VLAN 引起的網絡廣播風暴

■ 云南 唐國軍

編者按：VLAN 技術的應用在各行各業中非常普便，但有時對VLAN 配置不當也會造成一些問題。例如，筆者就曾遇到一個關于VLAN 引起的網絡廣播風暴案例，希望能對讀者有所啟發。

VLAN 可以隔離沖突域和廣播風暴，但是并不是所有的VLAN 都能為用戶帶來好處。

通常，VLAN 是建立在物理網絡基礎上的一種邏輯子網，所以建立VLAN 需要相應支持技術的網絡設備。它的組建也是有條件和依據的，在合適的條件下才能發揮其真正的作用。

本文筆者將分享一個關于VLAN 引起的網絡廣播風暴案例，希望能對大家有所啟發。

網絡環境

該網絡系統由中國移動、電信雙鏈路接入，兩條電路從縣-地市帶寬50 M，地市-省帶寬100 M，其中移動電路為網狀結構，電信電路為樹形結構。網絡系統分為兩個辦公區，距離大約是2500 m，中間通過一組光纖收發器連接，網絡拓撲如圖1 所示。

圖1 網絡拓撲圖

交換機配置實例

為了實現兩個辦公區及與州市級通信，辦公區各放一個H3C 5130 的交換機，部分配置如下：

1.辦公區1 交換機配置

#

vlan 30 description to Router

#

vlan 50

description to

BanGongQu

#

vlan 70

description to

NeiWang

#

stpglobal

enable

#

interface NULL0

#

interface Vlaninterface30

description to Router

ip address 10.211.

56.4 255.255.255.248

#

interface Vlaninterface50

descriptionto

BanGongQu

................................

#

vlan 30

descriptionto Router

#

vlan 50

descriptionto

BanGongQu

#

vlan 70

descriptionto

NeiWang

#

stp global enable

#

interface NULL0

#

interface Vlaninterface30

descriptionto Router

ip address 10.211.

56.4 255.255.255.248

#

interface Vlaninterface50

descriptionto

Ban Gong Quinterface GigabitEthernet1/0/37

port access vlan 20

#

interface Gigabit Ethernet1/0/38

port access vlan 20

#

interface Gigabit Ethernet1/0/39

port access vlan 20

#

interface Gigabit Ethernet1/0/40

port access vlan 20

2.辦公區2 交換機配置

#

vlan 30

descriptionto Router

#

vlan 50

descriptionto

BanGongQu

#

vlan 70

descriptionto

NeiWang

#

stp global enable

#

interface NULL0

#

interface Vlaninterface30

descriptionto Router

ip address 10.211.

56.4 255.255.255.248#

interface Vlaninterface50

descriptionto

BanGongQu

.................................#

interface Gigabit Ethernet1/0/34

port access vlan 20

#

interface Gigabit Ethernet1/0/35

port access vlan 20

#

interface Gigabit Ethernet1/0/36

port access vlan 20

#

interface Gigabit Ethernet1/0/37

port access vlan 20

#

interface Gigabit Ethernet1/0/38

port access vlan 20

#

interface Gigabit Ethernet1/0/39

port access vlan 20

#

interface Gigabit Ethernet1/0/40

port access vlan 20

網絡調整情況

近期，為實現辦公一體化自動監控需要，辦公區2 的部分業務用機網絡需要和辦公區1 的交換機網絡設置成同一網段。考慮到節省成本和方便，筆者決定將辦公區2的交換機的36 ～40 端口劃分一個VLAN 出來，和辦公區1 的交換機化為一個網段，重新配置交換機1 和2 的接口及VLAN，部分配置如下：

#

interface Gigabit Ethernet1/0/35

port access vlan 20

#

interface Gigabit Ethernet1/0/36

port access vlan 70

#

interface Gigabit Ethernet1/0/37

port access vlan 70

#

interface Gigabit Ethernet1/0/38

port access vlan 70

#

interface Gigabit Ethernet1/0/39

port access vlan 70

#

interface Gigabit Ethernet1/0/40

port access vlan 70

#

interface Gigabit Ethernet1/0/41

port access vlan 20

配置完成后測試，通信正常，業務正常實現。

故障現象

業務剛運行幾個小時，問題出現了，兩個辦公區無法正常通信，SW 指示燈狂閃，同時內網Ping 值不斷變化，總體呈上升趨勢。

原因分析

對交換機重新斷電后重啟網絡可以恢復正常，但治標不治本，使用一陣子后又不正常。顯然，一個交換機理論上可以劃分多個VLAN 不會出現擁塞情況，之所以出現這種現象，筆者認為是網絡拓撲的設計和鏈接問題。

由于兩個交換機距離較遠，兩個交換機同時擁有一個VLAN 的情況下，廣播域距離變得很長，廣播報文能到達的范圍擴大了，廣播所占用的時間就會增多，廣播就會在網內大量復制，傳播數據幀。當數據幀多到一定程度時，就會對網絡的正常信息傳遞產生影響，導致網絡性能下降，輕則造成傳送信息延時，重則造成網絡設備從網絡斷開，甚至網絡癱瘓。

經驗總結

在故障發生時，應首先了解故障前網絡的改動，建立完善的網絡文檔資料，包括網絡布線、拓撲圖、IP 及MAC對應表等，這樣可以比較準確地定位故障點，也可以節省大量的時間。

建設一個網絡系統前，我們應該充分評估將來應用的需求，更加科學的設計網絡拓撲結構。比較理想的網絡設備應當可以通過網絡進行升級，以提供更先進及更多的功能。

在網絡建成后，隨著應用和用戶的增加，核心骨干網絡設備的交換能力和容量必須能做出線性的增長。設備應能提供高端口密度、模塊化的設計以及多種類型接口、技術的選擇，以方便未來更靈活的擴展。