摘 ?要：民航珠海進(jìn)近管制中心ATC3000自動(dòng)化系統(tǒng)網(wǎng)絡(luò)異常降級。通過故障調(diào)查和網(wǎng)絡(luò)結(jié)構(gòu)研究，結(jié)合STP、VLAN、MPLS VPN協(xié)議在系統(tǒng)中的應(yīng)用，調(diào)查結(jié)果為中南寬帶網(wǎng)MPLS L2 VPN未配置VLAN導(dǎo)致深圳ADS-B網(wǎng)絡(luò)的生成樹協(xié)議BPDU廣播到ATC3000網(wǎng)絡(luò)。發(fā)生根橋震蕩，重新收斂生成新的樹拓?fù)?，此時(shí)因ATC3000交換機(jī)過度級聯(lián)發(fā)生了網(wǎng)絡(luò)環(huán)路，造成網(wǎng)絡(luò)風(fēng)暴，系統(tǒng)降級。

關(guān)鍵詞：生成樹;根橋;VLAN

中圖分類號：TN929.5;TP393.1 ? ? ?文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2020）15-0067-03

Abstract：The network of ATC3000 automation system in Zhuhai Approach Control Center of CAAC was degraded abnormally. Through fault investigation and network structure research，combined with the application of STP，VLAN and MPLS VPN protocol in the system，the investigation results show that MPLS L2 VPN of Central South broadband network is not configured with VLAN，which causes the spanning tree protocol BPDU of ADS-B network in Shenzhen to broadcast to ATC3000 network. The root bridge oscillates and converges to generate a new tree topology. At this time，due to the excessive cascade of ATC3000 switches，network loops occur，resulting in network storm and system degradation.

Keywords：generation tree;root bridge;VLAN

0 ?引 ?言

民航珠海進(jìn)近管制中心ATC3000自動(dòng)化系統(tǒng)與深圳空管站、珠?？展苷静捎萌芈?lián)網(wǎng)模式，主要處理雷達(dá)融合、飛行計(jì)劃處理、告警計(jì)算、雷達(dá)目標(biāo)顯示等。某日ATC3000系統(tǒng)出現(xiàn)異常網(wǎng)絡(luò)故障，進(jìn)近所有席位終端處于黃色降級模式，珠?？展苷舅薪K端顯示紅色離線模式，但深圳空管站終端正常。本文通過網(wǎng)絡(luò)結(jié)構(gòu)研究、故障調(diào)查，結(jié)合傳輸系統(tǒng)配置分析，確定故障主要原因?yàn)閭鬏斚到y(tǒng)配置不合理導(dǎo)致ATC3000系統(tǒng)發(fā)生網(wǎng)絡(luò)風(fēng)暴，系統(tǒng)降級。根據(jù)調(diào)查報(bào)告，對ATC3000系統(tǒng)結(jié)構(gòu)及傳輸配置進(jìn)行整改，排除ATC3000系統(tǒng)故障隱患。

1 ?網(wǎng)絡(luò)結(jié)構(gòu)

ATC3000自動(dòng)化系統(tǒng)共3條工作網(wǎng)絡(luò)（A網(wǎng)、B網(wǎng)、C網(wǎng)），其中A網(wǎng)、B網(wǎng)為主工作網(wǎng)絡(luò)，A網(wǎng)、B網(wǎng)在系統(tǒng)核心交換機(jī)和三地的席位終端接入層交換機(jī)端均采用Trunk相互級聯(lián)，席位終端網(wǎng)卡采用Bond模式。聯(lián)網(wǎng)模式如圖1所示。

珠海進(jìn)近與深圳和珠海兩個(gè)空管站之間均為A網(wǎng)、B網(wǎng)級連，C網(wǎng)獨(dú)立。當(dāng)三地聯(lián)網(wǎng)的A網(wǎng)、B網(wǎng)出現(xiàn)異常時(shí)，三地設(shè)備均會(huì)工作于自己的C網(wǎng)降級模式下。珠海進(jìn)近的監(jiān)控終端（CMD）可監(jiān)控到三地所有終端的連接狀態(tài)，其中深圳空管站和珠?？展苷镜慕K端僅能通過A網(wǎng)、B網(wǎng)看到，其本地旁路服務(wù)器未加入珠海進(jìn)近的監(jiān)控界面，只在本地獨(dú)立監(jiān)控。

2 ?網(wǎng)絡(luò)故障

某日珠海進(jìn)近ATC3000備用自動(dòng)化系統(tǒng)出現(xiàn)網(wǎng)絡(luò)異常時(shí)，監(jiān)控終端顯示珠海進(jìn)近所有席位終端處于黃色降級模式，珠?？展苷舅薪K端顯示紅色離線模式、但深圳空管站所有終端均為藍(lán)色正常模式。

