當(dāng)前在網(wǎng)絡(luò)環(huán)境中，很多節(jié)點都使用三層交換機(jī)取代了原有的路由器。使用三層交換機(jī)的優(yōu)點不僅可以降低成本、提高交換速率，更重要的是可以大大增加外連網(wǎng)絡(luò)的數(shù)量，在組網(wǎng)過程中方便快捷。

但在交換機(jī)配置使用時，因不了解交換機(jī)的性能導(dǎo)致出現(xiàn)很多超出交換機(jī)性能的配置，從而出現(xiàn)各種故障。筆者就曾在使用三層交換機(jī)的過程中遇到過因配置條目過多，超過了交換機(jī)的參數(shù)上限，導(dǎo)致網(wǎng)絡(luò)無法連通。

網(wǎng)絡(luò)環(huán)境介紹

根據(jù)業(yè)務(wù)需要，本級（上級）網(wǎng)絡(luò)需要連通很多下級單位網(wǎng)絡(luò)，本級也有很多直屬單位需要連接。因單位過多，本級選用華為S9712交換機(jī)連接下級單位和本級所屬部門的網(wǎng)絡(luò)。原計劃在S9712交換機(jī)中統(tǒng)一劃分VLAN，下級各單位依托本級的交換機(jī)進(jìn)行VLAN之間的數(shù)據(jù)連通，但是后經(jīng)調(diào)研分析，發(fā)現(xiàn)這樣部署存在很多技術(shù)和管理上的問題。

圖1 網(wǎng)絡(luò)環(huán)境及相關(guān)配置參數(shù)

一是不方便下級自主管理，因為各下級單位也都要劃分自己的VLAN，需要對各自單位的網(wǎng)絡(luò)進(jìn)行管理，同時也需要對所屬計算機(jī)的IP和MAC地址進(jìn)行綁定。

二是本級交換機(jī)負(fù)荷過大，因為所有單位的數(shù)據(jù)都要經(jīng)過S9712交換機(jī)，負(fù)荷過大，運行速率勢必會受到較大影響。

三是當(dāng)本級核心交換機(jī)出現(xiàn)問題或本級至下級的鏈路出現(xiàn)故障后，下級各單位不同VLAN間將無法互通，會影響所有單位的網(wǎng)絡(luò)。四是如果在S9712交換機(jī)上配置過多，極易影響S9712交換機(jī)性能。為方便下級各

單位自主管理和隔離本級部分重要用戶，特采用了本級和下級之間通過配置OSPF協(xié)議進(jìn)行連通，本級通過劃分不同VLAN對下級進(jìn)行連通，下級也通過劃分VLAN專向同本級進(jìn)行連通。為確保本級重要用戶安全，本級在配置OSPF協(xié)議時，只要不宣告重要用戶相對應(yīng)VLAN的網(wǎng)絡(luò)即可實現(xiàn)對重要用戶的邏輯隔離，確保本級網(wǎng)絡(luò)可以連通，下級單位無法同本級重要用戶進(jìn)行連通。因網(wǎng)絡(luò)規(guī)模過大，特使用華為ENSP軟件最簡化地模擬這種網(wǎng)絡(luò)環(huán)境，部分配置參數(shù)如圖1。

其中LSW1交換機(jī)的端口、VLAN劃分及相關(guān)配置如圖2，其中LSW1交換機(jī)模擬本級華為S9712交換機(jī)。LSW1交換機(jī)中的OSPF配置如圖3。LSW2交換機(jī)端口及VLAN劃分如圖4。LSW2交換機(jī)中OSPF配置如圖5。

兩臺交換機(jī)配置完成后，進(jìn)行了測試，其中“本級一般用戶”計算機(jī)可以同“下級用戶”計算機(jī)和“本級重要用戶”計算機(jī)連通，而“本級重要用戶”計算機(jī)和“下級用戶”計算機(jī)之間無法連通，實現(xiàn)目標(biāo)要求。

故障現(xiàn)象

在本級交換機(jī)的OSPF進(jìn)程中對所有連接下級的網(wǎng)絡(luò)和本級所屬單位的VLAN端口地址進(jìn)行了宣告。宣告完成后測試連通情況，有下級單位報告說網(wǎng)絡(luò)無法連通，經(jīng)了解發(fā)現(xiàn)，有部分單位可以連通，有部分單位無法連通。通過檢查配置，發(fā)現(xiàn)本級和下級的配置均正確，配置也沒有遺漏。后使用“display ospf interface vlanif xxx”命令，對出現(xiàn)故障的端口進(jìn)行查看，發(fā)現(xiàn)所有出現(xiàn)網(wǎng)絡(luò)故障的鏈路協(xié)議都是DOWN的，如圖6。

