昨天去杭州某项目去BOOTCAMP了，晚上10点多才弄完。

wantccie

这是我们公司的一个弱电项目，网络设备是安奈特的，用的是安奈特的AW操作系统。昨天跟安奈特的网络工程师一起BOOTCAMP。

拓扑大概是这样：网通百兆光纤——路由器——流量控制墙——核心交换机——汇聚的楼层交换机——采用级联双绞线的方式连接机柜内的其他交换机。

核心交换机上划分vlan，配置svi地址，每个楼层都用相同的vlan，网关指向核心交换机，通过流量控制墙控制4-7层的流量，交换机与交换机之间起默认的STP协议。

里面有一些技术要点及项目经验，跟大家分享。

问题：最近出现频繁断网，核心到各办公楼和宿舍楼的交换机都不通，所有电脑都上不了网。
可能导致的原因：arp欺骗，交换环路，vlan间的路由控制，网关不可达，光纤链路故障，下面有接不合法的小交换和小路由。

内网排查思路（我的思路是这样的）：
1、到核心交换机上查看arp表，看是否有异常，然后对应mac地址找出arp攻击的电脑，拔掉网线。
2、从核心交换机ping各个网段的楼层交换机，看是否通信都正常。如果不正常，则要去该楼层的机柜直接ping交换机，是否能ping通。ping通了再ping网关，再ping其它网段的交换机ip。
3、核心交换机及每一台交换机上查看STP状态，查看根桥是否一致。。。主要根据优先级和相关的字段能看到。
4、优化STP为RSTP，使得STP由block到forwarding状态的切换速度由802.1s的50s变成802.1w的5秒。加快生成树收敛。
5、为了最大程度的阻止arp攻击，要求所有电脑要安装杀毒软件和arp防火墙。
外网排查思路
1、核心交换机查看是否有去往外网的路由（一般是默认路由，指向下一跳），如果有，ping下一跳地址看是否正常。
2、路由器上去ping外网的DNS地址看看是不是能够通？如果能够收到icmp回包，再回到核心交换上ping外网，是否正常，如果都能够收到icmp的回包，那么网络应该正常了。再在核心交换机上试着将一个端口分配到不同的vlan，连上笔记本使用不同网段的ip地址ping外网，看是否正常。如果正常，那网络应该就是没问题了。再有问题，那就是内网的问题了。
3、流量控制墙是控制七层协议的流量的，如果某网段或某ip地址没有被禁止的动作，那么去往外网的访问应该都是正常的。

说完了思路来说说昨天到底遇到了什么样的问题并解决的：
1、升级STP为RSTP，使得生成树可以更快速收敛。发现一台交换机的根桥的mac地址为全0，清除配置重新配置后根桥找到了，问题解决，到核心交换机能够正常通信了。
2、流量控制墙的问题。昨天晚上7点多仍然在等待故障重现，很快我们发现流量控制墙的快速以太网口灯在不停的闪，这时候ping外网已经不通了。绕过流控墙直接接到路由器上出外网，网络很快正常了，联系了流控墙的厂家他说关电30秒到1分钟后重启，按这个方法做后，把线接回流控墙，网络又正常了，大约到9点多的时候流控墙又出现了同样的问题，再次联系厂家我说我怀疑是你们硬件的问题，他说你寄回来吧~~~硬件的问题，软件是无法解决的。

PS：直到昨天离开现场的时候，网络还是正常的。

该案例供大家参考，有需要建议的或者不足之处，欢迎指正。与大家一起学习~~~呵呵！

Power

排错的思路很不错。

bookpig

一直很佩服wantccie

做的事情都是站在帮助到他人的角度出发在思考问题。

相当感动。

yangsong315

宏哥现在越来越有范了！

zhangaxyoyo

红牛大哥~·超级棒~~

wantccie

yangsong315 发表于 2011-7-8 10:59
宏哥现在越来越有范了！

哈哈，跟着松哥混，会越来越有范的~

亮晶晶

Jeff.

有一次BOOTCAMP的机会~
加油~
CCIE Candidate~

xujulei

jiazeyao

真是膜拜呢。