问答题 阅读以下说明,根据要求回答问题。
[说明]
某企业网部分拓扑结构如图1所示。其中,将连接至接入交换机Switch1的用户划分到VLAN18,连接至接入交换机Switch2的用户划分到VLAN22,连接至接入交换机switch3的用户划分到VLAN16。国产品牌核心三层交换机S6506、S8508的默认路由均指向防火墙1。核心交换机S6506、S8508的STP状态信息分别如图2和图3所示;VLAN接口16的VRRP状态信息分别如图4和图5所示。

图1 某企业网部分拓扑结构图


图2 S6506交换机STP状态信息


图3 S8508交换机STP状态信息


图4 S6506端VLAN接口16的VRRP状态信息

问答题 在该项目VRRP配置实施过程中发现,VRRP备份组中只存在一个处于Master状态的路由器,但是该企业网内部计算机无法ping通该VRRP备份组的虚拟IP地址。 针对这一故障现象,请简要说明其故障原因定位的具体排查步骤。
【正确答案】①确认内网计算机是否ping通核心交换机S6506(或S8508)接口的实际IP地址,如果为否,请确认链路连接是否正常,VRRP报文转发是否正常。 ②执行相关命令查看VRRP状态信息,确认“Virtual IP Ping”字段是否为Disable,如果为是,请执行vrrp ping-enable命令使备份组的虚拟IP地址可以被ping通。 ③执行相关命令查看ip routing-table,确认是否有VRRP虚拟IP地址对应的主机路由,如果为否,请通过静态路由或动态路由协议添加,否则可能是VRRP和路由的配合出现了问题
【答案解析】参照图7所示的VRRP故障诊断一般流程,针对本问题所描述的“无法ping通VRRP虚拟IP地址”这一故障现象,其故障原因定位及相关问题的解决方法见表1。
[*]

图7 VRRP故障诊断一般流程
{{B}}表1 无法ping通VRRP虚拟IP地址故障排查过程{{/B}}
故障原因定位 解决方法
①确认内网计算机能否ping
通核心交换机S6506(或S8508)
接口的实际IP地址
如果无法ping通接口的实际IP地址,请确认链路连接是否正常,VRRP报文转发是否正
常。如果是端口不允许vRRP备份组所在VLAN通过或者PVID问题,请更改相关配置;如
果链路被STP等协议Discarding,导致VRRP协议报文无法正常传送,请修改端口STP优先
级等配置,以保证互连端口能够正常进行VRRP协议报文转发;如果端口存在大量错误的报
文,则需要检查链路,例如检查两端的光衰减是否在正常范围,如有故障,请更换连接所用
的光纤。如果在确保端口互通性的前提下仍然看不到VRRP的报文调试信息,很有可能是
VRRP报文被丢弃。如果CPU限速导致报文丢弃,可根据实际组网需要适当减少配置的VRRP
路由器数量或者调整VRRP报文发送时间间隔
②通过display vrrp命令,查
看“Virtual IP Ping”字段,确
认备份组的虚拟礤地址能否被
ping通
如果该字段显示为“Disable”,需要执行vrrp ping-enable命令使备份组的虚拟IP地址可
以被ping通。注意:vrrp ping-enable命令只有在没有创建VRRP备份组的情况下才允许使用
③如果在vrrp ping-enable使
能的条件下不能ping通,输入
display ip routing-table命令查看
是否有VRRP虚拟IP地址对应
的主机路由
如果路由表中没有虚拟IP地址对应的路由,请通过静态路由或动态路由协议添加。检查
对应的主机路由是否存在。如果不存在,说明是VRRP和路由的配合出现了问题,请寻求厂
商技术工程师或其他有相关经验的工程师的进一步帮助与支持
问答题 在图1所示网络中,当接入交换机Switch1连接至核心三层交换机S6506的光纤线路发生故障时,请简要分析此时STP状态、VLAN接口16的VRRP状态的变化情况,并写出此时计算机PCI访问Internet的数据转发路径(请参考以下示例格式)。 示例:PC2发送文件给PC1的数据转发路径为:PC2→Switch3→Switch2→Switch1→S6506→Switch1→PC1。
【正确答案】交换机S6506仍为STP的根桥,交换机S8508仍为备份根桥,S8508的GE0/1/21端口状态由Discarding(禁用)切换为Forwaring(发送)。 对于VLAN接口16,S6506的VRRP优先权仍为110,S8508的VRRP优先权为默认值100,S6506的VRRP状态为Master,S8508的VRRP状态为Backup。 虚拟路由器的虚拟MAC地址仍为0000-5e00-0110,虚拟IP地址仍为10.3.1.254,且都没有发生漂移,仍在S6506上。 交换机S6506和S8508 VLAN接口16的Master状态设备的IP地址仍为10.3.1.252。 数据转发路径:PC1→Switch1→Switch2→Switch3→S8508→S6506→防火墙1→Router→Internet→Router→防火墙1→S6506→S8508→Switch3→Switch2→Switch1→PC1
【答案解析】生成树协议(Spanning Tree Protocol,STP)能在逻辑上通过阻断网络中存在的冗余链路来消除物理网络中可能存在的环路,并且在当前活跃路径发生故障时,激活被阻断的冗余备份链路来恢复网络的连通性,从而保证业务的不间断服务。由图2中“CIST RootType:PRIMARY root”信息及图3中“CIST Root Type:SECONDARY root”可知,STP生成树根是在S6506上。
在显示VRRP状态信息时,如果不输入接口名和备份组号,则系统将显示该交换机上所有备份组的状态信息;如果只输入特定接口名,则显示该接口上所有备份组的状态信息;如果输入接口名和备份组号,则显示该接口上该备份组的状态信息。例如,图4示意了在Quidway S6506端,显示交换机上VLAN接口16的VRRP状态信息。对于图4中各功能域的说明、状态信息见表2。
{{B}}表2 VLAN接口VRRP状态信息说明表{{/B}}
域名 描述 本例VRRP信息
Run Method 运行方式 虚拟MAC运行
方式
Virtual Ip
Ping
是否允许
ping通虚拟IP
地址
允许
Interface Virtual router
所在interface
VLAN接口16
VRID Virtual router
的ID号
16
Adver.Timer VRRP报文
发送时间间隔
5s
Admin
Status
Virtual router
的控制状态
激活
State Virtual router
运行状态
Master(主控)
ConfigPri 配置的优先级 110
RunPri 运行的优先级 110
Preempt
Mode
抢占模式 是(默认值)
Delay
Time
延迟时间 0s(默认值)
Auth
Type
认证类型
TrackIF 监视接口 GE3/0/2
Pri
Reduced
监视接口状态Down
时,本Virtual router
优先级降低值
30
Virtual IP Virtual router的虚
拟IP地址列表
10.3.1.254
Virtual
MAC
Virtual router的虚
拟MAC地址列表
0000-5e00-0110
Master IP Virtual router 中
Master状态设备的IP
地址
10.3.1.252
由表2信息可知,交换机配置S6506的优先级(Config Pri域)为110,运行的优先级(RunPri域)也为110,使得S8508的运行状态为Master(备用)。
同理,由图5信息可知,S8508交换机配置的优先级(Config Pri域)为100,运行的优先级(Run Pri域)也为100,使得S8508的运行状态为Backup(备用)。
在正常情况下,对于图1所示的拓扑结构,由于STP的生效,主核心交换机S6506为STP的根桥,备用核心交换机S8508为备份根桥。S8508连接二层交换机Switch3的端口GE0/1/21被Discarding(禁用),备用交换机S8508基本上无网络应用业务,只处理主核心交换机S6506通过聚合链路发送过来的广播报文,以及二层交换机广播的一些协议报文。所有的数据都经过主核心交换机S6506的默认路由转发到防火墙1,最后经过路由器Router到达Internet。因此,计算机PC2访问Internet的数据转发路径为:PC2→Switch3→Switch2→Switch1→S6506→防火墙1→Router→Internet→Router→防火墙1→S6506→Switch1→Switch2→Switch3→PC2。
当接入层交换机Switch1连接主核心交换机S6506的物理线路(或逻辑链路)发生故障,则网络通过重新建立生成树,S8508连接交换机Switch3的GE0/1/21端口状态切换为Forwaring(发送),交换机Switch1启用备份链路连接至备用核心交换机S8508。但主/备核心交换机的VRRP状态并不会发生切换,即网络层的路由终结还是在主核心交换机S6506。这是因为S6506和S8508之间VRRP正常通信,VRRP的虚拟IP地址和MAC地址不会发生漂移。STP状态也不会发生切换,仍以S6506为生成树根,备用交换机S8508通过聚合链路访问到S6506上的网关地址,再由S6506的默认路由将数据发送到Internet,从而完成数据的转发功能。当响应数据返回到S6506时,数据根据生成树路径经过S8508后,再转发到相应的接入交换机。例如,计算机PC1访问Internet的数据转发路径为:PC1→Switch1→Switch2→Switch3→S8508→S6506→防火墙1→Router→Internet→Router→防火墙1→S6506→S8508→Switch3→Switch2→Switch1→PC1,如图8中虚线所示。
[*]

