2,075
社区成员
发帖
与我相关
我的任务
分享理解数据链路层
理解数据链路层
比IP和路由更重要的是什么?当网络2层出现故障的时候,链路层的知识显得更重要。许
多人都没有掌握构建富有弹性的2层网络必须具备的生成树协议的知识。当一台交换机出现问
题时,除非主机直接连接到这台交换机。否则不应该影响其它人的网络连接。在我们深入介绍
生成树协议之前,你必须要理解2层内部的工作原理。
2层是数据链路层,是以太网所在的层。在这一层我们将讨论网桥、交换和虚拟局域网,
要让一个网络运行起来,你实际上不需要学习以太网内部的工作原理,当然,如果你愿意学习
的话,你可以利用其它的时间学习这方面的知识。
以太网交换机是一种“网桥”设备。传统的网桥是这样工作的,一开始它接收以太网帧,
然后,把它们发送到除接收端口之外的全部其它端口。以太网交换机具允许允许双绞线连接的
能力。它渐学习哪一个端口连接了哪些MAC地址。这时候,网桥就变成了一台学习设备,能够
存储在一个端口上看到的全部的MAC地址表。当一个帧需要发出时,网桥将查看在网桥表中的
目标MAC地址,并且知道应该在哪一个端口发送这个帧。这种仅向正确的主机发送数据的能力
是交换技术中的一个巨大的进步,因为这可能显著减少通信冲突。如果在网桥表中没有目标
MAC地址,交换机就简单地把数据发送到全部端口。这是首次发现主机到底在什么地方的惟一
方法,因此,正如你看到的那样,把数据发送到全部端口是交换技术中的一个重要原则。这个
原则在路由中也非常必要。
2层相关的重要词汇包括:
单播分段(Unicast segmentation):网桥能够限制哪些主机能够收到单播帧(仅发送
给一个MAC地址的帧)。集线器只是简单地把一切数据发送给所有的端口,因此,单播分段本
身可以节省大量的带宽。
冲突域(Collision Domain):冲突域是能够发生冲突的网段。由于交换机采用了直通
发送技术以及网卡全部采用双工技术,冲突已经不再发生了。如果你在一个端口看到冲突,这
就意味着有人意外地使用半双工的设备,或者是出现了其它的故障。
广播域:发送和接收广播帧的网段。
在交换机产品几年后,网桥运行所采用的老式的存储和发送方式改变了。新的交换机仅查
看帧的目标MAC地址,然后立即把这个帧发送出去。这种技术称作“直通发送”可以帧更快地
直接通过交换机,因为这种方式对帧很少进行处理。这种方式也暗示了一件重要的事情:一台
交换机不再检查CRC(循环冗余校验)以便查看数据包是否损坏。这还暗示着不可能发生冲突
。
另外,为了解决广播网段的问题,我们引入了虚拟局域网技术。如果你不能向另一台机器
发送广播帧,那些机器就不在你的本地网络中,你要把全部数据包发送给一台路由器,接着由
路由器发送这些数据包。实际上,这就是虚拟局域网做的事情:虚拟局域网将网络划分为更多
的子网。
你可以在一台交换机上设置虚拟局域网,然后向一个虚拟局域网分配端口。如果主机A是
虚拟局域网1,这台主机就不能与虚拟局域网2中的任何人通话,就像它们生活在完全没有网络
连接的设备中一样。不过需要注意,这毕竟只是虚拟的,如果交换机的MAC地址表空间已经被
数据填满从而无法继续维护这个交换MAC地址表,为了继续维持通讯交换机将会把收到的所有
数据转发到所有端口。很多人将VLAN视为一种很好的安全措施,实际上任何一个半吊子黑客使
用合适的工具都可以很快的攻克交换机的VLAN限制,事实上,当交换机出现MAC地址表溢出的
情况时,它会变成一台单纯的HUB.
