引言： 單位辦公自動化網(wǎng)絡(luò)中一臺電腦終端突然出現(xiàn)故障，因無修復(fù)價值，決定更換一臺新電腦。對于新電腦，只需按最初的網(wǎng)絡(luò)規(guī)劃設(shè)置新主機的相關(guān)信息，在接入交換機相應(yīng)端口上對IP地址、MAC地址重新綁定后，即可連接入網(wǎng)。然而，因為忽視了交換機一條命令的作用，導(dǎo)致該主機一直無法入網(wǎng)。本文介紹故障處理過程。

筆者負(fù)責(zé)維護的單位辦公自動化網(wǎng)絡(luò)中一臺電腦終端突然故障，因無修復(fù)價值，決定更換新電腦終端。這項工作不難且工作量也不大，只需按最初的網(wǎng)絡(luò)規(guī)劃設(shè)置新主機的相關(guān)信息，在接入交換機相應(yīng)端口上對新主機IP地址、MAC地址重新綁定后，新主機即可連接入網(wǎng)。然而，做這項工作時，因為忽視了交換機一條命令的作用，而陰差陽錯地出了一些問題，導(dǎo)致該主機一直無法入網(wǎng)。

網(wǎng)絡(luò)環(huán)境

筆者維護的辦公自動化網(wǎng)絡(luò)是一個局域網(wǎng)，各辦公室的電腦終端均連接到接入交換機上，各接入交換機通過匯聚交換機連接到核心交換機上。這樣，就實現(xiàn)了辦公電腦終端之間以及與服務(wù)器之間的連接。所有辦公電腦終端一律禁用自動IP地址獲取方式，而是采用人工指定IP地址的方式接入網(wǎng)絡(luò)。為了確保網(wǎng)絡(luò)安全，在接入交換機對應(yīng)的端口上對電腦終端的IP地址、MAC地址進行綁定，并對各部門的電腦終端進行了VLAN劃分。在該辦公自動化網(wǎng)絡(luò)的建設(shè)過程中，使用了華為、H3C、Cisco等幾個品牌的交換機。

故障現(xiàn)象

一終戶反映，他們有一臺電腦故障，因使用年限較長，市場上無法找到配件，已沒有修復(fù)的價值，決定更換一臺新電腦替代故障終端接入辦公自動化網(wǎng)絡(luò)。接到用戶申告后，筆者對這臺故障終端相關(guān)資料進行了梳理。它是通過辦公樓內(nèi)布置的網(wǎng)線連接到一臺接入交換機的端口9上。這臺接入交換機的型號為Quidway S5352C-SI。該科室的另一臺電腦終端則連接在這臺接入交換機的端口8上。新電腦終端沿用故障電腦終端的網(wǎng)絡(luò)線路及接入交換機的端口9。

明確任務(wù)后，根據(jù)現(xiàn)有的技術(shù)資料著手做這項工作。首先，在新電腦上設(shè)置原來為這臺電腦規(guī)劃的IP地址、子網(wǎng)掩碼及默認(rèn)網(wǎng)關(guān)等。

然后，通過PuTTY軟件遠程登錄到這臺接入交換機上，通過以下命令解除交換機上綁定的故障電腦相關(guān)信息：

做完上述工作后，接上網(wǎng)線，通過命令Ping服務(wù)器地址，檢查網(wǎng)絡(luò)的連通性。結(jié)果表明網(wǎng)絡(luò)不通。

故障排查

首先采用“分段法”，根據(jù)該科室另外一臺電腦的狀態(tài)，檢查網(wǎng)絡(luò)連通性，發(fā)現(xiàn)其對服務(wù)器網(wǎng)絡(luò)線路暢通，而該科室兩臺電腦之間無法Ping通。這些說明從接入交換機、匯聚交換機、核心交換機到服務(wù)器這條網(wǎng)絡(luò)線路正常，問題出在新電腦和接入交換機對應(yīng)的端口之間。問題可能出在兩個方面：一是軟件參數(shù)配置不正確；二是物理層硬件有問題。

繼續(xù)采用“分層法”來排查問題所在。根據(jù)現(xiàn)有的技術(shù)資料檢查電腦網(wǎng)卡驅(qū)動安裝、參數(shù)設(shè)置、接入交換機對應(yīng)端口參數(shù)設(shè)置是否正確。經(jīng)多人反復(fù)檢查，沒有發(fā)現(xiàn)問題。

