维护经验
WEIHU JINGYAN
2003年创刊
2009年第31期总第377期
内部资料 免费交流准印证号:粤内准字2007第0036号
编者的话敬告读者
一、本刊享有所发表文章的版权,包括外文版、电子版
和网络版版权,所支付的稿酬已包含上述各版本的
费用。
二、未经本刊许可,不得以任何形式全文转载本刊内容,
如部分引用本刊内容,须注明该内容出自本刊。主 任:邱未召
副主任:陈健洲
编 委(排名不分先后):
蒋国兵、张寿魁、吴 峰、汤宏轩、李刚毅、
宋剑波、田金华、王兆政、刘文军、王亚平、
雷 焜、王天成、葛 俊、余 庆、张结斌、
方 希
《维护经验》编辑部
责任编辑:张 帆
技术编审:胡 佳、陶敏娟、张剑平
执行编辑:宁家铤
美术编辑:徐 恒
发 行:刘海燕
地 址:深圳市南山区高新技术产业园科技南路
中兴通讯大厦3楼
邮 编:518057
联 系 人:宁家铤
电 话:0755-********
传 真:0755-********
投稿邮箱:weihujingyan@https://www.doczj.com/doc/ac18644122.html,
文档支持邮箱:doc@https://www.doczj.com/doc/ac18644122.html,
技术支持网站:https://www.doczj.com/doc/ac18644122.html, 《维护经验》编辑委员会相关内容的《维护经验》秉承“精诚服务、凝聚顾客身上”的客户服务理念,使中兴通讯产品能更好地为客户创造价值,为客户提供更好的服务,向客户提供最好、最实用的维护经验和方法,切实提高相关专业技术人员的业务知识水平和技能,我们编辑了本期《维护经验》,内容针对中兴通讯的数据产品。随着中兴通讯的数据产品在国内外的广泛应用,该产品的日常维护工作变得十分重要。本期共收录了中兴通讯数据产品的故障处理案例、操作维护中的注意事项等方面的13篇稿件,具有较高的参考价值,希望对您的维护工作有所帮助。若要查阅更多有关中兴通讯产品的维护经验文章与相关技术资料,请登录中兴通讯技术支持网站:https://www.doczj.com/doc/ac18644122.html,。由于水平有限,难免存在不足和疏漏之处,恳请各位专家和读者批评、指正,同时也感谢大家对本专辑的关注和支持。您可以随时联系我们,讲述您的心得与体会。欢迎投稿!
2009年5月
CONTENTS
目 录
PVLAN和SuperVLAN
中兴通讯学院 张 帆 (02)
ZXR10 3906下挂DSLAM频繁掉线的处理
中兴通讯郑州办事处 雷欣欣 (07)
PVLAN中实现隔离口与非混合端口通信
中兴通讯企业网营销中心 魏鑫锋 (09)
ZXR10 2800&2900级联启用PVLAN的问题
中兴通讯企业网营销中心 徐 云 (10)
ARP欺骗网关攻击造成业务中断的处理
中兴通讯企业网营销中心 王 涛 (11)
用户上网速度慢故障处理一例
中兴通讯企业网营销中心 王图健 (13)
SuperVLAN典型应用一例
中兴通讯企业网营销中心 白 平 (14)
视频监控系统局域网问题处理
中兴通讯乌鲁木齐办事处 吕忠伟 (16)
ZXR10 T64G对于DHCP双机配置问题一例
中兴通讯数据用服部 汪保源 (17)
数据设备开通中DSLAM相关问题两例
中兴通讯数据用服部 王 枫 (19)
3928交换机SVLAN故障处理一例
中兴通讯数据用服部 汪保源 (21)
BGP路由反射器路由通告问题一例
中兴通讯数据用服部 付 涛 (23)
T1200路由器策略路由配置心得体会
中原油田通信管理处数据业务管理中心 丁 辉 (26)
VLAN专题
PVLAN和SuperVLAN
□中兴通讯学院 张帆
摘要:本篇介绍了PVLAN和SuperVLAN的基本概念和原理,并给出关于PVLAN以及SuperVLAN的一些维护经验案例。
关键词:PVLAN;SuperVLAN
1 PVLAN
1.1 普通VLAN的局限性
我们平常所使用的普通VLAN存在以下几方面的局限性。
(1)在802.1Q定义的VLAN帧格式中,VLAN ID是个12 比特位,也就是说最大可以支持4096个VLAN。而这在实际的应用中,只能满足企业网用户的需求,对于运营商级别的用户,明显存在VLAN ID缺乏的问题。
(2)由于一个VLAN就是一个独立的广播域,造成了VLAN之间用户的隔离,因此,需要一个VLAN对应一个子网,这就同时造成了IP地址特别是大量网关的使用。
(3)相对于企业网用户来说,在必须用VLAN做隔离业务的网络中,也会因为较多的VLAN和IP子网,使管理变得复杂。
在不能更改VLAN帧格式来扩充VLAN 数量的前提下,势必要采用有效的方法来解决以上提到的问题。
PVLAN(Private VLAN)就提供了一个解决VLAN上述局限性的方法。
1.2 PVLAN工作原理
有时候交换机根据实际需求,要求各个端口互相隔离。如果是按照普通VLAN的模式,只好给每个端口划分一个VLAN。这样的话势必会透传许多VLAN到上层设备,一方面浪费了地址,增加了上层设备的负担,一方面也不便于网络管理和网络审查。