正如我们已经知道的那样,如果你无法使用ARP协议获得目标的MAC地址,那你必须要使
用一台路由器。这是不是意味着你必须在每个VLAN之间物理的连入一台路由器呢?不需要,因
为我们现在拥有3层交换机!设想一个例子,如果你愿意,一台交换机可以配置48个端口。这
台交换机有两个虚拟局域网,虚拟局域网1采用1至24端口,虚拟局域网2采用25至48端口。要
把这两个虚拟局域网连接起来,你基本上有三种选择。第一,使用一台路由器分别连接这两个
虚拟局域网中的一个端口,并且分为VLAN中的主机配置正确的默认路由。第二种方法是你还可
以简单地在每个虚拟局域网中各自建立一个虚拟路由器接口(virtual interfaces)。在思
科的设备,这种虚拟路由器接口可能称作“vlan1”和“vlan2”。它们拥有自己的IP地址,
而VLAN中的主机使用这些虚拟路由器接口作为自己的路由器。
在第三种方法使我们回到了2层概述的最终话题。如果你拥有多台需要包含同样的虚拟局
域网的交换机,你可以通过端口汇聚(trunk)的方式它们都连接起来。这样,交换机A中的
虚拟局域网1和交换机B中的虚拟局域网1就完全是一样的了。这是采用802.1q标准完成的。
802.1q标准为将离开第一台交换机的数据包打上一个虚拟局域网的标识符。思科把这些交换
机间的链路称作“主干端口(trunk ports)”,你可以拥有交换机允许的最多数量的虚拟局
域网(目前大多数硬件允许4096个虚拟局域网)。因此,在虚拟局域网之间建立联系的第三种
方法(也是最后一种方法)是把以trunk方式连接一台路由器,并且为每一个虚拟局域网建立
一个虚拟路由器接口。虚拟局域网1上的主机(无论是在交换机A和交换机B上)都能够访问这
个路由器接口(这个接口可以在另一台设备上),因为他们全部都连接在了一起,并且共享一
个广播域。关于trunk与802.1q的更多信息请参见这篇文章。
在这里我们没有采用“这是2层协议,记住以太网数据包头”这种标准的教学模式。要成
为一个真正的专家,你必须要知道这些知识。但是,要成为一个有用的操作人员,简单地知道
2层是如何工作的就可以了。下一讲我们将介绍网络领域最有趣的协议生成树协议。
小结:
●网桥(又名交换机)存储MAC地址表以实现单播网段功能。也就是说它们仅向需要这个
数据的主机发送单播数据。
●虚拟局域网并不能提供可靠的安全。
●一台3层交换机能够通过trunk提供多个虚拟局域网,并且为这些虚拟局域网提供路由
。这可以完全在同一条线路上实现。
参考来源:http://www.njniit.com/jishu/cisco/
比IP和路由更重要的是什么?当网络2层出现故障的时候,链路层的知识显得更重要。许
多人都没有掌握构建富有弹性的2层网络必须具备的生成树协议的知识。当一台交换机出现问
题时,除非主机直接连接到这台交换机。否则不应该影响其它人的网络连接。在我们深入介绍
生成树协议之前,你必须要理解2层内部的工作原理。
2层是数据链路层,是以太网所在的层。在这一层我们将讨论网桥、交换和虚拟局域网,
要让一个网络运行起来,你实际上不需要学习以太网内部的工作原理,当然,如果你愿意学习
的话,你可以利用其它的时间学习这方面的知识。
以太网交换机是一种“网桥”设备。传统的网桥是这样工作的,一开始它接收以太网帧,
然后,把它们发送到除接收端口之外的全部其它端口。以太网交换机具允许允许双绞线连接的
能力。它渐学习哪一个端口连接了哪些MAC地址。这时候,网桥就变成了一台学习设备,能够
存储在一个端口上看到的全部的MAC地址表。当一个帧需要发出时,网桥将查看在网桥表中的
目标MAC地址,并且知道应该在哪一个端口发送这个帧。这种仅向正确的主机发送数据的能力
是交换技术中的一个巨大的进步,因为这可能显著减少通信冲突。如果在网桥表中没有目标
MAC地址,交换机就简单地把数据发送到全部端口。这是首次发现主机到底在什么地方的惟一
方法,因此,正如你看到的那样,把数据发送到全部端口是交换技术中的一个重要原则。这个
原则在路由中也非常必要。
2层相关的重要词汇包括:
单播分段(Unicast segmentation):网桥能够限制哪些主机能够收到单播帧(仅发送
给一个MAC地址的帧)。集线器只是简单地把一切数据发送给所有的端口,因此,单播分段本
身可以节省大量的带宽。
冲突域(Collision Domain):冲突域是能够发生冲突的网段。由于交换机采用了直通
发送技术以及网卡全部采用双工技术,冲突已经不再发生了。如果你在一个端口看到冲突,这
就意味着有人意外地使用半双工的设备,或者是出现了其它的故障。
广播域:发送和接收广播帧的网段。
在交换机产品几年后,网桥运行所采用的老式的存储和发送方式改变了。新的交换机仅查
看帧的目标MAC地址,然后立即把这个帧发送出去。这种技术称作“直通发送”可以帧更快地
直接通过交换机,因为这种方式对帧很少进行处理。这种方式也暗示了一件重要的事情:一台
交换机不再检查CRC(循环冗余校验)以便查看数据包是否损坏。这还暗示着不可能发生冲突
。
另外,为了解决广播网段的问题,我们引入了虚拟局域网技术。如果你不能向另一台机器
发送广播帧,那些机器就不在你的本地网络中,你要把全部数据包发送给一台路由器,接着由
路由器发送这些数据包。实际上,这就是虚拟局域网做的事情:虚拟局域网将网络划分为更多
的子网。
你可以在一台交换机上设置虚拟局域网,然后向一个虚拟局域网分配端口。如果主机A是
虚拟局域网1,这台主机就不能与虚拟局域网2中的任何人通话,就像它们生活在完全没有网络
连接的设备中一样。不过需要注意,这毕竟只是虚拟的,如果交换机的MAC地址表空间已经被
数据填满从而无法继续维护这个交换MAC地址表,为了继续维持通讯交换机将会把收到的所有
数据转发到所有端口。很多人将VLAN视为一种很好的安全措施,实际上任何一个半吊子黑客使
用合适的工具都可以很快的攻克交换机的VLAN限制,事实上,当交换机出现MAC地址表溢出的
情况时,它会变成一台单纯的HUB.
