交换故障排除教师指导书 交换故障排除综合实验1.1 组网需求描述
图1-1 交换故障排除综合实验组网 本实验中用到了1台路由器,4台交换机,其中3层交换机1台,2层交换机3台。另外需要安装华为802.1X客户端软件。网络模型接近实际组网,有一定的实用性。本实验以VLAN、VLAN路由、PVLAN以及3层交换机做VLAN路由,交换机和路由器的配合、802.1X验证为考察重点,要求
所有的VLAN用户都能够正常访问外网,并
能够对所有的交换设备通过管理VLAN进行网络管理。另外
不允许将外网的路由40.0.1.1引入S3526。实验中设备之间的连接如图所示,R26xxE配置loopback接口1,用于模仿连接Internet的接口,在实验中我们成为外网接口。在所有交换设备上配置管理IP地址,
网段为11.0.1.X/24,VLAN为1000,也就是配置在VLAN 1000的3层接口上。图中S3526作为3层交换机使用,用于实现不同VLAN间的路由功能。在S3526上配置VLAN 2、VLAN 3和VLAN 5的三层虚接口地址10.0.1.254、10.0.2.254和10.0.5.254,在S3026-1和S3026-2上分别配置VLAN 2和VLAN 3,并包含端口2和端口3。S3026-2下面接入的VLAN 2和VLAN 3的用户要求使用802.1X验证,验证采用本地验证(S3526作为Authenticator),用户名和密码都使用Huawei。在S3026-3上面配置PVLAN,Primary VLAN为5,Secondary VLAN为2和3,并建立二者之间的映射关系。配置VLAN 1000的三层接口为管理IP地址11.0.1.4。实验最终要求接入的VLAN用户能够正常上网,也就是所有的VLAN用户可以ping通R26xxE路由器上L1的接口地址40.0.1.1,另外要求可以对所有的交换设备进行管理,也就是要求4台交换机上11.0.1.x/24网段的地址可以相互ping通,满足设备管理的需求。以上是本实验的网络概况与要求,具体的IP地址如上图所示。
1.2 教师实验前准备
1.2.1 配置全网互通作为教师,在实验前的第一项重要准备工作应该是准备好实验环境,根据组网需求描述中的要求配置全网互通,并进行验证。下面按步骤介绍设备的配置,并在最后给出每个设备的全部配置供参考。1、首先配置R26xxE和S3526之间OSPF互通。[R2630E]display current-configurationNow create configuration... Current configuration ! version 1.74
sysname R2630Erouter id 1.1.1.1 ! interface Aux0
async mode interactive encapsulation ppp ! interface Ethernet0
speed auto duplex auto no loopback ip address 11.0.1.254 255.255.255.0 // E0 接口
ospf enable area 0.0.0.0 ! interface LoopBack1
ip address 40.0.1.1 255.255.255.255 ! quit
ospf enable ! return[S3526]display current-configuration# sysname S3526#
router id 1.1.1.2#vlan 1#vlan 1000#interface Vlan-interface1000 ip address 11.0.1.1 255.255.255.0#interface Aux0/0#interface Ethernet0/1
port access vlan 1000#interface Ethernet0/2#interface Ethernet0/3。。。。。。interface Ethernet0/24interface NULL0#ospf import-route direct #
area 0.0.0.0 network 11.0.1.0 0.0.0.255#
ip route-static 0.0.0.0 0.0.0.0 11.0.1.254 preference 60 #user-interface aux 0user-interface vty 0 4#return 配置完成后,在S3526或R26xxE上使用以下命令看OSPF邻居是否正常建立,并且在S3526的终端里应该可以ping通Internet接口地址40.0.1.1。如果邻居没有正常建立,请检查IP地址、区域等配置是否正确。[S3526]display ospf peer Area 0.0.0.0 interface 11.0.1.1(Vlan-interface1000)'s neighbor(s) RouterID: 1.1.1.1
Address: 11.0.1.254 State: Full Mode: Nbr is Slave Priority: 1 DR: 11.0.1.1 BDR: 11.0.1.254 Dead timer expires in 39s Neighbor comes up for 0:30:45[S3526]ping 40.0.1.1 PING 40.0.1.1: 56 data bytes, press CTRL_C to break
Reply from 40.0.1.1: bytes=56 Sequence=1 ttl=255 time = 3 ms Reply from 40.0.1.1: bytes=56 Sequence=2 ttl=255 time = 2 ms Reply from 40.0.1.1: bytes=56 Sequence=3 ttl=255 time = 2 ms Reply from 40.0.1.1: bytes=56 Sequence=4 ttl=255 time = 2 ms Reply from 40.0.1.1: bytes=56 Sequence=5 ttl=255 time = 3 ms --- 40.0.1.1 ping statistics ---
