■ 山東 樊培彩

編者按： 筆者在多年網(wǎng)絡(luò)管理與運(yùn)維工作中經(jīng)常遇到各種各樣的故障問題，本文通過分析四種遇到的局域網(wǎng)維護(hù)方面的問題，來向讀者分享解決的經(jīng)驗(yàn)。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)

筆者作為網(wǎng)絡(luò)管理員，需要管理數(shù)幾十臺(tái)交換機(jī)、服務(wù)器、防火墻等設(shè)備24小時(shí)運(yùn)行，有近三百臺(tái)客戶機(jī)隨時(shí)訪問網(wǎng)絡(luò)，需要保障網(wǎng)絡(luò)和客戶機(jī)的安全運(yùn)行。在維護(hù)工程中，會(huì)處理各種故障，處理故障的過程中也積累了一點(diǎn)經(jīng)驗(yàn)，在此同大家分享。

網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，核心交換機(jī)Cisco 3760設(shè)置 HSRP、DHCP、VTP域 Server，客戶機(jī)劃分為 多 個(gè)VLAN，接入交換機(jī)Cisco 2960作為VTP域Client，開啟 802.1X接入認(rèn)證，所有客戶機(jī)實(shí)行802.1X接入認(rèn)證，禁止用戶私自接入寬帶路由器類其他網(wǎng)絡(luò)設(shè)備，客戶機(jī)強(qiáng)制安裝網(wǎng)絡(luò)版殺毒軟件，每天定時(shí)殺毒，網(wǎng)絡(luò)運(yùn)行情況穩(wěn)定。在長(zhǎng)期的網(wǎng)絡(luò)維護(hù)過程中，也會(huì)不時(shí)碰到些故障，如下所示。

故障一，兩臺(tái)客戶機(jī)MAC地址相同

這種問題，很少碰到。如圖1中客戶機(jī)甲和客戶機(jī)乙，在同一VLAN，訪問網(wǎng)絡(luò)時(shí)好時(shí)壞，嚴(yán)重丟包，且這兩臺(tái)機(jī)器不能互相ping通，困擾了筆者好幾天，直到把這兩臺(tái)機(jī)器的故障聯(lián)系在一起，在核心交換機(jī)上用命令“show ip arp vlan xxx”，同一MAC對(duì)應(yīng)兩個(gè)IP，兩臺(tái)機(jī)器立刻現(xiàn)出原形。如圖2所示。為什么會(huì)存在兩個(gè)相同的MAC呢？是因?yàn)橛腥耸謩?dòng)更改計(jì)算機(jī)MAC所致。

圖2 在核心交換機(jī)查看機(jī)器IP和MAC

故障二，某一臺(tái)客戶機(jī)開機(jī)后不能自動(dòng)獲取IP

在核心交換機(jī)已開啟DHCP，也限定了可分配的IP地址段，理論上整個(gè)地址池里有足夠的IP，整個(gè)網(wǎng)絡(luò)別的機(jī)器運(yùn)行正常，其中一臺(tái)客戶機(jī)不能自動(dòng)獲取IP，手動(dòng)設(shè)置IP后正常，為什么呢？原來是核心交換機(jī)DHCP的問題，用命令“show ip dhcp pool”，看到地址池的index為0.0.0.0，因長(zhǎng)期積累，還是地址耗盡，地址租期由infinite改為24小時(shí)，清除DHCP pool 后正常。

故障三，更換交換機(jī)cisco2960后獲取不到VLAN信息

更換了一臺(tái)接入交換機(jī)Cisco2960，VTP域設(shè)置為Clent，其他VTP相關(guān)信息設(shè)置完畢后，相關(guān)級(jí)聯(lián)端口設(shè)置為trunk，此二層交換機(jī)上端口劃分VLAN后客戶機(jī)不能接入網(wǎng)絡(luò)，用“sho vlan brief”命令查看，此交換機(jī)未收到VLAN信息，用“sho vtp status”命令仔細(xì)檢查了多臺(tái)交換機(jī)VTP信息，VTP配置正確，原來此交換機(jī)的版本更早，系交換機(jī)版本兼容性所致，把VTP Mode Clent改為VTP Mode Server，手動(dòng)添加VLAN后正常。

故障四，核心交換機(jī)嚴(yán)重丟包

有一次突發(fā)故障，網(wǎng)絡(luò)嚴(yán)重丟包，遠(yuǎn)程登錄到核心交換機(jī)后，用“show process cpu his”查看交換機(jī)CPU利用率，發(fā)現(xiàn)其居高不下，接近100%。兩臺(tái)核心交換機(jī)設(shè)置HSRP，所有VLAN默認(rèn)核心交換機(jī)1為active，HSRP不能自動(dòng)負(fù)載均衡，全部的業(yè)務(wù)量都?jí)涸诤诵慕粨Q機(jī)1，導(dǎo)致核心交換機(jī)1負(fù)擔(dān)過重，出現(xiàn)嚴(yán)重丟包。

解決辦法：在HSRP配置中，修改VLAN的priority值，一部分VLAN內(nèi)的機(jī)器把核心交換機(jī)1作為默認(rèn)網(wǎng)關(guān)，另一部分VLAN內(nèi)的機(jī)器把核心交換機(jī)2作為默認(rèn)網(wǎng)關(guān)，兩臺(tái)核心交換機(jī)既實(shí)現(xiàn)雙機(jī)熱備，又實(shí)現(xiàn)了負(fù)載均衡功能。

以上故障處理主要是與交換機(jī)有關(guān)系，通過修改交換機(jī)配置，查看交換機(jī)的狀態(tài)等來查找問題，處理故障。局域網(wǎng)維護(hù)，隨著客戶機(jī)數(shù)量的增長(zhǎng)，維護(hù)難度也不斷增加，有一套網(wǎng)絡(luò)版殺毒軟件，并且限制用戶私接網(wǎng)絡(luò)設(shè)備，熟悉交換機(jī)常用指令，對(duì)于保障網(wǎng)絡(luò)安全，還是很有必要的。