引言： 單位分公司因管理需要，每臺電腦都需要連接專門的服務(wù)器，原本只有10M帶寬的HUB，已經(jīng)跟不上時代的發(fā)展，故計劃在車間現(xiàn)場部署一臺HP2910網(wǎng)管交換機。然而，將配置好的網(wǎng)管交換連接后，卻出現(xiàn)線路不通的故障。本文介紹故障的排查過程。

分公司有一個車間原本只有幾個管理人員，需要使用情況也比較簡單，對網(wǎng)絡(luò)要求不高,所以一直使用一個HUB共享上網(wǎng)。最近，因管理需要，該車間要改造成智能車間，每臺電腦都需要連接專門的服務(wù)器，實時錄入單據(jù)，原本只有10M帶寬的HUB，已經(jīng)跟不上時代的發(fā)展，故計劃在車間現(xiàn)場部署一臺HP2910網(wǎng)管交換機，運用原有的線路（線路之前就是按照1000M標準要求布線的）。

故障現(xiàn)象

一位網(wǎng)管同事A從機房拿出一臺HP2910交換機，配好管理 IP，創(chuàng)建好 VLAN，設(shè)置好網(wǎng)關(guān)，端口認證機制。駕車趕到車間現(xiàn)場，替換下原來的HUB，連接好線纜，發(fā)現(xiàn)網(wǎng)絡(luò)不通?，F(xiàn)場的同事A緊急撥打業(yè)務(wù)能力較強的其他同事求助。

圖1 相鄰交換機鏈路信息

在辦公室的同事B從現(xiàn)場同事A處得到車間現(xiàn)場的網(wǎng)管交換機MAC地址后，從核心交換機一級一級地查到車間現(xiàn)場交換機的上聯(lián)交換機。該上聯(lián)交換機也是一臺HP2910的網(wǎng)管交換機，IP地址為10.89.1.111，根據(jù)現(xiàn)場同事描述，車間交換機是連接在上聯(lián)交換機的21口，在上聯(lián)交換機上利用show lldp info remote-device命令查看，可以發(fā)現(xiàn)下聯(lián)交換機（如圖 1）。但是就是Ping不通，從上聯(lián)交換機本身都Ping不通車間交換機。

故障分析

同事B想到，該端口之前連的是一臺HUB，因為HUB不具備管理功能，所以直接對上連接交換機的21口劃分的VLAN，屬于 VLAN 183，現(xiàn)在下聯(lián)一臺網(wǎng)管交換機，此交換機很明顯不屬于VLAN 183，且下聯(lián)電腦也將屬于不同的部門，不同的VLAN。根據(jù)經(jīng)驗，B同事將上聯(lián)交換機的21端口全部打上VLAN tagged，允許各個VLAN都可以通過21端口。但是經(jīng)過測試，網(wǎng)絡(luò)仍然不通。

這時，聽到在現(xiàn)場的同事A說，現(xiàn)場的電腦可以獲取來賓網(wǎng)段的地址（沒有通過準入認證的IP地址）。交換機不通為什么還能獲取公司IP，雖然是來賓地址，但畢竟是公司DHCP信號已經(jīng)穿透，而且上聯(lián)交換機能通過lldp鏈路發(fā)現(xiàn)協(xié)議看到下聯(lián)的現(xiàn)場交換機。同事B懷疑是交換機配置有問題，因為A同事平時配置交換機的經(jīng)驗不足。因此電話通知同事A，讓其帶著交換機返回辦公室，讓同事B再次確認交換機配置。

回到辦公室，同事B仔細檢查了配置，沒有發(fā)現(xiàn)問題，然后又對該交換機清空配置之后重新配置了一遍，避免因部分字母數(shù)字微小區(qū)別人眼很難發(fā)現(xiàn)問題存在。重刷配置之后，對辦公室洽談區(qū)的一個網(wǎng)口也配置成如現(xiàn)場上聯(lián)的交換機21口一樣，對該端口全部VLAN打上tagged。再次運用Ping命令測試，問題依舊。

幾個同事開始懷疑該交換機是不是有問題，要求更換一臺交換機嘗試，因為前段時間正好解決了一起因交換機系統(tǒng)Bug導(dǎo)致的問題。但是筆者對該問題比較感興趣，而且覺得此問題應(yīng)該不是交換機硬件或者系統(tǒng)問題。因此，開始了一系列測試。