5 packet(s) transmitted 5 packet(s) received 0.00% packet lossround-trip min/avg/max = 2/2/3 ms2、按照组网图中标示的接口号,连接各个交换机之间的网线,配置Trunk链路,并允许所有的VLAN通过。S3026-2和S3026-3之间由于使用PVLAN,所以配置稍有不同。[S3526]interface e0/23[S3526-Ethernet0/23]port link-type trunk[S3526-Ethernet0/23]port trunk permit vlan all[S3526]interface e0/24[S3526-Ethernet0/24]port link-type trunk[S3526-Ethernet0/24]port trunk permit vlan all [S3026-1]interface e0/1[S3026-1-Ethernet0/1]port link-type trunk[S3026-1-Ethernet0/1]port trunk permit vlan all [S3026-2]interface e0/1[S3026-2-Ethernet0/1]port link-type trunk[S3026-2-Ethernet0/1]port trunk permit vlan all[S3026-2-Ethernet0/1]interface e0/24[S3026-2-Ethernet0/24]port link-type trunk[S3026-2-Ethernet0/24]port trunk permit vlan all[S3026-2-Ethernet0/24]port trunk pvid vlan 5 3、配置S3526和3台S3026的管理VLAN地址,并相互之间可以ping通。管理VLAN统一使用1000。[S3526]vlan 1000[S3526-vlan1000]interface vlan 1000[S3526-Vlan-interface1000]ip address 11.0.1.1 255.255.255.0 [S3026-1]vlan 1000[S3026-1-vlan1000]interface vlan 1000[S3026-1-Vlan-interface1000]ip address 11.0.1.2 255.255.255.0 [S3026-2]vlan 1000[S3026-2-vlan1000]port e0/1[S3026-2-vlan1000]interface vlan 1000[S3026-2-Vlan-interface1000]ip address 11.0.1.3 255.255.255.0 [S3026-3]vlan 1000[S3026-3-vlan1000]port e0/1[S3026-3-vlan1000]interface vlan 1000[S3026-3-Vlan-interface1000]ip address 11.0.1.4 255.255.255.0 配置完成后,在S3526上应该可以ping通11.0.1.1到11.0.1.3的各个交换机的管理IP地址(11.0.1.4暂时还不行)。如果有地址不能ping通,可以察看该地址所在交换机的路由表,看是否有11.0.1.X网段的路由存在,如果没有,看管理VLAN 1000是否包含了up的接口,IP地址是否配置正确,Trunk接口是否配置了允许所有VLAN通过。4、配置S3526-3交换机上的PVLAN,Primary VLAN为5,Secondary VLAN为2和3。
并将管理VLAN 1000的报文打上Tag后上传。配置完成后,S3026-3的管理IP地址11.0.1.4就可以ping通了。[S3026-3]vlan 5[S3026-3-vlan5]port e0/1[S3026-3-vlan5]isolate-user-vlan enable[S3026-3-vlan5]vlan 2[S3026-3-vlan2]port e0/2[S3026-3-vlan2]vlan 3[S3026-3-vlan3]port e0/3[S3026-3-vlan3]quit[S3026-3]isolate-user-vlan 5 secondary 2 3[S3026-3]interface e0/1[S3026-3-Ethernet0/1]port hybrid vlan 1000 tagged // Vlan 1000 带着tag 上传。 5、
配置业务VLAN 2和VLAN 3,以及VLAN 5,并在S3526上配置三层接口的IP地址。由于前面已经配置了将直连网段引入OSPF,所以OSPF会将路由信息通告给路由器。[S3526]vlan 2[S3526-vlan2]interface vlan 2[S3526-Vlan-interface2]ip address 10.0.1.254 255.255.255.0[S3526-Vlan-interface2]vlan 3[S3526-vlan3]interface vlan 3[S3526-Vlan-interface3]ip address 10.0.2.254 255.255.255.0[S3526-Vlan-interface3]vlan 5[S3526-vlan3]interface vlan 5[S3526-Vlan-interface3]ip address 10.0.5.254 255.255.255.0 [S3026-1]vlan 2[S3026-1-vlan2]port e0/2[S3026-1-vlan2]vlan 3[S3026-1-vlan3]port e0/3 [S3026-2]vlan 2[S3026-2-vlan2]port e0/2[S3026-2-vlan2]vlan 3[S3026-2-vlan3]port e0/3 6、
