对以太网交换机常见问题详解.pdfVIP

对以太网交换机常见问题详解 以太网交换机之间存在不恰当的端口相连会造成网络环路，如果相关的交换机没有打开 STP功能，这种环路会引发数据包的无休止重复转发。 我们把该接入以太网交换机上的网线都拔掉，以太网交换机的100BASE-FX端口转 发线速可达144000pps。在这种网络环路状态下，用户可以轻轻松松的工作和生活了。 一天，我们在校园网的网络运行性能监控平台上发现某栋搂的 VLAN有问题——其接 入交换机与校园网的连接中断。检查放置在网络中心的汇聚交换机，测得与之相连的 100BASE－FX端口有大量的入流量。 出流量却非常少，显得很不正常。然而这台汇聚以太网交换机的性能似乎还行，感觉 不到有什么问题。于是，我们在这台汇聚交换机上镜像这个异常端口，用协议分析工具 Sniffer来抓包，最多时每秒钟居然能抓到10万多个。对这些数据包进行简单分析，我们发 现其中一些共同特征。 当时，我们急于尽快抢修网络，没去深究这些数据包的特征，只看到第1点就以为网络 受到不明来历的SynFlood攻击，估计是由一种新网络病毒引起，马上把这台汇聚交换机 上该端口禁用掉，以免造成网络性能的下降。 故障排除 为了能在现场测试网络的连通性，在网络中心，我们把连接那栋大楼接入以太网交换 机的多模尾纤经光电转换器用双绞线连到一台 PC上，并将其模拟成那个问题 VLAN的网 关。然后，到现场找来大楼网管员，想让他协助我们尽快把感染了未知病毒的主机查到并隔 离。 据大楼网管员反映，昨天网络还算正常，不过，当时本大楼某部门正在做网络调整，今 天上班就发现网络不行了，不知跟他们有没有关系。我们认为调整网络应该跟感染病毒关系 不大。 在大楼主配线间，我们把该接入以太网交换机上的网线都拔掉，接上手提电脑，能连 通网络中心的测试主机。我们确认链路没问题后，每次将剩余网线数量的一半插回该交换 机，经测试没问题则如是继续下去，否则换插另一半，逐渐缩小怀疑有问题网线的数量。 我们最终找到一条会引起问题的网线，只要插上这根网线，该大楼网络就会与模拟网关 中断连接。经大楼网管员辨认，这条网线是连接昨天在做网络调整的那个部门的。他还说以 前该部们拉了一主一备两条网线。 应该还有一条，并亲自在那台交换机上把另一条找了出来。随意插上这两条网线中的 一条，网络没问题，但只要同时插上，就有问题，哪有在一台交换机上同时插上两条网线 才会激活网络病毒的SYN Flood攻击的？ 这时我们倒是觉得这种现象更像是网络中有环路。我们到了那个部门发现有三台非管理 型交换机，都是串在一起的，然而其中两台又分别通过那两条网线与接入交换机相连，从 而导致了网络环路。 显然是施工人员对网络拓扑不清楚，当时大楼网管员有事外出，就自以为是地把线接错 了，从而造成了这起网络事故。原因找到就好办了，只需拔掉其中一条上联网线即可恢复网 络连通。 经过一番周折，网络恢复了正常，但我们还一直在想，是什么干扰了我们的判断 呢？ 故障分析 一起典型的网络环路故障，用协议分析工具Sniffer抓了这么多的数据包，经过一番分 析却没看出问题来。显然，第一眼看到大量的SYN包让我们产生了错觉，想当然地就以为 是SYN Flood攻击。 事后，我们就这起网络环路故障排除过程做了检讨，重新仔细地分析抓回来的这些数据 包，据此解释一下前面提到这些数据包所具有的5个共同特征，以便今后遇到同类问题时能 及时作出正确的反应。 先看前4个特征：汇聚以太网交换机是网络层设备，该大楼所属VLAN的网络层接口 就设置在这台汇聚交换机上，出于实施网络管理策略的需要，对已注册或没注册的 IP地 址都进行了MAC地址的绑定。 TCP连接要经过3次握手才能建立起来，在这里发起连接的SYN包长度为28个字节， 加上14个字节的以太帧头部和 20个字节的IP报头，由Sniffer捕获到的帧长度共为62个字 节（不包含 字节的差错检测 域）。 4 FCS 恰巧当时访问该VLAN的单播帧是来自外网的 TCP请求包，根据以太网桥的转发机制， 通过CRC正确性检测后，因已做静态ARP配置，这台汇聚交换机会将该单播帧的源MAC 地址转换成本机的MAC地址，其目的MAC地址依据绑定参数来更换，并重新计算 CRC 值，更新FCS域，经过这样重新封装后，再转发到那栋楼的接入交换机。 再看最后 个特征：网