APP下载

交换机“失连”专题问答

2020-10-22江苏孙秀洪

网络安全和信息化 2020年12期
关键词:连通性交换机报文

■江苏 孙秀洪

编者按:工作环境中,设备之间通常通过交换机连接,本文列举了一些和交换机相关的问题,希望对大家的工作有所帮助。

在物理线路通信正常的状态下,远程端口的RIP 数据报文与本地路由交换端口无法正常连接,请问怎样解决这种故障?

答:这种问题很可能是远程端口没有执行network 使能命令或没有开启RIP 功能引起的。此外,在远程路由交换机启用了组播方式,而本地路由交换机中没有启用组播方式时,也容易造成上述故障。因此,要想有效应对这类故障,必须要先在本地和远程端口上同时启用RIP 功能;其次要使用network 使能命令,确保它们同时处于组播方式。

终端主机借助交换机与其他设备相连,它们位于相同的工作网段中,不过相互之间无法进行Ping 通连接,估计会是什么问题呢?

答:首先查看交换机的信号灯、电源输入、网络连接是否正常,交换机自身状态是否正常。在上述因素都被排除的情况下,再查看交换机有没有设置了IP 地址,要是使用了和其他设备不在同一工作子网的IP地址,将其删除或设一个和其他设备在同一工作子网的IP 地址。倘若这种努力还没有效果,那需要检查VLAN 设置,看看连接交换机的几个端口是否属于不同的工作子网,所以才出现了连通性问题,如果真是这样的话,及时将设置的VLAN 去掉或者修改到相同工作子网中。

当开启了某网络中路由交换机的DHCP 中继功能,DHCP服务器与终端主机系统工作在同一个虚拟网段中,但是终端主机系统始终不能与DHCP 服务器建立正常的通信连接,不知道该如何解决?

答:出现上述问题,很可能是网络连接不通畅、DHCP 服务未开启、DHCP 服务器没有对地址池参数进行正确配置等因素引起的。这个时候,不妨通过专业线缆测试工具判断网络线缆的连通性是否正常,在网络通畅的情况下,进入交换机后台系统视图界面,在该状态下执行“dhcp enable”命令,开启DHCP 服务。之后,正确配置包含或与接收接口IP 地址在相同网段的地址池,以及正确配置与接口IP 地址网段相同的地址池网段。如果上述配置都正常的情况下,可以使用“display dhcp server expired all”命令判断地址有没有存在过期租约现象,要是存在的话,可以执行“reset dhcp server ip-in-use”命令,将那些过期租约成功删除掉。要是还无法解决问题时,可以尝试扩大配置的地址池网段,确保有足够的地址可以分配利用。

单位局域网中共有不到200 台的计算机,这些计算机分别连接到各个楼层交换机,再借助核心路由交换机上网访问,平时每台计算机上网连接状态很好。但最近几天,总有用户在抱怨,说他们的计算机上网速度很慢,有时连简单网页都打不开,网管员怀疑有人悄悄在进行BT 下载。请问为了确保终端计算机与核心交换机的上网连接状态稳定,怎样才能准确知道哪台计算机在悄悄下载,并能有效限制它们的恶意下载操作呢?

答:只要在局域网中部署Sniffer 这样的监控工具,通过这些监控工具的数据流量视图,就可以十分轻松地看到局域网中究竟哪台计算机的数据流量比较大了,这些流量不正常的计算机,自然是有人在偷偷进行BT 下载操作了。当然,由于现在的核心路由交换机大多支持流量查看功能,大家可以在路由交换机后台系统命令行状态,使用“display dia”之类的命令,查看核心交换机所有交换端口的流量变化状态,这样就能找到悄悄进行BT 下载操作的计算机系统。如果想有效控制用户的恶意下载行为,不妨利用聚生网管、超级网管、网路岗之类的专业工具,来对下载操作进行严格控制。

一台台终端设备接入到100/1000 Mbps 自适应的交换机一个端口上,连通性正常,但是将安装有1000 Mbps 网卡的终端设备连到该交换机上时,信号面板上的指示灯显示状态不正常,连接状态不正常。请问这是怎么回事?

