■

故障現(xiàn)象

筆者單位先前有兩個網(wǎng)絡，分別有不同的終端和服務器，下級單位與中心通過一個E1信道相連，中間用單口網(wǎng)橋（E1轉1路以太網(wǎng)協(xié)議轉換器）轉換，交換機“透明”混用。2個網(wǎng)絡主要是通過設置不同的網(wǎng)段來區(qū)分，網(wǎng)絡拓撲結構如圖1所示。

這種網(wǎng)絡結構存在幾個問題，一是兩個網(wǎng)絡沒有從物理上隔離開，易混用。由于只是簡單的“邏輯”隔離，一個網(wǎng)絡的終端通過修改IP地址就能訪問另一個網(wǎng)絡。二是交換機未配置參數(shù)，不能進行遠程登錄，不便于維護、管理。單位決定對網(wǎng)絡進行改造，一是將兩個網(wǎng)絡從物理上隔離開，同時下級單位劃分不同的VLAN，實現(xiàn)清晰的網(wǎng)絡結構。二是交換機配置管理地址等參數(shù)，便于進行遠程管理。由于信道限制，為了將兩個網(wǎng)絡隔離開，選擇了一款帶有兩個網(wǎng)口的網(wǎng)橋（E1轉2路以太網(wǎng)協(xié)議轉換器），網(wǎng)絡拓撲結構如圖2所示。

圖1 改造前的網(wǎng)絡拓撲結構

圖2 改造后的網(wǎng)絡拓撲結構

此款網(wǎng)橋具有“隔離”和“交換”兩種模式，本次網(wǎng)絡改造主要是用網(wǎng)橋的“隔離”模式，將2個網(wǎng)絡隔離開。網(wǎng)絡1的終端地址規(guī)劃為VLAN11，交換機管理地址規(guī)劃為VLAN9，服務器地址規(guī)劃為VLAN8。設備重新配置IP地址，線路聯(lián)通后進行測試，發(fā)現(xiàn)中心可以Ping通下級單位的交換機地址，同時能遠程管理下級單位的交換機，但Ping不通下級單位的終端。

故障排查

IP地址規(guī)劃、VLAN劃分先前在沒有網(wǎng)橋的環(huán)境下測試過，網(wǎng)絡能夠正常聯(lián)通，現(xiàn)在中心能夠聯(lián)通下級單位的交換機，證明中間E1信道也是正常的，造成下級單位的終端與中心不通，問題肯定出在網(wǎng)橋上。

首先懷疑網(wǎng)橋的“隔離”模式未設置成功，重新設置兩端網(wǎng)橋為“隔離”模式，并重啟網(wǎng)橋，現(xiàn)象依舊。接著，抱著試一試的心態(tài)，把網(wǎng)橋設置為“交換”模式，結果發(fā)現(xiàn)下級單位的終端與中心能夠正常聯(lián)通，中心也可以管理下級單位的交換機。

到這一步，可以確定問題出在網(wǎng)橋的“隔離”模式上。馬上聯(lián)系這款網(wǎng)橋的技術支持，詳細詢問“隔離”模式的具體實現(xiàn)原理，原來這款網(wǎng)橋兩個網(wǎng)口的“隔離”是通過網(wǎng)橋內(nèi)部自動劃分VLAN的方式來實現(xiàn)的：不同網(wǎng)口進來的數(shù)據(jù)包，有VLAN tag的網(wǎng)橋會去掉重新封裝自己的VLAN tag，沒有VLAN tag的網(wǎng)橋封裝自己的VLAN tag，然后在網(wǎng)橋內(nèi)部“隔離”傳輸；數(shù)據(jù)包從對應網(wǎng)口出去的時候網(wǎng)橋把相應的VLAN tag再去掉。

此次應用中，交換機級聯(lián)的trunk口配置參數(shù)具體如下：

交換機管理地址為VLAN9，從交換機 trunk口出去的時候VLAN tag已經(jīng)被去掉，所以經(jīng)過網(wǎng)橋處理后不受影響；而終端地址為VLAN11，從交換機trunk口出去的時候VLAN tag仍在，經(jīng)過網(wǎng)橋處理后原VLAN tag被去掉。因此在此款網(wǎng)橋“隔離”模式下，中心與下級單位的交換機可以聯(lián)通，而與終端聯(lián)不通。

故障解決

明白了原理之后，筆者重新選了一款“硬隔離”網(wǎng)橋，即2個網(wǎng)口通過分配不同的E1時隙來隔離，網(wǎng)絡順利聯(lián)通，改造按照預期效果完成。

經(jīng)驗總結

這次故障的發(fā)生，主要是對網(wǎng)橋的“隔離”模式?jīng)]有理解透徹，造成了網(wǎng)絡改造中的一些困難。從事網(wǎng)絡維護工作，還是要對設備的基本原理了解清楚，這樣才能用好設備、減少麻煩。