我校的校园网络在2003进行了布线,办公室的布线成了一个难题,由于工作的变动,各办公室的教师每学期都会发生变化,多则六七人,少则一两人,每间办公 室究竟要布多少网线?如按最多人设计,则造成了极大的浪费,布少了又满足不了需求,于是便采取了每间办公室只布一条网线,外加8口交换机的解决方案,这样 既降低了成本,又满足了需求。但隐患也由此产生,全校分布了近50台从5口到24口不同类型、不同品牌的交换机,加之教师工作时均使用笔记
本电脑,晚上要 带回家使用,有时又要带到班级授课,这样网线就会被拔来插去,一不小心就容易产生环路。有一天,突然不能上网,上级文件不能接收,老师文件不能上传,各部 门要求上网的电话不断。由于刚接触网络, 网络知识匮乏,经验不足,花了两天多时间,采取断网的方式进行排查,终于找到了断网的原因来自环路。环路的次数多 了,经验也丰富了,一般根据交换机的闪烁方式就可以判断出环路的大体位置,但这还是一种经验上做法,在接触了科来软件后,在论坛上看到关于查找环路的文 章:
图二 发生环路时端点视图
图三 环路实验网络拓扑图
图四 环路端点视图
从图四中,我们发现,数据流量最大的是192.168.54.85,这是一台教师用机,而与环路交换机相连的192.168.54.200流量却很少,这说明发生环路时,大量的数据包被转发,使网络流量大增,但流量大的机器并不一定是与发生环路相连的机器。
图五 数据包视图
我又对数据包进行解码如图五所示,发现有大量IP标志重复的广播包存在。我们知道在IP包头包含了IP Identification信息(缩写IPID),一般每台主机在主动发送一个数据包时,会对IPID这个值进行递增。例如第一个包IPID为 10000,第二个发送包就可能是10001,第三是10002,依次类推,不同的主动发送的报文的IPID应当是不同的。但是在解码中IPID是在大量 简单重复。这些大量的广播报文,通常不应当是某台主机主动引起,而是被交换机反复转发造成。再进一步分析这些IPID相同的广播包的来源,发现均是来自 192.168.54.85。而其它机器IPID则正常(图六),甚至与环路交换机相连的192.168.54.200通讯也正常(图七)。
图六 通讯量第二大的数据包视图
图七 与环路交换机相连的测试机数据包视图
无论是在实际环路还是在实验中,我们可以发现都有一些机器没有被扫描到,这可能是环路产生的广播风暴所致。
通过以上分析,我们可以得出这样的结论:①当网络中有大量IPID相同的广播包,可以判定网络发生了环路。②并不是所有的机器都发IPID重复的数据包,环路交换机与发IPID重复数据包的机器并不存在对应关系,也就是说环路的位置并不能确定。
既然我们不能分析出环路所在,如何才能找出环路位置,从而排除它?我们可以有采取折半的分析方法,首先让一半的客户端在线,另一半与网络断开,进行抓包, 如有相同的IPID广播包,说明环路在这一半中,如没有,说明环路发生在另一半,依此类推,逐渐缩小范围,最终查出环路交换机为止。
另外一种有效的方法还要依靠经验,一般来说,当网络中有环路存在,大量的数据包被转发,交换机指示灯闪烁的与正常时有明显的不同,可以用"狂闪"来形容,有经验的网络管理者,可以根据交换机指示灯闪烁的方式层层缩小范围,直到找出环路的交换机。
最有效的方法是开启生成树协议(Spanning Tree)。如果不启用STP(Spanning Tree Protocol ),当发生环路时,交换机无法自我侦测,其结果是把广播包反复转发。 如果启用STP,各个交换机会发送优先度很高的BPDU数据封包,进行线路检测,当发现发送的BPDU包被不恰当的转发回来时候,交换机可以相互协商,关 闭某一条环路路径。但是如果启用镜像端口,则STP将关闭。这是一对矛盾,使用科来分析系统就需要对端口进行镜像,而镜像了又不能启用STP,究竟是要镜 像还是要STP,这就由您决定了。
还有一种方法打开端口的环回测试或广播风暴抑制功能(是否有这项功能可参阅交换机的说明),虽然不能像STP那样做到"百毒不侵",但也可以把环路限定在 小范围内。当测试到有环路或是广播风暴,交换机就会将端口关闭,这样环路就可以限定在某个端口内,而不至于影响到整个网络。
以上是我对环路的一点的认识,有不足之处,还请各位批评指正,共同提高。
出处:无忧网客联盟