交換機故障現(xiàn)場處理操作實踐

文/白海

交換機故障現(xiàn)場處理操作實踐

文/白海

為了更快速、更高效地處理交換機的故障，爭取在現(xiàn)場能夠一次性地將故障相關(guān)的信息捕獲完全，確保通過與相關(guān)廠商研發(fā)相關(guān)人員的溝通和聯(lián)系，能夠根據(jù)這些信息快速地定位故障的原因，所以有必要對交換機在出現(xiàn)故障時現(xiàn)場處理的步驟進行總結(jié)和規(guī)范，方便網(wǎng)絡(luò)管理人員能夠高效處理各類網(wǎng)絡(luò)故障。

故障描述

IEEE 802 LAN 中，用戶只要能接到網(wǎng)絡(luò)設(shè)備上，不需要經(jīng)過認證和授權(quán)即可直接使用。這樣，一個未經(jīng)授權(quán)的用戶，他可以沒有任何阻礙地通過連接到局域網(wǎng)的設(shè)備進入網(wǎng)絡(luò)。隨著局域網(wǎng)技術(shù)的廣泛應(yīng)用，特別是在運營網(wǎng)絡(luò)的出現(xiàn)，對網(wǎng)絡(luò)的安全認證的需求已經(jīng)提到了議事日程上。如何在以太網(wǎng)技術(shù)簡單、廉價的組網(wǎng)特點的基礎(chǔ)上，提供用戶對網(wǎng)絡(luò)或設(shè)備訪問合法性認證的手段，已經(jīng)成為業(yè)界關(guān)注的焦點。IEEE 802.1X協(xié)議正是在這樣的背景下提出的。

IEEE802.1X（Port-Based Network Access Control）是一個基于端口的網(wǎng)絡(luò)存取控制標準，為LAN接入提供點對點式的安全接入。這是IEEE標準委員會針對以太網(wǎng)的安全缺陷而專門制定的標準，能夠在利用IEEE 802 LAN的優(yōu)勢基礎(chǔ)上，提供一種對連接到局域網(wǎng)設(shè)備或用戶進行認證的手段。

以啟用802.1X功能的復(fù)雜故障現(xiàn)場環(huán)境為例。交換機下連的用戶不能認證，或能夠認證通過但不能獲得IP地址（通過DHCP方式獲得IP地址），不能上網(wǎng)等；或靜態(tài)配置IP地址的情況下，不能認證或能夠認證通過但不能跟網(wǎng)關(guān)通訊，不能上網(wǎng)的故障。

交換機故障現(xiàn)場處理步驟

在開啟802.1X功能之后，802.1X標準定義了一種基于“客戶端——服務(wù)器”（Client-Server）模式實現(xiàn)了限制未認證用戶對網(wǎng)絡(luò)的訪問?？蛻舳艘L問網(wǎng)絡(luò)必須先通過認證服務(wù)器的認證。在客戶端通過認證之前，只有EAPOL報文（Extensible Authentication Protocol over LAN）可以在網(wǎng)絡(luò)上通行。交換機只提供Authentication、Authorization and Accounting三種安全功能。針對此類故障可以通過以下步驟解決。

1 詳細了解出現(xiàn)故障前后網(wǎng)絡(luò)環(huán)境變化的相關(guān)信息；

2 詳細了解交換機使用的數(shù)量及出現(xiàn)故障的交換機的數(shù)量；

3 詳細了解出現(xiàn)故障的交換機每個端口下連的最終的用戶數(shù)及整臺交換機所帶的用戶數(shù)；

4 詳細了解每臺交換機出現(xiàn)故障的用戶數(shù)，及部分用戶的MAC地址和IP地址信息（至少要求三個以上）；

5 提供完整的網(wǎng)絡(luò)拓撲圖（從最終用戶的電腦→交換機→匯聚層交換機→核心層交換機→DHCP Server及RG-SAM Server;要求在拓撲圖上標出設(shè)備的型號，管理IP地址，各交換設(shè)備相連的準確的端口標識及DHCP Server和RG-SAM Server服務(wù)器的MAC地址和IP地址及認證客戶端的版本及配置信息）；

6 收集故障機的指示燈的狀態(tài)信息(比如燈的閃爍情況，Link/Active指示燈的情況，Power指示燈情況，光纖模塊指示燈的情況，堆疊指示燈的情況等信息)；

7 在交換機上打開debug aaa命令，收集認證過程Debug信息,具體操作如下：

switch#debug aaa

8 收集出現(xiàn)故障時的交換機的show信息，具體如下：

在交換機上需要收集的信息如下：

Show version;show vesion slot;show version devices;show service;show cpu;show memory;show

vlan;show run;show dot1x summary;show mac-addresstable dynamic;show arp;show interfaces;show

interfaces status;show ip interface;

9 收集出現(xiàn)故障時的交換機的Sdebug信息，具體如下：

sd

console on

showerr

memory

Semophores //間隔30s再操作一次;

Semo2 //間隔30s再操作一次;

Event //間隔30s再操作一次;

Queue //間隔30s再操作一次;

Task //間隔30s再操作一次;

