引言： 筆者單位組建了兩套相互獨(dú)立的局域網(wǎng)，這兩個(gè)局域網(wǎng)是物理隔離的，不允許互訪。前不久，網(wǎng)絡(luò)出現(xiàn)故障，用戶明明連接的是局域網(wǎng)A的網(wǎng)口，卻獲得了局域網(wǎng)B的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)和DNS，最可能的原因是網(wǎng)絡(luò)A與網(wǎng)絡(luò)B間發(fā)生了物理連接。如何快速排查接線點(diǎn)呢？筆者使用思科網(wǎng)絡(luò)助手（CNA），完美解決了此故障。

網(wǎng)絡(luò)結(jié)構(gòu)

筆者所在單位出于安全考慮，組建了兩套相互獨(dú)立的局域網(wǎng)。綜合化布線時(shí)為每個(gè)用戶工作區(qū)（辦公點(diǎn)）安置了兩個(gè)網(wǎng)絡(luò)接口，分屬兩個(gè)不同的局域網(wǎng)。這兩個(gè)局域網(wǎng)是物理隔離的，不允許互訪。每套局域網(wǎng)均為單核心、核心層－接入層的兩層式結(jié)構(gòu)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

局域網(wǎng)A核心層為Cisco 6504-E三層交換機(jī)，通過光纖連接29臺(tái)Cisco 2960接入層交換機(jī)，劃分了35個(gè)VLAN，IP規(guī)劃為192.168.0.0 /24，網(wǎng) 絡(luò) 出口區(qū)連接Internet。局域網(wǎng)B核心層為Cisco 6504-E三層交換機(jī)，通過光纖連接23臺(tái)Cisco 2960接 入 層交換機(jī)，劃分了 2個(gè) VLAN，I P規(guī) 劃 為172.16.0.0/24，網(wǎng)絡(luò)出口區(qū)連接政務(wù)外網(wǎng)。所有用戶PC均為單網(wǎng)卡，同一時(shí)刻只能連接A、B網(wǎng)絡(luò)中的一個(gè)，切換網(wǎng)絡(luò)時(shí)需拔下網(wǎng)線后插入工作區(qū)另一接口。

局域網(wǎng)A、B均有各自的DHCP服務(wù)器，是在核心交換機(jī)上設(shè)置的，每個(gè)VLAN設(shè)一個(gè)DHCP服務(wù)器，所以網(wǎng)絡(luò)A有35個(gè)DHCP服務(wù)器，網(wǎng)絡(luò)B有2個(gè)DHCP服務(wù)器。

故障現(xiàn)象

前不久，部分用戶反映無(wú)法正常上網(wǎng)?，F(xiàn)場(chǎng)發(fā)現(xiàn)，用戶明明連接的是局域網(wǎng)A的網(wǎng)口，卻獲得了局域網(wǎng)B的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)和DNS。Windows命令行下用ipconfig/renew多次向DHCP服務(wù)器重新申請(qǐng)IP，時(shí)而得到網(wǎng)絡(luò)B的IP，時(shí)而得到網(wǎng)絡(luò)A的IP。

故障分析

憑直覺判斷，最可能的原因是網(wǎng)絡(luò)A與網(wǎng)絡(luò)B間發(fā)生了物理連接，使網(wǎng)絡(luò)A、B組成了一個(gè)大的局域網(wǎng)，在這個(gè)大的局域網(wǎng)中同時(shí)存在35+2＝37個(gè)DHCP服務(wù)器， DHCP服務(wù)器間是競(jìng)爭(zhēng)關(guān)系，都具備向用戶提供IP地址的能力。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

圖2 拓?fù)鋱D左側(cè)的交換機(jī)列表

用戶網(wǎng)卡作為DHCP Client，向網(wǎng)絡(luò)中發(fā)送DHCP Discover廣播報(bào)文，兩臺(tái)DHCP服務(wù)器均接收到DHCP Discover報(bào)文，然后向DHCP Client發(fā)送一個(gè)DHCP Offer報(bào)文。DHCP Client只能處理其中的一個(gè)DHCP Offer報(bào)文，一般的原則是DHCP Client處理最先收到的DHCP Offer報(bào)文，然后發(fā)出一個(gè)廣播的DHCP Request報(bào)文……

故障排查

網(wǎng)絡(luò)A與網(wǎng)絡(luò)B間發(fā)生了物理連接，該連接發(fā)生在核心層或接入層的可能性均存在。由于核心交換機(jī)放置在數(shù)據(jù)中心，由數(shù)據(jù)中心的網(wǎng)管人員管理維護(hù)，外人無(wú)法接觸，基本上不可能發(fā)生核心層錯(cuò)誤連線這種低級(jí)錯(cuò)誤。經(jīng)在數(shù)據(jù)中心現(xiàn)場(chǎng)勘查，沒有發(fā)現(xiàn)兩臺(tái)核心層交換機(jī)間有任何連接，核心層互連的可能性被排除，那么互連只可能發(fā)生在接入層。