这时候我们就需要使用交换机的PVLAN 功能。PVLAN(Private Vlan)是中兴以太网交换机的一个特性,它的功能是在二层接入中,通过将用户端口设置为特定的端口类型,从而满足相同VLAN内的用户之间二层报文隔离的需求。
PVLAN的原理如图1所示,PVLAN采用二层VLAN的结构,在一台以太网交换机上存在一个或者多个PVLAN。PVLAN将VLAN 中的端口分为两类:
(1)与用户相连的端口为隔离端口(Isolated Port);
(2)上行与路由器相连的端口为混合端口(Promiscuous Port)。
PVLAN中规定:隔离端口只能与混合端口通信,隔离端口相互之间不能通信。如果某个接口没有被配置,即既不是隔离端口也不是混合端口,那么它只能和混合端口通讯,和隔离端口不能通讯。
在图1中,大圈表示Private VLAN,它对于上层设备是可见可学习到的;而三个小圈表
2︱《维护经验》总第377期
精诚服务
示的VLAN 2、VLAN 3和VLAN 4所连接的接口被设置成为了隔离端口(Isolated Port),因此它们之间不能通讯。整台交换机设置了一个混合端口(Promiscuous Port),它用来和上层设备对接,因此VLAN 2、VLAN 3和VLAN 4中的数据可以向上层传送单彼此之间不能通讯。
图1 PVLAN工作原理示意图
这种两层VLAN隔离的方法,只有上层VLAN全局可见,相当于在一个VLAN内部实现用户隔离,从而达到端口隔离的效果。
一个PVLAN可以包括多个隔离端口和上行混合端口。一个PVLAN中包含的所有的隔离端口处在同一个子网中,节省了子网数目和IP地址资源。
如果用户希望实现二层报文的隔离,可以采用为每个用户配置一个隔离端口的方式,每个VLAN中只包含该用户连接的端口和上行端口;如果希望实现用户之间二层报文的互通,可以将用户连接的端口从PVLAN中删除,然后把这些端口划入同一个VLAN中,配置方式非常灵活。
1.3 PVLAN应用场景
如图2所示,假设每个颜色的方块表示一个VLAN用户组,则根据802.1Q的设置,三幢大楼内部的用户为了划分广播域,将会存在九个VLAN。这些VLAN在经过Trunk透传之后,核心交换机上存也在九个VLAN,也必须为这些VLAN逐一设置网关。
在采用PVLAN之后,每幢大楼实际向上只透传一个VLAN,这样核心交换机只需要管理三个VLAN,也只需要设置三个网关就可以了。同时,大楼内的各个端口的用户由于都属于隔离端口,所以处于相互隔离状态。也就是说,大楼内的每个端口是一个广播域。使用PVLAN技术有效地扩展了VLAN的数量,而又不影响用户的使用。
1.4 PVLAN的配置
下面我们对PVLAN的配置做个简单的说明。
要使用PVLAN功能,需在交换机上配置以下命令:
ZXR10(config)#vlan private-map session-id
其中三个参数含义分别如下:
session-id
isolate
promis
数据产品专刊2009年第3期︱ 3
VLAN专题
图2 PVLAN应用场景示意图
在一台交换机上配置PVLAN的实例如下:ZXR10# show vlan private-map
Session_id Isolate_Ports Promis_Ports
ZXR10(config)#vlan 2
ZXR10(config-vlan)#switchport pvid fei_1/1-6
/*设置交换机fei_1/1-6接口的PVID是2*/
ZXR10(config-vlan)#exit
ZXR10(config)#interface vlan 2
ZXR10(config-if)#ip address 10.1.1.1 255.255.255.0
/*设置VLAN 2的地址*/
ZXR10(config-if)#exit
ZXR10(config)# vlan private-map session-id 1 isolate fei_1/1-2 promis fei_1/3
/*在1号组中配置PVLAN的隔离端口为fei_1/1,fei_1/2,混合端口为fei_1/3*/
ZXR10(config)# vlan private-map session-id 2 isolate fei_1/4-5 promis fei_1/6
/*在2号组中配置PVLAN的隔离端口为fei_1/4,fei_1/5,混合端口为fei_1/6*/ -------------------------------------------------------------
1 fei_1/1-
2 fei_1/3
2 fei_1/4-5 fei_1/6 2 SuperVLAN
配置完成之后我们查看一下配置结果,如下所示:2.1 SuperVLAN概述
