专题三:交换机网络环路故障处理
任务三: 解决交换机组网过程中的环路问题
任务三:解决交换机组网过程中的环路问题一、实训名称每VLAN生成树的负载均衡与快速收敛二、实训目的1、了解生成树的工作原理;2、掌握stp树的控制方法;3、利用pvst实现VLAN负载均衡;4、掌握portyfast、uplinkfast和backbonefast的应用场合和使用方法。
三、实训内容生成树协议默认在交换机上是打开的,不做任何配置就可以有效避免冗余链路造成的网络环路,但是,生成树的阻塞端口会阻塞所有VLAN的流量,没有充分发挥冗余链路的带宽作用;端口状态转换需要花费较长的时间,不能满足有些应用的要求。
我们需要通过支持多生成树实例的生成树协议,经过人工干预生成树的收敛,解决以上的问题。
四、实训环境企业的各部门分别属于不同的VLAN子网,网络用户为高要求用户,不能出现通信中断和网络拥塞现象。
为了满足用户的要求,企业网络采用了设备备份和链路备份,企业的接入交换机通过两条上联链路分别接入两台核心交换机,核心交换机之间通过一条千兆端口背靠背连接,实现核心设备的热备份。
根据实训内容要求,我们可以选择两台相对高档次的交换机作为核心交换机,低档次的交换机作为接入交换机构建实训环境。
也可以使用三台低档次的交换机,只要达到实训目的就可以。
五、实训步骤1、按模拟的环境连接好设备2、配置VTP参数、创建VLAN将所有交换机之间连接的端口设置成Trunk模式,指定一台交换机为VTP服务器模式,创建两个VLAN;其他为VLAN服务器或客户机模式,通过VTP协议在域内统一VLAN数据库。
3、在S1交换机上执行show spanning-tree summary命令,查看生成树模式是不是PVST,有没有显示所创建的VLAN。
S1#show spanning-tree summary4.在S1交换机上执行show spanning-tree命令,分析VLAN10、VLAN20的根桥和阻塞端口,并记录。
VLAN10的根桥为S2交换机,阻塞端口为S1交换机上的f0/1端口。
环路故障专题案例
【交换机在江湖】环路故障专题(3)扁鹊问道下篇----临床案例环路故障纷繁错杂,难寻其理。
愿广为搜罗现网案例,合览汇编,以求至简至约,开卷了如指掌。
1.1.1 对接设备故障1.1.1.1 其他厂商设备上出现华为MAC地址漂移故障案例涉及产品和版本S交换机V200R002及先前版本组网情况如图1-1所示,防火墙设备上连接了三台交换机。
图1-1其他厂商设备上出现华为MAC地址漂移问题案例组网图现象描述防火墙设备上能够看到00e0-fc09-bcf9 MAC地址的漂移,对防火墙的业务转发有影响。
原因分析华为自研交换机上只有NDP会用00e0-fc09-bcf9作为协议报文的源MAC,而NDP是默认使能的,所以在这个场景中会导致防火墙设备报漂移,进而影响防火墙的转发;这个MAC地址发生漂移一般情况下对业务没有影响(如果设备上对MAC漂移配置了动作则除外)。
NDP协议报文是BPDU报文,而BPDU报文是不应该学习MAC地址的,交换机最新版本已经不会学习BPDU报文了,防火墙设备也不应该学习该MAC地址。
处理步骤执行命令ndp disable,去使能交换机全局NDP功能。
总结与建议无。
1.1.1.2 ATAE软件问题导致与交换机MSTP对接失败的故障案例涉及产品和版本S交换机所有产品和版本组网情况如图1-2所示,新接入的ATAE机框与Switch-1和Switch-2交换机组成口字型环路。
图1-2A TAE软件问题导致与交换机MSTP对接失败的故障案例组网图现象描述在启用STP后发现环路无法正常收敛:Switch-1、ATAE-SW-8均为根桥,Switch互连端口、A TAE互连端口可正常收敛,而Switch-1、Switch-2与连接的其他A TAE机框STP无法正常收敛。
原因分析Switch-1配置为根桥,设备的系统MAC为:4c1f-cc82-d659。
新接入的ATAE机框软件版本为V200R013SPC005,该版本存在一个软件问题:对于收到的根桥MAC以59结尾的STP报文不能正常处理。
交换机-路由器 网络环路
问题1:交换机1能用、路由器2不能用(原因及使用后果。
如何操作路由器才能使用以及原因);原因:校园网安装了独立的DHCP3服务器,而路由器默认开启了DHCP功能,会和校园网的DHCP服务器造成冲突,使得大量用户自动获得的IP地址不正确,导致大量用户不能正常上网,而且学校已针对每个IP地址限制了上网速率,若使用路由器则影响接入该设备用户的网速。
所以在校内网中不能使用路由器,要使用交换机。
后果:大量用户不能上网,严重影响网络传输速率。
解决方法:关闭路由器的dhcp,关闭路由器的路由功能,不要使用wan口4,只使用lan口5上联学校网络,把路由器当做交换设备。