正如我们已经知道的那样,如果你无法使用ARP协议获得目标的MAC地址,那你必须要使
用一台路由器。这是不是意味着你必须在每个VLAN之间物理的连入一台路由器呢?不需要,因
为我们现在拥有3层交换机!设想一个例子,如果你愿意,一台交换机可以配置48个端口。这
台交换机有两个虚拟局域网,虚拟局域网1采用1至24端口,虚拟局域网2采用25至48端口。要
把这两个虚拟局域网连接起来,你基本上有三种选择。第一,使用一台路由器分别连接这两个
虚拟局域网中的一个端口,并且分为VLAN中的主机配置正确的默认路由。第二种方法是你还可
以简单地在每个虚拟局域网中各自建立一个虚拟路由器接口(virtual interfaces)。在思
科的设备,这种虚拟路由器接口可能称作“vlan1”和“vlan2”。它们拥有自己的IP地址,
而VLAN中的主机使用这些虚拟路由器接口作为自己的路由器。
在第三种方法使我们回到了2层概述的最终话题。如果你拥有多台需要包含同样的虚拟局
域网的交换机,你可以通过端口汇聚(trunk)的方式它们都连接起来。这样,交换机A中的
虚拟局域网1和交换机B中的虚拟局域网1就完全是一样的了。这是采用802.1q标准完成的。
802.1q标准为将离开第一台交换机的数据包打上一个虚拟局域网的标识符。思科把这些交换
机间的链路称作“主干端口(trunk ports)”,你可以拥有交换机允许的最多数量的虚拟局
域网(目前大多数硬件允许4096个虚拟局域网)。因此,在虚拟局域网之间建立联系的第三种
方法(也是最后一种方法)是把以trunk方式连接一台路由器,并且为每一个虚拟局域网建立
一个虚拟路由器接口。虚拟局域网1上的主机(无论是在交换机A和交换机B上)都能够访问这
个路由器接口(这个接口可以在另一台设备上),因为他们全部都连接在了一起,并且共享一
个广播域。关于trunk与802.1q的更多信息请参见这篇文章。
在这里我们没有采用“这是2层协议,记住以太网数据包头”这种标准的教学模式。要成
为一个真正的专家,你必须要知道这些知识。但是,要成为一个有用的操作人员,简单地知道
2层是如何工作的就可以了。下一讲我们将介绍网络领域最有趣的协议生成树协议。
小结:
●网桥(又名交换机)存储MAC地址表以实现单播网段功能。也就是说它们仅向需要这个
数据的主机发送单播数据。
●虚拟局域网并不能提供可靠的安全。
●一台3层交换机能够通过trunk提供多个虚拟局域网,并且为这些虚拟局域网提供路由
。这可以完全在同一条线路上实现。
参考来源:http://www.njniit.com/jishu/cisco/
...全文
请发表友善的回复…
发表回复
学海无涯努力学习 2010-02-22
- 打赏
- 举报
如何限制NAT的单用户连接数
在思科IOS上限制NAT的单用户连接数
在Cisco IOS 12.3(4)T 后的IOS软件上支持NAT的单用户限制,即可以对做地址转换的单个
IP限制其NAT的表项数,因为P2P类软件如BT的一大特点就是同时会有很多的连接数,从而占
用了大量的NAT表项,因此应用该方法可有效限制BT的使用,比如我们为IP 10.1.1.1设置最
大的NAT表项数为200;正常的网络访问肯定够用了,但如果使用BT,那么很快此IP的NAT表项
数达到200,一旦达到峰值,该IP的其他访问就无法再进行NAT转换,必须等待到NAT表项失效
后,才能再次使用,这样即有效地保护了网络的带宽,同时也达到了警示的作用。
例如限制IP地址为10.1.1.1的主机NAT的条目为200条,配置如下:
ip nat translation max-entries host 10.1.1.1 200
如果想限制所有主机,使每台主机的NAT条目为200,可进行如下配置:
ip nat translation max-entries all-host 200
限制或禁止在特定时间段内的BT下载
校园网络工作时间内限制或者禁止BT下载,这样工作时间内不会有BT下载流量和关键业务
竞争,也充分保护了校园网络关键业务。同时,在非工作时间,校园网络也可以自行利用高速
的网络资源。以Cisco设备为例,具体命令为:
time-range test
periodic daily 20:00 to 23:00
access-list 130 permit tcp any any range 6881 6890 time-range test
access-list 130 permit tcp any range 6881 6890 any time-range test
原文链接:http://jiaaa23.blog.163.com/blog/static/500716520076925427505/
保证关键业务专用动态带宽
将校园网络关键业务划分到专用动态带宽中间,BT下载使用剩余带宽,避免两者竞争。