接入層互連點(diǎn)又存在兩種可能，一在配線間，二在工作區(qū)。如果互連點(diǎn)在配線間，全單位共有十個(gè)弱電配線間，現(xiàn)場(chǎng)勘查找到互連點(diǎn)不需要太長(zhǎng)時(shí)間。但如果互連點(diǎn)在工作區(qū)，全單位共有500多個(gè)工作區(qū)，1100多個(gè)網(wǎng)絡(luò)布線點(diǎn)（每工作區(qū)有網(wǎng)絡(luò)A、網(wǎng)絡(luò)B接口各一個(gè)），且網(wǎng)絡(luò)接口多數(shù)布置在辦公桌后，需移動(dòng)辦公設(shè)備才能暴露網(wǎng)口和網(wǎng)線，排查的工作量非常大。那么有沒有一種簡(jiǎn)單高效的方法來(lái)找到互連點(diǎn)呢？

對(duì)于Cisco的交換機(jī)，一種簡(jiǎn)單高效的方法是，使用Cisco公司為中小型企業(yè)提供的一款免費(fèi)的、幫助網(wǎng)管員配置思科設(shè)備的工具——思科網(wǎng)絡(luò)助手（CNA），優(yōu)點(diǎn)是圖形化、可自動(dòng)產(chǎn)生網(wǎng)絡(luò)拓?fù)洌苤庇^。

到思科官網(wǎng)下載CAN，最新版本為6.3.0，安裝過程很簡(jiǎn)單。運(yùn)行CNA，首先Create community，輸入要添加到管理組的交換機(jī)的IP或IP范圍，輸入交換機(jī)口令，軟件即開始嘗試與要管理的交換機(jī)建立通信，掃描到本組所有交換機(jī)后會(huì)形成并展示一個(gè)網(wǎng)絡(luò)拓?fù)鋱D，調(diào)整拓?fù)鋱D的參數(shù)，使其顯示設(shè)備鏈路接口ID、設(shè)備名稱信息。

我單位二層交換機(jī)hostname均按“建筑物名稱首字母+配線間所在樓層+F+D+本交換機(jī)在本配線間中的序號(hào)”的命名規(guī)則命名，如Z2FD3表示綜合樓二樓政務(wù)外網(wǎng)交換機(jī)中的第三臺(tái)，MD2表示門診樓政務(wù)外網(wǎng)交換機(jī)中的第二臺(tái)。目測(cè)右側(cè)區(qū)域的拓?fù)鋱D和左側(cè)區(qū)域的交換機(jī)列表（放大后如圖2），根據(jù)交換機(jī)的hostname發(fā)現(xiàn)問題。

圖3 發(fā)生錯(cuò)誤互連的兩臺(tái)交換機(jī)

圖4 用 show cdp neighbors命令查看其相鄰的交換機(jī)

圖2字母d為創(chuàng)建出的community組名，表示政務(wù)外網(wǎng)組，其下方列出了本組所有二層交換機(jī)。Neighbors表示與本組交換機(jī)有鏈路相連的其他交換機(jī)，這里列出了兩臺(tái)，hostname分別為ws6504D和Z2FN1。其中ws6504D為核心交換機(jī)，由于思科網(wǎng)絡(luò)助手無(wú)法管理三層交換機(jī)，所以將其列入Neighbors組，而Z2FN1根據(jù)命名可知其是屬于網(wǎng)絡(luò)A中的交換機(jī)，不屬于網(wǎng)絡(luò)B，而網(wǎng)絡(luò)A、B應(yīng)為物理隔離，不應(yīng)有關(guān)聯(lián)，所以可判斷Z2FN1這臺(tái)交換機(jī)與網(wǎng)絡(luò)B中的某一臺(tái)交換機(jī)發(fā)生了不應(yīng)有的連接。

觀察右側(cè)區(qū)域拓?fù)洌cZ2FN1相連的交換機(jī)為Z2FD1（放大后如圖3），Z2FN1和Z2FD1均位于綜合樓二樓配線間。在綜合樓二樓配線間，現(xiàn)場(chǎng)勘查Z2FD1和Z2FN1這兩臺(tái)交換機(jī)之間并未發(fā)生互連，則互連必發(fā)生在工作區(qū)。查看網(wǎng)絡(luò)端口表可知，與Z2FN1的Fa0/46端口和Z2FD1的Fa0/40端口相連的信息插座均位于綜合樓一樓的同一間辦公室。經(jīng)在該辦公室現(xiàn)場(chǎng)勘查，發(fā)現(xiàn)用戶私接了一臺(tái)8口的微型交換機(jī)，該交換機(jī)用兩條網(wǎng)線同時(shí)連接了信息插座中分屬網(wǎng)絡(luò)A、B的兩個(gè)網(wǎng)口。將其中一條網(wǎng)線拔掉，在思科網(wǎng)絡(luò)助手中刷新拓?fù)鋱D，發(fā)現(xiàn)交換機(jī)Z2FN1消失了，說(shuō)明網(wǎng)絡(luò)A、B間的連接已被清除。

其實(shí)用命令行的方式也能發(fā)現(xiàn)和排除此類故障。首先逐一telnet網(wǎng)絡(luò)B中的每臺(tái)交換機(jī)，用show cdp neighbors命令查看其相鄰的交換機(jī)是哪幾個(gè)，根據(jù)hostname名判斷其是否屬于本網(wǎng)絡(luò)，如果發(fā)現(xiàn)相鄰交換機(jī)不屬于本網(wǎng)絡(luò)，則可判定已找到發(fā)生錯(cuò)誤連接的兩臺(tái)交換機(jī)（如圖4）。此方法需遍歷community中的所有交換機(jī)，需反復(fù)輸入telnet登錄口令并重復(fù)手工敲入命令，效率低下，遠(yuǎn)不及使用CAN方便和高效。