在S3526上配置802.1X,S3026-1下的用户通过802.1X客户端软件拨号上网,S3526做本地认证,S3026-1上不用做任何配置。配置完成后用户应该可以正常拨号上网。[S3526]local-user Huawei[S3526-user-Huawei]password simple Huawei[S3526-user-Huawei]service-type lan-access [S3526]dot1x[S3526-Ethernet0/23]dot1x [S3526-Ethernet0/23]dot1x port-method macbased 在S3026-1和S3026-2交换机下属于VLAN 2和VLAN 3的PC机都可以ping通Internet地址40.0.1.1,并且VLAN2和VLAN 3的PC之间也可以相互ping通,因为有S3526交换机作VLAN 2和VLAN 3之间的路由。 完成以上配置后各个设备的配置信息如下(由于设备模块不一致显示可能不完全一致): [R2630E]display current-configurationNow create configuration... Current configuration ! version 1.74sysname R2630Erouter id 1.1.1.1 ! interface Aux0
async mode interactive encapsulation ppp !
interface Ethernet0 speed auto duplex auto no loopback ip address 11.0.1.254 255.255.255.0 ospf enable area 0.0.0.0 !
interface LoopBack1 ip address 40.0.1.1 255.255.255.255 ! quit
ospf enable ! return [S3526] display current-configuration# sysname S3526#radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active idle-cut disable domain default enable system# local-server nas-ip 127.0.0.1 key huaweilocal-user huawei password simple Huawei service-type lan-access#
router id 1.1.1.2#
dot1x#vlan 1#vlan 2
// 虚VLAN #vlan 3
// 虚VLAN#vlan 5
// 虚VLAN#vlan 1000#interface Vlan-interface2 ip address 10.0.1.254 255.255.255.0#interface Vlan-interface3 ip address 10.0.2.254 255.255.255.0#interface Vlan-interface5 ip address 10.0.5.254 255.255.255.0#interface Vlan-interface1000 ip address 11.0.1.1 255.255.255.0#interface Aux0/0#interface Ethernet0/1 port access vlan 1000#interface Ethernet0/2#interface Ethernet0/3。。。。。。interface Ethernet0/22#interface Ethernet0/23 port link-type trunk port trunk permit vlan all dot1x#interface Ethernet0/24 port link-type trunk port trunk permit vlan all#interface NULL0#ospf import-route direct # area 0.0.0.0 network 11.0.1.0 0.0.0.255# ip route-static 0.0.0.0 0.0.0.0 11.0.1.254 preference 60#user-interface aux 0user-interface vty 0 4#return[S3026-1]display current-configuration# sysname S3026-1#radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active idle-cut disable domain default enable system# local-server nas-ip 127.0.0.1 key huawei#interface Aux0/0#vlan 1#vlan 2#vlan 3#vlan 1000#interface Vlan-interface1000 ip address 11.0.1.2 255.255.255.0#interface Ethernet0/1 port link-type trunk port trunk permit vlan all#interface Ethernet0/2 port access vlan 2#interface Ethernet0/3 port access vlan 3#interface Ethernet0/4#interface Ethernet0/5。。。。。。