某些特定校园网络会使用BT下载提供服务。对于这样的校园网络,由于BT下载具有很高的
侵略性,因此需要使用保护机制来保障其他关键业务的正常运行。网络管理员可以通过一些管
理软件或者网络硬件配置,针对应用流进行较细粒度的速率限制,例如将BT用户下载的优先级
限制为5(0最高,7最低),带宽限制为64kbps.这样可以确保BT软件使用的同时不会影响其
他业务的开展,充分保护这些应用。剩余的网络资源可以全部提供给BT下载使用。
祝贵论坛样火热越来越火,也希望这种以技术会友的方式作为宣传能被贵论坛包容
参考来源:http://www.njniit.com/jishu/cisco/
在思科IOS上限制NAT的单用户连接数
在Cisco IOS 12.3(4)T 后的IOS软件上支持NAT的单用户限制,即可以对做地址转换的单个
IP限制其NAT的表项数,因为P2P类软件如BT的一大特点就是同时会有很多的连接数,从而占
用了大量的NAT表项,因此应用该方法可有效限制BT的使用,比如我们为IP 10.1.1.1设置最
大的NAT表项数为200;正常的网络访问肯定够用了,但如果使用BT,那么很快此IP的NAT表项
数达到200,一旦达到峰值,该IP的其他访问就无法再进行NAT转换,必须等待到NAT表项失效
后,才能再次使用,这样即有效地保护了网络的带宽,同时也达到了警示的作用。
例如限制IP地址为10.1.1.1的主机NAT的条目为200条,配置如下:
ip nat translation max-entries host 10.1.1.1 200
如果想限制所有主机,使每台主机的NAT条目为200,可进行如下配置:
ip nat translation max-entries all-host 200
限制或禁止在特定时间段内的BT下载
校园网络工作时间内限制或者禁止BT下载,这样工作时间内不会有BT下载流量和关键业务
竞争,也充分保护了校园网络关键业务。同时,在非工作时间,校园网络也可以自行利用高速
的网络资源。以Cisco设备为例,具体命令为:
time-range test
periodic daily 20:00 to 23:00
access-list 130 permit tcp any any range 6881 6890 time-range test
access-list 130 permit tcp any range 6881 6890 any time-range test
原文链接:http://jiaaa23.blog.163.com/blog/static/500716520076925427505/
保证关键业务专用动态带宽
将校园网络关键业务划分到专用动态带宽中间,BT下载使用剩余带宽,避免两者竞争。
某些特定校园网络会使用BT下载提供服务。对于这样的校园网络,由于BT下载具有很高的
侵略性,因此需要使用保护机制来保障其他关键业务的正常运行。网络管理员可以通过一些管
理软件或者网络硬件配置,针对应用流进行较细粒度的速率限制,例如将BT用户下载的优先级
限制为5(0最高,7最低),带宽限制为64kbps.这样可以确保BT软件使用的同时不会影响其
他业务的开展,充分保护这些应用。剩余的网络资源可以全部提供给BT下载使用。
祝贵论坛样火热越来越火,也希望这种以技术会友的方式作为宣传能被贵论坛包容
参考来源:http://www.njniit.com/jishu/cisco/
学海无涯努力学习 2010-02-05
- 打赏
- 举报
破解交换机无法ping通之谜
交换机是局域网中一种很重要的网络设备,它的工作状态与客户端系统的上网状态息息相关
。可是,在实际工作过程中,交换机的状态很容易受到外界的干扰,那样一来局域网中就会出
现各种各样的网络故障;为了保证网络运行稳定,我们必须在平时对交换机进行妥善管理、维
护,避免交换机发生故障。这不,笔者在对单位局域网进行维护时,曾经遇到过物理连接不当
,而造成楼层交换机无法ping通的故障现象。这种网络故障的排查让笔者颇费一番周折;由于
该故障相对典型,而且其排查思路可供借鉴,现在笔者就将它贡献出来与大家分享。
案发现场
笔者所在的大楼包含若干个单位,为了保证每个单位都能独立上网,并且要求它们的上网状态
不受其他单位的影响,笔者选用了路由交换机作为大楼网络的核心交换机,同时在交换机上对
每个单位设置了不同的虚拟工作子网。由于各家单位分布在不同的楼层,每个楼层分布的单位
家数也不完全相同,有的楼层有两、三家单位,有的楼层多达五、六家单位,不同楼层的单位
工作子网全部通过对应楼层的交换机,连接到大楼局域网中,并通过大楼网络中的硬件防火墙
访问Internet网络。
为了提高网络管理效率,网络管理员平时都会通过远程连接方式对交换机进行管理、维护;可
