1、客户网络环路故障处理及环路安全防护杨淦军内容提要:网络环路问题对客户网络存在很大的威胁,其造成的后果是客户网络直接瘫痪,而且在某些情况下还可能会影响到运营商的网络,因此研究网络环路的故障,及如何通过技术手段预防网络环路的危害,在网络维护中显得非常的重要。关键词:网络环路;环路判断;环路预防一、客户网络存在的问题。客户网络受办公室人员变化、办公场地变更、节省成本等等原因,初期网络布线无法满足每个用户单独接一条网络到楼层交换机,会在各个办公室增加一些小交换机来满足网络的需求。一些酒店同样会通过增加小交换机来解决客户布线的不足。这些放在客房、办公室的交换机最常成为环路的根源,由于线路凌乱及使用者的疏
2、忽,时常会发生一根网线从交换机的一个端口接到另一个端口的情况,这样就在网络在发生了一个环路现象,造成整个网络的中断。二、网络环路的实验及分析通过下面的实验,观察环路网络通信情况,观察交换机的端口流量及 MAC 地址学习的情况。12 4432图 1P C 1 P C 2实验 1:如图 1 所示,用华为 S2326TP-EI 的交换机及两台电脑做环路的试验。1、 观察两台 PC 之间的通信情况。在 PC1 和 PC2 正常通信的情况下,将交换机端口2 和 3 进行环路,环路后通信立刻中断。2、 通过交换机配置口,观察交换机的端口流量情况。用命令 display interface brief 查看
3、,发现端口 1 和端口 4 的 out 流量都不断的增大,很快达到了 80%以上,而 in的流量非常小。而端口 2 和端口 3 的 in 和 out 的流量都非常大且对称,也很快达到了 80%以上。通过抓包软件可以发现,不管是 PC1 还是 PC2 都能抓到网络中存在大量的广播包,每秒钟达到了 3 至 4 万个的广播包。查看交换机的 CPU 使用率,达到了 80%以上。3、 观察 MAC 地址学习情况。通过 display mac-address 命令,查看交换机 MAC 表,发现两台 PC 的 MAC 地址被学习到端口 2 或端口 3 上面,通过不断的用 display mac-addres
4、s 命令来刷新查看结果,发现 PC 的 MAC 时而出现在端口 2,时而出现在端口 3,出现了 MAC 地址飘移的情况。环路后在正确的端口上学习不到 MAC地址。应该是因为 PC 的发包速度远远达不到环路中的风暴速度。12 4432图 2广播风暴4、 环路数据流向分析。如图 2,黑色粗线头标示了广播风暴的流向,交换机因为端口2 和 3 之间环路,重复循环地转发数据包,产生了广播风暴。端口 2 收到端口 3 过来的广播包,进行转发,而端口 3 收到端口 2 发来的广播包,也进行转发。端口2 和 3 就成为一个广播源,向其他端口转发广播,因此交换机端口 1 和端口 4 都能通过交换机的内部转发而收
5、到广播风暴。这跟交换机查看到的流量结果是一致的。分析交换机 MAC 地址的学习情况,交换机根据接收到的数据包的源 MAC 地址来学习,在环路中的端口 2 和 3 因为重复的接收从环路上传来的数据,所以在 2 和3 端口上就会不断的学习和刷新广播包中的源 MAC 地址,从而产生 MAC 地址的飘移,这从实验的结果看,也是一致的。12 443212 4432交换机 1P C 1 P C 2图 3交换机 2实验 2:如图 3 所示,在实验 1 的基础上观察无环路交换机接收到环路交换机广播风暴的端口流量情况及 MAC 学习情况。1、 观察两台 PC 的通信情况。在通信正常的情况下,将交换机 2 的 1
6、 和 3 两个端口用网线进行环路,环路后通信立刻中断。2、 观察交换机 1 的端口流量情况。通过 display interface brief 命令查看交换机 1 的端口流量情况,发现端口 1 和 4 的 out 流量都非常大,而端口 24 是 in 流量非常大,且与端口 1 和 4 的流量基本对称。3、 观察交换机 MAC 地址学习情况。在交换机 1 上,通过 display mac-address 命令,查看 MAC 表情况,会发现两台 PC 的 MAC 址都被学习到端口 24 上了。在正确的端口上学习不到 MAC 地址。PC 的 MAC 地被移动到有环路的端口上。交换机 212 443
