物理端口管控問(wèn)答

■江蘇 孫秀洪

某網(wǎng)管員對(duì)H3C S7500E系列交換機(jī)的千兆/百兆SFP光口進(jìn)行日常維護(hù)時(shí)，發(fā)現(xiàn)有個(gè)端口無(wú)法處于UP狀態(tài)。在排除鏈路因素后，他懷疑該交換端口的光模塊出現(xiàn)了問(wèn)題，那如何才能判斷光模塊是否工作正常呢？

答：首先嘗試進(jìn)入交換機(jī)后臺(tái)系統(tǒng)狀態(tài)，通過(guò)“display transceiver alarm interface”命令，檢查特定端口上的光模塊故障告警信息，如果顯示為“None”，就意味著該模塊沒(méi)有問(wèn)題；如果顯示有報(bào)警提示，則意味著該光模塊有問(wèn)題或該模塊與光接口類(lèi)型不匹配。其次使用“display transceiver interface”命令，看看兩端的光模塊波長(zhǎng)、距離等參數(shù)是否相同。第三借助光功率計(jì)分析測(cè)試特定端口收發(fā)光功率是否在正常范圍內(nèi)，是否穩(wěn)定。如果上述方法仍然無(wú)法判斷，只要更換與光接口匹配的光模塊來(lái)進(jìn)行替換排查了。

兩臺(tái)H3C品牌路由交換機(jī)在連通性正常的情況下，嘗試在其中一臺(tái)將對(duì)端環(huán)回端口設(shè)置為bgp鄰居，可是發(fā)現(xiàn)bgp鄰居無(wú)法成功創(chuàng)建，不知道該如何是好？

答：可以先進(jìn)入路由交換機(jī)后臺(tái)系統(tǒng)命令行狀態(tài)，執(zhí)行字符串命令“display ip routing-table”，觀(guān)察本地路由表有沒(méi)有成功學(xué)習(xí)到對(duì)端環(huán)回接口路由內(nèi)容。如果能夠成功學(xué)習(xí)到的話(huà)，繼續(xù)利用ping命令測(cè)試對(duì)端環(huán)回接口的IP地址，看看目標(biāo)地址能否被正常ping通。在測(cè)試出連通性正常的情況下，通過(guò)“display current-configuration bgp”命令判斷bgp參數(shù)有沒(méi)有配置正確，同時(shí)判斷有沒(méi)有通過(guò)“peer peer-address connect-interface”命令將本地環(huán)回接口設(shè)置作為和對(duì)端建鄰居的接口，有沒(méi)有在vpnv4子地址族視圖激活鄰居。之后，在對(duì)端pe查看bgp信息有沒(méi)有配置正確，以及有沒(méi)有將本地環(huán)回接口設(shè)置作為建鄰居的接口，同時(shí)查看有沒(méi)有配置vpn能力。

很多型號(hào)的交換機(jī)產(chǎn)品，都支持交換端口的回路監(jiān)測(cè)功能，有效借助該功能可以及時(shí)發(fā)現(xiàn)局域網(wǎng)中存在的網(wǎng)絡(luò)回路，不過(guò)這種功能有時(shí)不能隨便啟用，請(qǐng)問(wèn)這是什么原因？

答：因?yàn)榛芈繁O(jiān)測(cè)功能不小心會(huì)影響到其他工作子網(wǎng)的運(yùn)行狀態(tài)。比方說(shuō)，如果某交換端口處于Trunk狀態(tài)，那么該端口一旦有多個(gè)網(wǎng)段在通行時(shí)，啟用回路監(jiān)測(cè)受控特性，就可能造成這些網(wǎng)段上網(wǎng)不正常。正常情況下，可以考慮在匯聚層交換機(jī)端口上啟用回路監(jiān)測(cè)特性，但不能啟用回路監(jiān)測(cè)受控特性；而在樓層交換機(jī)的端口上，既可以啟用回路監(jiān)測(cè)特性，又能啟用回路監(jiān)測(cè)受控特性，確保樓層交換機(jī)在自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)回路現(xiàn)象時(shí)，自動(dòng)關(guān)閉對(duì)應(yīng)交換端口的工作狀態(tài)。