传统的ISP网络给每个用户分配一个IP 子网,每分配一个子网就有三个IP地址被占用,分别作为子网的网络号、广播地址和缺省网关地址。如果一些用户的子网中有大量未分配的IP地址,也无法给其他用户使用,因此这种方法会造成IP地址的浪费。
SuperVLAN有效地解决了这个问题,它在RFC 3069中被定义。SuperVLAN把多个VLAN (称为子VLAN)聚合成一个SuperVLAN,这些子VLAN使用同一个IP子网和缺省网关。
SuperVLAN中的每个子VLAN都是一个独立的广播域,子VLAN之间的通信通过
4︱《维护经验》总第377期
精诚服务
SuperVLAN进行路由,也可以通过配置将子VLAN之间的通信隔离开,应用非常灵活。2.2 SuperVLAN原理
利用SuperVLAN技术,接入服务运行商只需为SuperVLAN分配一个IP子网,并为每个用户建立一个子VLAN,所有子VLAN可以灵活分配SuperVLAN子网中的IP地址,并使用SuperVLAN的缺省网关。
如图3所示,SuperVLAN 5的网关是10.1.1.0/24,它下面划分了两个子VLAN,分别是Subvlan 2和Subvlan 3,这两个Subvlan 的网关仍然是10.1.1.0/24。Subvlan 2和Subvlan 3之间能否通讯可以根据实际需要在设备上做相应的配。
图3 SuperVLAN原理
理解SuperVLAN概念时需要注意:
z SuperVLAN只建立三层接口,不包含物理端口;
z Subvlan包含物理端口,但不能建立三层接口。
2.3 SuperVLAN的配置
配置SuperVLAN主要有以下三步。
(1)创建SuperVLAN,并进入SuperVLAN配置模式:ZXR10(config)#interface {supervlan
(2)将VLAN绑定到指定的SuperVLAN:ZXR10(config-vlan)#supervlan
注意:一个SuperVLAN最多可以绑定8
个子VLAN。如果该子VLAN已经配置为三层
接口,则不允许被绑定。
(3)打开或关闭SuperVLAN中各个子VLAN之间的路由功能(可选配置):
ZXR10(config-if)#inter-subvlan-routing {enable | disable}
注意:子VLAN之间的路由功能在缺省情
况下是打开的。使用本命令中的disable选项
关闭后,各子VLAN之间失去通信能力,但仍
和SuperVLAN外部保持通信。
在如图4所示的网络中,要求在交换机A
上配置SuperVLAN,分配子网10.1.1.0/24,网
关为10.1.1.1;在交换机B上配置两个子VLAN,分别是VLAN 2和VLAN 3,均属于SuperVLAN;交换机A和交换机B通过Trunk
端口相连。
Switch A上的配置如下:
ZXR10_A(config)#interface supervlan 10
ZXR10_A(config-if)#ip address 10.1.1.1 255.255.255.0 ZXR10_A(config-if)#exit
/*创建SuperVLAN并分配子网、指定网关地址*/
ZXR10_A(config)#vlan 2
ZXR10_A(config-vlan)#supervlan 10
ZXR10_A(config-vlan)#exit
ZXR10_A(config)#vlan 3
ZXR10_A(config-vlan)#supervlan 10
ZXR10_A(config-vlan)#exit
/*把子VLAN 2和3加入到SuperVLAN 10中去*/
ZXR10_A(config)#interface gei_7/10
ZXR10_A(config-if)#switchport mode trunk
ZXR10_A(config-if)#switchport trunk vlan 2-3
/*设置vlan trunk端口*/
Switch B上的配置如下:
数据产品专刊2009年第3期︱ 5
VLAN专题
图4 SuperVLAN配置实例图
ZXR10_B(config)#interface gei_3/1
ZXR10_B(config-if)#switchport access vlan 2
ZXR10_B(config-if)#exit
ZXR10_B(config)#interface gei_3/10
ZXR10_B(config-if)#switchport access vlan 2
ZXR10_B(config-if)#exit
ZXR10_B(config)#interface gei_5/1
ZXR10_B(config-if)#switchport access vlan 3
ZXR10_B(config-if)#exit
ZXR10_B(config)#interface gei_5/10
ZXR10_B(config-if)#switchport access vlan 3
ZXR10_B(config-if)#exit
ZXR10_B(config)#interface gei_8/10