答:这种问题多半是配置不当引起的,交换机的端口很可能被强制成100 Mbps 连接模式,在连到1000 Mbps 设备情况下才会出现失去连接故障。要想解决这种问题,可以进入到对应连接端口视图配置模式下,将交换端口速度恢复成自适应或强制成1000 Mbps。

两台H3C 品牌路由交换机在通信连接正常的状态下,尝试在其中一台将对端环回接口设置为bgp 邻居,可是发现bgp 邻居无法成功创建,不知道该怎么办才好?

答:不放先进入路由交换机后台系统命令行状态,执行字符串命令“display ip routing-table”,观察本地路由表有没有成功学习到对端环回接口路由内容。如果能够成功学习到的话,继续利用Ping命令测试对端环回接口的IP地址,看看目标地址能否被正常Ping 通。在测试出连通性正常的情况下,通过“display current-configuration bgp”命令判断bgp 参数有没有配置正确,同时判断有没有通过“peer peer-address connectinterface”命令将本地环回接口设置作为和对端建邻居的接口,有没有在vpnv4 子地址族视图激活邻居。之后,在对端pe 查看bgp 信息有没有配置正确,以及有没有将本地环回接口设置作为建邻居的接口,同时查看有没有配置VPN 能力。

在管理维护Quidway S8500 路由交换机的过程中,有时候,无法查看到OSPF 的邻接状态,不知道是什么原因?

答:倘若我们无法从命令的输出中看到邻接状态,那么就证明网络连接有问题或ACL配置不当。这个时候,可以使用display interface 命令,确认交换端口是否up,line protocol 是否up,如果不正确的话,那就证明网络链路有问题。使用Ping 命令检查能否Ping 通邻居路由交换机的接口;要是能Ping 通的话,需要使用display ospf interface命令检查是否所有的邻居路由器对应接口上的OSPF 功能是否都启用了,检查端口有没有被设置成passive 接口,因为在OSPF passive 接口上不会发送hello 包。当然,还要对路由交换机的ACL 配置进行检查。

最近用一台旧的交换机,将几台计算机组建成了简易的局域网,整个网络的工作状态很正常,但个别计算机无法与交换机正常连接,不知道是怎么回事?

答:这是交换机失连方面最常见的问题之一,如果RJ-45 端口或光纤插头脏了,或许会引起交换端口污染而无法正常连接计算机。还有,平常不少用户总喜欢在带电状态下插拔交换接头,在理论上好像并没有什么不妥,但实际上如此操作常常会在无意间增加交换端口的连接故障率。此外,连接交换机与计算机的网络线缆所用水晶头如果尺寸偏大,接入交换机时,也很容易破坏交换端口,影响物理连通性;在搬运设备时操作不小心,也容易引起交换端口物理损坏,造成网络连接不正常。而且,连接在交换端口上的双绞线,如果有一段暴露在室外,一旦这段区域被雷电击中,也会影响特定交换端口的连通性。

因此,当出现上述现象时,应该先检查发生故障的终端计算机,在排除了交换端口所连计算机的自身问题后,不妨尝试更换所连交换端口,来判断物理连通性是否正常,如果在更换交换端口后问题立即得到解决时,可以再进一步识别出端口出现问题的具体原因。在确认交换端口存在问题时,可以在网络访问空闲时段,关闭交换机电源,用酒精棉球清洗特定交换端口,要是端口确实出现物理损坏,那只能更换新的端口模块了。

组网规模稍大一点的工作网络中,往往都部署有DHCP 服务器,来为终端计算机自动分配IP 地址。但现在很多网络设备都自带DHCP 服务,当它们接入网络后,自带DHCP 服务就可能会无意中干扰合法DHCP服务器运行状态,从而影响整个网络的连接性能,请问如何保护合法DHCP 服务器运行稳定呢?