interface Ethernet0/23#interface Ethernet0/24#interface NULL0#user-interface aux 0user-interface vty 0 4#return[S3026-2]display current-configuration# sysname S3026-2#radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active idle-cut disable domain default enable system# local-server nas-ip 127.0.0.1 key huawei#interface Aux0/0#vlan 1#vlan 2#vlan 3#vlan 5#vlan 1000#interface Vlan-interface1000 ip address 11.0.1.3 255.255.255.0#interface Ethernet0/1 port link-type trunk port trunk permit vlan all#interface Ethernet0/2 port access vlan 2#interface Ethernet0/3 port access vlan 3#interface Ethernet0/4#interface Ethernet0/5。。。。。。interface Ethernet0/23#interface Ethernet0/24 port link-type trunk port trunk permit vlan all port trunk pvid vlan 5#interface NULL0#user-interface aux 0user-interface vty 0 4#return[S3026-3]display current-configuration# sysname S3026-3#radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active idle-cut disable domain default enable system# local-server nas-ip 127.0.0.1 key huawei#interface Aux0/0#vlan 1#vlan 2#vlan 3#vlan 5 isolate-user-vlan enable#vlan 1000#interface Vlan-interface1000 ip address 11.0.1.4 255.255.255.0#interface Ethernet0/1 port link-type hybrid port hybrid vlan 1000 tagged // VLAN 1000 的帧带tag 上传。 port hybrid vlan 2 to 3 5 untagged port hybrid pvid vlan 5#interface Ethernet0/2 port link-type hybrid port hybrid vlan 2 5 untagged port hybrid pvid vlan 2#interface Ethernet0/3 port link-type hybrid port hybrid vlan 3 5 untagged port hybrid pvid vlan 3#interface Ethernet0/4#interface Ethernet0/5。。。。。。interface Ethernet0/23#interface Ethernet0/24#interface NULL0#isolate-user-vlan 5 secondary 2 to 3#user-interface aux 0user-interface vty 0 4#return 完成上述配置之后,在PC上正确设置IP地址和网关地址,从每个PC上应该可以ping通40.0.1.1,从路由器上可以ping通所有设备的管理IP地址和用户的PC机IP地址,说明用户可以正常上网,并且可以对所有的设备进行管理。从用户PC上不能ping通管理IP地址(11.0.1.1除外),
实现了管理VLAN和业务VLAN的隔离。
1.2.2 设置故障点在完成全网互通的配置之后,接下来的准备工作是在网络中进行故障点的设置。可以在网络中设置如下几类故障:
图1-1 三层交换机与路由器对接问题:交换机和路由器对接既可以使用Trunk接口,也可以使用Access接口,关键是要保证交换机上三层IP接口所属的VLAN和Trunk端口的PVID或者Access端口的VLAN保持一致。前面实验中交换机使用Access接口和路由器对接,此处可以将接口设置为Trunk类型,允许所有VLAN通过,但不设置该Trunk端口的PVID为1000,使用默认的PVID 1,这时VLAN 1000上的三层接口就无法和路由器建立OSPF邻居关系,无法ping通外部网关。[S3526]interface e0/1[S3526-Ethernet0/1]port link-type trunk[S3526-Ethernet0/1]port trunk permit vlan all [S3526-Ethernet0/1]ping 40.0.1.1 PING 40.0.1.1: 56 data bytes, press CTRL_C to break
Request time out Request time out Request time out Request time out Request time out --- 40.0.1.1 ping statistics ---
5 packet(s) transmitted 0 packet(s) received100.00% packet loss
图1-2 S3526中没有配置缺省路由:否则ping外网地址的报文不能送到路由器上。故障现象为用户可以ping通网关,OSPF邻居可以正常建立(没有设置1故障的前提下),但ping不通外网地址。[S3526]undo ip route-static 0.0.0.0 0