图8 连接Switch1链路故障时数据转发路径示意图
问答题 在图1所示网络运营阶段,某天,连接至接入交换机Switch3的用户反映无法访问Internet,而连接至接入交换机Switch1的用户PC1能够正常访问Internet上的Web服务。网络管理员小谢通过Telnet方式远程登录到核心三层交换机S6506,在其配置模式中查看到的部分ARP表如图6所示。
【正确答案】(1)原因:网段10.3.1.0124中至少有一台计算机中了ARP病毒。 (2)防范措施: ①找出中ARP病毒的计算机,断开其网络连接并进行ARP病毒查杀。 ②在内部网的每台主机上安装ARP防火墙。 ③在内部网的每台主机上绑定网关的IP地址和MAC地址。 ④在三层交换机上进行用户IP地址及其MAC地址的绑定操作
【答案解析】这是一道要求读者根据具体故障现象和系统输出信息判断故障原因的综合分析题。本题的解答思路如下。 依题意,在核心三层交换机S6506配置模式中,运行诸如show arp之类的命令可查看其地址解析协议表。仔细阅读三层交换机的部分输出信息(见图6),图中IP地址10.3.1.55、10.3.1.23、10.3.1.54、10.3.1.65、10.3.1.66、10.3.1.71、10.3.1.74、10.3.1.75、10.3.1.84、10.3.1.96的MAC地址均为0030.18A8.67A3。而ARP病毒发作时候的特征为,中毒的计算机会伪造某台计算机的MAC地址(例如伪造网关服务器的MAC地址)从而在网络中产生大量的ARP通信量使网络阻塞,甚至导致整个网段无法正常访问Internet资源。因此造成连接至接入交换机Switch3的用户(即网段10.3.1.0/24.的所有计算机)无法访问Internet的原因是:该网段中至少有一台计算机中了ARP病毒。 通常防止ARP病毒攻击的方法有:①在防火墙(或代理服务器)激活防止ARP病毒攻击的配置;②在三层交换机(或路由器)上绑定用户IP/MAC地址;③在每台客户机上绑定网关的IP地址及其相应的MAc地址;④在内部网的每台主机上安装ARP防火墙等。