排查時(shí)發(fā)現(xiàn)珠海進(jìn)近側(cè)A、B網(wǎng)的根橋?yàn)锳網(wǎng)交換機(jī)，而與珠海進(jìn)近B網(wǎng)連接的深圳側(cè)的交換機(jī)設(shè)備（簡稱交換機(jī)Z）在珠海側(cè)不可見。交換機(jī)Z為珠海進(jìn)近B網(wǎng)經(jīng)中南寬帶網(wǎng)（簡稱寬帶網(wǎng)）傳輸至深圳后的落地交換機(jī)，該交換機(jī)后連接至深圳終端室機(jī)房的ATC3000 B網(wǎng)交換機(jī)。而后排查發(fā)現(xiàn)交換機(jī)Z的網(wǎng)絡(luò)根橋并非珠海進(jìn)近A網(wǎng)交換機(jī)，而是MAC地址為28b4.****.7940的交換機(jī)設(shè)備。

用另一臺交換機(jī)更換交換機(jī)Z，網(wǎng)絡(luò)故障依舊。隨后斷開交換機(jī)Z與寬帶網(wǎng)的網(wǎng)線連接后，網(wǎng)絡(luò)生成樹根橋變成本機(jī)，MAC地址為28b4.****.7940的交換機(jī)消失，由此判斷問題來自寬帶網(wǎng)，于是對寬帶網(wǎng)所接入的業(yè)務(wù)進(jìn)行排查。使用Wireshark軟件對網(wǎng)絡(luò)封包進(jìn)行分析，發(fā)現(xiàn)了STP數(shù)據(jù)包來源為MAC地址為488e.****.dc50的設(shè)備。在寬帶網(wǎng)交換機(jī)查找該設(shè)備的來源，確定該MAC地址端口為中南高速網(wǎng)的G1/0/*，該端口連接深圳ADS-B系統(tǒng)防火墻，檢查確認(rèn)28b4.****.7940為ADS-B系統(tǒng)的交換機(jī)。暫時(shí)將ADS-B防火墻與寬帶網(wǎng)保持?jǐn)嚅_，備用自動(dòng)化網(wǎng)絡(luò)恢復(fù)正常，所有業(yè)務(wù)恢復(fù)。

3 ?故障分析

通過故障排查發(fā)現(xiàn)兩個(gè)問題：一是ATC3000自動(dòng)化網(wǎng)絡(luò)交換機(jī)、寬帶網(wǎng)交換機(jī)均未劃分獨(dú)立的VLAN ID;二是STP生成樹結(jié)構(gòu)在多層交換機(jī)trunk級聯(lián)時(shí)有環(huán)路風(fēng)險(xiǎn)。

3.1 ?VLAN問題分析

虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）就是將一個(gè)局域網(wǎng)在邏輯上隔離成若干個(gè)相互獨(dú)立的廣播域，在二層設(shè)備中若干個(gè)同一系統(tǒng)業(yè)務(wù)的端口劃分到同一個(gè)VLAN。每個(gè)VLAN分配不同VLAN ID號，配置不同的VLAN IP地址，VLAN可通過與三層交換機(jī)或者路由器與外部網(wǎng)絡(luò)相連。如果二層設(shè)備未劃分VLAN，某端口發(fā)出廣播信息時(shí)會(huì)把廣播數(shù)據(jù)發(fā)送至所有的端口。如果交換機(jī)沒有配置VLAN，缺省狀態(tài)所有端口均默認(rèn)為VLAN1。思科和華為交換機(jī)都存在的缺省VLAN，且不可刪除。

寬帶網(wǎng)交換機(jī)上采用MPLS VPN技術(shù)，配置了不同的VPLS標(biāo)簽用于二層MPLS VPN通道的建立，但沒有配置不同的VLAN ID來隔離不同的業(yè)務(wù)。MPLS VPN是多協(xié)議標(biāo)簽交換（Multi-Protocol Label Switching，MPLS）與虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）結(jié)合的技術(shù)。MPLS VPN技術(shù)簡單地說，就是兩端用戶設(shè)備建立VPN點(diǎn)對點(diǎn)虛擬專用通道網(wǎng)絡(luò)，用MPLS標(biāo)簽交換技術(shù)實(shí)現(xiàn)數(shù)據(jù)通信。MPLS VPN又分為MPLS L2VPN和L3VPN技術(shù)，寬帶網(wǎng)絡(luò)采用的是基于MPLS L2VPN的VPLS技術(shù)，從用戶側(cè)看，可以把整個(gè)MPLS網(wǎng)絡(luò)看成一個(gè)二層交換設(shè)備。寬帶網(wǎng)路由器作為PE路由器，配置了二層MPLS VPN通道，不同的業(yè)務(wù)利用不同的二層標(biāo)簽進(jìn)行數(shù)據(jù)交換。MPLS網(wǎng)絡(luò)就像二層交換機(jī)，如果沒有劃分VLAN，所有二層端口均默認(rèn)為相同的VLAN1，也就是所有二層業(yè)務(wù)端口都處于同一個(gè)廣播域中。