隔壁單位有十幾臺(tái)普通上網(wǎng)終端，它們先連接到TPLINK樓層交換機(jī)上，再通過(guò)局域網(wǎng)核心路由交換機(jī)上網(wǎng)訪(fǎng)問(wèn)。最近，不斷有員工反映，普通計(jì)算機(jī)的上網(wǎng)速度很慢，有的計(jì)算機(jī)甚至連簡(jiǎn)單的網(wǎng)頁(yè)都打不開(kāi)，估計(jì)是網(wǎng)絡(luò)中有人在進(jìn)行惡意下載。請(qǐng)問(wèn)如何通過(guò)控制交換端口的方法，限制用戶(hù)惡意下載？

答：以Quidway品牌交換機(jī)為例，使用line-rate命令來(lái)限制端口流量速度，來(lái)避免網(wǎng)絡(luò)出口帶寬資源被用戶(hù)惡意下載操作過(guò)度消耗。例如，將某交換機(jī)第2個(gè)以太網(wǎng)端口，最大傳輸速度限制為5Mbps時(shí)，只要先以系統(tǒng)管理員身份進(jìn)入交換機(jī)后臺(tái)管理系統(tǒng)，執(zhí)行“system”字符串命令，將其切換到系統(tǒng)全局配置狀態(tài)，在該狀態(tài)下繼續(xù)執(zhí)行字符串命令“interface Ethernet 0/2”，進(jìn)入第2個(gè)以太端口配置模式，在該配置界面下執(zhí)行“l(fā)ine-rate outbound 32”命令，這樣指定交換端口的出方向報(bào)文流量速度就被限制為5Mbps了。同樣地，再使用“l(fā)ine-rate intbound 32”命令，將入方向報(bào)文流量速度也限制為5Mbps。

大家知道，H3C S7500E系列交換機(jī)能夠支持4臺(tái)設(shè)備組成IRF，不過(guò)在向已建立的IRF中增加設(shè)備時(shí)，經(jīng)常會(huì)遇到設(shè)備無(wú)法加入IRF的問(wèn)題，請(qǐng)問(wèn)如何解決這類(lèi)問(wèn)題？

答：第一通過(guò)“display irf”命令查看當(dāng)前IRF中的成員設(shè)備數(shù)量是否超過(guò)了4臺(tái)，如果超過(guò)該數(shù)值，自然就會(huì)出現(xiàn)無(wú)法加入問(wèn)題。其次判斷成員設(shè)備型號(hào)是否相同，只有同一型號(hào)的設(shè)備才能建立IRF。第三使用“display interface brief”命令，查看成員設(shè)備是否處于IRF模式，只有工作在IRF模式，才能允許加入IRF。第四使用“display interface”命令，檢查IRF物理端口的狀態(tài)是否正常，要是交換端口狀態(tài)顯示為“DOWN”，那要查看堆疊物理端口的光模塊/光纖或者電纜是否工作正常。要是物理端口狀態(tài)顯示為“DOWN (Administratively)”，那 就意味著該交換端口已經(jīng)使用“shutdown”命令關(guān)閉，用戶(hù)需要使用“undo shutdown”命令將其重新啟用。第五執(zhí)行“display version”命令，檢查每臺(tái)交換設(shè)備當(dāng)前運(yùn)行的軟件版本是否相同，只有軟件版本相同的交換設(shè)備才能組成IRF。要是發(fā)現(xiàn)成員設(shè)備之間軟件版本不一致時(shí)，可以嘗試通過(guò)軟件升級(jí)使所有成員設(shè)備都使用較高軟件版本。

