■ 枝江市職業(yè)教育中心 楊華

編者按：隨著辦公信息化的建設(shè)不斷推進，越來越多的節(jié)點接入到各單位的網(wǎng)絡(luò)中。導(dǎo)致單位的網(wǎng)絡(luò)設(shè)備不斷增加、升級更新，但隨之而來的是網(wǎng)絡(luò)管理維護難度越來越大。原先提供的物理信息點的數(shù)量遠遠不能滿足用戶入網(wǎng)的需求。本文將以常見的幾種物理環(huán)路場景作深入分析。

針對網(wǎng)絡(luò)環(huán)路的解決辦法通常是用戶自行添加普通交換機進行簡單互聯(lián)，以滿足上網(wǎng)的需要。但由于用戶對網(wǎng)絡(luò)技術(shù)的缺乏，很容易造成網(wǎng)絡(luò)環(huán)路。

物理環(huán)路的幾種拓撲形式

1.鏈路聚合配置不當(dāng)

該種技術(shù)需要交換機必需具備的功能和配置技術(shù)。以太網(wǎng)鏈路聚合通過將多條以太網(wǎng)物理鏈路捆綁在一起形成一條以太網(wǎng)邏輯鏈路，實現(xiàn)增加鏈路帶寬的目的，同時這些捆綁在一起的鏈路通過相互動態(tài)備份，可以有效地提高鏈路的可靠性。如圖1所示，Switch1與Switch2之間通過三條以太網(wǎng)物理鏈路相連，將這三條鏈路捆綁在一起，就成為了一條邏輯鏈路。這條邏輯鏈路的帶寬最大可等于三條以太網(wǎng)物理鏈路的帶寬總和，增加了鏈路的帶寬；同時，這三條以太網(wǎng)物理鏈路相互備份，當(dāng)其中某條物理鏈路down，但在具體實施過程中，某些用戶簡單認為在兩交換機端口之間用兩根以上的網(wǎng)線互聯(lián)起來就可以增加物理帶寬，從100MB就可以達到300MB以上的帶寬，導(dǎo)致網(wǎng)絡(luò)環(huán)路的產(chǎn)生。

2.虛擬化配置不當(dāng)

最開始交換機或服務(wù)器為了達到高可用性都使用雙機熱備技術(shù)，即VRRP（虛擬路由冗余協(xié)議）技術(shù)來解決該問題，以實現(xiàn)主、備核心三層交換設(shè)備之間動態(tài)、無停頓的熱切換?，F(xiàn)在最新的交換機虛擬化技術(shù)已越來越流行，如圖2所示，各個廠商的名稱叫法都不一樣，但實現(xiàn)功能一樣，都是將兩臺或者兩臺以上的交換機虛擬成一臺，各廠商虛擬化名稱如下：

思 科 -VSS、華 三 -IRF、華 為 -CSS、銳 捷 -VSU、神州-VSF。

當(dāng)使用了虛擬化技術(shù)后，兩臺核心可看作一臺交換機，這時，兩個核心連接至匯聚的兩根纖就可以做成鏈路捆綁，交換機就可以不用生成樹而實現(xiàn)鏈路冗余，且兩根鏈路帶寬會疊加。當(dāng)然在配置過程中，如果操作不當(dāng)，也很容易造成網(wǎng)絡(luò)環(huán)路。

圖1 交換機之間鏈路聚合

圖2 交換機之間虛擬化

圖3 三臺交換機之間環(huán)路

注意：（1）以上兩種技術(shù)實現(xiàn)最好先做好配置，然后再進行物理連接，避免在配置未生效前就已經(jīng)環(huán)路了。（2）在下連交換機等網(wǎng)絡(luò)設(shè)備時，對避免環(huán)路的配置也是不一樣了，如果在鏈路聚合的狀態(tài)下，由于只是鏈路虛擬成一條，所以就形成三臺設(shè)備構(gòu)成的物理環(huán)路，只能啟動生成樹協(xié)議進行阻塞。如果是在虛擬化的狀態(tài)下，由于兩臺核心交換機虛擬成一臺，就形成了兩臺設(shè)備的物理環(huán)路，最優(yōu)的配置是再進行鏈路聚合，實現(xiàn)提高帶寬、鏈路備份的功能。

3.網(wǎng)絡(luò)冗余鏈路配置不當(dāng)

在一個交換網(wǎng)絡(luò)中有可能會出現(xiàn)單點失效的故障，所謂單點失效，指的是由于網(wǎng)絡(luò)中某一臺設(shè)備的故障，而影響整個網(wǎng)絡(luò)的通信。為了避免單點失效，提高網(wǎng)絡(luò)的可靠性，可以通過構(gòu)建一個冗余拓撲來解決，如圖3所示。但是，一個冗余的拓撲，又會給我們的網(wǎng)絡(luò)造成環(huán)路，而產(chǎn)生其它的影響。為了解決二層環(huán)路問題，而設(shè)計了SPT協(xié)議。但在具體實施過程中，由于用戶缺乏對網(wǎng)絡(luò)技術(shù)知識的認識，為了網(wǎng)絡(luò)通信的可靠性，相當(dāng)然的使用兩臺二層交換機通過LAN互聯(lián)起來，然后再分別用網(wǎng)線連接到三層交換機上，如圖2所示，導(dǎo)致網(wǎng)絡(luò)環(huán)路的產(chǎn)生。