因?yàn)楦咚賹拵ЬW(wǎng)沒有配置VLAN，所以業(yè)務(wù)端口都為相同默認(rèn)的VLAN1，從而造成網(wǎng)絡(luò)風(fēng)暴。當(dāng)寬帶網(wǎng)交換機(jī)上的二層MPLS VPN透傳通道中斷時(shí)，透傳通道所承載業(yè)務(wù)的私網(wǎng)網(wǎng)橋協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit，BPDU）會(huì)廣播到寬帶網(wǎng)交換機(jī)上同一廣播域的所有其他端口，進(jìn)入其他二層MPLS VPN透傳業(yè)務(wù)的私網(wǎng)中。

ADS-B系統(tǒng)MAC地址為28b4.****.7940的設(shè)備是一臺華為交換機(jī)，也存在VLAN1。同時(shí)ADS-B系統(tǒng)防火墻并未屏蔽生成樹協(xié)議的BPDU數(shù)據(jù)包，所以MAC地址為28b4.****.7940的華為交換機(jī)的BPDU數(shù)據(jù)包被轉(zhuǎn)發(fā)到了深圳端的ATC3000自動(dòng)化網(wǎng)絡(luò)。由于該交換機(jī)在生成樹協(xié)議中的優(yōu)先級是0，為最高優(yōu)先級，而深圳端自動(dòng)化網(wǎng)絡(luò)的交換機(jī)未手動(dòng)配置生成樹根橋，所以該華為交換機(jī)被自動(dòng)選舉為生成樹根橋。因此ATC3000自動(dòng)化網(wǎng)絡(luò)內(nèi)存在這臺ADS-B交換機(jī)和進(jìn)近A網(wǎng)核心交換機(jī)兩個(gè)根橋，當(dāng)ADS-B網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)，兩個(gè)根橋各自重新收斂，導(dǎo)致ATC3000網(wǎng)絡(luò)根橋發(fā)生震蕩改變。當(dāng)寬帶網(wǎng)交換機(jī)上的二層MPLS VPN透傳通道正常時(shí)，雖然私網(wǎng)設(shè)備的報(bào)文不會(huì)廣播給其他業(yè)務(wù)，但卻無法隔離其他私網(wǎng)設(shè)備廣播的數(shù)據(jù)鏈路層報(bào)文。在傳輸網(wǎng)絡(luò)對二層MPLS VPN業(yè)務(wù)劃分不同VLAN ID，隔離成相互獨(dú)立的廣播域，避免不同業(yè)務(wù)網(wǎng)絡(luò)之間互相干擾，修改系統(tǒng)界面如圖2所示。

3.2 ?STP生成樹結(jié)構(gòu)和交換機(jī)級聯(lián)問題探討

STP（Spanning Tree Protocol），它的主要作用是防止局域網(wǎng)絡(luò)形成環(huán)路，從而引發(fā)網(wǎng)絡(luò)風(fēng)暴。STP的基本原理是通過在交換機(jī)之間傳遞一種特殊的協(xié)議報(bào)文——BPDU來確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。珠海進(jìn)近ATC3000 A、B網(wǎng)采用RSTP快速生成樹協(xié)議，其比STP協(xié)議具備更快的網(wǎng)絡(luò)收斂速度，在主用鏈路故障時(shí)可以更快地更新網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)并啟用備用鏈路。

STP的基本思想就是按照樹的結(jié)構(gòu)構(gòu)造網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，樹的根是一個(gè)稱為根橋的橋設(shè)備，根橋的確立是由交換機(jī)或網(wǎng)橋的BID（Bridge ID）確定的，BID最小的設(shè)備成為二層網(wǎng)絡(luò)中的根橋。BID是由網(wǎng)橋優(yōu)先級和MAC地址構(gòu)成。由根橋開始，逐級形成一棵樹，根橋定時(shí)發(fā)送配置BPDU，非根橋接收配置BPDU，刷新最佳BPDU并轉(zhuǎn)發(fā)。新接入的設(shè)備也會(huì)發(fā)送BPDU，如果該設(shè)備的BID比當(dāng)前根橋大，相鄰設(shè)備會(huì)向新接入的設(shè)備發(fā)送自己存儲的最佳BPDU，以告知其當(dāng)前網(wǎng)絡(luò)中的根橋;如果相鄰設(shè)備接收到的BPDU更優(yōu)，將會(huì)重新計(jì)算生成樹拓?fù)?。如果網(wǎng)絡(luò)拓?fù)浒l(fā)生變化，也將重新生成樹拓?fù)洹?/p>