答:很简单!只要在局域网核心交换机中启用DHCP 监听功能,来禁止非信任用户向网络发送除上网请求以外的其它DHCP 报文,确保普通网络设备自带DHCP 服务不会影响网络中的合法DHCP 服务器正常工作。比方说,要启用H3C 路由交换机的DHCP 监听功能时,不妨先将交换机后台系统切换到全局视图模式状态,输入“dhcpsnooping”命令按回车后,DHCP监听功能就会被启用成功了。一旦开启了DHCP 监听功能后,核心交换机日后就能智能监控网络中传输的DHCP 报文,一旦发现非信任端口有除了上网请求类型之外的其他DHCP 报文时,将会强制交换端口自动将其丢弃,这样非法DHCP 服务器就无法对合法DHCP 服务器造成影响了。

某单位网络使用了H3C S8500 系列路由交换机上网访问,几台楼层交换机通过多模光纤线路与之接级。为安全起见,网管员将路由交换机上的每个交换端口进行了隔离,保证位于各个楼层的子网都处于不同的工作网段,以前各个楼层上网还算正常。而现在计算机与交换机之间频繁发生连通性问题,具体现象为:有时打开网页速度很慢,不过网络下载速度却正常,有时什么也访问不了,不知道这种现象该怎么解决?

答:如果网络下载速度始终正常,那就意味着大楼网络数据包转发没有任何问题,那么无法访问网络内容,多半就是局域网中的DHCP 服务器和DNS 服务器存在问题。此时,可以重点检查局域网中的DHCP 服务器有没有正确分配IP 地址,地址租约参数是否设置正确,局域网中是否同时存在其他的小路由器,并且这些设备的自带DHCP在影响着本地网络。只有确保DHCP 服务器的唯一,同时参数配置正确,才能让局域网客户端获得有效的上网地址。在确认DHCP 服务没有问题时,还要检查局域网中是否有独立的DNS 服务器,如果有的话,应查看DNS 服务器工作状态是否稳定,是否和本地ISP 的DNS 服务器更新有关联;要是使用的是本地ISP 的DNS 服务器,看看是不是本地ISP 的DNS 服务器有问题。

在H3C 路由交换机命令行状态下,使用“display stp”命令,查看特定交换端口的Stp/Rstp 状态时,看到指定交换端口失去连接,这时该如何才能恢复目标交换端口的连接性状态呢?

答:特定交换端口的连接性状态不正常,往往表现在两个方面,一是交换端口的forwarding 状态变成了discarding 状态,二是交换端口的discarding 状态变成了forwarding 状态。对于第一种情况,只要重点检查目标端口的优先级参数、STP 的cost 值参数是否正常,在这些参数都正常的情况下,再观察一下指定端口下面是否存在网络环路现象,一旦发现存在网络环路时,应该及时排除环路故障,就能将交换端口工作状态恢复正常。对于第二种情况,主要是观察交换端口STP 数据报文是否收发正常。

某子网连接到核心交换机的g1/4/16 光端口上,通过路由交换系统访问Internet,平时该工作子网中的每台计算机上网连通性很正常。但最近上网速度明显没有以前那样快捷了,刚开始还以为是终端计算机自身连通性不好,采取检查线路、扫描病毒、优化系统等措施后,网络连接速度还是很慢,严重时还频繁出现掉线现象,请问怎样有效应对这种类型故障?

答:首先查看特定工作子网接入交换机与核心交换机之间的物理连接是否牢靠,在物理连接牢靠的情况下,检查交换端口的工作模式是否匹配,如果不匹配时,或许会要不断地协商、纠错,这容易引起网络传输发生丢包现象。要是上面的因素被排除后仍然无法解决问题,很可能是交换端口发生了损坏,比方说,交换端口频繁遭遇大流量冲击发生性能老化现象,或者是用户使用端口的方法不当,从而造成了上网数据严重丢包故障,此时只有更换新的端口才能解决问题。

现在多数核心交换机都具有回路监测功能,善于使用该功能,可以快速定位局域网中的回路位置,可是该功能有时不能随意使用,不知道是什么原因?