ZXR10_B(config-if)#switchport mode trunk
ZXR10_B(config-if)#switchport trunk vlan 2-3
ZXR10_B(config-if)#exit
/*将端口划分入相应VLAN中区,并设置vlan trunk 端口*/ 3 PVLAN和SuperVLAN的比较
PVLAN和SuperVLAN的相同点是都可以节省IP地址资源。它们的不同点体现在以下两方面:
(1)实现层次:
z PVLAN是在二层实现的;
z SuperVLAN是在三层实现的。
(2)终结位置:
z PVLAN上行接的设备不支持VLAN,在出口处已经终结了VLAN;
z SuperVLAN是要在上行设备上终结VLAN。■
6︱《维护经验》总第377期
精诚服务 ZXR10 3906下挂DSLAM频繁掉线的处理
□中兴通讯郑州办事处 雷欣欣
摘要:本文描述了DSLAM设备下用户存在MAC地址攻击,同时DSLAM设备下联的各个用户VLAN之间没有进行隔离,从而造成了所有DSLAM上的用户全部掉线的故障。
关键词:BRAS;MAC攻击;DSLAM;3906;掉线;端口隔离
1 故障描述
如图1所示,在这个网络中,HW DSLAM 接入到ZXR10 3906,ZXR10 3906接入ZXR10 T160G进行汇聚,ZXR10 T160G接入ZXUAS 10800E进行业务终结。
图1 DSLAM 频繁掉线问题的网络拓扑图
在本网络中还进行了如下配置:
z在HW DSLAM上为一个用户配置一个VLAN,并透传至ZXR10 3906;
z在ZXR10 3906上为每个VLAN打上双层标签,实现QinQ;并将VLAN透传至T160G 进行汇聚;
z ZXR10 T160G将VLAN透传至ZXUAS 进行VLAN终结,实现用户接入。
但是局方反映,DSLAM设备下挂的用户频繁掉线,网络存在故障。
2 故障分析
我们进行了如下步骤的故障分析:
(1)首先怀疑该DSLAM上行链路存在问题。登录到ZXUAS 10800E上,长时间Ping 该DSLAM的管理地址,最后发现Ping包结果正常,排除了链路问题。
(2)更换了ZXR10 3906及HW DSLAM 相应端口(HW DSLAM更换过主控板),排除设备问题硬件及软件的故障。
(3)在ZXUAS 10800E上使用debug来调试某些用户的Radius报文,发现在用户掉线时只能看到用户掉线后重新拨号的报文,无法看到PADT等下线请求报文。由此我们分析用户正常的上线及下线请求没有正常上送至BRAS设备,BRAS下层网络可能存在问题。
(4)检查ZXR10 3096的日志信息后发现,存在大量MAC地址漂移的告警,如下所示:
An alarm 22789 level 6 occurred at 00:16:38 03/29/2009 UTC sent by MCP %MAC%
An alarm 22789 level 6 occurred at 00:16:38 03/29/2009
数据产品专刊2009年第3期︱ 7
VLAN 专题
UTC sent by MCP %MAC% 0019.C60A.7C80 VLAN 690> From Port fei_2/4 To Port gei_7/1 An alarm 22789 level 6 occurred at 20:49:30 03/29/2009 UTC sent by MCP %MAC% 0019.C60A.7C80 VLAN 742> From Port gei_7/1 To Port fei_2/3 An alarm 22789 level 6 occurred at 20:49:30 03/29/2009 UTC sent by MCP %MAC% 0019.C60A.7C80 VLAN 742> From Port fei_2/3 To Port gei_7/1 (5)考虑到ZXR10 3906的下挂设备HW DSLAM 的下行口不应该学习到中兴MAC 地 址段。我们检查T160G 及ZXUAS 10800E 的 MAC 地址后发现该漂移的地址为BRAS 设备 上的MAC 地址。同时,在存在漂移的HW DSLAM 上查找MAC 地址0019.C60A.7C80, 最终在某个端口上找到了该MAC 地址。 (6)局方咨询HW 之后得知HW 5100设 备上虽然可以为每个端口配置一个VLAN ;但 是在转发过程中端口之间并不相互隔离,VLAN 只是设备上的一个标识。 至此用户掉线的原因找到了,是用户中毒产生了MAC 攻击,而在HW 5100设备上又对各端口未进行隔离最终导致整机用户掉线。 3 解决方法 在HW 5100上进行配置更改,发现用户端口学习到的MAC 为BRAS MAC 地址时对数据包进行丢弃处理;同时对各端口学习MAC 地址数量进行限制。 