時(shí)間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評(píng)論(0)
在一個(gè)交換式網(wǎng)絡(luò)中,往往排除交換機(jī)故障比排除路由器故障要困難的多,雖然說,路由器工作原理要比交換機(jī)復(fù)雜的多。筆者今天就像大家介紹一些自己維護(hù)交換機(jī)的經(jīng)驗(yàn),教大家兩招簡(jiǎn)單易行的交換機(jī)故障排除大法,希望能夠?qū)Υ蠹矣兴鶐椭?/p>
一、利用交換機(jī)空閑端口來分析網(wǎng)絡(luò)流量
當(dāng)出現(xiàn)網(wǎng)絡(luò)堵塞或者其他問題時(shí),我們首先需要對(duì)一些數(shù)據(jù)流量進(jìn)行分析。只有在分析的基礎(chǔ)上,我們才能夠?qū)ΠY下藥,迅速解決問題。為此,筆者平時(shí)在遇到交換機(jī)故障時(shí),就喜歡在交換才的空閑端口接入一個(gè)檢測(cè)工具,如協(xié)議分析儀器。把協(xié)議分析儀器直接連接到交換機(jī)的空閑端口,如此的話,在不用中斷當(dāng)前服務(wù)的情況下,就可以查看交換機(jī)所在的廣播域。網(wǎng)絡(luò)管理員可以借此來判斷是否是因?yàn)閺V播域過多引起了網(wǎng)絡(luò)故障。
不過,在實(shí)際工作中,這里還有一個(gè)小技巧要注意。我們都知道,交換機(jī)是屬于網(wǎng)絡(luò)設(shè)備的二層設(shè)備,其會(huì)轉(zhuǎn)發(fā)廣播域,但是,不會(huì)轉(zhuǎn)發(fā)其他流量。也就是說,交換機(jī)是屬于一個(gè)大的廣播域,而不是沖突域。所以,交換機(jī)幾乎不轉(zhuǎn)發(fā)任何有價(jià)值的流量到那個(gè)被監(jiān)測(cè)的端口。交換機(jī)會(huì)直接把數(shù)據(jù)流量轉(zhuǎn)發(fā)到其對(duì)應(yīng)的目的端口。往往在這些空閑端口中,協(xié)議分析儀器只能夠監(jiān)測(cè)到廣播包,而幾乎監(jiān)測(cè)不到其他的信息流量。
因?yàn)檗D(zhuǎn)發(fā)到空閑端口(監(jiān)測(cè)端口)的流量幾乎全部都是廣播,包含一些零星的目的地址不明的幀。這些零星的幀是由于路由轉(zhuǎn)發(fā)表老化的結(jié)果?梢,如果不做過特殊的處理,在空閑端口上即使連接上監(jiān)測(cè)設(shè)備,也只能夠發(fā)現(xiàn)無窮的廣播包,而不能夠監(jiān)測(cè)到其他有價(jià)值的信息流量。
而最昂貴的監(jiān)測(cè)設(shè)備也必須在有流量的情況下,才能夠幫助我們管理員找到問題的癥結(jié)所在。在沒有有價(jià)值的流量情況下,這些監(jiān)測(cè)設(shè)備也無能為力。為此,我們網(wǎng)絡(luò)管理員就需要想方設(shè)法,然這個(gè)空閑的端口,也能夠收到其他端口經(jīng)過的流量。
此時(shí),端口鏡像技術(shù)就可以幫我們有效的解決這個(gè)問題。端口鏡像是指把某些端口的流量備份到一個(gè)空閑的端口,讓空閑端口擁有企圖端口相同的信息流量。思科的交換機(jī)基本上都有擁有這種技術(shù)。思科的交換機(jī)可以把監(jiān)測(cè)工具接入到一個(gè)專門處理過的空閑端口。在思科比較早的版本中,可能對(duì)這個(gè)端口還有限制。不過在現(xiàn)在市場(chǎng)上流通的交換機(jī),可以通過對(duì)任何一個(gè)空閑的交換機(jī)端口進(jìn)行配置,實(shí)現(xiàn)端口鏡像技術(shù)。
不過,另外還需要注意一個(gè)問題。就是交換機(jī)在轉(zhuǎn)發(fā)流量的時(shí)候,為了提高轉(zhuǎn)發(fā)的效率,往往把一些錯(cuò)誤的包與信息直接過濾掉了。在平時(shí),這明顯可以提高交換機(jī)數(shù)據(jù)轉(zhuǎn)發(fā)的效率。但是,我們網(wǎng)絡(luò)管理員在故障排查的時(shí)候,可不希望看到這種情況。因?yàn)檫@些錯(cuò)誤信息可能可以反映出問題的癥結(jié)所在。若以在網(wǎng)絡(luò)故障排查的時(shí)候,要注意對(duì)交換機(jī)的這個(gè)配置進(jìn)行更改。不過,故障排除完畢之后,要及時(shí)的把這個(gè)參數(shù)更改回去。
