问答题
阅读以下说明,根据要求回答问题。
[说明]
某大中型企业总部网络采用了分区域规划、“双万兆核心、双千兆主干链路”的设计策略,其网络拓扑结构如图1所示。在图1中,两台核心三层交换机之间使用了VRRP、MSTP(多生成树协议)等协议,并形成了支持负载分担、提高数据转发性能的链路聚合通道。各功能区域中的相关汇聚交换机、接入交换机均已完成了VLAN基本配置等工作。
[说明]
某大中型企业总部网络采用了分区域规划、“双万兆核心、双千兆主干链路”的设计策略,其网络拓扑结构如图1所示。在图1中,两台核心三层交换机之间使用了VRRP、MSTP(多生成树协议)等协议,并形成了支持负载分担、提高数据转发性能的链路聚合通道。各功能区域中的相关汇聚交换机、接入交换机均已完成了VLAN基本配置等工作。
问答题
在该项目VRRP配置实施过程中发现,该企业网内部计算机无法访问Internet,通过SNMP网管方式(或在核心三层交换机相应的配置模式下,使用查看VRRP状态信息的有关命令)查看VRRP分组中各个路由器的状态,发现有多个VRRP路由器都处于Master状态。针对这一故障现象,请简要说明其故障原因定位的具体排查步骤。
【正确答案】①检查两台核心交换机的VRRP配置是否一致,即组成备份组的多个路由器的虚拟IP地址、VRRP报文广播间隔时间、认证方式和认证字的配置必须相
②检查链路两端互连端口是否处于up状态;检查互连端口的配置情况,如果是trunk类型的端口,要确定端口PVID是否一致,是否允许VRRP备份组所在VLAN通过,端口是否配置802.1x等协议。检查端口是否因STP等协议而阻塞;查看端口是否存在大量错误的报文。
③检查VRRP报文收发情况,可以适当增加Backup等待延迟时间。
④查看VRRP协议报文互通的业务板和主控板CPU占用率情况,以排除是否有存在网络风暴;暂时关闭一些业务以降低CPU的利用率,再进一步观察故障现象是否发生变化。
⑤寻求厂商技术工程师或其他有相关经验的工程师的进一步帮助与支持
【答案解析】设计本问题的目的是考核读者对VRRP相关故障处理的实践经验。本题解答思路如下。
虚拟路由器冗余协议(Virtual Router Redundancy Protocol,VRRP)是为具有多播或广播能力的局域网(如以太网)设计的容错协议。VRRP将局域网内的一组具有路由功能的设备划分在一起,称为一个备份组。备份组由一个主控(Master)路由器和多个备份(Backup)路由器组成,通过一定选举机制保证只有Master路由器承担ARP响应和分组转发任务。当Master路由器发生故障时,Backup会自动接替成为Master(通常状态切换时间小于5s)。同处于一个VRRP备份组的路由器共同形成一个虚拟路由器,这是一个逻辑概念上的路由器。虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。一个VRRP路由器组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。
通常,VRRP的故障诊断一般流程如图2所示。
[*]
图2 VRRP故障诊断一般流程
在图2所示故障处理步骤中,第1步是查看VRRP配置是否正确。在接口配置模式(或接口视图)下执行displaythis命令,观察两端配置是否对称、优先级设置(包括优先级配置和监视接口降低值)是否合理。VRRP要求组成虚拟路由器的多个路由器必须配置一致,即要求虚拟IP地址、VRRP报文广播间隔时间、认证方式和认证字的配置必须相同。此外,设备上能够支持的虚拟MAC拟下发的数目有规格限制。一台设备上处于Master状态的VRRP备份组数目超过了该规格限制后,会导致部分虚拟MAC地址无法下发,相应的备份组回退到Initialize状态。
第2步是检查链路是否互通,即检查端口配置(VLAN配置、802.1x、STP状态等),ping VRRP所在接口实IP地址,观察是否能够ping通。检查互连端口的配置情况,如果是trunk(或者hybid)端口,要确定端口PVID是否一致,是否允许VRRP备份组所在VLAN通过,端口是否配置802.1x等协议。使用命令display stp brief查看互连端口STP状态是否正常。检查端口是否因为RRPP、Smart-link或者LACP等协议而阻塞。
第3步是检查VRRP报文收发是否正常。打开VRRP报文调试开关,检查报文在指定接口的收发是否正常。可以打开以太网报文调试开关debugging ethernet packet和IP报文调试开关debugging ip packet配合检查(以太网报文的目的MAC是VRRP的组播MAC地址0100-5e00-0012,VRRP报文的IP协议号为112)。如果报文没有到达入端口,请检查对端信息。