4 经验总结 在网络规划上虽然给每个用户配置一个VLAN ,但对HW DSLAM 部分型号的设备需要注意了,其配置上虽然实现一个用户一个VLAN ,但实际数据转发过程中未进行隔离,这会出现一个用户影响整机掉线的情况,在处理掉线类问题时需注意该问题。■ 8 ︱《维护经验》总第377期 精诚服务 PVLAN中实现隔离口与非混合端口通信 □中兴通讯企业网营销中心 魏鑫锋 摘要:本文介绍了一种在使用PVLAN时,使隔离端口和非混合端口互通的方法。 关键词:PVLAN;隔离端口;混合端口;非隔离端口;端口镜像 1 需求描述 在如图1所示的网络中,3252_A 的fei_1/1连接3252_B,fei_1/2连接 PC,fei_1/3-4连接2826S,所有端口 在一个VLAN里,3252_A配置了 PVLAN,fei_1/1为混合端口,fei_1/3-4 为隔离端口;目前要实现PC对 3252_A及下连设备2826S的网管。 ZXR10 32系列交换机配置了 PVLAN后只能配置一个混合端口, 目前要实现一个混合端口上联到外 网,另外使用一个普通端口可以对隔 离端口下面所连设备进行网管。图1 隔离端口和非混合端口互通网络示意图 2 解决方法 因为3252_A上配置了PVLAN,导致PC 无法和隔离端口的2826S通信。在PC上ping 包可以到达2826S,但无法返回。在2826S上 用命令show arp可以看到PC机的ARP表项, 但在PC上无法看到2826S的ARP表项,原因 是非隔离端口可以发包到隔离端口,而隔离端 口的包只发往混合端口。ZXR10 32系列交换 机上一个PVLAN组只能配置一个混合端口。 在这种情况下我们可以配置一个端口镜 像,将3252_A上的混合端口fei_1/1的出方向 包镜像到连接PC的非隔离端口fei_1/2上,这 样可以实现PC和2826S的通信。■ 数据产品专刊2009年第3期︱ 9 VLAN专题 ZXR10 2800&2900级联启用PVLAN的问题 □中兴通讯企业网营销中心 徐云 摘要:ZXR10 2800、2900系列交换机的千兆端口都不能设置成隔离端口,本文介绍了一种隔离开交换机互联千兆端口的方法。 关键词:2852;VLAN;端口隔离 1 需求描述 在如图1所示的网络中,两台2852交换机之间用千兆级联。 2852-A的50端口上联汇聚层,1~48端口接用户,49端口连接2852-B的50端口。那么通常的配置就是2852-A以及2852-B的50端口都是上联Promis端口(混合端口),1~48端口都是Isolate端口(隔离端口)。但是这里就要注意,虽然2852-A、2852-B都启用了PVLAN,1~48端口之间不会传递广播,但是2852-A、2852-B之间会传递广播,必须要隔离开2852-A和2852-B。 还有一个问题需要注意,就是ZXR10 2800、2900系列交换机的千兆端口都不能加入到隔离端口中,因此不能采用把2852-A的49 端口加入隔离端口的方法解决。图1 两台千兆级联的2852交换机 2 解决方法 这里给大家提供一种解决上述问题的方法。在2852-A上再启用一个新的VLAN,例如VLAN 100。把2852-A的50、49端口都加入到VLAN 100中去就可以了,采用的命令是set vlan 100 add port 49-50 untag。■ 10︱《维护经验》总第377期 精诚服务 ARP欺骗网关攻击造成业务中断的处理 □中兴通讯企业网营销中心 王涛 摘要:本文描述了在受到ARP欺骗攻击的网络中,应该采用PVLAN以及绑定MAC地址的方式来避免攻击造成的影响。 关键词:ARP欺骗;PVLAN;端口隔离 1 故障描述 如图1所示,T160G下挂3228,网关192.168.7.1/24设在T160G上,3228的管理地址为192.168.7.254/24,3228通过静态路由指到T160G的网关上。下挂在3228上的PC可以正常上网,但是3228和T160G之间的互联地址不能ping通。 2 故障分析 (1)首先用挂在3228下面的PC ping 3228的管理地址,可以ping通;用PC ping T160G 的网关,可以正常ping通; (2)经用户同意将3228上面的用户一根根拔掉测试,发现有两根网线一旦插上就造成T160G和3228不通; (3)在3228上查看告警信息如下: 图1 ARP欺骗网关故障拓扑图 ZXR10#show logging alarm An alarm 19712 level 6 occurred at 11:42:47 03/20/2008 UTC sent by MCP %ARP% The hardware address of IP address 192.168.7.1 is changed from 0011.5bee.6271 to 00d0.d0c7.f101 An alarm 19712 level 6 occurred at 11:42:52 03/20/2008 UTC sent by MCP %ARP% The hardware address of IP address 192.168.7.1 is changed from 00d0.d0c7.f101 to 0011.5bee.6271 An alarm 19712 level 6 occurred at 11:43:01 03/20/2008 UTC sent by MCP %ARP% The hardware address of IP address 192.168.7.1 is changed from 0011.5bee.6271 to 00d0.d0c7.f101 以上的告警信息说明在3228下面的用户中存在大量的ARP欺骗网关攻击。 (4)进入3228,将网关地址192.168.7.1与网关的MAC地址00d0.d0c7.f101进行绑定,再进行测试,发现仍然不能ping通T160G。 (5)怀疑3228上存在大量的ARP包,采用PVLAN方式将3228的所有端口进行隔离,但是仍然不能ping通T160G。 ZXR10(config)# vlan private-map session-id 1 isolate fei_1/1-24 promis gei_2/1 登录T160G,查看告警信息如下: 数据产品专刊2009年第3期︱ 11 VLAN 专题 An alarm 19712 level 6 occurred at 12:57:56 03/20/2008 UTC sent by NPC 2 %ARP% The hardware address of IP address 192.168.10.254 is changed from 0019.c602.027b to 0010.5cb2.81df An alarm 19712 level 6 occurred at 12:57:54 03/20/2008 UTC sent by NPC 2 %ARP% The hardware address of IP address 192.168.10.254 is changed from 0010.5cb2.81df to 0019.c602.027b An alarm 19712 level 6 occurred at 12:57:51 03/20/2008 UTC sent by NPC 2 %ARP% The hardware address of IP address 192.168.7.254 is changed from 0019.c602.1107 to 0014.2a9f.0863 3 解决方法 以上的告警信息说明在T160G 上也存在 3228的ARP 欺骗。 我们在T160G 上对3228的管理地址192.168.7.254和MAC 地址0019.c602.1107进行绑定后再进行测试,发现3228和T160G 之间可以互通,且延迟很小,故障解决。 在接入层尽量使用PVLAN 将所有端口隔离开,让隔离端口只和混合端口(上行端口)通信,这样可以一定程度上减小ARP 包在接入部分的广播风暴;在网关侧尽量绑定网关地址与MAC 地址,防止ARP 欺骗网关攻击。 ■ 12 ︱《维护经验》总第377期 精诚服务 用户上网速度慢故障处理一例 □中兴通讯企业网营销中心 王图健 摘要:本文描述了由于网络中广播域过大造成了广播报文泛滥影响了用户上网,通过在汇聚交换机上设置PVLAN快速有效地解决了这个问题。 关键词:PVLAN;广播域 1 故障描述 如图1所示,用户组网结构为核心交换机T160G下联多台汇聚交换机5928,多台接入层交换机2826上联5928。用户反映上网高峰时上网速度慢。 2 故障分析 造成用户上网速度慢的原因一般有以下几方面: ●带宽不足; ● 用户数据众多,设备处理报文繁忙,CPU 占用率高; ● 配置问题; ● 其它因素。 T160G 5928 2826 2826 …… 图1 上网速度慢案例拓扑图 我们根据上述几点来一一排查。 (1)用户内部网络使用的是千兆光纤互联。登录设备查看端口信息,发现远未达到千兆带宽,故带宽问题可排除。 (2)登录设备,查看核心交换机CPU占用率,在10%左右,处于正常范围内;查看部分汇聚层5928设备CPU占用率,PEAK值(峰值)达到了80%以上,查看端口信息发现端口流量中存在大量的广播报文。 (3)检查组网和配置情况:用户网关设在汇聚层交换机5928上,5928下挂的2826交换机全部在同一个VLAN中,一台5928下联20台左右的2826。这种组网方式行成了一个较大的广播域,造成广播报文泛滥。一旦有病毒主机发送恶意广播报文,就将影响到整个广播域内的其它主机。 3 故障解决 因用户的网络设备数量众多,重新规划VLAN不太现实,且大量的VLAN也不方便用户管理,向用户了解到汇聚层交换机下的不同下联的用户端口之间无相互通信的需求,故决定启用PLAN解决。 数据产品专刊2009年第3期︱ 13 VLAN 专题 在每台汇聚层交换机上增加PVLAN 配置,配置命令如下: ZXR10(config)# vlan private-map session-id [isolate 5928,发现广播报文数量明显减少,下联用户 的上网速度恢复正常,问题解决。