未設(shè)隔離VLAN引發(fā)全網(wǎng)故障

網(wǎng)絡(luò)環(huán)境

由于學(xué)校擴(kuò)建，新造了七幢大樓，包括網(wǎng)絡(luò)中心和學(xué)生機(jī)房，校園網(wǎng)規(guī)模也相應(yīng)擴(kuò)大了很多，校園網(wǎng)VLAN從原來(lái)的5個(gè)擴(kuò)大到12個(gè)（如圖1）。在多VLAN條件下，網(wǎng)絡(luò)的復(fù)雜度更是高了很多。校園網(wǎng)從網(wǎng)絡(luò)設(shè)計(jì)、設(shè)備采購(gòu)到施工全部由城建公司一手操辦，實(shí)際應(yīng)用中難免出現(xiàn)規(guī)劃不合理的情況。

圖1 擴(kuò)建后網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

圖2 核心交換機(jī)vrrp配置表

故障現(xiàn)象

前不久，城建公司給新大樓一個(gè)學(xué)生機(jī)房和老的藝體樓網(wǎng)絡(luò)接通，發(fā)現(xiàn)接入后整個(gè)校園的網(wǎng)絡(luò)總是時(shí)斷時(shí)續(xù)。工程師從接入查到核心，卻一時(shí)也找不到問(wèn)題。校園內(nèi)網(wǎng)登錄外網(wǎng)使用銳捷1000s認(rèn)證登錄，瀏覽網(wǎng)頁(yè)時(shí)總是頻繁出現(xiàn)登錄窗口，登錄成功后不久又要求重新認(rèn)證。

故障排查

城建的工程師懷疑是否核心交換機(jī)出了問(wèn)題，建議核心交換機(jī)重啟。核心交換機(jī)重啟后，情況依舊，判斷應(yīng)該不是核心交換機(jī)的問(wèn)題。斷開(kāi)新接入的機(jī)房5和藝體樓，網(wǎng)絡(luò)馬上恢復(fù)。

恰巧前幾天他們剛剛請(qǐng)了銳捷的工程師的vrrp雙核心配置，然后打電話給銳捷廠家技術(shù)員，回應(yīng)接入新增網(wǎng)絡(luò)網(wǎng)絡(luò)要他們工程師來(lái)配置vrrp。請(qǐng)廠家工程師不光需要額外費(fèi)用，關(guān)鍵還要走流程，流程走完廠家還要排日期，具體哪天能來(lái)還不知道。感覺(jué)廠家不夠負(fù)責(zé)任，城建公司的技術(shù)員也借故推辭一定要廠家技術(shù)支持，于是干脆臨時(shí)把新接入的網(wǎng)絡(luò)斷掉，匯報(bào)領(lǐng)導(dǎo)。

可是我總感覺(jué)事情做了一半，心有不甘，索性重新檢查核心配置，發(fā)現(xiàn)明明相應(yīng)VLAN的vrrp配置都有的，從經(jīng)驗(yàn)判斷，問(wèn)題不在核心。核心交換機(jī)vrrp配置表如圖2所示。

干脆嘗試自己動(dòng)手排除故障。單獨(dú)把機(jī)房5光纖接通，故障馬上出現(xiàn)。會(huì)不會(huì)機(jī)房5的匯聚交換機(jī)可能有問(wèn)題？于是把機(jī)房5的匯聚交換機(jī)配置仔細(xì)檢查了一遍，卻怎么也找不到問(wèn)題。正在一籌莫展的時(shí)候，無(wú)意間看了一眼匯聚交換機(jī)，發(fā)現(xiàn)有一個(gè)燈閃爍過(guò)于頻繁，不太正常，拔下對(duì)應(yīng)網(wǎng)線，做網(wǎng)絡(luò)測(cè)試，果真正常了。

順著線找下去，一直找到對(duì)應(yīng)信息插座，找到了問(wèn)題的根源。原來(lái)，兩個(gè)信息插座被哪個(gè)調(diào)皮的學(xué)生用網(wǎng)線對(duì)跳了，造成了短路。

故障解決

問(wèn)題找到了，但覺(jué)得問(wèn)題并沒(méi)有就此結(jié)束。因?yàn)檫@一根小小網(wǎng)線的惡作劇，卻造成了所有VLAN的崩潰，這樣的話VLAN劃分還有什么意義？繼續(xù)分析所有匯聚交換機(jī)的配置，放在一起對(duì)比終于找到了問(wèn)題。

圖3 新增匯聚交換機(jī)VLAN配置表

原來(lái)，城建公司請(qǐng)的工程師配置新大樓的時(shí)候?yàn)榱耸∈拢谛屡涞膮R聚交換機(jī)配置時(shí)，把校園網(wǎng)所有的VLAN都給加上去了，恰恰引起故障的網(wǎng)線在新造大樓的機(jī)房5，這樣新大樓的匯聚和所有VLAN都處于非隔離狀態(tài)，所以當(dāng)機(jī)房5的網(wǎng)絡(luò)出問(wèn)題時(shí)，就造成了整個(gè)校園網(wǎng)的癱瘓。新增匯聚交換機(jī)VLAN配置表如圖3所示。

接下來(lái)問(wèn)題就簡(jiǎn)單了，登錄所有匯聚交換機(jī)，刪除不必要的VLAN，故障解決。