关闭方法:1、以TP LINK路由器为例。
用网线把路由器和电脑连接起来,电脑接在路由器的LAN口。
获取到IP地址以后,在IE中写入http://192.168.1.1 (192.168.1.1为大多数路由器管理ip,若不同请查阅说明书)就会出现登陆界面。
2、输入其访问帐号和访问密码进入路由器的访问界面。
(帐号和访问密码查看说明书,默认为admin)进入管理界面以后,选择DHCP服务,将DHCP服务关闭,选择“不启用”。
3、最后保存并软重起路由器。
重起之后将校园网主线接入LAN口(不使用WAN口)。
电脑也接在LAN口。
重新获取IP地址。
问题2:环路问题:种类,表现,解决。
种类:分为第二层环路和第三层环路,所有环路的形成都是由于目的路径不明确导致混乱而造成的。
第二层:环路通常都是冗余链路造成的,没有冗余链路就不存在环路。
例如一个广播信息经过两个交换机的时候会不断恶性循环的产生广播,造成环路。
第三层:通常指的是路由环路,是由于启用路由协议不当造成的,即使没有冗余链路,也有可能造成环路。
例如正常192.168.0.0/24网络被路由1通告到路由2,当网络出问题不能达到的时候,路由1把192.168.0.0/24路由信息删除,但是路由2通告给了路由1,让路由1误以为路由2的那边能达到192.168.0.0/24网络,结果造成恶性循环(例子建立在RIP6,IGRP7等路由协议下,只有这两个协议会造成第三层环路)表现:二层环路:二层环路将导致二层多播或者广播的数据包的风暴,并不在乎多播或者广播的数据包的数量多少,只要存在二层环路,那么就可以形成对整个二层网络的阻塞。
怎么样解决小交换机引起的路由环路故障?
怎么样解决小交换机引起的路由环路故障?一般引起路由故障的原因有很多,例如管理不善,私自接一些交换机、路由器等。
那么,如何解决小交换机引起的路由环路故障?环路会导致交换机性能衰竭,无法交换发送数据,导致网络瘫痪。
环路的规避一般最好规范化、结构化布线。
在维护路由表信息的时候,如果在拓扑发生改变后,网络收敛缓慢产生了不协调或者矛盾的路由选择条目,就会发生路由环路的问题,这种条件下,路由器对无法到达的网络路由不予理睬,导致用户的数据包不停在网络上循环发送,最终造成网络资源的严重浪费。
怎样解决小交换机引起的路由环路故障?杭州飞畅采用了标准的三层网络拓扑结构,即核心层、汇聚层、接入层。
接入交换机采用二层交换,汇聚交换机采用了三层交换,划分了多个VLAN,每个部门一个VLAN。
客户端连接24口接入交换机,接入接入交换机上联汇聚交换机,汇集交换机为每个部门分配一个VLAN,每个VLAN一个C段。
如:部门A的VLAN号为10,IP地址段为:192.168.10.0,子网掩码:255.255.255.0,网关:192.168.10.254。
一、故障现象怎么样解决小交换机引起的路由环路故障?某日接到部门B的电话,说整个部门都不能上网,于是先在自己电脑上进行测试,PING我部门网关显示正常(我部门网关和部门B的网关不同)显示正常,访问Internet也正常,也并没有其他部门反映网络故障,所以排除全网故障。
并不是部门B的某一台电脑不能上网,所以怀疑属于部门B的内部局域网故障。
二、故障排查过程1. 远程登录汇聚交换机,进行网络排查。
登录汇聚交换机,在汇聚交换机中Ping部门B的网关,Ping不通。
查看交换机接口状态,该部门的接口状态显示为:“err-disabled”.经过分析后,认为最可能的原因是环路引起的,但是还不能确定,因此需要现场测试。
2. 现场测试汇集交换机。
在汇聚交换机上拔下该部门的上联线,利用笔记本直接联入汇集交换机,将笔记本的IP地址设置成该部门的IP。
专题三:交换机网络环路故障处理
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
4
display interface brief | include up
[Quidway]display interface brief | in up PHY: Physical *down: administratively down (l): loopback (b): BFD down InUti/OutUti: input utility/output utility Interface PHY Auto-Neg Duplex Bandwidth InUti OutUti Trunk GigabitEthernet0/0/2 up enable full 100M 0% 0.01% -GigabitEthernet0/0/16 up enable full 1000M 76% 76% 1 GigabitEthernet1/0/12 up enable full 1000M 76% 76% 1 MEth0/0/1 up enable half 100M 0.01% 0.01% --