是,今天早上一上班,笔者在扫描诊断局域网核心交换机各个交换端口的工作状态时,发现其
中某个交换端口处于down状态。查看网络管理档案,找到连接该端口的是四楼某二层交换机,
远程登录该楼层交换机时,发现迟迟无法登录成功,使用ping命令测试该交换机的IP地址时
,返回的结果为“Request time out”;就在笔者纳闷为什么没有人报故障时,电话铃声如
期而至,果然来自四楼的用户开始接二连三地报修网络故障了。根据上述故障现象,笔者估计
可能是楼层交换机的工作状态出现了意外,于是跑到该故障交换机现场,切断该设备的电源,
过一段时间后再次接通电源,进行重新启动,等到启动操作完毕后,笔者又使用了ping命令测
试该交换机的IP地址,此时返回的结果已经正常,而且远程登录操作也能够很顺利地进行。然
而,半个小时之后,该故障交换机又出现了相同的故障现象,并且进行ping命令测试时,又返
回了不正常的测试结果;后来笔者不放心,又重新经过反复启动测试,发现故障交换机始终无
法正常ping通。
深入排查
既然经过反复重启不能解决问题,笔者估计引起该故障的原因比较复杂,考虑到这种故障现象
在网络管理过程中经常会碰到,于是笔者按照下面的思路进行了深入排查:
1、考虑到整个大楼网络中,只有四楼的某个楼层交换机出现这种现象,笔者初步判断可能是
该楼层交换机自身问题引起的,为了能够确保可以准确定位故障原因,笔者准备利用一台工作
状态正常的交换机来替换故障交换机,看看故障现象是否仍然存在;同时,将那台被怀疑可能
存在问题的交换机连接到一个独立的网络工作环境,经过半个小时的测试、观察,笔者看到那
台被连接到独立网络环境的故障交换机工作状态是正常的,而且在该网络环境下可以ping通它
的IP地址,而那台新替换的交换机连接到大楼网络后,却不能正常ping通了;依照这些现象
,笔者认为四楼的交换机自身出现问题的可能性几乎没有。
2、在排除了故障交换机自身状态因素后,笔者对整个大楼网络的组网结构和网络状态重新进
行了回顾。由于大楼中其他楼层的用户都能正常上网,唯独四楼的一部分用户不能上网;查阅
四楼的组网资料,笔者看到四楼分布了五家单位,当时网络管理员在四楼布置了两台楼层交换
机,将它们通过级联方式连接在一起,同时在这两台交换机中划分了五个虚拟工作子网,保证
了每家单位都能独立地工作于自己的虚拟工作子网中。既然核心交换机上的对应端口已经被
down掉,那么整个四楼的所有单位都不能上网才对,为什么现在只有一部分用户上报故障现象
呢?等到上班时间一到,笔者立即电话联系其他几家没有报修网络故障的单位,得到的答复说
他们刚刚才发现网络访问不正常,正准备向大楼网络管理员求救,如此说来整个四楼的所有单
位都是不能正常上网的,那么引起该故障的原因应该在这几家单位的虚拟工作子网中。
3、在将故障排查范围锁定在位于四楼的五家单位之后,笔者认为既然重新启动四楼某个交换
机的设备,能够暂时地将网络故障恢复,只是在半个小时之后,相同的网络故障现象才会再次
现象;对照这种特殊的现象,笔者怀疑可能是网络广播风暴,造成了交换机在一定时间内发生
了堵塞现象,最终堵死了核心交换机的对应交换端口。为了便于分析故障,笔者利用专业的网
络监听工具对四楼交换机的级联端口进行了网络传输数据包分析,结果发现无论是输入数据包
流量,还是输出数据包流量,都非常地大,几乎超过了正常数值的100倍左右,这说明四楼的
网络中出现了网络堵塞现象。
4、那么究竟是网络病毒引起的网络堵塞,还是网络环路引起的网络堵塞呢?笔者打算观察一
下故障交换机级联端口的状态信息变化,特别是输出广播包的变化,如果输出广播包每秒钟都
在不停增大的话,那十有八九就能证明四楼网络中存在网络环路现象;基于这样的分析思路,
笔者使用Console控制线直接连接到故障交换机上,以系统管理员身份登录进入该系统后台,
同时使用display命令查看了该交换机级联端口的输出广播包的变化,并且每隔一秒钟查看一
次,之后比较每次查看的结果,经过反复测试,笔者发现故障交换机的输出广播包大小果然在
不断地增大着,这说明四楼的五家单位中,肯定存在网络环路现象。
5、仔细查看了四楼的两台交换机,笔者发现它们之间的物理连接是正常的;此外,这两台交
换机的各个交换端口直接与四楼各个房间的墙上上网插口相连,按理来说,只要各个房间不随
意使用交换机进行级联,应该不会出现网络环路现象的。现在既然证明四楼网络中存在网络环
路现象,这说明肯定有人在随意使用交换机进行扩展上网,我们只要找到扩展交换机,并对它
的物理连接进行检查,就能迅速找到具体的故障节点了,于是笔者电话联系四楼各家单位的网
络管理员,要求他们对各个办公房间进行检查,并上报使用下级交换机的房间;没有多长时间
,检查结果就反馈给了笔者,竟然有10个左右的房间使用了下级交换机进行扩展上网。
6、笔者深知这10个房间的网络连接,最有可能出现网络环路现象,那究竟是哪一个房间呢?