第4步是检查ARP和路由是否正常。在接入交换机上检查ARP表项和MAC表项(注意MAC地址和端口及VLAN的对应关系)是否正确,在各网络主机上检查VRRP虚拟IP地址对应的ARP表项是否正确。如果出现Master不能ping通的情况,在vnp pjng-enable前提下,检查VRRP的Master路由器上虚拟IP地址对应的主机路由是否存在。如果出现转发问题,需要检查转发的路由。出现路由故障则需要借助路由故障处理手段检查路由协议是否正常运作,配置的静态路由是否正确。
第5步是检查CPU占用率是否正常,即使用display cpu-usage命令查看设备的CPU占用率。关闭不必要的业务,以降低CPU的利用率。
第6步是如果通过以上检查步骤还不能排除故障,则需要联系厂商技术工程师或寻求其他有相关经验的工程师支持。
参照以上VRRP故障诊断的一般流程,针对试题所描述的配置VRRP之后出现多个Master这一故障现象,其故障原因定位及相关问题的解决方法见表1。
虚拟路由器冗余协议(Virtual Router Redundancy Protocol,VRRP)是为具有多播或广播能力的局域网(如以太网)设计的容错协议。VRRP将局域网内的一组具有路由功能的设备划分在一起,称为一个备份组。备份组由一个主控(Master)路由器和多个备份(Backup)路由器组成,通过一定选举机制保证只有Master路由器承担ARP响应和分组转发任务。当Master路由器发生故障时,Backup会自动接替成为Master(通常状态切换时间小于5s)。同处于一个VRRP备份组的路由器共同形成一个虚拟路由器,这是一个逻辑概念上的路由器。虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。一个VRRP路由器组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。
通常,VRRP的故障诊断一般流程如图2所示。
在图2所示故障处理步骤中,第1步是查看VRRP配置是否正确。在接口配置模式(或接口视图)下执行displaythis命令,观察两端配置是否对称、优先级设置(包括优先级配置和监视接口降低值)是否合理。VRRP要求组成虚拟路由器的多个路由器必须配置一致,即要求虚拟IP地址、VRRP报文广播间隔时间、认证方式和认证字的配置必须相同。此外,设备上能够支持的虚拟MAC拟下发的数目有规格限制。一台设备上处于Master状态的VRRP备份组数目超过了该规格限制后,会导致部分虚拟MAC地址无法下发,相应的备份组回退到Initialize状态。
第2步是检查链路是否互通,即检查端口配置(VLAN配置、802.1x、STP状态等),ping VRRP所在接口实IP地址,观察是否能够ping通。检查互连端口的配置情况,如果是trunk(或者hybid)端口,要确定端口PVID是否一致,是否允许VRRP备份组所在VLAN通过,端口是否配置802.1x等协议。使用命令display stp brief查看互连端口STP状态是否正常。检查端口是否因为RRPP、Smart-link或者LACP等协议而阻塞。
第3步是检查VRRP报文收发是否正常。打开VRRP报文调试开关,检查报文在指定接口的收发是否正常。可以打开以太网报文调试开关debugging ethernet packet和IP报文调试开关debugging ip packet配合检查(以太网报文的目的MAC是VRRP的组播MAC地址0100-5e00-0012,VRRP报文的IP协议号为112)。如果报文没有到达入端口,请检查对端信息。
第4步是检查ARP和路由是否正常。在接入交换机上检查ARP表项和MAC表项(注意MAC地址和端口及VLAN的对应关系)是否正确,在各网络主机上检查VRRP虚拟IP地址对应的ARP表项是否正确。如果出现Master不能ping通的情况,在vnp pjng-enable前提下,检查VRRP的Master路由器上虚拟IP地址对应的主机路由是否存在。如果出现转发问题,需要检查转发的路由。出现路由故障则需要借助路由故障处理手段检查路由协议是否正常运作,配置的静态路由是否正确。
第5步是检查CPU占用率是否正常,即使用display cpu-usage命令查看设备的CPU占用率。关闭不必要的业务,以降低CPU的利用率。
第6步是如果通过以上检查步骤还不能排除故障,则需要联系厂商技术工程师或寻求其他有相关经验的工程师支持。