Trunk -1 1
1. 如果只有一台设备的一个端口出入方向流量较大,可能是单端口环回。 2. 如果只有一台设备的两个端口流量较大,可能是本设备两个端口环回,如上所示。 3. 如果某端口只有单方向流量,需要重点排查,该端口下设备可能存在环路。
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
9
第一步:通过流量异常发现环路风暴
还可以通过CPCAR丢包来发现网络异常环路。 通常情况下,ARP报文的交互是有序进行,短时间内不会出现大量ARP报文的丢弃。 当交换机作为汇聚网关时,出现上述情况后,可能是ARP广播报文在网络物理环路 中转发,形成ARP广播风暴冲击交换机,进而被交换机CPU限速(CPCAR)丢弃。 如下所示,arp-request大量丢弃,可能存在网路环路:
交换机中网络环路常见问题详解
交换机中网络环路常见问题详解以太网中的交换机之间存在不恰当的端口相连会造成网络环路,如果相关的交换机没有打开STP功能,这种环路会引发数据包的无休止重复转发,形成广播风暴,从而造成网络故障。
一天,我们在校园网的网络运行性能监控平台上发现某栋搂的VLAN有问题——其接入交换机与校园网的连接中断。
检查放置在网络中心的汇聚交换机,测得与之相连的100BASE-FX端口有大量的入流量,而出流量却非常少,显得很不正常。
然而这台汇聚交换机的性能似乎还行,感觉不到有什么问题。
于是,我们在这台汇聚交换机上镜像这个异常端口,用协议分析工具Sniffer来抓包,最多时每秒钟居然能抓到10万多个。
对这些数据包进行简单分析,我们发现其中一些共同特征。
当时,我们急于尽快抢修网络,没去深究这些数据包的特征,只看到第1点就以为网络受到不明来历的Syn Flood攻击,估计是由一种新网络病毒引起,马上把这台汇聚交换机上该端口禁用掉,以免造成网络性能的下降。
故障排除为了能在现场测试网络的连通性,在网络中心,我们把连接那栋大楼接入交换机的多模尾纤经光电转换器用双绞线连到一台PC上,并将其模拟成那个问题VLAN的网关。
然后,到现场找来大楼网管员,想让他协助我们尽快把感染了未知病毒的主机查到并隔离。
据大楼网管员反映,昨天网络还算正常,不过,当时本大楼某部门正在做网络调整,今天上班就发现网络不行了,不知跟他们有没有关系。
我们认为调整网络应该跟感染病毒关系不大。
在大楼主配线间,我们把该接入交换机上的网线都拔掉,接上手提电脑,能连通网络中心的测试主机。
我们确认链路没问题后,每次将剩余网线数量的一半插回该交换机,经测试没问题则如是继续下去,否则换插另一半,逐渐缩小怀疑有问题网线的数量。
我们最终找到一条会引起问题的网线,只要插上这根网线,该大楼网络就会与模拟网关中断连接。
经大楼网管员辨认,这条网线是连接昨天在做网络调整的那个部门的。
他还说以前该部们拉了一主一备两条网线,应该还有一条,并亲自在那台交换机上把另一条找了出来。
局域网用户端交换机环路引起故障
局域网用户端交换机环路引起故障
只有三口流量不正常,三口所带的用户问题,用户端不停地发包,流量过大造成三层交换机上联口拥塞,从而影响其他用户正常上网。
这是典型的用户端交换机环路故障问题,针对局域网用户端交换机环路故障的原因主要有以下的几个方面。
检查机房三层交换机运行情况的方法来判断故障点的位置,当将用户交换机e2/8端口线路拔出后,机房内人员报告三层交换机运行恢复正常,立刻检查该线路,发现这条线路的另一端连接在第e2/29端口,原来是这条线路两端都连接在交换机上造成环路,导致链路拥塞,用户无法上网。
总结下来就是说明三点问题:
(1).用户交换机走线杂乱,线路未作标签,业务走向不明,是造成环路故障的主要原因。
(2).由于造成环路的端口未使用,没有配置业务,导致交换机无法在13志中产生环路告警,也未能报告出哪个VLAN故障。
(3).环路可造成广播风暴,数据流量猛增,造成汇聚设备上联口拥塞,远程无法登录。
电脑中ARP病毒后不停发包,也能造成设备死机,远程无法登录,两种情况有相似之处。
所以网管们在日常的维护工作中注意机房内的资料整理,确保线路连接整齐规范。
在处理故障时多注意观察三层交换机日志和端口流量,能有效地减少网络故障和处理故障时间。
希望对你们有帮助。
cisco交换机出现环路的处理方法-电脑资料
cisco交换机出现环路的处理方法-电脑资料网络环境:cisco 4006交换机两台,通过2条光纤模块1/1-2配置trunk相互连接,然后连接其他网络设备或者主机,。
