故障現(xiàn)象

筆者管理的是一個(gè)地市級(jí)教育城域網(wǎng)，下屬學(xué)校都要接入網(wǎng)內(nèi)。近期，一所新建設(shè)的中學(xué)在接入過程中產(chǎn)生了諸多問題，不過，在排查問題的過程中，也學(xué)到了一些經(jīng)驗(yàn)，在此與大家分享一下。網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

學(xué)校建設(shè)之初為方便工作人員上網(wǎng)，臨時(shí)開了一條10M的電信出口線路。學(xué)校正式運(yùn)行之后，教師較多，10M的出口已不能滿足需求，學(xué)校想借接入教育城域網(wǎng)之際，拓展帶寬，關(guān)掉電信出口。穩(wěn)妥起見，我們決定先實(shí)現(xiàn)市網(wǎng)管中心與學(xué)校內(nèi)網(wǎng)之間互訪，再關(guān)掉電信出口，把學(xué)校用戶上網(wǎng)改到教育城域網(wǎng)的聯(lián)通出口，那就是輕而易舉的事了。如果在下班時(shí)間操作的話，根本不會(huì)影響網(wǎng)內(nèi)用戶的上網(wǎng)。

圖中的H3C7506E、ISP交換機(jī)、7206交換機(jī)全部通過裸光纖互聯(lián)，接口模塊全部為10公里1.25G光收發(fā)模塊。兩端交換機(jī)各劃分一個(gè)基于端口的VLAN，交換機(jī)端口為Access模式，相當(dāng)于路由器的三層接口，然后配置虛擬接口IP（為防止IP浪費(fèi)，以及未用IP產(chǎn)生無效的數(shù)據(jù)包，虛擬接口IP，也就是互聯(lián)IP的子網(wǎng)掩碼全部為30位）。最后，在三臺(tái)交換機(jī)的路由表中分別加入互指的靜態(tài)路由，網(wǎng)絡(luò)就應(yīng)當(dāng)通了。配置代碼如下：

上述代碼172.16.20.0/24是學(xué)校分配的IP段，172.16.10.0/24是市網(wǎng)絡(luò)中心分配的IP段；7506E和ISP的互 聯(lián)IP是172.16.10.1/30，ISP和學(xué)校之間的互聯(lián)IP是172.16.10.5/30。上述路由表實(shí)現(xiàn)學(xué)校用戶與市網(wǎng)絡(luò)中心之間的IP段訪問。配置完成后，滿懷信心地讓學(xué)校管理員測(cè)試，得到的回復(fù)是：上級(jí)的設(shè)備都不能Ping通，根本上不了網(wǎng)。

故障排查

表面上看，上述配置代碼沒什么問題，所有設(shè)備的靜態(tài)路由都是互相指向的。筆者首先查看了配置代碼，還請(qǐng)同事幫助看了一遍，確定沒有寫錯(cuò)，然后測(cè)試了一下，發(fā)現(xiàn)從7506E到ISP能Ping通，到學(xué)校的交換機(jī)就不通了。在哪發(fā)現(xiàn)的問題，就先在哪解決問題。先解決7506E到7206間的聯(lián)通問題。常規(guī)的思維都會(huì)以為是ISP的靜態(tài)路上配置問題，因?yàn)樗侵虚g設(shè)備，路由經(jīng)過中間設(shè)備才不能通過。所以首先跟聯(lián)通公司的技術(shù)人員討論這個(gè)問題，排除模塊和光路問題后，還是落腳在配置問題上。

仔細(xì)分析發(fā)現(xiàn)，互聯(lián)IP段與用戶使用的IP段不在同一個(gè)網(wǎng)段，7506E交換機(jī)在配置靜態(tài)路由時(shí)，沒有把互聯(lián)IP段的路由加上，漏掉了ISP到7206之間的互聯(lián)IP段的路由（用戶的上網(wǎng)數(shù)據(jù)包每經(jīng)過一個(gè)物理接口都會(huì)加上相應(yīng)的接口IP信息，而在靜態(tài)路由配置模式下，7506E學(xué)習(xí)不到7206的接口IP信息，必須得人工告知），所以在7506E上還得加上一條路由，配置如下：

H3C7506E靜態(tài)指向路由：

IP route 172.16.20.0/24 172.16.10.2

IP route 172.16.10.5/30 172.16.10.2

如此配置后，發(fā)現(xiàn)仍然不通，百思不得其解。后來又發(fā)現(xiàn)從ISP到學(xué)校的7206交換機(jī)之間也不通。與聯(lián)通公司技術(shù)人員商量后，一致認(rèn)為問題還是出在學(xué)校端，決定去學(xué)校實(shí)地查看一下。

通過更換光模塊、更換光模塊的交換機(jī)插槽，以及測(cè)試光路等辦法，排除了光模塊和光路的問題。打開合勤7206的配置界面，發(fā)現(xiàn)全是英文的，而且版本較老，設(shè)備較老，是2009年的設(shè)備，是從老校退下來的交換機(jī)，新交換機(jī)正在招標(biāo)。經(jīng)過查看配置發(fā)現(xiàn)，路由條目：IP route 172.16.10.0/24 172.16.10.5，目的IP段與互聯(lián)地址段在同一個(gè)網(wǎng)段，看著別扭，但是從技術(shù)上講也是允許的。聯(lián)通技術(shù)人員說，換一下互聯(lián)IP試試，我說，一直是這樣配置的，網(wǎng)絡(luò)中心用于網(wǎng)管的IP與互聯(lián)IP一直在同一個(gè)網(wǎng)段，換的話，需要重新規(guī)劃IP段。

故障解決

不得已，我們打了合勤的800服務(wù)電話。還真是這兒的問題，交換機(jī)的操作系統(tǒng)不允許目標(biāo)IP段與下一跳IP有重疊的地方。在不影響IP段重新規(guī)劃的情況下，縮小目標(biāo)IP段。于是把7206的路由改為：IP route 172.16.10.193/25 172.16.10.5，如此就可以了。

市網(wǎng)絡(luò)中心與學(xué)校網(wǎng)互聯(lián)成功以后，就可以把學(xué)校的網(wǎng)絡(luò)改到教育城域網(wǎng)了，所以，7206交換機(jī)的測(cè)試路由：IP route 172.16.10.193/25 172.16.10.5，就 可以 去掉了，換成缺省路由：IP route 0.0.0/0 172.16.10.5。在這里會(huì)發(fā)現(xiàn)，缺省路由與互聯(lián)IP段有重疊的地方。又打800電話問了一下，得到的回復(fù)是，僅有缺省路由可以。天哪！這叫什么規(guī)定呀。

故障總結(jié)

在網(wǎng)絡(luò)連接配置過程中，比較容易忽略的就是互聯(lián)IP段的路由問題，本例就是這種情況。再一個(gè)是，路由的重疊問題，這種情況比較少見，除了合勤的交換機(jī)存在這種情況，其他的交換機(jī)還真沒碰到過。所以，在此提醒大家，采購(gòu)網(wǎng)絡(luò)設(shè)備時(shí)，為統(tǒng)一標(biāo)準(zhǔn)，方便管理，最好選用同一品牌的產(chǎn)品。