配置超限導致網絡故障

當前在網絡環境中，很多節點都使用三層交換機取代了原有的路由器。使用三層交換機的優點不僅可以降低成本、提高交換速率，更重要的是可以大大增加外連網絡的數量，在組網過程中方便快捷。

但在交換機配置使用時，因不了解交換機的性能導致出現很多超出交換機性能的配置，從而出現各種故障。筆者就曾在使用三層交換機的過程中遇到過因配置條目過多，超過了交換機的參數上限，導致網絡無法連通。

網絡環境介紹

根據業務需要，本級（上級）網絡需要連通很多下級單位網絡，本級也有很多直屬單位需要連接。因單位過多，本級選用華為S9712交換機連接下級單位和本級所屬部門的網絡。原計劃在S9712交換機中統一劃分VLAN，下級各單位依托本級的交換機進行VLAN之間的數據連通，但是后經調研分析，發現這樣部署存在很多技術和管理上的問題。

圖1 網絡環境及相關配置參數

一是不方便下級自主管理，因為各下級單位也都要劃分自己的VLAN，需要對各自單位的網絡進行管理，同時也需要對所屬計算機的IP和MAC地址進行綁定。

二是本級交換機負荷過大，因為所有單位的數據都要經過S9712交換機，負荷過大，運行速率勢必會受到較大影響。

三是當本級核心交換機出現問題或本級至下級的鏈路出現故障后，下級各單位不同VLAN間將無法互通，會影響所有單位的網絡。四是如果在S9712交換機上配置過多，極易影響S9712交換機性能。為方便下級各

單位自主管理和隔離本級部分重要用戶，特采用了本級和下級之間通過配置OSPF協議進行連通，本級通過劃分不同VLAN對下級進行連通，下級也通過劃分VLAN專向同本級進行連通。為確保本級重要用戶安全，本級在配置OSPF協議時，只要不宣告重要用戶相對應VLAN的網絡即可實現對重要用戶的邏輯隔離，確保本級網絡可以連通，下級單位無法同本級重要用戶進行連通。因網絡規模過大，特使用華為ENSP軟件最簡化地模擬這種網絡環境，部分配置參數如圖1。

其中LSW1交換機的端口、VLAN劃分及相關配置如圖2，其中LSW1交換機模擬本級華為S9712交換機。LSW1交換機中的OSPF配置如圖3。LSW2交換機端口及VLAN劃分如圖4。LSW2交換機中OSPF配置如圖5。

兩臺交換機配置完成后，進行了測試，其中“本級一般用戶”計算機可以同“下級用戶”計算機和“本級重要用戶”計算機連通，而“本級重要用戶”計算機和“下級用戶”計算機之間無法連通，實現目標要求。

故障現象

在本級交換機的OSPF進程中對所有連接下級的網絡和本級所屬單位的VLAN端口地址進行了宣告。宣告完成后測試連通情況，有下級單位報告說網絡無法連通，經了解發現，有部分單位可以連通，有部分單位無法連通。通過檢查配置，發現本級和下級的配置均正確，配置也沒有遺漏。后使用“display ospf interface vlanif xxx”命令，對出現故障的端口進行查看，發現所有出現網絡故障的鏈路協議都是DOWN的，如圖6。

圖2 LSW1交換機端口參數及VLAN劃分

圖3 LSW1交換機ospf配置

圖4 LSW2交換機端口參數及VLAN劃分

圖5 LSW2交換機ospf配置

圖6 鏈路協議為DOWN

故障分析

1.檢查相對應的物理 端 口。 使 用“display interface brief”命令檢查各物理端口，發現相對應的物理端口和VLAN邏輯端口都是UP的，狀態正常。

2.使用“display ospf 1 peer brief”命令查看鄰居狀態，發現出現連通故障的VLAN所對應的端口無法同下級的網絡端口建立鄰居關系，但是使用ping命令卻可以相互ping通，也就是說物理鏈路正常但是卻無法建立鄰居關系，看來問題出在OSPF協議方面。

3.使用抓包工具對出現故障的端口進行抓包，發現本級交換機竟然沒有發送hello報文，卻可以接收到下級交換機發來的hello報文。在連通正常的端口進行抓包，發現本級交換機有正常發送hello報文，沒有發送hello報文，鄰居關系當然無法建立，網絡也就不會通。

4.通過仔細檢查發現，所有出現故障的都是在ospf進程中宣告第65個以后的端口，由此，筆者感覺可能是宣告的端口數量過多，超過了設備的規格要求所致。

5.使 用“undo vlan xxx”命令，刪除一個能正常連通的網絡后，發現出現網絡故障的一個對下單位的網絡能正常連通了，而這個恢復正常的網絡正是在OSPF協議中宣告的最先出現故障的那個端口，也就是第65端口。

故障原因

查閱了相關資料和詢問華為的技術服務人員后，知道出現故障的原因是在OSPF進程中宣告的端口數量超出了上限，這個宣告的上限數量為64，當超過64再宣告，即使能宣告，這些也端口無法與鄰居建立連接，這也是造成網絡無法連通的原因。

故障排除

既然找到了故障原因，排除就很容易了，筆者在本級交換機中增加了一個新的區域，即area 1，在此區域內使用OSPF協議，對超出64的其他所有端口網絡重新進行宣告，最后進行測試，所有的對下網絡全部連通。

經驗總結

在進行網絡設備配置時，有條件最好能將網絡設備的硬件和軟件支持上限弄清楚，避免出現不必要的故障。比較常見的軟硬件上限有：一是在很多中低端交換機中的VLAN創建上限為4K；二是很多中低端交換機的MAC地址學習上限為8K，部分中高端為16K和32K；三是很多中低端交換機綁定IP和MAC地址上限為200；四是OSPF協議端口宣告上限為64個。當需要宣告的端口多于64個時，可采用新增area區域，將超過的端口在新的區域中進行宣告，也可在原有area區域中新建一個或多個OSPF進程，然后在這些OSPF進程間相互引入路由即可。