管理的交换机建立通信，扫描到本组所有交换机后会形成并展示一个网络拓扑图，调整拓扑图的参数，使其显示设备链路接口ID、设备名称信息。

我单位二层交换机hostname均按“建筑物名称首字母+配线间所在楼层+F+D+本交换机在本配线间中的序号”的命名规则命名，如Z2FD3表示综合楼二楼政务外网交换机中的第三台，MD2表示门诊楼政务外网交换机中的第二台。目测右侧区域的拓扑图和左侧区域的交换机列表（放大后如图2），根据交换机的hostname发现问题。

图3 发生错误互连的两台交换机

图4 用 show cdp neighbors命令查看其相邻的交换机

图2字母d为创建出的community组名，表示政务外网组，其下方列出了本组所有二层交换机。Neighbors表示与本组交换机有链路相连的其他交换机，这里列出了两台，hostname分别为ws6504D和Z2FN1。其中ws6504D为核心交换机，由于思科网络助手无法管理三层交换机，所以将其列入Neighbors组，而Z2FN1根据命名可知其是属于网络A中的交换机，不属于网络B，而网络A、B应为物理隔离，不应有关联，所以可判断Z2FN1这台交换机与网络B中的某一台交换机发生了不应有的连接。

观察右侧区域拓扑，与Z2FN1相连的交换机为Z2FD1（放大后如图3），Z2FN1和Z2FD1均位于综合楼二楼配线间。在综合楼二楼配线间，现场勘查Z2FD1和Z2FN1这两台交换机之间并未发生互连，则互连必发生在工作区。查看网络端口表可知，与Z2FN1的Fa0/46端口和Z2FD1的Fa0/40端口相连的信息插座均位于综合楼一楼的同一间办公室。经在该办公室现场勘查，发现用户私接了一台8口的微型交换机，该交换机用两条网线同时连接了信息插座中分属网络A、B的两个网口。将其中一条网线拔掉，在思科网络助手中刷新拓扑图，发现交换机Z2FN1消失了，说明网络A、B间的连接已被清除。

其实用命令行的方式也能发现和排除此类故障。首先逐一telnet网络B中的每台交换机，用show cdp neighbors命令查看其相邻的交换机是哪几个，根据hostname名判断其是否属于本网络，如果发现相邻交换机不属于本网络，则可判定已找到发生错误连接的两台交换机（如图4）。此方法需遍历community中的所有交换机，需反复输入telnet登录口令并重复手工敲入命令，效率低下，远不及使用CAN方便和高效。