同時打開“洽談區(qū)上聯(lián)交換機”配置窗口和“問題交換機”，該交換機即使不是一臺網(wǎng)絡(luò)設(shè)備，只是一臺終端，只要是在同一個網(wǎng)段，直連也應(yīng)該通，為什么會在同管理網(wǎng)段的兩臺交換機會Ping不通呢？

1.先將上聯(lián)交換機的端口還原成untagged口，劃分到VLAN 111，同時給“問題交換機”的管理VLAN也配置成VLAN 111的地址10.88.111.200，把交換機網(wǎng)關(guān)也配置成VLAN 111的網(wǎng)關(guān)10.88.111.1。運用Ping命令Ping網(wǎng)關(guān)，Ping通過。此時證明該交換機至少是可以通信的，應(yīng)該沒有硬件故障。

2.把上聯(lián)交換機端口劃分到VLAN 1，同時給“問題交換機”的VLAN再次配置成VLAN 1的地址，即交換機管理網(wǎng)段的地址10.89.1.129，網(wǎng)關(guān)設(shè)置成10.89.1.1。再次測試，竟然通過了，讓本人非常的意外，之前可是怎么試都是不通的。

3.仔細回憶之前，同事將交換機剛拿到此區(qū)域時做的配置，我們只是把端口將VLAN打上tagged，并沒有將端口untagged,且劃分到VLAN 1的操作。筆者突然一下子豁然開朗，交換機作為網(wǎng)絡(luò)設(shè)備的同時，自己本身也是一臺終端設(shè)備，將上聯(lián)口打上tagged只是讓交換機作為網(wǎng)絡(luò)設(shè)備的功能啟用，但是作為終端設(shè)備的功能需要將上聯(lián)口打上untagged，并且劃分到VLAN 1。

4.立刻ssh連接到之前車間上聯(lián)的交換機，查看21端口，該交換機的確沒有在VLAN 1網(wǎng)段。

故障解決

找到原因所在，解決起來就簡單了，一個是可以直接修改21號端口的配置，另外一個就是可以用之前預(yù)留的交換機級聯(lián)口。

級聯(lián)口的標志是：該端口既在管理VLAN里面打untagged，又在其他VLAN里面打了tagged。根據(jù)配置信息顯示，端口49-52符合要求。同事A再次將配置好的交換機拿到現(xiàn)場，這次我們建議將上聯(lián)端口插在預(yù)留的級聯(lián)口49號端口上。果然，交換機連接成功。

經(jīng)驗總結(jié)

1.解決問題需從原理出發(fā)，不能太過依賴經(jīng)驗。本案例中我們就是依賴以往的經(jīng)驗，簡單地理解成級聯(lián)交換機只要將端口打上tagged就可以了，從某種程度上來說，這一點沒錯，交換機打上tagged，就可以保證下聯(lián)交換機的PC都可以連網(wǎng)，這個從上文所述的“現(xiàn)場PC可以獲得公司的來賓地址”就可以理解，公司DHCP信號可以通過。至于現(xiàn)場PC為什么只獲得來賓地址，而沒有獲得正?？蛇B公司網(wǎng)的地址，原因在于網(wǎng)管交換機端口上配置了3A認證，必須安裝公司的準入客戶端才可以獲得正式地址。

2.維護人員出門維護，筆記本電腦、配置線等各種工具必須佩帶齊全，出現(xiàn)問題，可以現(xiàn)場處理。該案例中同事A沒有帶電腦，出現(xiàn)問題除了讓遠在辦公室的同事遠程支援，沒有其他辦法。而辦公室的同事對現(xiàn)場的情況不了解，有時不能很好地處理問題。

3.做好運維工作，必須要具備不怕困難，知難而上的精神。通過多次測試，將問題原因找到，為將來的運維累積知識。

4.準守規(guī)定，例如本案例，上聯(lián)交換機已經(jīng)預(yù)留好了端口，偏偏要用其他端口。

5.解決交換機配置問題，清空重新配置確實是一個好方法，雖然本案例中重刷交換機配置，沒能解決問題，但是該同事的想法是值得認可的。