■ 西安 康劍 盧榮平

編者按：當前，鐵路行業(yè)局域網規(guī)模越來越大，由網絡環(huán)路引起的網絡故障通常隱蔽性高、不易查找，對鐵路網絡影響重大。本文通過典型案列分享，對網絡環(huán)路產生的原因和現象進行分析，并提出優(yōu)化建議。

隨著信息化在鐵路行業(yè)的不斷發(fā)展和深入應用，網絡規(guī)模不斷擴大，用戶不斷增加，如何構建一個安全、穩(wěn)定、便于管理的網絡，成為網絡管理人員的首要任務。

以筆者單位為例，單位網絡現已覆蓋50 余個站段，終端設備已經超過3 萬臺。在大型的網絡管理過程中，網絡環(huán)路問題不可避免且成為影響網絡穩(wěn)定的最主要因素，一旦發(fā)生將大面積網絡故障，影響后果嚴重。

網絡環(huán)路的分類和危害

在局域網中，網絡環(huán)路一般分為二層環(huán)路和三層環(huán)路。三層環(huán)路通常表述為路由環(huán)路，多發(fā)生于路由協議配置不當。

圖1 施工規(guī)劃示意圖

圖2 施工實際接線示意圖

在日常維護中，我們面對的網絡環(huán)路故障多為交換機的二層環(huán)路。二層環(huán)路主要是由于冗余鏈路造成的，交換機具有MAC 地址學習功能，內部建立并自動更新MAC 地址表。在冗余鏈路的網絡環(huán)路故障中，因為廣播風暴和MAC 地址表失效，使得局域網阻塞并中斷。在大規(guī)模的局域網環(huán)境中，如不及時處理，將影響到核心層交換機，造成網絡癱瘓。

典型故障案例

1.華為桌面云施工造成網絡環(huán)路案例

故障現象：筆者單位華為桌面云施工過程中，誤將兩臺以太網交換機形成的一個環(huán)路接入網絡，引發(fā)廣播風暴，造成大面積網絡癱瘓。

本次施工接入部分網絡設備，規(guī)劃中劃分了VLAN，所以接入網絡不會產生環(huán)網。如圖1 所示。

在施工過程中，技術人員未做任何配置，就將網絡設備接入網絡，導致網絡環(huán)路。如圖2 所示。

2.因誤插網線造成網絡環(huán)路影響核心網絡案例

故障現象：筆者單位管轄的多個單位反映，訪問集團公司網絡出現不定時中斷現象，并逐步擴散，造成網絡大面積中斷。間隔一定周期后網絡逐步恢復，網絡故障反復發(fā)生。

本次故障因核心網下聯單位中存在兩個環(huán)路，造成網絡風暴，影響到核心交換機，造成核心網絡中斷。如圖3 所示。

網絡環(huán)路故障分析

1.未正確配置VLAN，造成設備環(huán)路

在對華為桌面云施工過程中，按規(guī)劃網絡應為兩個VLAN，但施工過程中未配置數據就將交換機接入網絡。華為刀箱內置的交換網卡實際為一臺交換機，連接后形成環(huán)路。交換機未做配置時，所有端口默認為VLAN1，本次故障的網絡環(huán)路導致廣播風暴，會在包含VLAN1 的Trunk鏈路上進行傳播，而不會在其他VLAN 的鏈路上進行傳播。最終造成包含VLAN1 的Trunk 鏈路的上聯交換機資源耗盡，大面積網絡癱瘓。

2.網絡環(huán)路生成大量TCN報文，影響核心網絡

因誤插網線造成網絡環(huán)路影響核心網絡案例的原因分析如下。

圖3 公司及下聯單位網絡拓撲示意圖

（1）檢查核心交換機。出現網絡故障時，檢查核心交換機N7K，使用“show ip arp”命令顯示MAC 地址incomplete 狀態(tài)，這種現象說明N7K 的MAC 地址被清空，N7K 處于重新ARP 學習的過程，因此造成網絡臨時丟包。

（2）MAC 地址表刷新原因。因外部網絡拓撲發(fā)生變化，N7K 收到TCN（Topology Change）的信號所造成。進一步檢查發(fā)現，核心交換機N7K 的25 口，TCN 變化量較大。日志如下：

（3）檢查下聯交換機。核心交換機的25 口下聯設備為一臺思科交換機，為集團周邊單位提供綜合信息網接入服務。查看此設備日志發(fā)現，一臺終端的MAC 地址可以從41 和42 端口同時學習到，存在環(huán)路。日志如下：

（4）斷開下聯交換機41端口環(huán)路網線后，網絡恢復。

本次故障原因為下聯單位網絡環(huán)路后，產生并發(fā)送大量TCN 報文至核心交換機，此報文大量累積會導致核心交換機MAC 地址表異常刷新，而影響核心網絡正常工作。

優(yōu)化建議

1.增加接入網絡的門檻。對核心接入設備上未劃分VLAN 的端口，進行shut down 操作，避免有人員誤插接口帶入有風險的網絡，降低環(huán)路接入網絡的幾率。

2.優(yōu)化網絡配置。梳理網絡結構，只允許需要通過的VLAN 進入Trunk 鏈路，禁止其他VLAN 通過，降低網絡風暴的影響范圍和影響強度。

3.解決二層網絡規(guī)模太大問題。對二層網絡通過多劃分VLAN 的形式，將一個大的廣播域劃分成若干小的廣播域，防止因網絡環(huán)路故障造成網絡大面積癱瘓。

4.優(yōu)化既有網絡結構。構建數據中心網絡+辦公網絡的結構，分別以三層交換設備作為數據中心和辦公網絡的核心。整個數據中心網絡利用IRF 的堆疊技術+鏈路聚合技術進行組網，構建出天然沒有環(huán)路的全萬兆高速二層網絡。數據中心與辦公網絡之間采用三層路由互聯的方式進行打通，可以有效杜絕二層的廣播風暴、網絡環(huán)路以及STP 抖動等對數據中心的影響。