■ 云南 唐國軍

編者按：VLAN 技術的應用在各行各業(yè)中非常普便，但有時對VLAN 配置不當也會造成一些問題。例如，筆者就曾遇到一個關于VLAN 引起的網(wǎng)絡廣播風暴案例，希望能對讀者有所啟發(fā)。

VLAN 可以隔離沖突域和廣播風暴，但是并不是所有的VLAN 都能為用戶帶來好處。

通常，VLAN 是建立在物理網(wǎng)絡基礎上的一種邏輯子網(wǎng)，所以建立VLAN 需要相應支持技術的網(wǎng)絡設備。它的組建也是有條件和依據(jù)的，在合適的條件下才能發(fā)揮其真正的作用。

本文筆者將分享一個關于VLAN 引起的網(wǎng)絡廣播風暴案例，希望能對大家有所啟發(fā)。

網(wǎng)絡環(huán)境

該網(wǎng)絡系統(tǒng)由中國移動、電信雙鏈路接入，兩條電路從縣-地市帶寬50 M，地市-省帶寬100 M，其中移動電路為網(wǎng)狀結構，電信電路為樹形結構。網(wǎng)絡系統(tǒng)分為兩個辦公區(qū)，距離大約是2500 m，中間通過一組光纖收發(fā)器連接，網(wǎng)絡拓撲如圖1 所示。

圖1 網(wǎng)絡拓撲圖

交換機配置實例

為了實現(xiàn)兩個辦公區(qū)及與州市級通信，辦公區(qū)各放一個H3C 5130 的交換機，部分配置如下：

1.辦公區(qū)1 交換機配置

#

vlan 30 description to Router

#

vlan 50

description to

BanGongQu

#

vlan 70

description to

NeiWang

#

stpglobal

enable

#

interface NULL0

#

interface Vlaninterface30

description to Router

ip address 10.211.

56.4 255.255.255.248

#

interface Vlaninterface50

descriptionto

BanGongQu

................................

#

vlan 30

descriptionto Router

#

vlan 50

descriptionto

BanGongQu

#

vlan 70

descriptionto

NeiWang

#

stp global enable

#

interface NULL0

#

interface Vlaninterface30

descriptionto Router

ip address 10.211.

56.4 255.255.255.248

#

interface Vlaninterface50

descriptionto

Ban Gong Quinterface GigabitEthernet1/0/37

port access vlan 20

#

interface Gigabit Ethernet1/0/38

port access vlan 20

#

interface Gigabit Ethernet1/0/39

port access vlan 20

#

interface Gigabit Ethernet1/0/40

port access vlan 20

2.辦公區(qū)2 交換機配置

#

vlan 30

descriptionto Router

#

vlan 50

descriptionto

BanGongQu

#

vlan 70

descriptionto

NeiWang

#

stp global enable

#

interface NULL0

#

interface Vlaninterface30

descriptionto Router

ip address 10.211.

56.4 255.255.255.248#

interface Vlaninterface50

descriptionto

BanGongQu

.................................#

interface Gigabit Ethernet1/0/34

port access vlan 20

#

interface Gigabit Ethernet1/0/35

port access vlan 20

#

interface Gigabit Ethernet1/0/36

port access vlan 20

#

interface Gigabit Ethernet1/0/37

port access vlan 20

#

interface Gigabit Ethernet1/0/38

port access vlan 20

#

interface Gigabit Ethernet1/0/39

port access vlan 20

#

interface Gigabit Ethernet1/0/40

port access vlan 20

網(wǎng)絡調整情況

近期，為實現(xiàn)辦公一體化自動監(jiān)控需要，辦公區(qū)2 的部分業(yè)務用機網(wǎng)絡需要和辦公區(qū)1 的交換機網(wǎng)絡設置成同一網(wǎng)段?？紤]到節(jié)省成本和方便，筆者決定將辦公區(qū)2的交換機的36 ～40 端口劃分一個VLAN 出來，和辦公區(qū)1 的交換機化為一個網(wǎng)段，重新配置交換機1 和2 的接口及VLAN，部分配置如下：

#

interface Gigabit Ethernet1/0/35

port access vlan 20

#

interface Gigabit Ethernet1/0/36

port access vlan 70

#

interface Gigabit Ethernet1/0/37

port access vlan 70

#

interface Gigabit Ethernet1/0/38

port access vlan 70

#

interface Gigabit Ethernet1/0/39

port access vlan 70

#

interface Gigabit Ethernet1/0/40

port access vlan 70

#

interface Gigabit Ethernet1/0/41

port access vlan 20

配置完成后測試，通信正常，業(yè)務正常實現(xiàn)。

故障現(xiàn)象

業(yè)務剛運行幾個小時，問題出現(xiàn)了，兩個辦公區(qū)無法正常通信，SW 指示燈狂閃，同時內網(wǎng)Ping 值不斷變化，總體呈上升趨勢。

原因分析

對交換機重新斷電后重啟網(wǎng)絡可以恢復正常，但治標不治本，使用一陣子后又不正常。顯然，一個交換機理論上可以劃分多個VLAN 不會出現(xiàn)擁塞情況，之所以出現(xiàn)這種現(xiàn)象，筆者認為是網(wǎng)絡拓撲的設計和鏈接問題。

由于兩個交換機距離較遠，兩個交換機同時擁有一個VLAN 的情況下，廣播域距離變得很長，廣播報文能到達的范圍擴大了，廣播所占用的時間就會增多，廣播就會在網(wǎng)內大量復制，傳播數(shù)據(jù)幀。當數(shù)據(jù)幀多到一定程度時，就會對網(wǎng)絡的正常信息傳遞產生影響，導致網(wǎng)絡性能下降，輕則造成傳送信息延時，重則造成網(wǎng)絡設備從網(wǎng)絡斷開，甚至網(wǎng)絡癱瘓。

經(jīng)驗總結

在故障發(fā)生時，應首先了解故障前網(wǎng)絡的改動，建立完善的網(wǎng)絡文檔資料，包括網(wǎng)絡布線、拓撲圖、IP 及MAC對應表等，這樣可以比較準確地定位故障點，也可以節(jié)省大量的時間。

建設一個網(wǎng)絡系統(tǒng)前，我們應該充分評估將來應用的需求，更加科學的設計網(wǎng)絡拓撲結構。比較理想的網(wǎng)絡設備應當可以通過網(wǎng)絡進行升級，以提供更先進及更多的功能。

在網(wǎng)絡建成后，隨著應用和用戶的增加，核心骨干網(wǎng)絡設備的交換能力和容量必須能做出線性的增長。設備應能提供高端口密度、模塊化的設計以及多種類型接口、技術的選擇，以方便未來更靈活的擴展。