當(dāng)遇到網(wǎng)絡(luò)故障，檢查交換機(jī)的工作狀態(tài)是否正常時(shí)，我們可能會(huì)在現(xiàn)場(chǎng)發(fā)現(xiàn)交換端口信號(hào)燈狀態(tài)不正常，而連接到對(duì)應(yīng)端口上的終端系統(tǒng)自然也無(wú)法上網(wǎng)訪(fǎng)問(wèn)。碰到這類(lèi)問(wèn)題時(shí)，該怎樣恢復(fù)終端系統(tǒng)的上網(wǎng)連接狀態(tài)呢？

答：大家知道，交換機(jī)是由管理模塊、堆疊模塊、擴(kuò)展模塊等多個(gè)模塊組合而成的，幾乎每個(gè)模塊都有屬于自己的外部接口，這些模塊一旦發(fā)生了故障時(shí)，我們往往能夠直接通過(guò)信號(hào)燈狀態(tài)來(lái)判斷出它們的工作狀態(tài)。所以，當(dāng)看到某個(gè)端口的信號(hào)燈狀態(tài)不正常時(shí)，我們可以考慮重新啟動(dòng)一下交換機(jī)后臺(tái)系統(tǒng)，看看通過(guò)重啟方式能不能解決軟性故障；如果重啟方式無(wú)法解決問(wèn)題的話(huà)，我們可以考慮更換交換機(jī)的端口模塊，在更換端口模塊時(shí)，我們盡量將交換機(jī)設(shè)備的電源斷開(kāi)，之后插入新的端口模塊，如果實(shí)在無(wú)法解決問(wèn)題的話(huà)，我們就只能夠聯(lián)系設(shè)備供應(yīng)商了。

H3C S8500系列路由交換機(jī)能支持多塊板卡插入，每塊板卡允許負(fù)載24個(gè)光端口，所有端口狀態(tài)都會(huì)影響板卡運(yùn)行狀態(tài)，要是光端口輸入、輸出請(qǐng)求很多，板卡會(huì)占用更多CPU資源應(yīng)付這些請(qǐng)求，要是CPU資源被占用嚴(yán)重時(shí)，整塊板卡都將無(wú)法工作。請(qǐng)問(wèn)，怎樣識(shí)別端口所在板卡運(yùn)行狀態(tài)是否正常？

答：必須加強(qiáng)對(duì)板卡CPU資源占用狀態(tài)進(jìn)行監(jiān)控，如果看到CPU占用率在50%以上時(shí)，就要排查板卡上每個(gè)光端口流量是否正常了，直到找出不正常的端口，并輸入“shutdown”命令停用對(duì)應(yīng)端口運(yùn)行狀態(tài)。在查看板卡CPU資源消耗情況時(shí)，可以先將交換機(jī)系統(tǒng)切換到全局視圖模式狀態(tài)，通過(guò)“display cpu”命令，就能發(fā)現(xiàn)板卡最近五秒鐘、最近一分鐘、最近五分鐘的CPU資源消耗情況了。除了CPU消耗情況會(huì)影響板卡狀態(tài)，板卡溫度也會(huì)對(duì)其工作狀態(tài)產(chǎn)生影響，要是交換機(jī)散熱不良的話(huà)，那么板卡溫度將會(huì)持續(xù)上升，同時(shí)溫度的不斷攀升，會(huì)影響路由交換機(jī)的響應(yīng)能力，嚴(yán)重時(shí)能造成交換機(jī)發(fā)生死機(jī)現(xiàn)象。所以，使用“display en”命令檢查端口所在板卡溫度，也能判斷板卡的運(yùn)行狀態(tài)是否正常。

為了保證網(wǎng)絡(luò)運(yùn)行穩(wěn)定，網(wǎng)管員一般會(huì)對(duì)單位局域網(wǎng)交換機(jī)定期進(jìn)行升級(jí)、更新，可是在升級(jí)、更新完交換機(jī)后臺(tái)系統(tǒng)后，有時(shí)會(huì)遇到交換機(jī)后臺(tái)系統(tǒng)無(wú)法正常工作的現(xiàn)象，這是什么原因呢？