图1-3 S3526中的OSPF路由协议问题:S3526中OSPF没有引入直连路由,导致R26xxE路由器没有学习到S3526上三层接口的网段地址,没有回程路由。故障现象为用户可以ping通网关,OSPF邻居可以正常建立(没有设置1故障的前提下),但ping不通外网地址。[S3526]ospf[S3526-ospf]undo import-route direct
图1-4 S3026-3配置PVLAN和上层交换机连接问题:要满足S3026-2和S3026-3通过PVLAN连接,同时满足业务VLAN用户和管理VLAN工作正常,有2种方法:1、将S3026-3上的Primary VLAN设置为管理VLAN 1000相同,并且建立管理VLAN 1000和Secondary VLAN 2 3的映射关系,此时用户的IP地址和管理IP地址在同一网段,用户可以正常上网。S3026-2连接S3026-3的e0/24端口配置为Access类型,属于VLAN 1000。2、在S3026-3上管理VLAN和Primary VLAN分开,管理VLAN为1000,Primary VLAN为5,并建立和Secondary VLAN 2,3的映射关系。S3026-2连接S3026-3的e0/24端口配置为Trunk类型,PVID设置为5,S3026-3的上连接口增加配置命令,将管理VLAN 1000打上Tag后上传,这就是前面我们配置中使用的方法。这里有2个关键点:S3026-3上传的VLAN 1000要打上Tag,S3026-2的下联接口的PVID要设置为5,更改任何一个都会引起网络的业务报文或者管理报文不能正常传送。[S3026-2]interface e0/24[S3026-2-Ethernet0/24]port trunk pvid vlan 1000[S3026-3]interface e0/1[S3026-3-Ethernet0/1]port hybrid vlan 1000 untagged
图1-5 802.1X用户验证不通过问题:设置3个故障点:1、802.1X本地验证缺省情况下使用CHAP验证,如果修改为PAP或者EAP验证都无法通过。2、另外在配置802.1X时,下面的交换机不需要配置任何命令,这里启动802.1X,这样交换机就会在本地查找用户数据库,因为找不到所以验证失败。没有配置时,由于802.1X使用组播发送验证请求报文,所以S3526可以收到报文并进行响应,查找本地数据库后验证通过。3、将本地用户的LAN服务类型去掉。[S3526]dot1x authentication-method pap [S3026-1]dot1x[S3026-1]dot1x[S3026-1]interface e0/2[S3026-1-Ethernet0/2]dot1x[S3026-1-Ethernet0/2]interface e0/3[S3026-1-Ethernet0/3]dot1x [S3526]localuser Huawei[S3526-user-Huawei]undo service-type lan-access
1.3 故障现象描述在正式进行故障排除实验之前,教师必须先向学员明确网络的需求概况,即正常的网络应该是个什么样子,接下来还应该正确的描述出目前的故障现象。由于在设置故障点之后,各故障点之间可能会有所影响,最终网络的大体故障现象如下:
l S3026-1下的VLAN 2和VLAN 3的用户ping不通网关,也不能正常上网;
l S3026-2下的VLAN 2和VLAN 3的用户可以ping通网关,但不能正常上网;
l Primary VLAN 5下的Secondary VLAN 2和3的用户不能ping通网关,更不能正常上网;
l 从S3526上可以ping通S3026-1和S3026-2的管理IP地址,但ping不通S3026-3的管理IP地址;
l 路由器上看不到其他路由,只有自己的直连路由。
1.4 故障相关信息收集引导学员利用各种方法收集信息,定位故障。1、S3026-2下VLAN 2和VLAN 3的用户能ping通网关,但不能ping通外网,说明网关和外网之间路由不通,在路由器上显示信息如下:[R2630E]display ip routingRouting Tables: Destination/Mask Proto
Pref Metric Nexthop Interface 11.0.1.0/24 Direct 0 0 11.0.1.254 Ethernet0 11.0.1.254/32 Direct 0 0 127.0.0.1 LoopBack0 40.0.1.1/32 Direct 0 0 127.0.0.1 LoopBack0 127.0.0.0/8 Direct 0 0 127.0.0.1 LoopBack0 127.0.0.1/32 Direct 0 0 127.0.0.1 LoopBack0[R2630E]display current-configurationNow create configuration... Current configuration ! version 1.74sysname R2630Erouter id 1.1.1.1 ! interface Ethernet0
speed auto duplex auto no loopback ip address 11.0.1.254 255.255.255.0 ospf enable area 0.0.0.0 ! interface LoopBack1
ip address 40.0.1.1 255.255.255.255 ! quit ospf enable ! return[R2630E]display ospf peer Interface: 11.0.1.254
Area: 0.0.0.0通过以上信息发现,路由器只有直连路由,没有从对端学到路由,没有OSPF邻居信息,说明邻居没有建立。在交换机上显示信息如下:[S3526]display ip routing Routing Table: public netDestination/Mask Protocol
Pre Cost Nexthop Interface10.0.1.0/24