7、212 4432交换机 1P C 1 P C 2图 44、 环路数据流向分析。通过图 4 黑色箭头方向所示,分析环路广播风暴的流向,交换机 2 产生的广播风暴通过端口 24 转发到交换机 1 的 24 端口,所以在交换 1 的24 端口 in 方向上,能看到很大的数据流量,而交换机 1 的端口 1 和端口 4 收到了交换机 1 转发的广播包,所以在 out 方向查看到了很大的数据流量。这跟实验中查看到的流量方向是一致的。再分析 MAC 地址的学习情况,由于交换机 1 的端口24 收到交换机 2 发来的广播风暴,端口 24 不断的收到数据包,所以交换机将会在24 端口学习到很多广播包的源 MAC
8、 地址,这个跟实验的结果也是一致的。三、环路造成网络中断的原因1、环路造成网络广播风暴,耗尽交换资源,造成交换机瘫痪。实验证明,网络中的广播包,进入环路后便不断的循环存在,无法结束。环路就象吸尘器一样,吸收所有目标为广播 MAC 地址的数据包,并且在吸收进来后的循环速度达到每秒几万个数据包。大量的数据包让交换机的 CPU 很快达到了 85%-100%,造成交换机瘫痪。2、环路产生 MAC 地址飘移,造成网络中断。 实验证明,网络环路后,网络内的主机,只要发送过广播包,MAC 地址都会被学习到存在网络环路的端口中,错误的 MAC 地址表,直接造成了网络中断。MAC 地址飘移,是造成网络立刻中断的
9、主要原因。四、如何判断网络中是否存在环路1、 查看交换机端口流量。网络环路会吸收网络中的广播,形成广播风暴,造成网络流量的异常。当然,一个网络里的流量可能有点复杂,但环路以后造成的网络中断,会产生环路的流量的特征。直接参加环路的端口,通过以上实验可以看出,进入和流出两个方向的的流量都非常大,如果查看到这种流量的端口,存在环路的可能性很大。只有出流量很大,而进入的流量很小的,可以排除存在环路的可能。而进入的流量很大,流出的流量很小的,应该怀疑是该端口下带的网络可能存在环路,可进一步检查与这个端口相连的设备。环路必然产生大的入流量,因此,查找环路的端口,重点关注入方向流量很大的端口。2、 查看 M
10、AC 地址表。从以上实验可能看出,网络环路后造成 MAC 地址标移,是网络中断的主要原因。因此,当一个已知的 MAC 地址,被学习到其他的端口上时,可以确定网络中存在环路。从实验可以看出,MAC 地址标移的方向,是从正确的端口飘移到环路端口上,因此,跟踪一个已知的 MAC 地址,可以找出环路的故障点。五、网络环路的防护从以上对网络环路的实验和分析,环路存在两大特征,一个是造成网络的广播网暴,二是造成 MAC 地址飘移。那么针对这两个特征,我们可以对网络做一些规划,将环路的危害降到最小。1. 利用 VLAN 技术,隔离广播风暴。按不同的部门或不同的楼层,划分到不同的VLAN 当中,将环路的影响限
11、制在某一个 VLAN 里。VLAN 的实现,需要交换机的支持。VLAN 虽然能隔离广播,但不同 VLAN 之间产生的环路,MAC 仍然会被学习到环路的不同 VLAN 中,因为交换机只根据接收到数据包的源 MAC 地址进行 MAC 地址学习。2. 利用三层设备,隔离环路危害。不管是广播风暴还是 MAC 地址的飘移,都是发生在一个二层网络里面。因此,可以利用三层交换机或者路由器,对客户网络进行三层的划分,这样就可以把环路危害隔离在一个三层网络里,避免造成全网的中断。3. 利用交换机的环路保护功能,做好环路防护。现在很多厂家的交换机,都支持环路检测功能,客户网络在接入交换机部署带环路检测的交换机,当交换机在某一个端口检测到有环路时,可以对这个端口进行 shutdown 或者 block 操作,这样就可以把环路隔离在交换机的某一个端口下。通过交换机的命令,也能很快查找到环路的端口。结束语本文结合实验,对二层网络环路进行了深度分析,分析环路产生的网络流量及流量的走向特征,分析环路对交换机 MAC 地址学习的影响,从而总结出对环路故障处理的判断,进而根据环路的两大特征,利用网络技术解决环路对网络造成的危害。利用交换机的环路检测功能,可以在一个二层网络里面,将环路的危害降到最低,而且不增加网络维护人员的工作量,是最好的解决办法。