答:要是随意使用这项功能,可能会对其他网段工作状态造成影响。例如,要是交换机某端口工作在Trunk 模式,那么该端口下面要是包含了多个网段,此时如果随意启用回路监测受控功能,那么只要一个网段中存在回路,那么其他网段的工作状态都会受到影响。一般来说,汇聚层交换机某端口下面连接的交换机支持并启用回路监测功能时,那么就能将该端口设置成Trunk 模式,并且启用回路监测功能,不过要关闭回路监测受控功能。如果下挂的交换机不支持回路监测功能,那可以启用端口回路监测功能,回路监测受控功能也能同时运行。

在一台安装了Windows 10系统的终端主机中,系统任务栏明明显示网络连接速度为1 Gbps。但是,在实际进行网络连接时,发现连接速度连百兆网络的性能都达不到,这是什么原因?

答:造成这种状态的原因有很多,例如线缆、水晶头、外界干扰、网络配置等等。在解决这类故障时,应该先保证使用质量好的物理线缆,同时水晶头要用原装AMP 的。其次确保物理线缆不受挤压,不与其他强电线缆靠在一起,并暂时退出网络防火墙或病毒程序。第三要确保网卡设备工作模式与所连交换端口模式保持匹配,还要尽可能停用网卡设备的“流控制”功能,同时将绑定在网卡设备上的其他无关协议全部取消掉。

很多恶意用户经常会向局域网中发送虚假的TC-BPDU 报文,对核心交换机实施欺骗攻击,如果核心交换机在短时间内接受到太多的TC-BPDU 报文,那么系统就会频繁删除MAC 地址列表或ARP 列表操作,这样的操作很容易引起交换机出现连通性问题,请问怎样预防这种欺骗攻击?

答:不妨尝试配置启用核心交换机自带的预防TC-BPDU 报文攻击保护功能,当启用了这项功能后,交换机日后接受到TC-BPDU 报文,默认状态下每隔10 s 删除一次MAC 地址列表或ARP 列表,避免了频繁删除操作消耗太多的系统资源,同时在这段时间内,预防TC-BPDU 报文攻击保护功能还会同时监控交换机是否接受到其他TC-BPDU 报文,如果接受到的话,就会强制后台系统在指定时间段后,再删除一次ARP 列表记录和MAC 地址列表记录,确保删除操作不会太频繁。在配置这项功能时,可以在系统全局模式状态下,输入“stp tc-protection enable”命令即可。

笔者想要实现FEC 功能,尝试将两台交换机的两对端口用两条线同时连在一起,不过却发现每台交换机始终是其中一个端口能够连通,另外一个端口不能连通,请问这是不是交换机的端口发生了问题?

答:正常情况下,这种状态交换机是没有问题的,因为两台交换机是用两个端口相互连接,所以交换机后台系统会自动认为是存在网络回路,于是它就会自动断掉其中一根,将相应的端口工作状态关闭掉,这时该端口连通性状态自然不正常。解决方法是打开交换机后台系统的Spanning tree 功能(默认状态下该功能是打开的),让交换机知道这两个连接端口是FEC 功能,逻辑上属于一个端口。

H3C 路由交换机在连通性正常的情况下,与该交换端口互连的计算机,向路由交换机发送IP 数据报文时,路由交换机无法对其成功转发,请问如何解决这种故障?