难道笔者依次要到各个房间的现场,查看他们的网络连接吗?经过认真考虑,笔者找来了组网
资料,将这10个房间使用的交换端口号码一一找了出来,之后使用网络线缆直接插入到这些交
换端口中,并在这些端口的视图模式状态下,依次ping故障交换机的IP地址,结果ping到第
六个交换端口时,笔者发现从该端口无法正常ping通;为了判断该交换端口是否真的存在问题
,笔者又在该交换端口视图模式状态下,使用display命令查看了该交换端口的状态信息,经
过查看分析,笔者发现该交换端口的输入、输出数据包大小明显不正常,于是笔者估计该交换
端口肯定是造成故障交换机工作状态不正常的原因。查阅档案资料后,笔者迅速根据那个交换
端口号码,找到了对应的那个上网房间,到了现场后,笔者发现该房间中仅有的两个上网端口
,都连接了小集线器,而这两台集线器下面都连接有几台计算机,更要命的是还有一条网络线
将它们直接连接在了一起,这样一来这两个集线器之间就形成了一个网络环路,该环路造成的
广播风暴最终堵塞了故障交换机的级联端口,从而造成了整个四楼网络都不能正常上网。
故障解决
将该多余的网络线缆拔除之后,笔者重新查看了该交换端口的状态信息,结果发现输入、输出
数据包大小都恢复了正常,再次查看核心交换机上对应的交换端口状态时,发现原因的“down
”状态已经变成了“up”状态,而且此时笔者也能正常ping通四楼的故障交换机了,这说明
问题果然是由四楼某个房间的用户非法扩展使用交换机或集线器引起的。
后来,笔者经过进一步询问上网用户了解到,他们的房间在前天晚上进行了打扫除,当时所有
的网络线全部被拔了下来;当清洁工作结束之后,上网用户由于对连接知识了解不多,就随意
进行了插接,最终造成了网络环路现象
故障总结
通过对这则网络故障的深入排查,我们不难看出,在管理、维护网络过程中,必须要对整个网
络的组网结构有一个全面、清晰的了解,同时要仔细考虑交换端口的上网配置。当遇到网络故
障时,一定要结合故障现象,逐步缩小故障排查范围,然后借助专业工具来测试上网数据包的
大小变化,快速定位故障节点。
祝贵论坛样火热越来越火,也希望这种以技术会友的方式作为宣传能被贵论坛包容
参考来源:http://www.njniit.com/jishu/cisco/
交换机是局域网中一种很重要的网络设备,它的工作状态与客户端系统的上网状态息息相关
。可是,在实际工作过程中,交换机的状态很容易受到外界的干扰,那样一来局域网中就会出
现各种各样的网络故障;为了保证网络运行稳定,我们必须在平时对交换机进行妥善管理、维
护,避免交换机发生故障。这不,笔者在对单位局域网进行维护时,曾经遇到过物理连接不当
,而造成楼层交换机无法ping通的故障现象。这种网络故障的排查让笔者颇费一番周折;由于
该故障相对典型,而且其排查思路可供借鉴,现在笔者就将它贡献出来与大家分享。
案发现场
笔者所在的大楼包含若干个单位,为了保证每个单位都能独立上网,并且要求它们的上网状态
不受其他单位的影响,笔者选用了路由交换机作为大楼网络的核心交换机,同时在交换机上对
每个单位设置了不同的虚拟工作子网。由于各家单位分布在不同的楼层,每个楼层分布的单位
家数也不完全相同,有的楼层有两、三家单位,有的楼层多达五、六家单位,不同楼层的单位
工作子网全部通过对应楼层的交换机,连接到大楼局域网中,并通过大楼网络中的硬件防火墙
访问Internet网络。
为了提高网络管理效率,网络管理员平时都会通过远程连接方式对交换机进行管理、维护;可
是,今天早上一上班,笔者在扫描诊断局域网核心交换机各个交换端口的工作状态时,发现其
中某个交换端口处于down状态。查看网络管理档案,找到连接该端口的是四楼某二层交换机,
远程登录该楼层交换机时,发现迟迟无法登录成功,使用ping命令测试该交换机的IP地址时
,返回的结果为“Request time out”;就在笔者纳闷为什么没有人报故障时,电话铃声如
期而至,果然来自四楼的用户开始接二连三地报修网络故障了。根据上述故障现象,笔者估计
可能是楼层交换机的工作状态出现了意外,于是跑到该故障交换机现场,切断该设备的电源,
过一段时间后再次接通电源,进行重新启动,等到启动操作完毕后,笔者又使用了ping命令测
试该交换机的IP地址,此时返回的结果已经正常,而且远程登录操作也能够很顺利地进行。然
而,半个小时之后,该故障交换机又出现了相同的故障现象,并且进行ping命令测试时,又返
回了不正常的测试结果;后来笔者不放心,又重新经过反复启动测试,发现故障交换机始终无
法正常ping通。
深入排查
既然经过反复重启不能解决问题,笔者估计引起该故障的原因比较复杂,考虑到这种故障现象
在网络管理过程中经常会碰到,于是笔者按照下面的思路进行了深入排查:
1、考虑到整个大楼网络中,只有四楼的某个楼层交换机出现这种现象,笔者初步判断可能是
该楼层交换机自身问题引起的,为了能够确保可以准确定位故障原因,笔者准备利用一台工作
状态正常的交换机来替换故障交换机,看看故障现象是否仍然存在;同时,将那台被怀疑可能
存在问题的交换机连接到一个独立的网络工作环境,经过半个小时的测试、观察,笔者看到那
台被连接到独立网络环境的故障交换机工作状态是正常的,而且在该网络环境下可以ping通它
的IP地址,而那台新替换的交换机连接到大楼网络后,却不能正常ping通了;依照这些现象
,笔者认为四楼的交换机自身出现问题的可能性几乎没有。
