交換機中網絡環(huán)路常見問題詳解

1、交換機中網絡環(huán)路常見問題詳解交換機中網絡環(huán)路常見問題詳解以太網中的交換機之間存在不恰當的端口相連會造成網絡環(huán)路，如果相關的交換機沒有打開STP功能，這種環(huán)路會引發(fā)數據包的無休止重復轉發(fā)，形成廣播風暴，從而造成網絡故障。一天，我們在校園網的網絡運行性能監(jiān)控平臺上發(fā)現(xiàn)某棟摟的VLAN有問題——其接入交換機與校園網的連接中斷。檢查放置在網絡中心的匯聚交換機，測得與之相連的100BASE－FX端口有大量的入流量，而出流量卻非常少，顯得很不正常。

2、然而這臺匯聚交換機的性能似乎還行，感覺不到有什么問題。于是，我們在這臺匯聚交換機上鏡像這個異常端口，用協(xié)議分析工具Sniffer來抓包，最多時每秒鐘居然能抓到10萬多個。對這些數據包進行簡單分析，我們發(fā)現(xiàn)其中一些共同特征。當時，我們急于盡快搶修網絡，沒去深究這些數據包的特征，只看到第1點就以為網絡受到不明來歷的SynFlood攻擊，估計是由一種新網絡病毒引起，馬上把這臺匯聚交換機上該端口禁用掉，以免造成網絡性能的下降。故障排除為了能在現(xiàn)

3、場測試網絡的連通性，在網絡中心，我們把連接那棟大樓接入交換機的多模尾纖經光電轉換器用雙絞線連到一臺PC上，并將其模擬成那個問題VLAN的網關。然后，到現(xiàn)場找來大樓網管員，想讓他協(xié)助我們盡快把感染了未知病毒的主機查到并隔離。據大樓網管員反映，昨天網絡還算正常，不過，當時本大樓某部門正在做網絡調整，今天上班就發(fā)現(xiàn)網絡不行了，不知跟他們有沒有關系。我們認為調整網絡應該跟感染病毒關系不大。在大樓主配線間，我們把該接入交換機上的網線都拔掉，接上手

4、提電腦，能連通網絡中心的測試主機。我們確認鏈路沒問題后，每次將剩余網線數量的一半插回該交換機，經測試沒問題則如是繼續(xù)下去，否則換插另一半，逐漸縮小懷疑有問題網線的數量。我們最終找到一條會引起問題的網線，只要插上這根網線，該大樓網絡就會與模擬網關中斷連接。經大樓網管員辨認，這條網線是連接昨天在做網絡調整的那個部門的。他還說以前該部們拉了一主一備兩條網線，應該還有一條，并親自在那臺交換機上把另一條找了出來。隨意插上這兩條網線中的一條，網絡沒

5、問題，但只要同時插上，就有問題，哪有在一臺交換機上同時插上兩條網線才會激活網絡病毒的SYNFlood攻擊的？這時我們倒是覺得這種現(xiàn)象更像是網絡中有環(huán)路。我們到了那個部門發(fā)現(xiàn)有三臺非管理型交換機，都是串在一起的，然而其中兩臺又分別通過那兩條網線與接入交換機相連，從而導致了網絡環(huán)路。顯然是施工人員不涉及上聯(lián)端口了）接收到相同的幀，由于接收端口在改變，橋接表也在改變“源MAC－端口號”的列表內容。前面已經假定網橋的橋接表中沒有該幀的目的MAC

6、地址，網橋A在分別收到這兩個單播幀后，都只能再次向除了接收端口以外的其他端口廣播該幀，故該幀也會向上聯(lián)端口轉發(fā)。就每個單播幀而言，網橋A重復前面提到的過程，理論上，廣播一次會收到21個幀，廣播兩次就會收到22個幀，…，廣播到第n次就會收到2n個幀?？傊W橋A照這樣轉發(fā)下去，很快就會形成廣播風暴，這個單播幀的副本最終會消耗完100BASEX端口帶寬。盡管在這期間上聯(lián)端口會有許多數據幀在相互碰撞而變的不完整，令Sniffer捕獲不到，但可

7、以想象得到這個單播幀的重復出現(xiàn)次數仍然會非常多。我們再次檢查那些抓回來的數據包，幾乎都發(fā)現(xiàn)有當時沒有注意到的重復標志。按64字節(jié)包長來計算，以太網交換機的100BASEFX端口轉發(fā)線速可達144000pps。在這種網絡環(huán)路狀態(tài)下，Sniffer完全有可能每秒抓到10萬多個包長為66字節(jié)的數據包。基于上述理由，由于當時那4臺交換機的橋接表中都沒有該包的目的MAC地址，處于上游網絡的這臺匯聚交換機向該大樓發(fā)送了一個TCP請求包后，就會不斷地

8、收到由該大樓接入交換機轉發(fā)回來的該TCP包的副本，而且數量非常地多（形成大流量），然而，它并不會把接收到的這些包重發(fā)回去；Inter的網絡應用是基于請求應答模式的，只有發(fā)送接收兩條信道都暢通，才能進行端到端的通信。一旦本次網絡應用中有一條信道被堵塞了，就會使得該應用因無法進行而結束。網絡應用結束后，一般來說，發(fā)起請求一方不會就本次應用再次自動發(fā)出請求包。于是，在網絡環(huán)路狀態(tài)中普遍會有一條信道有大流量，另一條信道幾乎沒有流量的現(xiàn)象。因為V

9、LAN有隔離廣播域的功能，這些大流量不會穿越網絡層，所以不會對匯聚交換機造成很大壓力。事實上，由于這種網絡環(huán)路是數據鏈路層上的故障，只涉及到源MAC地址和目的MAC地址，不管高層封裝的是什么類型的包都有可能引起廣播風暴。也就是說，當時用Sniffer抓到各種各樣的數據包都是有可能的。故障預防校園網的接入層是面向用戶的網絡界面，有許多不可控的成分，情況很復雜，應由專人管理，也應在設備上給予可靠性保證。本摟接入交換機是可管理型的，有STP功