DIRECT 0 0 10.0.1.254 Vlan-interface210.0.1.254/32
DIRECT 0 0 127.0.0.1 InLoopBack010.0.2.0/24 DIRECT
0 0 10.0.2.254 Vlan-interface310.0.2.254/32
DIRECT 0 0 127.0.0.1 InLoopBack010.0.5.0/24
DIRECT 0 0 10.0.5.254 Vlan-interface510.0.5.254/32
DIRECT 0 0 127.0.0.1 InLoopBack011.0.1.0/24 DIRECT
0 0 11.0.1.1 Vlan-interface100011.0.1.1/32
DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.0/8
DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.1/32
DIRECT 0 0 127.0.0.1 InLoopBack0[S3526]display current-configuration# sysname S3526。。。。。。# router id 1.1.1.2#vlan 1#vlan 2#vlan 3#vlan 5#vlan 1000#interface Vlan-interface2 ip address 10.0.1.254 255.255.255.0#interface Vlan-interface3 ip address 10.0.2.254 255.255.255.0#interface Vlan-interface5 ip address 10.0.5.254 255.255.255.0#interface Vlan-interface1000 ip address 11.0.1.1 255.255.255.0#interface Aux0/0#interface Ethernet0/1 port link-type trunk port trunk permit vlan all#interface Ethernet0/2。。。。。。interface Ethernet0/22#interface Ethernet0/23 port link-type trunk port trunk permit vlan all#interface Ethernet0/24 port link-type trunk port trunk permit vlan all#interface NULL0#ospf # area 0.0.0.0 network 11.0.1.0 0.0.0.255#return[S3526]display ospf peer没有任何显示,说明OSPF邻居未能正常建立。 [S3526]display ospf routingRouting for NetworkDestination
Cost Type NextHop AdvRouter Area11.0.1.0/24
10 Stub 11.0.1.1 1.1.1.2 0 Total Nets: 1 Intra Area: 1 Inter Area: 0 ASE: 0 NSSA: 0和路由器互通的三层接口为VLAN 1000,和路由器同在Area 0,也在同一个网段,接口状态也是up的,另外网络类型是Broadcast,不需要配置邻居,如果是两个路由器连接,邻居应该可以正常建立。问题可能出在交换机上互通的VLAN接口上。交换机发送给路由器的应该是不含VLAN ID的OSPF LSA,如果有VLAN ID,则路由器无法识别。2、S3026-1下的802.1x用户不能上网。首先当然要看用户的认证能否通过,拨号后输入正确的用户名和密码验证失败。问题肯定出在802.1x的配置上。通过查看S3526和S3026-1的配置对问题进一步进行定位。3、PVLAN下的用户无法正常上网,也ping不通自己的网关。首先要解决的是用户先可以ping通网关,和上面的故障综合考虑,网关和外网之间的故障很有可能和故障1是同一个故障。PVLAN用户的网关配置在S3526上,和S3026-3之间要经过S3026-2,所以此故障可能和这3台设备都有关系。采用分段故障排除法,在S3526上与S3026-2相连接口显示相关信息如下:[S3026-3]display current-configurationinterface Ethernet0/24 port link-type trunk port trunk permit vlan all在S3026-2上面和S3526连接接口显示信息如下:[S3026-3]display current-configurationinterface Ethernet0/1 port link-type trunk port trunk permit vlan all[S3026-2]ping 11.0.1.1 PING 11.0.1.1: 56 data bytes, press CTRL+C to break
Reply from 11.0.1.1: bytes=56 Sequence=1 ttl=255 time = 40 ms Reply from 11.0.1.1: bytes=56 Sequence=2 ttl=255 time = 22 ms Reply from 11.0.1.1: bytes=56 Sequence=3 ttl=255 time = 23 ms Reply from 11.0.1.1: bytes=56 Sequence=4 ttl=255 time = 22 ms Reply from 11.0.1.1: bytes=56 Sequence=5 ttl=255 time = 23 ms --- 11.0.1.1 ping statistics ---