2、在排除了故障交换机自身状态因素后,笔者对整个大楼网络的组网结构和网络状态重新进
行了回顾。由于大楼中其他楼层的用户都能正常上网,唯独四楼的一部分用户不能上网;查阅
四楼的组网资料,笔者看到四楼分布了五家单位,当时网络管理员在四楼布置了两台楼层交换
机,将它们通过级联方式连接在一起,同时在这两台交换机中划分了五个虚拟工作子网,保证
了每家单位都能独立地工作于自己的虚拟工作子网中。既然核心交换机上的对应端口已经被
down掉,那么整个四楼的所有单位都不能上网才对,为什么现在只有一部分用户上报故障现象
呢?等到上班时间一到,笔者立即电话联系其他几家没有报修网络故障的单位,得到的答复说
他们刚刚才发现网络访问不正常,正准备向大楼网络管理员求救,如此说来整个四楼的所有单
位都是不能正常上网的,那么引起该故障的原因应该在这几家单位的虚拟工作子网中。
3、在将故障排查范围锁定在位于四楼的五家单位之后,笔者认为既然重新启动四楼某个交换
机的设备,能够暂时地将网络故障恢复,只是在半个小时之后,相同的网络故障现象才会再次
现象;对照这种特殊的现象,笔者怀疑可能是网络广播风暴,造成了交换机在一定时间内发生
了堵塞现象,最终堵死了核心交换机的对应交换端口。为了便于分析故障,笔者利用专业的网
络监听工具对四楼交换机的级联端口进行了网络传输数据包分析,结果发现无论是输入数据包
流量,还是输出数据包流量,都非常地大,几乎超过了正常数值的100倍左右,这说明四楼的
网络中出现了网络堵塞现象。
4、那么究竟是网络病毒引起的网络堵塞,还是网络环路引起的网络堵塞呢?笔者打算观察一
下故障交换机级联端口的状态信息变化,特别是输出广播包的变化,如果输出广播包每秒钟都
在不停增大的话,那十有八九就能证明四楼网络中存在网络环路现象;基于这样的分析思路,
笔者使用Console控制线直接连接到故障交换机上,以系统管理员身份登录进入该系统后台,
同时使用display命令查看了该交换机级联端口的输出广播包的变化,并且每隔一秒钟查看一
次,之后比较每次查看的结果,经过反复测试,笔者发现故障交换机的输出广播包大小果然在
不断地增大着,这说明四楼的五家单位中,肯定存在网络环路现象。
5、仔细查看了四楼的两台交换机,笔者发现它们之间的物理连接是正常的;此外,这两台交
换机的各个交换端口直接与四楼各个房间的墙上上网插口相连,按理来说,只要各个房间不随
意使用交换机进行级联,应该不会出现网络环路现象的。现在既然证明四楼网络中存在网络环
路现象,这说明肯定有人在随意使用交换机进行扩展上网,我们只要找到扩展交换机,并对它
的物理连接进行检查,就能迅速找到具体的故障节点了,于是笔者电话联系四楼各家单位的网
络管理员,要求他们对各个办公房间进行检查,并上报使用下级交换机的房间;没有多长时间
,检查结果就反馈给了笔者,竟然有10个左右的房间使用了下级交换机进行扩展上网。
6、笔者深知这10个房间的网络连接,最有可能出现网络环路现象,那究竟是哪一个房间呢?
难道笔者依次要到各个房间的现场,查看他们的网络连接吗?经过认真考虑,笔者找来了组网
资料,将这10个房间使用的交换端口号码一一找了出来,之后使用网络线缆直接插入到这些交
换端口中,并在这些端口的视图模式状态下,依次ping故障交换机的IP地址,结果ping到第
六个交换端口时,笔者发现从该端口无法正常ping通;为了判断该交换端口是否真的存在问题
,笔者又在该交换端口视图模式状态下,使用display命令查看了该交换端口的状态信息,经
过查看分析,笔者发现该交换端口的输入、输出数据包大小明显不正常,于是笔者估计该交换
端口肯定是造成故障交换机工作状态不正常的原因。查阅档案资料后,笔者迅速根据那个交换
端口号码,找到了对应的那个上网房间,到了现场后,笔者发现该房间中仅有的两个上网端口
,都连接了小集线器,而这两台集线器下面都连接有几台计算机,更要命的是还有一条网络线
将它们直接连接在了一起,这样一来这两个集线器之间就形成了一个网络环路,该环路造成的
广播风暴最终堵塞了故障交换机的级联端口,从而造成了整个四楼网络都不能正常上网。
故障解决
将该多余的网络线缆拔除之后,笔者重新查看了该交换端口的状态信息,结果发现输入、输出
数据包大小都恢复了正常,再次查看核心交换机上对应的交换端口状态时,发现原因的“down
”状态已经变成了“up”状态,而且此时笔者也能正常ping通四楼的故障交换机了,这说明
问题果然是由四楼某个房间的用户非法扩展使用交换机或集线器引起的。
后来,笔者经过进一步询问上网用户了解到,他们的房间在前天晚上进行了打扫除,当时所有
的网络线全部被拔了下来;当清洁工作结束之后,上网用户由于对连接知识了解不多,就随意
进行了插接,最终造成了网络环路现象
故障总结
通过对这则网络故障的深入排查,我们不难看出,在管理、维护网络过程中,必须要对整个网
络的组网结构有一个全面、清晰的了解,同时要仔细考虑交换端口的上网配置。当遇到网络故
障时,一定要结合故障现象,逐步缩小故障排查范围,然后借助专业工具来测试上网数据包的
大小变化,快速定位故障节点。
祝贵论坛样火热越来越火,也希望这种以技术会友的方式作为宣传能被贵论坛包容
参考来源:http://www.njniit.com/jishu/cisco/
学海无涯努力学习 2010-02-04
- 打赏
- 举报
泛洪和广播的简析
什么是泛洪与广播?有什么区别吗?
