VLAN無線上網(wǎng)交換機(jī)故障分析

　VLAN無線上網(wǎng)交換機(jī)故障分析

用戶PC所在的辦公區(qū)距離核心交換機(jī)大約有2～3公里，該辦公區(qū)有兩個(gè)部門，分屬不同的VLAN，因此我們?cè)谠撧k公區(qū)放置了安奈特網(wǎng)管交換機(jī)AT-8024，中間通過光纖和一對(duì)光收發(fā)器連接在我們的核心交換機(jī)Cisco 6509上面(Cisco 6509配置為：超級(jí)引擎SUP720，一個(gè)16口的千兆位光模塊WS-X6816-GBIC，一個(gè)48口的快速交換電模塊WS-X6548-RJ-45)。在連接光收發(fā)器的6509和安奈特交換機(jī)的相應(yīng)端口上起了Trunk，安奈特交換機(jī)上面劃分了兩個(gè)VLAN，分別是172.25.6.0/24(以下簡(jiǎn)稱VLAN6)和172.25.7.0/24(以下簡(jiǎn)稱VLAN7)，兩個(gè)部門的機(jī)器分別接在各自的VLAN里面。而其他辦公區(qū)的匯聚層交換機(jī)(Cisco 3550)直接通過光模塊連接在6509的WS-X6816-GBIC光模塊上。

整個(gè)網(wǎng)絡(luò)用了一臺(tái)IBM X235服務(wù)器作為NAT和DHCP服務(wù)器，所有VLAN的數(shù)據(jù)先到NAT做地址轉(zhuǎn)換以后再通過邊緣路由器訪問因特網(wǎng)。

遇到上述奇怪問題，我們一開始懷疑是NAT和6509的設(shè)置出了問題，但是經(jīng)檢查，VLAN6和VLAN7的配置和其他辦公區(qū)的路由配置是完全一樣的。因?yàn)槌@兩個(gè)VLAN外的其他VLAN上網(wǎng)完全正常，于是我們采用了以下解決步驟。

(1)將VLAN6和VLAN7的VLAN信息在安奈特網(wǎng)管交換機(jī)上全部刪除，將所有端口都劃在上網(wǎng)正常的VLAN1里面，這下它們完全和VLAN1一樣了。但是問題依然如故，而其他辦公區(qū)域VLAN1里面的用戶上網(wǎng)仍然正常。

(2)從步驟(1)推斷問題不在VLAN的劃分上，我們開始懷疑是光收發(fā)器或者安奈特交換機(jī)有問題，于是將其他辦公區(qū)使用正常的光收發(fā)器或者安奈特交換機(jī)換上去，問題依舊。

(3)難道是鏈路質(zhì)量的問題?趕緊找來兩臺(tái)PC，一臺(tái)接在安奈特交換機(jī)上，將光收發(fā)器接6509的網(wǎng)線拔下來，直接接在另外一臺(tái)機(jī)器上，配置同一網(wǎng)段的IP，發(fā)最大的數(shù)據(jù)包65500b互ping，但是結(jié)果讓我們失望，延時(shí)只有幾個(gè)毫秒，這說明鏈路沒有問題。

(4)就在我們“黔驢技窮”的時(shí)候，我們?cè)俅伟压馐瞻l(fā)器和6509連接好，仍然用接在安奈特上的PC機(jī)ping設(shè)在6509上的該VLAN的網(wǎng)關(guān)172.25.6.210，問題出現(xiàn)了，用小包ping時(shí)，基本上沒有延時(shí)，但是用大包(接近18024b，Cisco所支持的最大數(shù)據(jù)包)ping時(shí)出現(xiàn)了丟包，問題肯定出在這里了。

(5)重新檢查安奈特和6509及NAT服務(wù)器的配置，我們發(fā)現(xiàn)這樣一個(gè)問題：在安奈特上配置VLAN6和VLAN7，并將相應(yīng)端口添加到VLAN的命令為：add VLAN 6 ports=23 frame=untagged(將23號(hào)端口添加到VLAN6里面，注意這里的frame=untagged表示此時(shí)不對(duì)數(shù)據(jù)包封幀)，而我們?cè)诎材翁亟粨Q機(jī)與6509的級(jí)聯(lián)口(第一號(hào)端口)上起了Trunk，同時(shí)對(duì)數(shù)據(jù)進(jìn)行了強(qiáng)制封幀，命令如下：add VLAN 1 ports=1-24 frame=tagged(即我們將所有經(jīng)過級(jí)聯(lián)口轉(zhuǎn)發(fā)出去的數(shù)據(jù)包進(jìn)行了強(qiáng)制封幀，我們知道安奈特交換機(jī)封幀類型為IEEE 802.1Q VLAN標(biāo)記)。然后我們繼續(xù)檢查6509的配置，進(jìn)入連接VLAN6和VLAN7的接口，進(jìn)行該端口的Trunk配置，如下：

6509#conf t

Enter configuration commands, one per line. End with CNTL/Z.