圖2 LSW1交換機(jī)端口參數(shù)及VLAN劃分

圖3 LSW1交換機(jī)ospf配置

圖4 LSW2交換機(jī)端口參數(shù)及VLAN劃分

圖5 LSW2交換機(jī)ospf配置

圖6 鏈路協(xié)議為DOWN

故障分析

1.檢查相對應(yīng)的物理 端 口。 使 用“display interface brief”命令檢查各物理端口，發(fā)現(xiàn)相對應(yīng)的物理端口和VLAN邏輯端口都是UP的，狀態(tài)正常。

2.使用“display ospf 1 peer brief”命令查看鄰居狀態(tài)，發(fā)現(xiàn)出現(xiàn)連通故障的VLAN所對應(yīng)的端口無法同下級的網(wǎng)絡(luò)端口建立鄰居關(guān)系，但是使用ping命令卻可以相互ping通，也就是說物理鏈路正常但是卻無法建立鄰居關(guān)系，看來問題出在OSPF協(xié)議方面。

3.使用抓包工具對出現(xiàn)故障的端口進(jìn)行抓包，發(fā)現(xiàn)本級交換機(jī)竟然沒有發(fā)送hello報文，卻可以接收到下級交換機(jī)發(fā)來的hello報文。在連通正常的端口進(jìn)行抓包，發(fā)現(xiàn)本級交換機(jī)有正常發(fā)送hello報文，沒有發(fā)送hello報文，鄰居關(guān)系當(dāng)然無法建立，網(wǎng)絡(luò)也就不會通。

4.通過仔細(xì)檢查發(fā)現(xiàn)，所有出現(xiàn)故障的都是在ospf進(jìn)程中宣告第65個以后的端口，由此，筆者感覺可能是宣告的端口數(shù)量過多，超過了設(shè)備的規(guī)格要求所致。

5.使 用“undo vlan xxx”命令，刪除一個能正常連通的網(wǎng)絡(luò)后，發(fā)現(xiàn)出現(xiàn)網(wǎng)絡(luò)故障的一個對下單位的網(wǎng)絡(luò)能正常連通了，而這個恢復(fù)正常的網(wǎng)絡(luò)正是在OSPF協(xié)議中宣告的最先出現(xiàn)故障的那個端口，也就是第65端口。

故障原因

查閱了相關(guān)資料和詢問華為的技術(shù)服務(wù)人員后，知道出現(xiàn)故障的原因是在OSPF進(jìn)程中宣告的端口數(shù)量超出了上限，這個宣告的上限數(shù)量為64，當(dāng)超過64再宣告，即使能宣告，這些也端口無法與鄰居建立連接，這也是造成網(wǎng)絡(luò)無法連通的原因。

故障排除

既然找到了故障原因，排除就很容易了，筆者在本級交換機(jī)中增加了一個新的區(qū)域，即area 1，在此區(qū)域內(nèi)使用OSPF協(xié)議，對超出64的其他所有端口網(wǎng)絡(luò)重新進(jìn)行宣告，最后進(jìn)行測試，所有的對下網(wǎng)絡(luò)全部連通。

經(jīng)驗總結(jié)

在進(jìn)行網(wǎng)絡(luò)設(shè)備配置時，有條件最好能將網(wǎng)絡(luò)設(shè)備的硬件和軟件支持上限弄清楚，避免出現(xiàn)不必要的故障。比較常見的軟硬件上限有：一是在很多中低端交換機(jī)中的VLAN創(chuàng)建上限為4K；二是很多中低端交換機(jī)的MAC地址學(xué)習(xí)上限為8K，部分中高端為16K和32K；三是很多中低端交換機(jī)綁定IP和MAC地址上限為200；四是OSPF協(xié)議端口宣告上限為64個。當(dāng)需要宣告的端口多于64個時，可采用新增area區(qū)域，將超過的端口在新的區(qū)域中進(jìn)行宣告，也可在原有area區(qū)域中新建一個或多個OSPF進(jìn)程，然后在這些OSPF進(jìn)程間相互引入路由即可。