■ SuperVLAN 典型应用一例 □中兴通讯企业网营销中心 白平 摘要:本文描述了一个SuperVLAN 的典型应用。 关键词:SuperVLAN ;T64G 1 需求描述 如图1所示,ZXR10 T64G 为汇聚 交换机,下联多台接入层交换机。每台 接入层交换机上都有两个VLAN ,一个 内网VLAN 和一个外网VLAN 。 各个接入交换机的VLAN ID 均不相同,如下表所示。 内网VLAN ID 外网 VLAN ID SW1 2305 2306 SW2 2308 2309 SW3 2337 2338 SW4 2348 2349 要求个接入交换机的内网共用一个 网关,外网共用一个网关。 图1 SuperVLAN 典型应用示意图14 ︱《维护经验》总第377期 精诚服务 2 解决方法 这个要求我们用SuperVLAN来实现,解决思路是:将所有内网的VLAN划入一个SuperVLAN,将所有外网VLAN划入另一个SuperVLAN,在T64G上分别设置这两个SuperVLAN的网关地址,具体配置如下:(1)将内网VLAN划入SuperVLAN 10中;将外网VLAN划入SuperVLAN 20中:vlan 2305 supervlan 20 ! vlan 2306 supervlan 10 ! vlan 2308 supervlan 20 ! vlan 2309 supervlan 10 ! vlan 2337 supervlan 20 ! vlan 2338 supervlan 10 ! vlan 2348 supervlan 20 ! vlan 2349 supervlan 10 ! (2)在T64G上设置SuperVLAN的网关:interface supervlan10 ip address 172.16.10.1 255.255.255.0 description gateway of Internet arp-broadcast enable ip-pool-filter disable ! interface supervlan20 ip address 172.16.20.1 255.255.255.0 description gateway of Intranet arp-broadcast enable ip-pool-filter disable (3)在T64G上与接入交换机相连的端口配置成trunk: interface gei_2/21 description link to 2826s negotiation auto ip access-group 119 in hybrid-attribute copper switchport mode trunk switchport trunk native vlan 1 switchport trunk vlan 2305-2306 switchport trunk vlan 2308-2309 switchport trunk vlan 2337-2338 switchport trunk vlan 2348-2349 switchport qinq normal ■ 数据产品专刊2009年第3期︱ 15 VLAN专题 视频监控系统局域网问题处理 □中兴通讯乌鲁木齐办事处 吕忠伟 摘要:本文描述了在组网中广播域过大影响了业务数据流,通过采用PVLAN分割了原来的广播域,保证了业务的正常进行。 关键词:视频监控;2826S;环路 1 故障描述 如图1所示,2826S-1、2826S-2、2826S-3、2826S-4、2826S-5组成树型网络,2826S-1作为主节点,其余交换机都使用1端口和2826S-1相连。每个2826S交换机下面链接了若干个视频头,它们通过2M链路上传数据流。其中,五台2826S交换机都使用默认配置。 网络运行时,发现有很多视频点无法监控到;有些视频点监控时很卡;有些视频点开始能监控上,过一段时间后又监控不上了。 2 故障分析 从设备配置来看,五台交换机的所有端口都在VLAN 1中,很容易形成环路或者广播风暴,造成设备不稳定,工作效率下降。从故障现场来看,感觉设备上工作不稳定。 为了进一步分析问题,登录到2826交换机上进行分析。 在2826S-1上使用命令show run和show terminal log进行查看,发现所有端口都开启了环路监测功能,端口5有环路告警,端口5是连接2826S-2的。登录到2826S-2设备上,使用命令show run和show terminal log查看,发现设备上是默认配置,但是端口15一直报环路告警。依次查看2826S-3、2826S-4、2826S-5 图1 视频监控网络拓扑图 设备的信息,未发现异常。 从上述分析,问题还是和环路有关,另外所有端口都没有隔离,相互影响也比较大。3 解决方法 为了解决该问题,我们对2826S的配置进行了优化。 