答：在排除誤操作的情況下，出現(xiàn)上述問(wèn)題，多半是網(wǎng)管員沒(méi)有同步升級(jí)與交換機(jī)相連的網(wǎng)絡(luò)設(shè)備，引起了其他網(wǎng)絡(luò)設(shè)備與交換機(jī)在參數(shù)配置方面不匹配，最終造成了交換機(jī)后臺(tái)系統(tǒng)無(wú)法正常工作。例如，有時(shí)升級(jí)完交換機(jī)后臺(tái)系統(tǒng)后，交換機(jī)端口傳輸速率會(huì)被自動(dòng)修改為100Mbps，這個(gè)時(shí)候與交換機(jī)相連的終端端口速度，要是沒(méi)有及時(shí)修改為100Mbps時(shí)，交換機(jī)控制面板中的對(duì)應(yīng)端口指示燈就會(huì)不正常。遭遇這類(lèi)問(wèn)題時(shí)，不妨先以系統(tǒng)權(quán)限登錄交換機(jī)后臺(tái)界面，從中找到交換機(jī)端口參數(shù)，檢查端口傳輸速度是否被強(qiáng)行修改為了100Mbps，如果已經(jīng)被修改的話(huà)，只要重新將交換端口的傳輸速率修改為合適數(shù)值即可。如果看到交換機(jī)配置參數(shù)還沒(méi)有被修改的話(huà)，那么唯一能做的就是對(duì)終端端口進(jìn)行升級(jí)，保證它能與交換機(jī)端口保持性能匹配。

大樓某單位工作子網(wǎng)連接到核心交換機(jī)的g1/2/10光端口上，利用路由交換系統(tǒng)訪(fǎng)問(wèn)Internet，平時(shí)該工作子網(wǎng)中的每臺(tái)計(jì)算機(jī)上網(wǎng)速度比較理想。可是，最近上網(wǎng)速度明顯沒(méi)有以前那樣快捷了，剛開(kāi)始還以為是終端計(jì)算機(jī)自身問(wèn)題，采取查殺病毒、優(yōu)化系統(tǒng)等措施后，上網(wǎng)速度還是很慢，嚴(yán)重時(shí)還頻繁出現(xiàn)掉線(xiàn)現(xiàn)象，請(qǐng)問(wèn)怎樣有效應(yīng)對(duì)這種類(lèi)型故障？

答：首先查看特定工作子網(wǎng)接入交換機(jī)與核心交換機(jī)之間的物理連接是否牢靠，在物理連接牢靠的情況下，檢查交換端口的工作模式是否匹配，如果不匹配時(shí)，或許會(huì)要不斷地協(xié)商、糾錯(cuò)，這容易引起網(wǎng)絡(luò)傳輸發(fā)生丟包現(xiàn)象。要是上面的因素被排除后仍然無(wú)法解決問(wèn)題，很可能是交換端口發(fā)生了損壞，比方說(shuō)，交換端口頻繁遭遇大流量沖擊發(fā)生性能老化現(xiàn)象，或者是用戶(hù)使用端口的方法不當(dāng)，從而造成了上網(wǎng)數(shù)據(jù)嚴(yán)重丟包故障，此時(shí)只有更換新的端口才能解決問(wèn)題。

對(duì)于H3C品牌的交換機(jī)來(lái)說(shuō)，遇到交換端口缺省的VLAN ID配置不成功故障現(xiàn)象時(shí)，該怎樣進(jìn)行排查？

答：可以嘗試使用“display port”命令或“display interface”命令查看特定交換端口的工作模式，看看它們的工作模式是不是hybrid模式或者trunk模式，如果不是的話(huà)，那就必須及時(shí)將它的端口工作模式修改過(guò)來(lái)；在確認(rèn)端口工作模式配置正確的情況下，再重新配置一下默認(rèn)VLAN ID，相信這樣一來(lái)配置就能成功了。

在Quidway S8500系列路由交換機(jī)命令行狀態(tài)下，執(zhí)行“display stp”命令，查看指定交換端口的Stp/Rstp狀態(tài)時(shí)，看到特定端口狀態(tài)顯示不正常，這時(shí)該如何才能恢復(fù)該交換端口的工作狀態(tài)呢？

