客户网络环路故障处理及环路安全防护
杨淦军
中国电信股份公司梅县分公司
内容提要网络环路问题对客户网络存在很大的威胁其造成的后果是客户网络直接瘫痪
而且在某些情况下还可能会影响到运营商的网络因此研究网络环路的故障及如何通过技
术手段预防网络环路的危害在网络维护中显得非常的重要。
关键词网络环路环路判断环路预防
一、客户网络存在的问题。
客户网络受办公室人员变化、办公场地变更、节省成本等等原因初期网络布线无法满
足每个用户单独接一条网络到楼层交换机会在各个办公室增加一些小交换机来满足网络的
需求。一些酒店同样会通过增加小交换机来解决客户布线的不足。这些放在客房、办公室的
交换机最常成为环路的根源由于线路凌乱及使用者的疏忽时常会发生一根网线从交换机
的一个端口接到另一个端口的情况这样就在网络在发生了一个环路现象造成整个网络的
中断。
二、网络环路的实验及分析
通过下面的实验观察环路网络通信情况观察交换机的端口流量及MAC地址学习的
情况。 1244
32图 1
PC1 PC2
实验1如图1所示用华为S2326TP-EI的交换机及两台电脑做环路的试验。
1、 观察两台PC之间的通信情况。在PC1和PC2正常通信的情况下将交换机端口2
和3进行环路环路后通信立刻中断。
2、 通过交换机配置口观察交换机的端口流量情况。用命令display interface brief 查
看发现端口1和端口4的out流量都不断的增大很快达到了80%以上而in的
流量非常小。而端口2和端口3的in 和 out 的流量都非常大且对称也很快达到
了80%以上。通过抓包软件可以发现不管是PC1还是PC2都能抓到网络中存在
大量的广播包每秒钟达到了3至4万个的广播包。查看交换机的CPU使用率
达到了80%以上。
3、 观察MAC 地址学习情况。通过display mac-address 命令查看交换机MAC表
发现两台PC的MAC 地址被学习到端口2或端口3上面通过不断的用display
mac-address 命令来刷新查看结果发现PC的MAC时而出现在端口2时而出现
在端口3出现了MAC地址飘移的情况。环路后在正确的端口上学习不到MAC
地址。应该是因为PC的发包速度远远达不到环路中的风暴速度。 124432图 2
广播风暴
4、 环路数据流向分析。如图2黑色粗线头标示了广播风暴的流向交换机因为端口
2和3之间环路重复循环地转发数据包产生了广播风暴。端口2收到端口3过
来的广播包进行转发而端口3收到端口2发来的广播包也进行转发。端口2
和3就成为一个广播源向其他端口转发广播因此交换机端口1和端口4都能通
过交换机的内部转发而收到广播风暴。这跟交换机查看到的流量结果是一致的。分
析交换机MAC地址的学习情况交换机根据接收到的数据包的源MAC地址来学
习在环路中的端口2和3因为重复的接收从环路上传来的数据所以在2和3端
口上就会不断的学习和刷新广播包中的源MAC地址从而产生MAC地址的飘移
这从实验的结果看也是一致的。 1244
32
1244
32 交换机1
PC1 PC2
图 3
交换机2
实验2如图3所示在实验1的基础上观察无环路交换机接收到环路交换机广播风暴
的端口流量情况及MAC学习情况。
1、 观察两台PC的通信情况。在通信正常的情况下将交换机2的1和3两个端口用
网线进行环路环路后通信立刻中断。
2、 观察交换机1的端口流量情况。通过display interface brief命令查看交换机1的端口
流量情况发现端口1和4的out流量都非常大而端口24是in流量非常大且
与端口1和4的流量基本对称。
3、 观察交换机MAC地址学习情况。在交换机1上通过display mac-address 命令
查看MAC表情况会发现两台PC的MAC 址都被学习到端口24上了。在正确的端口上学习不到MAC地址。PC的MAC地被移动到有环路的端口上。 交换机2124432
1244
32 交换机1
PC1 PC2
图 4
4、 环路数据流向分析。通过图4黑色箭头方向所示分析环路广播风暴的流向交换
机2产生的广播风暴通过端口24转发到交换机1的24端口所以在交换1的24