還有在對(duì)鏡像端口進(jìn)行監(jiān)測(cè)的時(shí)候,還需要注意一個(gè)丟包的問題。監(jiān)測(cè)端口的輸出能力往往是影響最終排錯(cuò)效果的一個(gè)很重要的因素。鏡像端口跟普通的交換機(jī)端口一樣,可以收,也可以發(fā)。不過為了簡(jiǎn)化監(jiān)測(cè)數(shù)據(jù)的結(jié)果,我們?cè)谂渲苗R像端口的時(shí)候,往往會(huì)關(guān)掉監(jiān)測(cè)端口的發(fā)送數(shù)據(jù)包功能。而讓監(jiān)測(cè)器只分析接收的信息流量。雖然如此配置,但是鏡像端口的接收能力仍然會(huì)有比較大的限制。如果被監(jiān)測(cè)的全雙工端口的速率和鏡像端口是一樣的花,則交換機(jī)在轉(zhuǎn)發(fā)流量的時(shí)候,鏡像端口很容易丟包。被監(jiān)測(cè)端口過好的信息流量有可能會(huì)超過鏡像端口的接收能力。所以,雖然說在理論上可以拿任何一個(gè)空閑端口作為鏡像端口。不過為了減少丟包情況的發(fā)生,網(wǎng)絡(luò)管理員在配制鏡像端口的時(shí)候,還是需要有一定的選擇。如至少要保證鏡像端口的性能要比被監(jiān)測(cè)端口高。如此才能夠保證監(jiān)測(cè)器得出一個(gè)正確的結(jié)果。
所以,為了減少監(jiān)測(cè)端口丟包現(xiàn)象的發(fā)生,筆者有兩個(gè)建議。一是不要把多個(gè)被監(jiān)測(cè)端口的信息流量鏡像到一個(gè)端口中,這會(huì)更加惡化丟包現(xiàn)象。二是在選擇鏡像端口時(shí),最好選擇一個(gè)高速的空閑端口作為監(jiān)測(cè)端口。
二、利用一層設(shè)備來幫助監(jiān)測(cè)器進(jìn)行工作
既然交換機(jī)是屬于二層設(shè)備,不能夠轉(zhuǎn)發(fā)所有的信息流量。那么我們就思考,能否利用一個(gè)一層設(shè)備,如集線器,來幫助監(jiān)測(cè)器來收集所需要的信息呢?
其實(shí),現(xiàn)在不少企業(yè)的網(wǎng)絡(luò)就是一個(gè)大的廣播域。如我們?cè)谥虚g的一個(gè)關(guān)鍵環(huán)節(jié)中,加入一個(gè)集線器。然后把網(wǎng)絡(luò)監(jiān)測(cè)器連接到這個(gè)集線器的空閑端口中。如此的話,就不需要配置鏡像端口,就可以讓網(wǎng)絡(luò)監(jiān)測(cè)器收集到其所需要的網(wǎng)絡(luò)流量。
利用這種方法的難度,主要在于網(wǎng)絡(luò)管理員要選擇一個(gè)合適的位置來放置這個(gè)集線器。若選擇的不當(dāng)?shù)脑,網(wǎng)絡(luò)監(jiān)視器仍然不能夠收集到其所需要的內(nèi)容,F(xiàn)在大部分的企業(yè),所采取的網(wǎng)絡(luò)應(yīng)用都是基于服務(wù)器/客戶端或者服務(wù)器/瀏覽器模式。這跟以前的網(wǎng)絡(luò)部署模式不同。以前企業(yè)在部署網(wǎng)絡(luò)的時(shí)候,可能每臺(tái)主機(jī)都會(huì)設(shè)置共享文件夾,供其他員工訪問。但是現(xiàn)在不同。為了提高企業(yè)文件的安全性與共享程度,網(wǎng)絡(luò)管理員往往會(huì)部署一臺(tái)專門的文件服務(wù)器來管理這些共享文件。通過統(tǒng)一的備份與文件訪問授權(quán)方案來提高文件的安全性。
此時(shí),企業(yè)服務(wù)器與客戶段之間的流量往往是最集中的。若網(wǎng)絡(luò)管理員把集線器部署在服務(wù)器一端,并把網(wǎng)絡(luò)監(jiān)測(cè)器放在這個(gè)集線器的空閑端口上,無疑可以監(jiān)聽到大部分的網(wǎng)絡(luò)流量。從而讓網(wǎng)絡(luò)監(jiān)視器能夠得出一個(gè)相對(duì)合理的診斷結(jié)果。在服務(wù)器一端部署集線器等一層網(wǎng)絡(luò)設(shè)備,可以幫助網(wǎng)絡(luò)管理員收集到用戶登錄失敗、訪問沖突、數(shù)據(jù)包丟失、認(rèn)證失敗等數(shù)據(jù)流量,從而為我們解決問題提供數(shù)據(jù)上的支持。特別是通過這種方式,我們可以判斷出是否是在交換機(jī)端出現(xiàn)了故障,還是在其他層面出現(xiàn)了問題。俗話說,不識(shí)廬山真面目,只緣生在此山中。有時(shí)候,脫離交換機(jī)去查找網(wǎng)絡(luò)故障,反而可以幫助我們網(wǎng)絡(luò)管理員迅速定位交換機(jī)故障。