6509(config)#interface gigabitEthernet 3/48 —進(jìn)入級(jí)聯(lián)接口

6509(config-if)#switchport trunk ? —查看起Trunk后的情況

allowed Set allowed VLAN characteristicswhen interface is in trunking modenative Set trunking

native characteristics when interface is in trunking modepruning Set

pruning VLAN characteristics when interface is in trunking mode

VLAN無線上網(wǎng)交換機(jī)故障排除

從上面可以看出：該端口不能強(qiáng)制進(jìn)行IEEE 802.1Q的Trunk設(shè)置，其他接口情況都一樣。此時(shí)想到超級(jí)引擎SUP720模塊上還有一個(gè)接口沒有用，看它能不能進(jìn)行強(qiáng)制封幀。進(jìn)入該端口的Trunk配置，看到如下信息。

6509#conf t

Enter configuration commands, one per line. End with CNTL/Z.

6509(config)#interface gigabitEthernet 5/2

6509(config-if)#switchport trunk ?

allowed Set allowed VLAN characteristics when interface is in trunking mode

encapsulation Set trunking encapsulation when interface is in trunking mode

native Set trunking native characteristics when interface is in t runking mode

pruning Set pruning VLAN characteristics when interface is in trunking mode

下畫線標(biāo)示出的比在gigabitEthernet 3/48接口上看到的多了一個(gè)encapsulation選項(xiàng)，由此可見，在超級(jí)引擎模塊的接口上可以強(qiáng)制進(jìn)行IEEE 802.1Q的Trunk設(shè)置。

輸入如下命令：

6509(config-if)#switchport trunk encapsulation ?得到：

dot1q Interface uses only 802.1q trunking encapsulation when trunking

isl Interface uses only ISL trunking encapsulation when trunking

negotiate Device will negotiate trunking encapsulation with peer on interface

繼續(xù)：

6509(config-if)#switchport trunk encapsulation dot1q 回車;

6509(config-if)#end

6509#write

Building configuration...

[OK]

*注：該6509所用的IOS版本是Version 12.2(17a)SX。

我們將跳線接到該接口上，再來測(cè)試網(wǎng)絡(luò)，原來的問題已不復(fù)存在。這兩個(gè)VLAN內(nèi)的用戶訪問網(wǎng)頁(yè)恢復(fù)正常，帶有附件的郵件又可以輕松發(fā)送了。

VLAN無線上網(wǎng)交換機(jī)故障經(jīng)驗(yàn)總結(jié)

由于Cisco的6509 核心交換機(jī)上48口的快速交換電模塊是默認(rèn)對(duì)干線進(jìn)行IEEE 802.1Q封幀的，而我們的安奈特網(wǎng)管交換機(jī)強(qiáng)制對(duì)干線進(jìn)行IEEE 802.1Q封幀，這是兩個(gè)廠家的產(chǎn)品，因此可能會(huì)導(dǎo)致數(shù)據(jù)包傳輸進(jìn)行協(xié)議的協(xié)商時(shí)不能很好匹配的情況。

此時(shí)我們又想到，在出現(xiàn)這個(gè)問題之前很長(zhǎng)一段時(shí)間，我們的網(wǎng)絡(luò)都是正常的，而當(dāng)時(shí)我們的做法是：一開始只有收發(fā)器接在6509 超級(jí)引擎SUP720模塊gigabitEthernet 5/2口上，我們?cè)诖私涌谏线M(jìn)行了強(qiáng)制IEEE 802.1Q封幀，后來由于48口的快速交換電模塊有空余接口，我們就將其改在了gigabitEthernet 3/48口上，使用了默認(rèn)IEEE 802.1Q封幀，但網(wǎng)絡(luò)使用一直正常。這次我們對(duì)網(wǎng)絡(luò)進(jìn)行了一些調(diào)整，重新啟動(dòng)了一次我們的核心交換機(jī)，結(jié)果就出現(xiàn)了這個(gè)問題。這說明如果先將超級(jí)引擎強(qiáng)制進(jìn)行IEEE 802.1Q的Trunk設(shè)置，待網(wǎng)絡(luò)穩(wěn)定后，再將跳線接回gigabitEthernet 3/48接口，此時(shí)Cisco 6509 將使用默認(rèn)的IEEE 802.1Q封幀，同安奈特進(jìn)行干線協(xié)議的協(xié)商，這樣數(shù)據(jù)包在傳輸時(shí)進(jìn)行協(xié)議的協(xié)商就不會(huì)出現(xiàn)問題，VLAN6和VLAN7就可以正常上網(wǎng)。我們后來又這樣試驗(yàn)了一下，事實(shí)證明確實(shí)如此。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū)

◆無線網(wǎng)絡(luò)IP地址沖突解決攻略

◆網(wǎng)管員經(jīng)驗(yàn)分享：?jiǎn)挝锢斫涌贜AT的總結(jié)

◆網(wǎng)管員經(jīng)驗(yàn)：誤設(shè)IP引發(fā)路由異常問題解決

◆IT運(yùn)維管理專區(qū)