STP生成樹的作用就是當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)能快速更新并切換至備份鏈路，但是當(dāng)備份鏈路級聯(lián)程度過高就會(huì)容易發(fā)生網(wǎng)絡(luò)環(huán)路。珠海進(jìn)近、深圳空管站、珠?？展苷救氐腁、B網(wǎng)交換機(jī)均對A、B雙網(wǎng)卡進(jìn)行綁定，配置Trunk相互級聯(lián)，備份程度很高。ATC3000系統(tǒng)A、B網(wǎng)絡(luò)的根橋是進(jìn)近機(jī)房的A網(wǎng)核心交換機(jī)。在此案例中，高速寬帶網(wǎng)因未配置VLAN造成深圳ADS-B網(wǎng)絡(luò)的生成樹協(xié)議BPDU進(jìn)入到ATC3000網(wǎng)絡(luò)。ADS-B交換機(jī)又因優(yōu)先級最高被深圳ATC3000選為根橋，從而發(fā)生同一網(wǎng)絡(luò)存在兩個(gè)根橋的情況。當(dāng)ADS-B網(wǎng)絡(luò)拓?fù)浒l(fā)生改變，兩個(gè)根橋震蕩，各自重新收斂生成新的樹拓?fù)洌藭r(shí)因交換機(jī)過度級聯(lián)發(fā)生了網(wǎng)絡(luò)環(huán)路，從而引起A、B網(wǎng)同時(shí)發(fā)生網(wǎng)絡(luò)風(fēng)暴。適當(dāng)簡化ATC3000 A、B網(wǎng)交換機(jī)級聯(lián)線路，三地均由兩條級聯(lián)線更改為一條級聯(lián)線，既保證鏈路冗余，又減少網(wǎng)絡(luò)環(huán)路風(fēng)險(xiǎn)。整改后的系統(tǒng)拓?fù)鋱D如圖3所示。

4 ?結(jié) ?論

通過對ATC3000系統(tǒng)的故障調(diào)查和網(wǎng)絡(luò)結(jié)構(gòu)分析，結(jié)合ATC3000與傳輸系統(tǒng)配置的相關(guān)協(xié)議研究，總結(jié)珠海進(jìn)近ATC3000系統(tǒng)網(wǎng)絡(luò)故障原因?yàn)橹心蠈拵ЬW(wǎng)接入業(yè)務(wù)網(wǎng)因VPN協(xié)議配置問題導(dǎo)致各業(yè)務(wù)在數(shù)據(jù)鏈路層聯(lián)通，引起自動(dòng)化系統(tǒng)A、B網(wǎng)絡(luò)根橋震蕩，導(dǎo)致自動(dòng)化系統(tǒng)降級到C網(wǎng)運(yùn)行。通過對系統(tǒng)網(wǎng)絡(luò)架構(gòu)和中南寬帶網(wǎng)配置整改，系統(tǒng)隱患得以解決。

參考文獻(xiàn)：

[1] 姜鵬，黃宇軍.ATC3000自動(dòng)化系統(tǒng)網(wǎng)絡(luò)架構(gòu)缺陷的分析與優(yōu)化 [J].中國新通信，2017，19（13）：43-44.

[2] 楊華.STP在網(wǎng)絡(luò)配置中的規(guī)劃 [J].網(wǎng)絡(luò)安全和信息化，2018（12）：58-60.

[3] 沈宇超.第二層和第三層MPLS VPN [J].中國數(shù)據(jù)通信，2002（6）：30-32.

[4] 卞琛，于興艷，修位蓉，等.基于MPLS VPN技術(shù)的網(wǎng)絡(luò)監(jiān)控系統(tǒng)分析與設(shè)計(jì) [J].信息網(wǎng)絡(luò)安全，2015（5）：28-33.

[5] 紀(jì)弘.MPLS VPN在CMNET-GD的應(yīng)用 [J].廣東通信技術(shù)，2006（3）：30-33+48.

[6] 吳福龍，趙家定.利用有線電視HFC網(wǎng)建設(shè)城市監(jiān)控報(bào)警系統(tǒng) [J].中國有線電視，2007（17）：1596-1599.

[7] 滕旻厲.BGP/MPLS VPN的實(shí)現(xiàn)技術(shù) [J].中國數(shù)據(jù)通信，2004（6）：100-103.

作者簡介：陳云（1986.11—），男，漢族，浙江舟山人，主任工程師，本科，研究方向：通信、甚高頻、UPS。