另外,到目前為止,這也可以說是筆者了解的唯一一種可以在交換網(wǎng)絡(luò)環(huán)境中實(shí)際查看和分析物理地址層錯(cuò)誤的方法。通過這種方法,可以發(fā)現(xiàn)交換機(jī)等網(wǎng)絡(luò)設(shè)備是否存在著地址解析方面的錯(cuò)誤。特別是對(duì)于發(fā)現(xiàn)ARP攻擊具有非常好的效果。
不過采用集線器來判斷思科交換機(jī)的故障,仍然有一些缺陷。
一是需要頻繁的插拔集線器,可能給日常的網(wǎng)絡(luò)訪問帶來麻煩。因?yàn)樵诜⻊?wù)器與客戶段之間,網(wǎng)絡(luò)管理員不可能時(shí)間放置一臺(tái)工作效率低下的集線器設(shè)備。這會(huì)大大的降低服務(wù)器的性能。只有在網(wǎng)絡(luò)出現(xiàn)故障需要維護(hù)的時(shí)候,網(wǎng)絡(luò)管理員才會(huì)在服務(wù)器與客戶段之間臨時(shí)部署一個(gè)集線器。此時(shí),就需要暫時(shí)中斷網(wǎng)絡(luò)訪問,進(jìn)行連接。
二是如果集線器端口的工作狀態(tài)與其他相鄰設(shè)備的工作狀態(tài)不同,如服務(wù)器鏈路不是全雙工的,或者與集線器端口的雙工狀態(tài)不匹配,此時(shí),反而會(huì)帶來許多額外的錯(cuò)誤結(jié)果。這些錯(cuò)誤結(jié)果會(huì)弄混網(wǎng)絡(luò)管理員解決問題的思路。故筆者建議,若要借助集線器來判斷交換機(jī)的故障,則最好在這之前,先確認(rèn)集線器端口的工作狀態(tài)跟現(xiàn)有的網(wǎng)絡(luò)是否匹配。防止因?yàn)椴黄ヅ涞默F(xiàn)象發(fā)生,而造成一些不必要的麻煩。
三是這個(gè)方法網(wǎng)絡(luò)管理員只能夠被動(dòng)的采用。因?yàn)樵诳拷⻊?wù)器一端放置集線器是一個(gè)很愚蠢的行為。所以,網(wǎng)絡(luò)管理員往往只會(huì)在出現(xiàn)問題的時(shí)候,才去部署一個(gè)集線器來進(jìn)行網(wǎng)絡(luò)排錯(cuò)。所以,這個(gè)網(wǎng)絡(luò)監(jiān)視不能夠成為一個(gè)日常行為。故這種處理方法,對(duì)于網(wǎng)絡(luò)管理員來說比較被動(dòng)。
以上是筆者在交換機(jī)組成的企業(yè)網(wǎng)絡(luò)中經(jīng)常會(huì)采用的兩個(gè)排錯(cuò)方法。這兩個(gè)方法可以幫助網(wǎng)絡(luò)管理員排除大部分由于交換機(jī)故障所帶來的網(wǎng)絡(luò)問題。不過,在實(shí)際工作中,仍然有部分交換機(jī)故障無法通過這種方式來解決。而需要依靠網(wǎng)絡(luò)管理員的工作經(jīng)驗(yàn)來發(fā)現(xiàn)。畢竟,憑現(xiàn)有的技術(shù)與工具,想要憑借一些簡(jiǎn)單的方法透視整個(gè)企業(yè)交換網(wǎng)絡(luò),幾乎是一件不可能的任務(wù)。
關(guān)鍵詞標(biāo)簽:交換機(jī)故障排除
相關(guān)閱讀
熱門文章 提示dns服務(wù)錯(cuò)誤怎么辦 dns錯(cuò)誤問題多種解決IS-IS同時(shí)下發(fā)缺省路由出現(xiàn)路由環(huán)路問題的解IBGP鄰居無法建立連接問題的解決方法對(duì)稱結(jié)構(gòu)承載網(wǎng)流量出現(xiàn)異常問題的故障解決
人氣排行 光纖上網(wǎng) 路由器設(shè)置頁面進(jìn)不去怎么辦登錄SSH服務(wù)器失敗問題的分析及解決無線網(wǎng)卡連接不上怎么辦_無線網(wǎng)卡連接不上解決方法提示dns服務(wù)錯(cuò)誤怎么辦 dns錯(cuò)誤問題多種解決方法本機(jī)IP設(shè)置不當(dāng)造成路由異常故障分析路由設(shè)置不當(dāng) 導(dǎo)致VPN無法訪問外網(wǎng)無線路由器無不能上網(wǎng)的秘密ADSL頻繁掉線如何解決?