5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 22/26/40 ms从S3026-2上pingS3526的管理地址正常,说明这两个设备之间连接没有问题,问题应该在S3026-2和S3026-3之间。在S3026-2上面显示和S3026-3连接的接口信息如下:[S3026-2]display current-configurationinterface Ethernet0/24 port link-type trunk port trunk permit vlan all port trunk pvid vlan 1000 [S3026-2]display interface e0/24 Ethernet0/24 current state : UP IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc07-708a The Maximum Transmit Unit is 1500 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX 100Mbps-speed mode, full-duplex mode Link speed type is autonegotiation, link duplex type is autonegotiation Flow-control is not supported The Maximum Frame Length is 1522 Broadcast MAX-ratio: 100% PVID: 1000 Mdi type: auto Port link-type: trunk VLAN passing : 1(default vlan), 2-3, 5, 1000 VLAN allowed : 1(default vlan), 2-4094 Trunk port encapsulation: IEEE 802.1q Last 5 minutes output: 0 packets/sec 0 bytes/sec Last 5 minutes input: 0 packets/sec 0 bytes/sec 在S3026-3上面显示和S3026-2连接的接口信息如下:[S3026-3]display current-configuration# sysname S3026-3vlan 1#vlan 2#vlan 3#vlan 5 isolate-user-vlan enable#vlan 1000#interface Vlan-interface1000 ip address 11.0.1.4 255.255.255.0#interface Ethernet0/1 port link-type hybrid port hybrid vlan 2 to 3 5 1000 untagged port hybrid pvid vlan 5#interface Ethernet0/2 port link-type hybrid port hybrid vlan 2 5 untagged port hybrid pvid vlan 2#interface Ethernet0/3 port link-type hybrid port hybrid vlan 3 5 untagged port hybrid pvid vlan 3#isolate-user-vlan 5 secondary 2 to 3#return[S3026-3]display interface e0/1 Ethernet0/1 current state : UP IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc07-7042 The Maximum Transmit Unit is 1500 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX 100Mbps-speed mode, full-duplex mode Link speed type is autonegotiation, link duplex type is autonegotiation Flow-control is not supported The Maximum Frame Length is 1522 Broadcast MAX-ratio: 100% PVID: 5 Mdi type: auto Port link-type: hybrid Tagged
VLAN ID : none Untagged VLAN ID : 2-3, 5, 1000 Last 5 minutes output: 0 packets/sec 0 bytes/sec Last 5 minutes input: 0 packets/sec 0 bytes/sec从S3026-2 ping S3026-3的管理IP地址不通,验证了前面对故障点的判断。
1.5 原因分析及故障排除参考流程通过对以上信息的观察和分析,初步断定网络中主要有3个故障点:
1、S3526和R26xxE之间的OSPF路由协议及路由相关问题;由以往路由器之间OSPF互通的经验判断,R26xxE的配置没有问题,S3526配置可能存在以下问题:
l 上联接口E0/1的接口类型配置不正确;