一.泛洪的产生:
MAC地址表显示了主机的MAC地址与以太网交换机端口映射关系,指出数据帧去往目的主机的
方向。当以太网交换机收到一个数据帧时,将收到数据帧的目的MAC地址与MAC地址表进行查
找匹配。如果在MAC地址表中没有相应的匹配项,则向除接收端口外的所有端口广播该数据帧
,有人将这种操作翻译为泛洪(Flooding,泛洪操作广播的是普通数据帧而不是广播帧)。
在我们测试过的交换机中,有的除了能够对广播帧的转发进行限制之外,也能对泛洪这种操作
进行限制。
*交换机的老化时间设置不当,也会引起泛洪处理.因为,交换机的MAC学习也是需要一定数量的
帧;重新建立MAC表也是需要时间的.(试交换机性能而定).
*频繁地调换PC机与交换机的端口的连接也是原因之一.
注意:广播帧和组播帧是直接向所有端口转发.
二.广播帧的产生:
网络中存在有广播帧是不可避免的,比如开启了DHCP服务器,每次请求,都会有以"FF.F
F.FF.FF.FF.FF"的帧格式出现.它向所有端口转发.如果,局域网内的网卡有
故障有时也会有广播帧出现,如果大量的这种帧出现,外在表现为网络速度变慢.
三.广播包的产生:
往往伴随着ARP而产生.
假设主机A与B在同一个网络内,当主机A要向主机B发送信息,那么需要知道主机B的IP地址和
MAC地址,这里面我们假定A只知道B的IP地址,而不知道B的MAC地址,那么这时A就需要向网络中
发送一个ARP请求,来获取B的MAC地址,这个ARP请求实际上就是一个广播包.
当主机A:172.168.0.1:XXXX.XXXX.XXXX向B:172.168.0.3请求MAC地直.
请求的是172.16.0.3这个IP的MAC地址,在ARP请求里,目的MAC地址是0000.0000.0000
这是一个MAC的广播地址,目的是要发送一个广播.
使本地网络内的其他主机都接收这个请求,然后除了目标方(即172.1680.3)作出回应之外,
其他机均会丢弃这个请求帧.
其目的,是让172.168.0.3这台机将自己的MAC发过来.
========================================================
泛洪和MAC列表相关.在L2中存在.是有确定的MAC地址的,只是在MAC表中找不到具体转发的端
口和MAC的配对,才开始泛洪处理.但是泛洪并不是广播帧(FF.FF.FF.FF.FF.FF).
广播是有一个具体的行为,它的对象是整个网络.
在ARP时往往需要有特定的主机来响应.
当然太多的广播对于网络是有害的.
容易造成广播风暴
祝贵论坛样火热越来越火,也希望这种以技术会友的方式作为宣传能被贵论坛包容
参考来源:http://www.njniit.com/jishu/cisco/
什么是泛洪与广播?有什么区别吗?
一.泛洪的产生:
MAC地址表显示了主机的MAC地址与以太网交换机端口映射关系,指出数据帧去往目的主机的
方向。当以太网交换机收到一个数据帧时,将收到数据帧的目的MAC地址与MAC地址表进行查
找匹配。如果在MAC地址表中没有相应的匹配项,则向除接收端口外的所有端口广播该数据帧
,有人将这种操作翻译为泛洪(Flooding,泛洪操作广播的是普通数据帧而不是广播帧)。
在我们测试过的交换机中,有的除了能够对广播帧的转发进行限制之外,也能对泛洪这种操作
进行限制。
*交换机的老化时间设置不当,也会引起泛洪处理.因为,交换机的MAC学习也是需要一定数量的
帧;重新建立MAC表也是需要时间的.(试交换机性能而定).
*频繁地调换PC机与交换机的端口的连接也是原因之一.
注意:广播帧和组播帧是直接向所有端口转发.
二.广播帧的产生:
网络中存在有广播帧是不可避免的,比如开启了DHCP服务器,每次请求,都会有以"FF.F
F.FF.FF.FF.FF"的帧格式出现.它向所有端口转发.如果,局域网内的网卡有
故障有时也会有广播帧出现,如果大量的这种帧出现,外在表现为网络速度变慢.
三.广播包的产生:
往往伴随着ARP而产生.
假设主机A与B在同一个网络内,当主机A要向主机B发送信息,那么需要知道主机B的IP地址和
MAC地址,这里面我们假定A只知道B的IP地址,而不知道B的MAC地址,那么这时A就需要向网络中
发送一个ARP请求,来获取B的MAC地址,这个ARP请求实际上就是一个广播包.
当主机A:172.168.0.1:XXXX.XXXX.XXXX向B:172.168.0.3请求MAC地直.
请求的是172.16.0.3这个IP的MAC地址,在ARP请求里,目的MAC地址是0000.0000.0000
这是一个MAC的广播地址,目的是要发送一个广播.
使本地网络内的其他主机都接收这个请求,然后除了目标方(即172.1680.3)作出回应之外,
其他机均会丢弃这个请求帧.
其目的,是让172.168.0.3这台机将自己的MAC发过来.
========================================================
泛洪和MAC列表相关.在L2中存在.是有确定的MAC地址的,只是在MAC表中找不到具体转发的端
口和MAC的配对,才开始泛洪处理.但是泛洪并不是广播帧(FF.FF.FF.FF.FF.FF).
广播是有一个具体的行为,它的对象是整个网络.
在ARP时往往需要有特定的主机来响应.
当然太多的广播对于网络是有害的.
容易造成广播风暴
祝贵论坛样火热越来越火,也希望这种以技术会友的方式作为宣传能被贵论坛包容
参考来源:http://www.njniit.com/jishu/cisco/
