優(yōu)先級不足致網(wǎng)絡(luò)故障

VLAN技術(shù)目前在網(wǎng)絡(luò)中運(yùn)用廣泛，主要功能可以限制廣播報文，利于網(wǎng)絡(luò)安全，減少因主機(jī)數(shù)目過多時導(dǎo)致的沖突，提高網(wǎng)絡(luò)運(yùn)行質(zhì)量，可靈活構(gòu)建虛擬網(wǎng)絡(luò)等。VLAN內(nèi)的主機(jī)間可以直接通信，而VLAN間不能直接互通，如需互通還需要三層設(shè)備。目前劃分VLAN方式主要有依托網(wǎng)絡(luò)設(shè)備端口、MAC地址、IP地址和通信協(xié)議進(jìn)行劃分。而不同的劃分方式目前還無法兼容運(yùn)行，且不同的劃分方式運(yùn)行的優(yōu)先級也不同，因設(shè)置錯誤導(dǎo)致網(wǎng)絡(luò)故障的情況時有出現(xiàn)。

故障現(xiàn)象

單位為保障移動辦公，按照MAC地址劃分了很多VLAN，確保辦公人員無論走到哪里都可以隨機(jī)接入網(wǎng)絡(luò)，并使用自己相應(yīng)的網(wǎng)絡(luò)權(quán)限進(jìn)行辦公。一天，很多同事反映說無法正常上網(wǎng)。筆者以為是網(wǎng)絡(luò)出現(xiàn)了故障，遂安排網(wǎng)管員進(jìn)行故障排除。但是后經(jīng)了解和電話咨詢，幾乎所有的上網(wǎng)計算機(jī)都無法正常上網(wǎng)，負(fù)責(zé)故障排除的網(wǎng)管員斷定是單位的核心交換機(jī)出現(xiàn)了故障。

故障排除

為確保單位正常辦公，網(wǎng)管員先使用備份交換機(jī)替代了出現(xiàn)故障的核心交換機(jī)，網(wǎng)絡(luò)恢復(fù)正常。

既然故障得以排除，說明是單位的核心交換機(jī)確實出現(xiàn)了故障。觀察出現(xiàn)故障的核心交換機(jī)，加電啟動，經(jīng)自檢運(yùn)行后，發(fā)現(xiàn)交換機(jī)的電源模塊和各物理端口的信號指示燈均顯示正常，也無因燒壞硬件而出現(xiàn)的異常異味。故障交換機(jī)運(yùn)行了一段時間并進(jìn)行了觀察，發(fā)現(xiàn)故障交換機(jī)并沒有特別明顯的物理故障，遂準(zhǔn)備對故障交換機(jī)進(jìn)行全面檢測。因故障交換機(jī)配置內(nèi)容過多過雜，不清除配置無法進(jìn)行硬件檢測。于是，在配置計算機(jī)上架設(shè)了FTP服務(wù)器，在故障交換機(jī)上做了相關(guān)設(shè)置后，備份了核心交換機(jī)的配置后，清理了核心交換機(jī)的配置。

使用兩臺計算機(jī)分別連接在故障交換機(jī)的各端口進(jìn)行測試，發(fā)現(xiàn)各端口均可以正常Ping通。即然可以Ping通，那故障交換機(jī)的物理端口就不存在故障。后又長時間運(yùn)行了一段時間進(jìn)行觀察，發(fā)現(xiàn)故障交換機(jī)一直運(yùn)行正常。

打開故障交換機(jī)備份的配置文檔，對配置文檔進(jìn)行檢查，發(fā)現(xiàn)在配置文檔中相比于以前的配置文檔，又新增了數(shù)條配置，其中在故障交換機(jī)的GigabitEthernet 0/0/5物理端口新增了配置（如圖1）。但在此接口的配置內(nèi)容和方式不同于在其他物理端口的配置方式，其他物理端口的配置方式如圖2所示。

通過查看和對比相關(guān)配置后，終于找出了故障原因。核心交換機(jī)并未出現(xiàn)物理故障，問題出現(xiàn)在新增配置上。因配置內(nèi)容過多過雜，新增配置不注意觀察很難發(fā)現(xiàn)出現(xiàn)的問題。原來是有同事在核心交換機(jī)上新增了該配置，GigabitEthernet 0/0/5物理端口前期一直未使用，因業(yè)務(wù)需要從該物理端口向外延伸了網(wǎng)絡(luò)，為保證能按需上網(wǎng)，故在該端口進(jìn)行了VLAN設(shè)置，設(shè)置完成后，經(jīng)測試，該單位網(wǎng)絡(luò)可以正常上網(wǎng)。

雖然該單位可以正常上網(wǎng)，但是因為配置方式的錯誤，導(dǎo)致其他用戶無法正常上網(wǎng)。在GigabitEthernet 0/0/5接口上參照其他接口的配置進(jìn)行了修改，然后又進(jìn)行運(yùn)行測試。然后將其置換回去后，故障排除。

圖1 GigabitEthernet 0/0/5接口新增配置

圖2 其他正常端口的配置

故障原因

在GigabitEthernet 0/0/5物理端口上新增了相關(guān)設(shè)置，通過查看設(shè)置可以看出，劃分VLAN的方式是基于端口的方式，而其他物理端口使用劃分VLAN的方法卻是基于MAC地址的劃分方式。當(dāng)基于端口的劃分方式生效時，基于MAC地址的劃分方式就會失效，因為在劃分VLAN的方式中，基于端口的劃分VLAN方式的優(yōu)先級是高于基于MAC地址的劃分VLAN方式的優(yōu)先級。當(dāng)同時在交換機(jī)中進(jìn)行配置時，可以生效的是基于端口的劃分VLAN方式，而基于MAC地址的劃分VLAN方式是無效的。這也就導(dǎo)致在GigabitEthernet 0/0/5物理端口上按基于端口劃分VLAN方式后可以和VLAN的網(wǎng)關(guān)可以連通，而其他端口的配置卻無法和相應(yīng)VLAN的網(wǎng)關(guān)進(jìn)行連通。

經(jīng)驗總結(jié)

在日常使用VLAN時，有很多種方式進(jìn)行劃分，目前，最成熟使用效果最好最受歡迎的是基于交換機(jī)端口和基于IP地址的VLAN劃分方式，這兩種方法雖然欠靈活，但配置簡單，不需要統(tǒng)計用戶終端的MAC地址等信息。而要移動辦公，最理想的方式是基于MAC地址的劃分方式，但這種方式易遭受MAC欺詐攻擊的隱患。

在劃分VLAN時，只能使用其中的一種方式，而不能幾種方式同時采用，當(dāng)同時采用時，基于端口的方式優(yōu)先級要高于基于MAC地址的方式的優(yōu)先級，可以正常工作的基于端口的VLAN劃分方式，而基于MAC地址方式的無法正常工作。

要排除該故障，可以在GigabitEthernet 0/0/5端口中增加一條 mac-vlan enable配置即可，這條命令是要求該端口使用基于MAC地址的劃分方式，并進(jìn)入VLAN接口中，使用mac-vlan mac-address H H-H HHH priority 0命令在相應(yīng)VLAN添 加MAC地 址，priority為MAC地址的優(yōu)先級，在網(wǎng)絡(luò)阻塞時，優(yōu)先值高的MAC地址可以優(yōu)先使用網(wǎng)絡(luò)資源，優(yōu)先值低的MAC地址不能優(yōu)先使用網(wǎng)絡(luò)資源。