ShowAppMemory

hwerrlog

su 0

console on

dump pcim

dump soc

dump arl

dump vtable

dump ptable

dump stg

dump phy 1

dump phy ge0

dump phy ge1

dump irule.0

dump imask.0

dump irule.1

dump imask.1

dump irule.2

dump imask.2

dump girule.0

dump gimask.0

dump girule.1

dump gimask.1

console on

dump pcim

dump soc

dump arl

dump ptable

dump stg

dump phy 1

dump phy ge0

dump phy ge1

dump irule.0

dump imask.0

dump irule.1

dump imask.1

dump irule.2

dump imask.2

dump girule.0

dump gimask.0

dump girule.1

dump gimask.1

10 在匯聚層及核心層交換機上需要收集的信息如下：

Show version;show vesion slot;show service;show cpu;show memory;show vlan;show

run;show mac-address-table dynamic;show arp;show interfaces;show interfaces status;show ip

interface;show ip route show log

11 故障排查步驟：

A.通過串口登陸交換機，在特權(quán)模式下ping交換機的管理IP地址及管理網(wǎng)關(guān)的IP地址DHCP Server IP地址及RG-SAM IP地址；

B.將筆記本電腦接在出現(xiàn)故障的交換機用戶VLAN的端口上；

C.設(shè)置筆記本電腦的IP地址；（通過ipconfig/all確認，要求提供截圖）

D.在筆記本電腦上運行Sniffer軟件(需要定義過濾模板,只捕獲ICMP協(xié)議)，然后在筆記本電腦上開一個dos窗口，去ping網(wǎng)關(guān)同網(wǎng)段的設(shè)備及其他網(wǎng)段的IP地址,將測試過程(要求截圖)及報文保存；

E.在交換機上需要收集如下信息：

Show dot1x summary;show mac-address-table dy;show arp;

在匯聚層或核心層交換機上需要收集如下信息：

Show mac-address-table dy;show arp

F.將筆記本電腦接在跟交換機管理IP同一個VLAN的端口上；

G.設(shè)置筆記本電腦的IP地址；（通過ipconfig/all確認，要求提供截圖）

H.在筆記本電腦上運行Sniffer軟件(需要定義過濾模板,只捕獲ICMP協(xié)議)，然后在筆記本電腦上開一個dos窗口，去ping網(wǎng)關(guān)同網(wǎng)段的設(shè)備及其他網(wǎng)段的IP地址,將測試過程(要求截圖)及報文保存；

I. 在交換機上需要收集如下信息：

Show dot1x summary;Show mac-address-table dy;show arp;

在匯聚層或核心層交換機上需要收集如下信息：

Show mac-address-table dy;show arp

傳統(tǒng)的網(wǎng)絡(luò)故障處理，沒有合理規(guī)范的處理流程，造成網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)故障通常采用經(jīng)驗法等方式處理故障，既浪費時間又不能及時處理故障。通過本文的處理流程經(jīng)驗介紹，希望能對網(wǎng)絡(luò)管理人員有所幫助和提高。

（作者單位為三峽電力職業(yè)學(xué)院）

數(shù)據(jù)中心的未來 軟件兼容性將是關(guān)鍵

據(jù)國外媒體報道，數(shù)據(jù)中心目前已經(jīng)在世界各地落戶，從南極洲冰冷的苔原到改建的19世紀教堂，再到改裝的核掩體或一個32層的龐然大物都可以成為數(shù)據(jù)中心。

在2009年，谷歌提出了構(gòu)建數(shù)據(jù)中心平臺的想法。像一個石油平臺一樣存儲計算能力，整個平臺將使用風(fēng)能和太陽能發(fā)電。不過對數(shù)據(jù)中心的未來，還未有定論。一個模塊化的集裝箱轉(zhuǎn)運到海外(類似于谷歌的想法或在撒哈拉沙漠建造巨大的數(shù)據(jù)農(nóng)場正好利用當?shù)氐奶柲埽?/p>

不過無論發(fā)生什么，有一件事是明確的：我們需要不斷加強數(shù)據(jù)中心的存儲和計算能力。云計算可能不會全部使用外包的數(shù)據(jù)中心，許多的企業(yè)還是傾向于建立自己的數(shù)據(jù)中心。但是不管怎樣數(shù)據(jù)中心還是對計算事業(yè)的整合做出了貢獻。通過混合云的創(chuàng)新，企業(yè)防火墻和一級托管服務(wù)提供商的界限正變得模糊。

因為虛擬和數(shù)據(jù)技術(shù)，數(shù)據(jù)中心可以兼容更多的解決方案。不論數(shù)據(jù)中心在何地建造，都必須大規(guī)模擴展跨越多個平臺。無論NoSQL、MySQL還是Oracle的其他數(shù)據(jù)庫，云生態(tài)系統(tǒng)都要包容他們，而不是變成不共戴天的敵人。虛擬化使得軟件獨立于硬件存在，平臺的大一統(tǒng)成為可能。

Facebook最近宣布將使其云計算平臺普雷斯托開源，該平臺儲存超過300 PB的數(shù)據(jù)，為它11億用戶進行檢索。它標志著開源平臺將繼續(xù)在數(shù)據(jù)中心的未來扮演重要的引擎作用。

不管未來數(shù)據(jù)中心看起來如何都將是高效環(huán)保的，通過開源驅(qū)動創(chuàng)新。