答：指定交換端口狀態(tài)不正常，主要有兩個(gè)方面的表現(xiàn)：一是交換端口的forwarding狀態(tài)變成了discarding狀態(tài)，二是交換端口的discarding狀態(tài)變成了forwarding狀態(tài)。對(duì)于前面一種情況，只要重點(diǎn)檢查特定交換端口的優(yōu)先級(jí)參數(shù)、STP的cost值參數(shù)是否正常，在這些參數(shù)都正常的情況下，再看看該端口下面是否存在網(wǎng)絡(luò)環(huán)路現(xiàn)象，要是看到有網(wǎng)絡(luò)環(huán)路時(shí)，必須立即排除環(huán)路故障，這樣就能解決問(wèn)題了。對(duì)于后面一種情況，主要是判斷交換端口STP數(shù)據(jù)報(bào)文是否收發(fā)正常。

在一臺(tái)安裝了Vista系統(tǒng)的終端計(jì)算機(jī)中，系統(tǒng)任務(wù)欄明明顯示網(wǎng)絡(luò)連接速度為1Gbps。不過(guò)，在實(shí)際進(jìn)行數(shù)據(jù)文件傳輸時(shí)，發(fā)現(xiàn)傳輸速度連百兆網(wǎng)絡(luò)的性能都達(dá)不到，這是什么原因？

答：造成這種故障的因素有很多，比方說(shuō)線(xiàn)纜、水晶頭、外界干擾、網(wǎng)絡(luò)配置等等。在解決這類(lèi)故障時(shí)，應(yīng)該先保證使用質(zhì)量好的物理線(xiàn)纜，同時(shí)水晶頭要用原裝AMP的。其次確保物理線(xiàn)纜不受擠壓，不與其他強(qiáng)電線(xiàn)纜靠在一起，并暫時(shí)退出網(wǎng)絡(luò)防火墻或病毒程序。第三要確保網(wǎng)卡設(shè)備工作模式與所連交換端口模式保持匹配，還要盡可能停用網(wǎng)卡設(shè)備的“流控制”功能，同時(shí)將綁定在網(wǎng)卡設(shè)備上的其他無(wú)關(guān)協(xié)議全部取消掉。

有的時(shí)候操作不小心，將一條直連線(xiàn)纜同時(shí)連接在同一臺(tái)H3C交換機(jī)的兩個(gè)不同交換端口上，結(jié)果這臺(tái)交換機(jī)立即發(fā)生了“死機(jī)”，具體現(xiàn)象表現(xiàn)為該交換機(jī)下層連接的所有無(wú)線(xiàn)上網(wǎng)接入點(diǎn)全部停止了工作，請(qǐng)問(wèn)這是什么原因？

答：要是我們沒(méi)有為交換機(jī)端口劃分設(shè)置VLAN的話(huà)，那么一臺(tái)交換機(jī)上的所有交換端口在默認(rèn)狀態(tài)下都處于相同的VLAN中，它們共用一個(gè)VLAN虛擬接口。

當(dāng)我們不小心使用直通線(xiàn)纜將同一臺(tái)交換機(jī)相同VLAN的兩個(gè)交換端口相互連接起來(lái)時(shí)，那就相當(dāng)于使用一條網(wǎng)線(xiàn)將同一塊網(wǎng)卡的兩個(gè)網(wǎng)卡接口連接在一起（假設(shè)目標(biāo)網(wǎng)卡同時(shí)存在兩個(gè)接口），最終結(jié)果會(huì)導(dǎo)致交換機(jī)或網(wǎng)卡出現(xiàn)內(nèi)部死循環(huán)，IP地址發(fā)生沖突現(xiàn)象（因?yàn)檫@個(gè)時(shí)候目的IP地址和源IP地址是相同的），數(shù)據(jù)包自然會(huì)發(fā)送不出去。從物理的角度來(lái)理解，那就是交換機(jī)發(fā)生了物理性短路故障，從而造成該設(shè)備停止了工作。