答:首先检查交换机是否启用了动态路由功能,一旦看到其还没有启用,那肯定就是交换机的静态路由存在问题。此时,可以尝试切换到交换机后台系统指定端口视图模式状态,并在命令行状态下输入“display ip routingtable protocol static”命令,在结果信息中检查交换机的静态路由有没有配置正确。然后在静态路由配置正确的情况下,继续输入“display ip routing-table”命令,查看指定静态路由是否工作正常。正常情况下,在静态路由启用同时参数配置正确的情况下,路由交换机应该能对数据报文执行转发操作。

有时,当尝试从Quidway S8500 路由交换机后台系统,通过Ping 命令测试网络中指定主机是否在线时,发现目标IP 地址的连通性一直有问题,不知道是什么原因?

答:首先查看目标主机有没有关闭Ping 命令测试功能,如果对应系统运行了防火墙或者进行了包过滤,那么核心交换机就可能不能Ping 通对应系统的IP 地址。在排除上述因素后,再查看交换机的参数配置是否正确,如果网络配置正确,查看指定主机与相连交换端口位于哪个VLAN,该VLAN是否正确配置了接口参数,特别是接口IP 地址与特定主机的IP 地址有没有被划分到同一个网段中。最后,可以考虑启用核心交换机的ARP 调试开关,判断交换机是否正常发送、接收ARP 报文,一旦看到交换机只能对外发送,而不能接收ARP 报文时,那多半是以太网物理层存在问题。

某用户在日常维护网络时,发现H3C S7500E 系列交换机的千兆/百兆SFP 光口无法处于UP 状态,在排除线路连通性因素后,他怀疑该交换端口的光模块出现了问题,那怎样才能判断光模块是否工作正常呢?

答:首先可以试着使用“display transceiver alarm interface”命令,检查特定端口上的光模块故障告警信息,如果显示为“None”,就意味着该模块没有问题;如果显示有报警提示,则意味着该光模块有问题或该模块与光接口类型不匹配。其次使用“display transceiver interface”命令,看看两端的光模块波长、距离等参数是否相同。第三借助光功率计分析测试特定端口收发光功率是否在正常范围内,是否稳定。如果上述方法仍然无法判断,只要更换与光接口匹配的光模块来进行替换排查了。

当遇到无法上网,查看交换机的工作状态是否正常时,管理员有时会在现场看到交换端口信号灯状态不正常,而连接到对应端口上的终端计算机自然也不能上网访问。碰到这类问故障,该怎样恢复终端计算机的网络连通性呢?

答:众所周知,交换机是由管理模块、堆叠模块、扩展模块等多个模块组合而成的,几乎每个模块都有属于自己的外部接口,这些模块一旦发生了故障时,我们往往能够直接通过信号灯状态来判断出它们的工作状态。所以,当看到某个端口的信号灯状态不正常时,我们可以考虑重新启动一下交换机后台系统,看看通过重启方式能不能解决软性故障;如果重启方式无法解决问题的话,我们可以考虑更换交换机的端口模块,在更换端口模块时,我们尽量将交换机设备的电源断开,之后插入新的端口模块,如果实在无法解决问题的话,我们就只能够联系设备供应商了。

某网络H3C S3100 系列接入交换机下,连接有一台虚拟机的物理服务器,下连的虚拟机所处子网各不相同,如果希望它们既能与外网保持连通,又能相互之间保持连通,是否需要对交换端口进行单独的参数配置操作?

答:不需要!只要在物理服务器中进行集中配置就可以实现上述连通目的了,因为每个虚拟机相互之间的连通,都是通过虚拟机软件的NAT 模式来配置的,与交换端口的配置无关。

猜你喜欢

连通性交换机报文
基于J1939 协议多包报文的时序研究及应用
植被覆盖度和降雨侵蚀力变化对小流域泥沙连通性的影响
中国自然保护地连通性的重要意义与关键议题
改进连通性保持的二阶多智能体编队控制
面向未来网络的白盒交换机体系综述
低轨星座短报文通信中的扩频信号二维快捕优化与实现
局域网交换机管理IP的规划与配置方案的探讨
闸坝对抚河流域连通性的影响研究
浅析反驳类报文要点
更换汇聚交换机遇到的问题