首先在所有的2826S上配置PVLAN:把所有连接转换器的端口都配置成了隔离端口,把上行端口和接服务器的端口配置成了混合端口,配置命令如下: ZXR10(config)# vlan private-map session-id 16︱《维护经验》总第377期 精诚服务 另外,将所有交换机的端口环路监测都打开。这样的配置,一是避免了端口间的相互干扰,二是如果某个端口出现环路的话,不会影响到整个网络。 经过这种优化配置后,将视频监控服务器重启后,监控恢复正常。■ ZXR10 T64G对于DHCP双机配置问题一例 □中兴通讯数据用服部 汪保源 摘要:本文描述了在配置了DHCP Snooping的网络中,由于忘记将核心交换机互联端口配置为Trust端口而导致了DHCP Server和用户通信不畅的问题。 关键词:T64G;DHCP Snooping;802.1X;Trust端口 1 故障描述 如图1所示,在2826S设备开启802.1X 认证功能,通过缺省路由上联T64G(DHCP Relay),通过T64G至DHCP双机服务器获取 IP地址,最后上行至GER设备进行NAT转换 后上公网。 开启DHCP双机服务器后,2826S-2下挂 用户可以认证通过并获取地址上网,但 2826S-1下挂用户可以通过认证,但无法获取 IP地址。 图1 DHCP双机组网图 数据产品专刊2009年第3期︱ 17 VLAN专题 2 故障分析 通过以下步骤来分析故障原因: (1)既然故障现象是主机不能获取IP地址,那么首先怀疑2826S-1和DHCP双机服务器通信是否正常,但通过Ping测试发现可以Ping通,证明路由无问题。 (2)查看T64G上的相关配置,如下所示:vlan 1306 supervlan 1 /*将VLAN 1306加入SuperVLAN 1中*/ ip arp inspection ip dhcp snooping ! interface supervlan1 /*配置SuperVLAN 1*/ ip address 10.1.0.1 255.255.240.0 inter-subvlan-routing disable ip-pool-filter disable user-interface ip dhcp relay agent 10.1.0.1 ip dhcp relay server 10.0.3.58 security ! interface gei_3/3 description to-aaadhcp-fuwuqi protocol-protect mode dhcp enable negotiation auto ip dhcp snooping trust switchport access vlan 1000 switchport qinq normal 两台T64G设备上的配置类似。 后考虑到为了防止用户私设置DHCP服务器,全局开启了DHCP Snooping功能,但不是两台DHCP服务器,实际使用时只有一台起作用,另一台作为备份机。现主用的为T64G-2下连DHCP服务器,2826-2下联用户直接上行没有问题,而2826S-1下联用户则需要穿过T64G-1、T64G-2至DHCP服务器获取地址。 (3)查看T64G-1,T64G-2互连端口配置如下: interface gei_2/2 description to-T64G-1_gei_2/2 protocol-protect mode dhcp enable negotiation auto hybrid-attribute copper switchport mode trunk switchport trunk native vlan 1001 switchport trunk vlan 1000-1001 switchport qinq normal ! interface gei_2/2 description to-T64G-2_gei_2/2 protocol-protect mode dhcp enable negotiation auto hybrid-attribute copper switchport mode trunk switchport trunk native vlan 1001 switchport trunk vlan 1000-1001 switchport qinq normal 我们发现端口上没有配置ip dhcp snooping trust命令,这样的话DHCP Server 回复报文至T64G互连端口被认为是非法DHCP包,被T64G-1直接丢弃,导致2826S-1下挂用户不停发出DHCP Discover报文,但一直没有得到DHCP Server的DHCP Offer回应包。 3 解决方法 在T64G-1和T64G-2互联的两端口下添加ip dhcp snooping trust命令。经过测试,2826S-1下用户则可以正常认证获取地址上网,故障解决。 ■ 18︱《维护经验》总第377期