注意：(1)不是所有二層設(shè)備都支持生成樹協(xié)議，若設(shè)備支持，還分有的廠商設(shè)備是默認開啟的，有的需要手動開啟的。此時開啟的是最普通的SPT協(xié)議，在同一VLAN中始終有一條鏈路處于堵塞狀態(tài)，鏈路利用效率不高，特別是在多VLAN中資源浪費較大，這時需手動開啟多生成樹協(xié)議MSTP。（2）在端口聚合中還需要生成樹樹協(xié)議嗎，因為端口聚合將多條鏈路虛擬成一條鏈路，邏輯上不存在冗余鏈路，所以無須生成樹的干預(yù)。（3）在虛擬化中，兩臺設(shè)備虛擬成一臺設(shè)備，也不符合生成樹的的開啟條件，當(dāng)然也不會激活它。

4.網(wǎng)絡(luò)布線不規(guī)范

（1）某些用戶在工作室內(nèi)布置網(wǎng)線，由于操作失誤經(jīng)常會將同一根網(wǎng)線插在同一個VLAN里的交換機兩端口上，形成網(wǎng)絡(luò)環(huán)路。環(huán)路的產(chǎn)生不是直接發(fā)生成可配置的交換機上，但是對于上層交換機會造成直接影響，這時就要用到端口的環(huán)路檢測功能，通過追蹤從本端口發(fā)出的環(huán)回檢測包來判斷該端口下是否有回路。

注意：因為環(huán)路僅發(fā)生在一臺設(shè)備上，根據(jù)生成樹協(xié)議的工作原理，它是無法啟用發(fā)揮作用的，因為STP至少應(yīng)在兩臺設(shè)備上才會觸發(fā)。所以這種網(wǎng)絡(luò)環(huán)路配置生成樹是沒有意義的。

（2）環(huán)路發(fā)生在兩臺交換機之間，如果同時配置了生成樹和環(huán)路檢測功能，因為生成樹協(xié)議作用在前，它會先阻塞一個端口，避免環(huán)路的產(chǎn)生。環(huán)路檢測也不會檢測到環(huán)路。若沒有啟用生成樹協(xié)議，環(huán)路檢測會檢測到環(huán)路而采取相應(yīng)措施。

環(huán)路檢測及應(yīng)對措施

1.終端數(shù)據(jù)抓包分析

可以在終端上安裝協(xié)議分析軟件監(jiān)控當(dāng)前網(wǎng)絡(luò)的運行狀況，我們知道IPID(IP標(biāo)識)一樣，說明屬于同一數(shù)據(jù)包，如果在網(wǎng)絡(luò)中同一數(shù)據(jù)包出現(xiàn)多次的話，說明網(wǎng)絡(luò)中存在IP分片或網(wǎng)絡(luò)中存在環(huán)路，經(jīng)過抓包分析在數(shù)據(jù)包中未發(fā)現(xiàn)IP分片數(shù)據(jù)包，而且環(huán)路的話，其TTL值肯定會逐漸減小至0，綜合以上分析就可以斷定存在網(wǎng)絡(luò)環(huán)路。

但并不是所有的機器都發(fā)IPID重復(fù)的數(shù)據(jù)包，環(huán)路交換機與發(fā)IPID重復(fù)數(shù)據(jù)包的機器并不存在對應(yīng)關(guān)系，也就是說環(huán)路的位置并不能確定。既然我們不能分析出環(huán)路所在，如何才能找出環(huán)路位置，從而排除它？我們可以有采取物理隔離的分析方法，首先讓一半的客戶端在線，另一半與網(wǎng)絡(luò)斷開，進行抓包，如有相同的IPID廣播包，說明環(huán)路在這一半中，如沒有，說明環(huán)路發(fā)生在另一半，依此類推，逐漸縮小范圍，最終查出環(huán)路交換機為止。

2.登陸網(wǎng)絡(luò)設(shè)備分析

登陸到網(wǎng)絡(luò)設(shè)備查看端口流量，若清楚知道網(wǎng)絡(luò)流量大小，就可以判斷出網(wǎng)絡(luò)是否出現(xiàn)異常。若不清楚網(wǎng)絡(luò)流量的話，則可以通過多次查看端口流量使用情況來進行判斷是否環(huán)路。

注意：如果只有一臺設(shè)備的一個端口出入方向流量較大，可能是單端口環(huán)回。如果只有一臺設(shè)備的兩個端口流量較大，可能是本設(shè)備兩個端口環(huán)回； 如果某端口只有單方向流量，只有出或者只有入，需要重點排查，因為環(huán)路有可能在該端口的上下游設(shè)備。

3.設(shè)備外觀檢測

一般來說，當(dāng)網(wǎng)絡(luò)中有環(huán)路存在，大量數(shù)據(jù)包被轉(zhuǎn)發(fā)，交換機指示燈閃爍的與正常時有明顯不同，可用“狂閃”來形容，有經(jīng)驗的網(wǎng)絡(luò)管理者，可以根據(jù)交換機指示燈閃爍的方式縮小范圍，直到找出環(huán)路的交換機。