故障现象:cisco 4006交换机cpu利用率过高,业务时断时续,无法正常进行,交换机日志采集的信息如下:2007 May 24 03:55:40 %SYS-4-P2_WARN: 1/Host 00:02:fd:06:d0:b0 is flapping between port 1/2 and port 1/12007 May 24 03:55:42 %SYS-4-P2_WARN: 1/Host 00:04:de:17:28:20 is flapping between port 1/2 and port 4/452007 May 24 03:55:44 %SYS-4-P2_WARN: 1/Host 00:00:0c:07:ac:01 is flapping between port 1/2 and port 4/472007 May 24 03:55:45 %SYS-4-P2_WARN: 1/Host 00:05:9a:20:78:20 is flapping between port 1/2 and port 4/472007 May 24 03:55:48 %SYS-4-P2_WARN: 1/Host 00:02:fd:06:d0:b0 is flapping between port 1/1 and port 1/22007 May 24 03:55:49 %SYS-4-P2_WARN: 1/Host 00:11:25:19:c3:c2 is flapping between port 1/2 and port 4/132007 May 24 03:55:53 %PAGP-5-PORTFROMSTPort 4/45 left bridge port 4/452007 May 24 03:55:54 %SYS-4-P2_WARN: 1/Host 00:06:29:ec:aa:f2 is flapping between port 1/2 and port 4/372007 May 24 03:55:54 %SYS-4-P2_WARN: 1/Host 00:10:5c:c5:6a:ca is flapping between port 1/1 and port 4/72007 May 24 03:55:54 %SYS-4-P2_WARN: 1/Host 00:09:6b:f5:0f:33 is flapping between port 1/1 and port 4/132007 May 24 03:55:54 %SYS-4-P2_WARN: 1/Host 00:10:5c:45:6a:ca is flapping between port 1/2 and port 1/12007 May 24 03:55:54 %SYS-4-P2_WARN: 1/Host 00:16:ec:7b:6c:b4 is flapping between port 1/1 and port 1/22007 May 24 03:55:55 %SYS-4-P2_WARN: 1/Host 00:10:5c:c5:6a:ca isflapping between port 1/1 and port 4/7分析原因:两台cisco 4006交换机之间出现环路,某种原因使得STP算法失效,导致网络上出现广播风暴,电脑资料《cisco 交换机出现环路的处理方法》(https://)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
对于流量出入都异常大的端口,需要特别关注,可能都是网络异常环路上的端口。
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
5
display cpu-defend statistics
<Quidway>disp cpu-defend statistics ? all CPCAR information of all boards. slot Specify the slot number | Matching output <cr> [Quidway]disp cpu-defend statistics packet-type arp-request ? all CPCAR information of all boards 针对单板或全局看出各个cpcar的丢包情况, mcu CPCAR information of main board 也可以指定特定cpcar查看 slot Specify the slot number
盒式设备的告警信息如下:
L2IFPPI/4/MFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 Loop exists in vlan 1001, for flapping mac-address 0025-9e6e-1c55 between port GE2/1/23 and port GE2/1/22.