参照以上VRRP故障诊断的一般流程,针对试题所描述的配置VRRP之后出现多个Master这一故障现象,其故障原因定位及相关问题的解决方法见表1。
| {{B}}表1 多个Master故障排查过程{{/B}} | ||
| 排查步骤 | 故障原因定位 | 解决方法 |
| ①检查VRRP 配置是否一致 |
VRRP要求组成备份组的多个路由器必须配置一致, 即要求虚拟IP地址、VRRP报文广播间隔时间、认证 方式和认证字的配置必须相同 |
在核心交换机接口配置模式下,使用有关命令查 看VRRP配置,并确认哪一端的配置是正确的,修 改另一端配置,使VRRP配置一致 |
| ②检查链路是 否互通 |
确认链路两端互连端口是否处于up状态;检查互连 端口的配置情况,如果是trunk或者hybrid端口,要确 定端口PVID是否一致,是否允许VRRP备份组所在 VLAN通过,端口是否配置802.1x等协议;检查端口 是否因STP、RRPP、Smart-link或者LACP等协议而阻 塞;使用相关命令查看端口是否存在大量错误的报文 |
如果是端口不允许VRRP备份组所在、VLAN通 过或者PVID问题,请更改相关配置;如果链路被 STP等协议Discarding,导致VRRP协议报文无法 正常传送,请修改端口STP优先级等配置,以保 证互连端口能够正常进行VRRP协议报文转发; 如果端口存在大量错误的报文,则需要检查链路, 如检查两端的光衰减是否在正常范围。如有故障, 请更换连接所用的光纤 |
| ③检查VRRP 报文收发是否正 常 |
打开VRRP调试开关,确定VRRP报文是否能够正 常收发。如果看不到VRRP报文调试信息,可以打开 IP报文调试信息进行查看 |
如果在确保端口互通性的前提下仍然看不到 VRRP的报文调试信息,很有可能是VRRP报文被 丢弃。如果CPU限速导致报文丢弃,可根据实际 组网需要适当减少配置的VRRP路由器数量或者 调整VRRP报文发送时间间隔 |
| ④检查CPU占 用率是否正常 |
通过相关命令查看VRRP协议报文互通的业务板和 主控板CPU占用率是否过高,以及查看端口流量以确 定网络中是否存在广播风暴。如果存在网络风暴,则 VRRP报文无法正常送给CPU处理,VRRP状态必然 出现异常 |
排除网络风暴问题之后,可以暂时关闭一些不重 要的业务,以降低CPU的利用率,再进一步观察 故障现象是否发生变化 |
问答题
在该项目MSTP(多生成树协议)配置实施过程中发现,MSTP相关端口发生链路故障或者链路故障恢复之后,整个网络的流量恢复时间超过1分钟。
针对这一故障现象,请简要说明其故障原因定位的具体排查步骤。
【正确答案】①检查端口对端连接是否为终端。若是,则在端口上开启边缘端口属性。
②检查本设备是否工作在STP模式。若工作在STP模式,则需将其修改为MSTP。
③检查上游设备的工作模式。若上游设备工作在STP(或RSTP)模式,则需将其修改为MSTP。
④检查端口是否为点对点链路。若不是,则需将其修改为点对点链路:反之,请寻求技术支持。
⑤检查端口的双工模式。若为半双工模式,则需将其修改为自协商模式,接着检查链路是否存在故障。
⑥寻求厂商技术工程师或其他有相关经验的工程师的进一步帮助与支持
【答案解析】设计本问题的目的是考核读者对MSTP相关故障处理的实践经验。本题的解答思路如下。为了防止出现一条链路或一台交换机的单点失效问题,在网络工程建设时往往部署有冗余的链路和交换机,形成一个物理回路。而生成树协议(STP)是一个数据链路层的管理协议。其主要功能是在保证网络中没有逻辑回路的基础上,允许在第二层链路中提供冗余路径,以保证网络可靠、稳定地运行。换言之,STP通过改变冗余端口的工作状态来阻断网络中的部分冗余路径,使其成为备份链路,以保证在任何两个终端站点之间只存在一条激活的路径,从而避免回路的产生。
在默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的4个阶段:阻塞、侦听、学习、转发。在能够转发用户的数据包之前,某个端口可能最多要等待50s的时间(包含20s的阻塞时间、15s的侦听延迟时间、15s的学习延迟时间)。STP重新收敛时间较长,通常需要30~50s,为了缩短这个时间,引入了一些补充技术,例如Backbonefast、Uplinkfast和PortFast等。快速生成树协议(RSTP)则在协议上对STP进行了根本的改进形成新的协议,从而缩短收敛时间。