繼續(xù)檢查物理層硬件。物理層硬件包括新電腦網(wǎng)卡、網(wǎng)線、接入交換機對應(yīng)的端口。為了驗證新電腦網(wǎng)卡是否有故障，我們將這臺新電腦搬到維修間，用一臺備用的交換機和一臺筆記本電腦搭建了一個局域網(wǎng)。筆記本電腦IP地址設(shè)置與新電腦終端在同一網(wǎng)段，未對交換機端口進行綁定。接通網(wǎng)線后，新電腦終端和筆記本電腦之間能Ping通，說明新電腦網(wǎng)卡沒有問題。

接下來檢查網(wǎng)絡(luò)線路。用網(wǎng)線測試儀檢查網(wǎng)線，結(jié)果表明網(wǎng)線正常。為了驗證這根網(wǎng)線，我們把這臺新電腦搬回科室，把備用的交換機和筆記本搬到接入交換機所在機房，再做與維修間同樣的實驗。設(shè)備加電連接后，筆記本電腦和新電腦終端之間能Ping通，說明墻內(nèi)預(yù)置的這根網(wǎng)線沒有問題。通過這根網(wǎng)線把新電腦主機連接到接入交換機的端口9上，仍然Ping不通服務(wù)器。

難道是接入交換機端口9出現(xiàn)故障了？我們決定用接入交換機的端口8來驗證一下。端口8解除綁定后，新電腦終端的網(wǎng)線接到端口8上，仍然無法Ping通服務(wù)器。端口8重新綁定原參數(shù)，恢復(fù)原電腦終端的連接，結(jié)果網(wǎng)絡(luò)暢通。在端口9上對新電腦參數(shù)綁定后，將新電腦終端連接到端口9上，發(fā)現(xiàn)新電腦終端居然能Ping通服務(wù)器，網(wǎng)絡(luò)暢通。這讓我們感到很茫然：接入交換機的端口綁定是對訪問網(wǎng)絡(luò)的電腦加以限定條件，網(wǎng)絡(luò)反而暢通；解除綁定是取消限定條件，網(wǎng)絡(luò)卻不通？

故障解決

再回過頭來，檢查接入交換機端口9的配置信息：

看到“ip source check user–bind enable ”這條命令后，忽然明白，雖然在接入交換機端口9上解除了對故障電腦終端的綁定，以為通過接入交換機這個端口訪問網(wǎng)絡(luò)就不再受限制。但是，由于這條命令的存在，接入交換機該端口對用戶信息檢查功能一直在起作用，導(dǎo)致接入交換機丟棄該端口報文，造成了新電腦終端無法入網(wǎng)的現(xiàn)象。

后來，我們通過實驗驗證：只有在解除接入交換機某端口對主機IP地址、MAC地址綁定的同時，通過命令 undo ip source check user–bind enable解除接入交換機綁定檢查功能，才算是徹底解除了通過接入交換機該端口訪問網(wǎng)絡(luò)的限制。

經(jīng)驗總結(jié)

在此之前也更換過電腦主機，但都沒有出現(xiàn)類似現(xiàn)象。我們的做法是解除原主機IP地址、MAC地址的綁定后，立即在接入交換機對應(yīng)的端口上綁定新主機IP地址、MAC地址，“ip source check user-bind enable”這條命令一直存在并起作用，主機入網(wǎng)沒有問題。此次解除接入交換機的端口綁定后，我們覺得解除綁定限制條件更加便于調(diào)試網(wǎng)絡(luò)，網(wǎng)絡(luò)調(diào)通后再完成綁定工作，所以并未急于綁定新主機的IP地址、MAC地址，但也沒有及時解除這條命令的作用，這才導(dǎo)致了新主機無法入網(wǎng)的假象。

排查這個故障持續(xù)了近一個星期，雖然走了一些彎路，但終于徹底理解了華為交換機端口綁定功能的實現(xiàn)機理，以及與其他品牌交換機的不同。這個事例告誡我們，作為網(wǎng)絡(luò)管理人員，絕不能按慣性思維行事，在使用不同品牌的設(shè)備時，既要注意它們的相似之處，更要特別關(guān)注它們之間的區(qū)別，才能靈活高效地維護網(wǎng)絡(luò)。