大量的协议报文被丢弃,Drop比Pass多很多,这种情况要怀疑由协议报文在网络 异常环路中风暴导致的,需要排查网络环路。
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
6
目录
诊断命令行
display工具
如何快速识别环路
定位思路Fra bibliotekLSW1
MAC-Flapping示意图
LSW2 LSW3
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
11
第三步:通过LDT发现环路
对于单端口网络环路,还可以通过LDT(loop-detection)进行发现
[Quidway]loop-detection enable [Quidway]loop-detection enable vlan 100 使能某个VLAN下所有接口的环路检测功能 [Quidway]display loop-detection 查询该VLAN下是否有接口存在环路 Loop Detection is enabled. Detection interval time is 5 seconds. Following vlans enable loop-detection: vlan 100 Following ports are blocked for loop: … … 成环的端口会在此显示出来
Huawei Confidential
9
第一步:通过流量异常发现环路风暴
还可以通过CPCAR丢包来发现网络异常环路。
通常情况下,ARP报文的交互是有序进行,短时间内不会出现大量ARP报文的丢弃。 当交换机作为汇聚网关时,出现上述情况后,可能是ARP广播报文在网络物理环路 中转发,形成ARP广播风暴冲击交换机,进而被交换机CPU限速(CPCAR)丢弃。
Security Level:
交换机网络环路识别和问题定位
HUAWEI TECHNOLOGIES CO., LTD.
目录
诊断工具
display工具
如何快速识别环路
定位思路
第一步:通过端口流量发现环路风暴 第二步:通过持续MAC漂移判断环路 第三步:通过大量的CPCAR丢包判断环路
端口流量 异常或CPCAR持续大 量丢包 是否存在反复的 大量MAC漂移?
是
是
可能存在 环路
是否检测到环路?
是
不存在二层环路
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
8
第一步:通过流量异常发现环路风暴
[Quidway]disp interface Ethernet brief | in up PHY: Physical *down: administratively down (l): loopback (b): BFD down InUti/OutUti: input utility/output utility Interface PHY Auto-Neg Duplex Bandwidth InUti OutUti GigabitEthernet0/0/2 up enable full 100M 0% 0.01% GigabitEthernet0/0/16 up enable full 1000M 76% 76% GigabitEthernet1/0/12 up enable full 1000M 76% 76% … …
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
4
display interface brief | include up
[Quidway]display interface brief | in up PHY: Physical *down: administratively down (l): loopback (b): BFD down InUti/OutUti: input utility/output utility Interface PHY Auto-Neg Duplex Bandwidth InUti OutUti Trunk GigabitEthernet0/0/2 up enable full 100M 0% 0.01% -GigabitEthernet0/0/16 up enable full 1000M 76% 76% 1 GigabitEthernet1/0/12 up enable full 1000M 76% 76% 1 MEth0/0/1 up enable half 100M 0.01% 0.01% --
L2IFPPI/4/MAC_FLAPPING_ALARM:OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.12The mac-address has flap value. (L2IfPort=0,entPhysicalIndex=0, BaseTrapSeverity=4,BaseTrapProbableCause= 549, BaseTrapEventType=1, MacAdd=0025-9e6e-1c55,vlanid=1001, FormerIfDescName= GigabitEthernet2/1/23,CurrentIfDescName=GigabitEthernet2/1/22,DeviceName=9303-222.157)
如下所示,arp-request大量丢弃,可能存在网路环路:
<Quidway>display cpu-defend arp-request statistics slot 3 CPCAR on slot 3 ------------------------------------------------------------------------------Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets) arp-request 91728872 61001759940 1348954 897084705 -------------------------------------------------------------------------------
Huawei Confidential
3
loop-detect eth-loop alarm-only
框式设备的告警信息如下:
L2IFPPI/4/MAC_FLAPPING_ALARM:OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.12The mac-address has flap value. (L2IfPort=0,entPhysicalIndex=0, BaseTrapSeverity=4, BaseTrapProbableCause=549, BaseTrapEventType=1, MacAdd=0025-9e6e1c55,vlanid=1001, FormerIfDescName=GigabitEthernet2/1/23,CurrentIfDescName=GigabitEthe rnet2/1/22,DeviceName=9303-222.157)
第四步:通过LDT功能检测环路
如何快速破环 如何分析环路的成因
如何快速恢复环路
典型环路场景
破环后网络优化
loop-detect eth-loop alarm-only
[Quidway-vlan100]loop-detect <cr> eth-loop alarm-only ?
框式设备默认全局已经使能,盒式设备需要在 vlan下使能
Vlan下使能后通过此命令查看,框式设备默认已经使能, 如果有漂移打开terminal debugging 、 terminal monitor就可以查看。
MAC漂移检测命令 用于检测设备上MAC地址漂移信息。框式设备默认全局开启,盒式设 备默认未能使,需要在VLAN视图下使能。
HUAWEI TECHNOLOGIES CO., LTD.
[Quidway]disp cpu-defend arp-request statistics slot 3 CPCAR on slot 3 ------------------------------------------------------------------------------Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets) arp-request 91720644 61001339156 1348833 897078517 -------------------------------------------------------------------------------