多生成树协议(Multiple Spanning Tree Protocol,MSTP)是IEEE 802.1s中定义的一种新型多实例化生成树协议。所谓实例就是多个VLAN的一个集合,通过多个VLAN捆绑到一个实例中去的方法可以节省通信开销和资源占用率。该协议将支持MSTP的交换机和不支持MSTP交换机划分成不同的区域,分别称做MST域和SST域。在MST域内部运行多实例化的生成树,在MST域的边缘运行RSTP兼容的内部生成树,(Internal SpanningTree,IST)。MSTP具有VLAN认知能力,可以实现负载均衡,可以实现类似RSTP的端口状态快速切换,可以捆绑多个VLAN到一个实例中以降低资源占用率,并且能够很好地向下兼容STP/RSTP协议。
依题意,这是一种MSTP相关端口无法快速迁移的故障现象,其故障处理步骤如下。
(1)检查端口对端连接是否为终端。若是,则在端口上执行命令stp edge-port enable开启边缘端口属性。
(2)检查本设备是否工作在STP模式。执行stp相关命令查看两台核心交换机的生成树工作模式,如果设备工作在STP模式,则使用stp mode命令将设备的工作模式修改为MSTP。
(3)检查上游设备的工作模式。在上游设备上执行stp相关命令查看设备的工作模式,如果上游设备工作在STP模式或者RSTP模式下,则使用stp mode命令将上游设备工作模式修改为MSTP。对于工作在RSTP模式的情况,还可以在相关端口上使用stpno-agreement-check命令开启No Agreement Check特性。
(4)检查端口是否为点对点链路。如果端口为点对点链路还无法快速迁移,请联系厂商技术工程师或寻求其他有相关经验的工程师支持。
(5)检查端口的双工模式。执行相关命令查看端口的工作模式,如果端口为半双工模式,则使用有关命令将本端口和其对端端口修改为自协商模式。如果两端端口都工作在自协商模式,请检查链路是否存在故障,如果链路出现故障,请先排除相关的链路故障。
(6)如果通过以上检查步骤还不能排除故障,则需要联系厂商技术工程师或寻求其他有相关经验的工程师支持。
问答题
图1所示网络原先使用的是国外品牌的交换机,随着网络规模的扩大,新增添了一套国产品牌的交换机。在该网络刚开通运营时,办公接入区域的用户普遍反映访问Internet的速度较慢的问题。工程师老郭使用“网络故障一点通”测试办公接入区域用户和核心三层交换机之间的最大吞吐量,发现这些用户带宽都不超过10Mbps。接着将“在线型网络万用表”串联某台核心三层交换机和办公接入区域汇聚交换机之间,测试数秒钟后,发现它们之间的传输速率也是10Mbps。
根据以上测试结果大致可判断造成该故障的原因是什么?应如何解决这一故障现象?
【正确答案】故障原因:办公接入区域汇聚交换机和核心三层交换机分别是不同品牌的交换机,由于硬件设计和制造的细微差别,两者之间的互连端口没能自适应(处于10Mbps、半双工传输模式)。
解决方法:将相关的互连端口强制设置成非自协商、100Mbps全双工模式
【答案解析】这是一道要求根据具体网络故障现象判断故障原因及进行故障排除的综合分析题。本题的解答思路如下。
目前几乎所有的网络设备在出厂时网络端口的默认设置都是10/100Mbps自适应,一旦有网络设备连接到该设备时,网络设备之间按照协议进行自适应,即能够自动调整两台设备之间的传输速率及传输方式(半双工/全双工)。
由题意知,图1所示网络中既有国外品牌的交换机,也有国产品牌的交换机。由于硬件设计和制造的细微差别可能造成不同品牌的交换机在连接后不能够相互自适应的现象。使用“在线型网络万用表”串联在某台核心三层交换机和办公接入区域汇聚交换机之间,测试数秒钟后,结果是它们之间的传输速率为10Mbps。这说明故障原因可能是:所连接的核心三层交换机和办公接入区域汇聚交换机分别是不同品牌的交换机,两者之间互连的端口没能自适应,使得两台交换机之间的连接速度是10Mbps,半双工传输模式。
对于该故障现象的解决方法是:将核心三层交换机和办公接入区域汇聚交换机之间的LAN端口强制设置成非自协商、100Mbps、全双工传输模式。
问答题
部署在图1所示网络管理区域中,基于SNMP网络管理平台的陷入服务程序(snmptrap.exe)接收并记录了以下两条trap信息。
"Fri Jul 16 10:11:22 2010 10.0.1.198 Agent InterfaceDown (LinkDown Trap) enterprise:cisco args[1]:mgmt.mib-2.interfaces.ifTable.ifEntry.ifIndex.2(Integer):2"