端口 in方向上能看到很大的数据流量而交换机1的端口1和端口4收到了交
换机1转发的广播包所以在out方向查看到了很大的数据流量。这跟实验中查看
到的流量方向是一致的。再分析MAC地址的学习情况由于交换机1的端口24
收到交换机2发来的广播风暴端口24不断的收到数据包所以交换机将会在24
端口学习到很多广播包的源MAC 地址这个跟实验的结果也是一致的。
三、环路造成网络中断的原因
1、环路造成网络广播风暴耗尽交换资源造成交换机瘫痪。
实验证明网络中的广播包进入环路后便不断的循环存在无法结束。环路就象吸尘
器一样吸收所有目标为广播MAC地址的数据包并且在吸收进来后的循环速度达到每秒
几万个数据包。大量的数据包让交换机的CPU很快达到了85%-100%造成交换机瘫痪。
2、环路产生MAC地址飘移造成网络中断。
实验证明网络环路后网络内的主机只要发送过广播包MAC 地址都会被学习到
存在网络环路的端口中错误的MAC地
址表直接造成了网络中断。MAC地址飘移是
造成网络立刻中断的主要原因。
四、如何判断网络中是否存在环路
1、 查看交换机端口流量。网络环路会吸收网络中的广播形成广播风暴造成网络流
量的异常。当然一个网络里的流量可能有点复杂但环路以后造成的网络中断
会产生环路的流量的特征。直接参加环路的端口通过以上实验可以看出进入和
流出两个方向的的流量都非常大如果查看到这种流量的端口存在环路的可能性
很大。只有出流量很大而进入的流量很小的可以排除存在环路的可能。而进入
的流量很大流出的流量很小的应该怀疑是该端口下带的网络可能存在环路可
进一步检查与这个端口相连的设备。环路必然产生大的入流量因此查找环路的
端口重点关注入方向流量很大的端口。 2、 查看MAC地址表。从以上实验可能看出网络环路后造成MAC地址标移是网
络中断的主要原因。因此当一个已知的MAC地址被学习到其他的端口上时
可以确定网络中存在环路。从实验可以看出MAC地址标移的方向是从正确的
端口飘移到环路端口上因此跟踪一个已知的MAC地址可以找出环路的故障
点。
五、网络环路的防护
从以上对网络环路的实验和分析环路存在两大特征一个是造成网络的广播网暴二
是造成MAC地址飘移。那么针对这两个特征我们可以对网络做一些规划将环路的
危害降到最小。
1. 利用VLAN技术隔离广播风暴。按不同的部门或不同的楼层划分到不同的VLAN
当中将环路的影响限制在某一个VLAN里。VLAN的实现需要交换机的支持。
VLAN虽然能隔离广播但不同VLAN之间产生的环路MAC仍然会被学习到环
路的不同VLAN中因为交换机只根据接收到数据包的源MAC地址进行MAC地
址学习。
2. 利用三层设备隔离环路危害。不管是广播风暴还是MAC地址的飘移都是发生
在一个二层网络里面。因此可以利用三层交换机或者路由器对客户网络进行三
层的划分这样就可以把环路危害隔离在一个三层网络里避免造成全网的中断。
3. 利用交换机的环路保护功能做好环路防护。现在很多厂家的交换机都支持环路
检测功能客户网络在接入交换机部署带环路检测的交换机当交换机在某一个端
口检测到有环路时可以对这个端口进行shutdown或者block操作这样就可以把
环路隔离在交换机的某一个端口下。通过交换机的命令也能很快查找到环路的端
口。
结束语
本文结合实验对二层网络环路进行了
深度分析分析环路产生的网络流量及流量的走向特
征分析环路对交换机MAC地址学习的影响从而总结出对环路故障处理的判断进而根
据环路的两大特征利用网络技术解决环路对网络造成的危害。利用交换机的环路检测功能
可以在一个二层网络里面将环路的危害降到最低而且不增加网络维护人员的工作量是
最好的解决办法。
参考文献电子工业出版社《CCNA认证指南》。
作者简介杨淦军1996年广东省邮电学校毕业2007年开始从事客户网络维护工作工
作中至力于构建一个稳定的客户网络指导客户进行网络规划及网络防护提高网络的稳定
性减少网络的维护工作量。
>
> >
> > >更多精彩 请访问 https://www.sodocs.net/doc/d11985098.html, 我爱学习网