"Fri Jul 16 10:12:20 2010 10.0.1.198 Agent InterfaceUp (LinkUp Trap)enterprise:cisco args[1]:mgmt.mib-2.interfaces.ifTable.ifEntry.ifIndex.2(Integer):2"
请根据这两条trap消息分析可能发生的网络动作。
【正确答案】在2010年7月16日(星期五)的10点11分22秒至12分20秒期间,IP地址为10.0.1.198的某台Cisco网络设备的第2个端口被重新启动(或先停机后又恢复正常,或其他类似词语)
【答案解析】这是一道要求读者掌握SNMP陷入报文类型的分析理解题。本题的解答思路如下。
SNMP陷入(trap)是由代理向管理站发出的异常事件报告,它无须管理站应答(Response)报文。SNMP的6种典型陷入条件及其说明见表2。
本试题中主要涉及表2中“LinkDown”和“LinkUp”两条陷入条件。其中,第1条trap消息——“Ffi Jul 16 10:11:22 2010 10.0.1.198 Agent InterfaceDown(LinkDown Trap)enterprise:cisco args[1]:mgmt.mib-2.interfaces.ifTable.ifEntry.ifIndex.2(Integer):2”中,“10.0.1.198”是安装有SNMP代理(Agent)进程网络设备的IP地址;“InterfaceDown”表示端口处于失效状态(down);“LinkDown Trap”说明这是一条关于陷入条件为“LinkDown”的消息;“enterprise:cisco”说明该网络设备的厂商是Cisco公司;“mgmt.mib-2.interfaces.ifTable.ifEntry.ifIndex.2”是接口组中接口表第2个索引项的实例标识符,它的另一种表达形式是:1.3.6.1.2.1.2.2.1.1.2。其中,“1.3.6.1.2.1.2.2.1.1”是对象“ifIndex”的对象标识符,由于该对象是一个表对象,其实例标识符必须在对象标识符(1.3.6.1.2.1.2.2.1.1)的后面级联(用“.”表示)表中索引项的值(该索引项值为2)。
综上所述,第1条trap消息表示:在2010年7月16日(星期五)的10点11分22秒IP地址为10.0.1.198的某台Cisco网络设备的第2个端口状态为down。
同理可知,第2条trap消息表示:在2010年7月16日(星期五)的10点12分20秒IP地址为10.0.1.198的某台Cisco网络设备的第2个端口状态为up。
结合以上两条trap消息的分析结果可知,在2010年7月16日(星期五)的10点11分22秒至12分20秒期间,IP地址为10.0.1.198的某台Cisco网络设备的第2个端口被重新启动(或先停机后又恢复正常)。
SNMP陷入(trap)是由代理向管理站发出的异常事件报告,它无须管理站应答(Response)报文。SNMP的6种典型陷入条件及其说明见表2。
| {{B}}表2 典型陷入条件及其说明{{/B}} | |
| 陷入条件 | 说明 |
| ①ColdStan | 发送实体重新初始化,代理的配置已改变,通常是由系统失效引起的 |
| ②WarmStart | 发送实体重新初始化,但代理的配置没有改变,这是正常的重新启动 |
| ③LinkDown | 链路失效通知,变量绑定表的第1项指明对应接口表的索引变量及其值 |
| ④LinkUp | 链路启动通知,变量绑定表的第1项指明对应接口表的索引变量及其值 |
| ⑤AuthenticationFailure | 发送实体收到一个没有通过认证的报文 |
| ⑥EgpNeighborLoss | 相邻的外部路由器失效或关机 |
| ⑦EnterpriseSpecific | 由设备制造商定义的陷入条件,在特殊陷入字段指明具体的陷入类型 |
综上所述,第1条trap消息表示:在2010年7月16日(星期五)的10点11分22秒IP地址为10.0.1.198的某台Cisco网络设备的第2个端口状态为down。
同理可知,第2条trap消息表示:在2010年7月16日(星期五)的10点12分20秒IP地址为10.0.1.198的某台Cisco网络设备的第2个端口状态为up。
结合以上两条trap消息的分析结果可知,在2010年7月16日(星期五)的10点11分22秒至12分20秒期间,IP地址为10.0.1.198的某台Cisco网络设备的第2个端口被重新启动(或先停机后又恢复正常)。