l 上联接口E0/1的PVID设置不正确,导致路由信息报文无法通过;由于要对交换设备进行管理,管理VLAN配置为1000,而此管理VLAN的IP接口要和路由器互通,OSPF报文就是由此接口发出,发出的报文到上行接口应该正常通过并且不能携带VLAN ID,所以该上行接口如果是Access接口,应该属于VLAN 1000;如果是Trunk接口,PVID应该设置为1000。正确的配置命令如下(接口为Access类型):[S3526]interface e0/1[S3526-Ethernet0/1]port link-type access[S3526-Ethernet0/1]port access vlan 1000或者(接口为Trunk类型):[S3526]interfac e0/1[S3526-Ethernet0/1]port link-type trunk[S3526-Ethernet0/1]port trunk pvid vlan 1000配置完成后,使用命令display ospf peer发现邻居正常建立。但R26xxE的路由表中仍然没有S3526的路由,检查S3526的OSPF部分的配置,发现是没有引入直连路由,或者没有在直连接口上启用OSPF。在OSPF视图下使用命令import-route direct引入VLAN 2、VLAN 3和VLAN 5的直连路由,并通过OSPF协议通告给R26xxE路由器。在R26xxE上显示路由信息可以看到VLAN 2、3和5的路由信息。现在从S3526上ping外网接口40.0.1.1,依然不能ping通,从VLAN 2或者VLAN 3用户的PC上也不能ping通,那是还有什么原因呢?察看S3526的路由表,发现并没有40.0.1.1的路由,原来在R26xxE并没有将直连接口引入OSPF,考虑到其他的VLAN的用户要访问外网时只有R26xxE一个出口,所以在S3526上配置缺省路由,命令如下:[S3526]ip route-static 0.0.0.0 0 111.0.1.254或者在R26xxE上OSPF下引入直连路由:[R2630E-ospf]import-route ospf现在从S3526可以ping通外网地址,但VLAN 2和3下的PC却仍然不能ping通外网地址,但可以ping通自己的网关,还有什么问题存在?问题出在S3526连接路由器的e0/1接口上,由于接口类型为Trunk,而且允许所有VLAN的报文通过,业务VLAN 2和3的用户ping报文被S3526收到后,然后会转发给允许该VLAN通过的接口,包括3个Trunk接口,但路由器不能识别含有VLAN ID的报文,所以接口类型不能配置为Trunk类型,当接口类型为Access并且属于VLAN 1000时,业务VLAN 的用户可以ping通外网,表明用户可以正常上网。结论:虽然接口类型配置为Trunk和Access都可以使OSPF工作正常,但接口类型为Trunk时用户不能正常上网。
2、S3026-1下802.1x用户不能正常上网,重点查看S3526上802.1x的相关配置。故障原因很简单,在前面设置故障时已经进行了说明。3、S3026-2和S3026-3之间的PVLAN和管理VLAN互通问题。分析:当故障1排除后,S3026-3下的用户还是既ping不通网关,也ping不通管理IP地址,也就是说业务报文和管理报文都不能正常传送。由于和VLAN相关,所以分析报文在网络中传送是VLAN ID信息的变化是解决问题的关键。先看管理VLAN 1000的报文:从S3526的e0/1收到管理报文后,由于e0/1属于VLAN 1000,所以该报文被打上1000的VLAN Tag发送到所有包含VLAN 1000的端口,S3526的e0/23和e0/24都能收到报文,从S3526上ping S3026-1和S3026-2的管理IP地址,可以ping通,没有问题;ping S3026-3时不通。说明S3026-2正常收到了VLAN 1000的报文,收到后将报文发送给连接S3026-3的Trunk端口e0/24,该端口的配置如下:interface Ethernet0/24 port link-type trunk port trunk permit vlan all port trunk pvid vlan 1000根据配置,由于该端口的PVID是1000,所以收到VLAN 1000的管理报文后去掉VLAN ID发送给对端e0/1接口,S3026-3的e0/1接口的配置如下:interface Ethernet0/1 port link-type hybrid port hybrid vlan 2 to 3 5 1000 untagged port hybrid pvid vlan 5#vlan 5 isolate-user-vlan enable#isolate-user-vlan 5 secondary 2 to 3由于该接口的PVID为5,所以报文被发送到VLAN 5包含的接口,由于VLAN 5为PVLAN,包含Secondary VLAN 2和VLAN 3,所以该管理报文被发送给了业务VLAN,而管理VLAN没有收到,这就是ping不通管理IP地址的原因所在。所以解决这个问题的思路如下:1、将3026-3的e0/1的PVID修改为1000,这个时候可以ping通管理IP地址,但用户不能正常上网,所以还必须先删除VLAN 5和VLAN 2、3的映射关系,再建立VLAN 1000和VLAN 2、3的映射关系,这种方式下业务VLAN和管理VLAN都使用VLAN 1000,VLAN 2和VLAN 3下的用户IP地址要求要和VLAN 1000在同一个网段,所以S3526上VLAN 5的网关地址就没有用了,用户的网关直接使用S3526上VLAN 1000的网关地址11.0.1.1。这种方式虽然可以实现用户上网,但由于业务报文和管理报文混在一起,对网络的安全留下了隐患,不推荐使用。2、将S3026-2上e0/24的接口PVID修改为5,保证两端的PVID相同,这样PVLAN为5的业务VLAN报文就可以正常发送,同时在S3026-3的e0/1接口上配置VLAN 1000为Tagged,这样该接口收到S3026-2发过来的VLAN 1000的管理报文时,就会发送给VLAN 1000的IP接口,这样就可以既保证业务和管理报文的正常传送,又可以实现二者直接的隔离,是最优的一种解决方案。配置命令如下:[S3026-2]interface e0/24[S3026-2-Ethernet0/24]port trunk pvid vlan 5 [S3026-3]interface e0/1[S3026-3-Ethernet0/1]port hybrid vlan 1000 tagged配置完成后,从用户的PC终端上ping网关地址和外网地址都正常。
1.6 教师实验指导建议1.6.1 分组建议本实验共需要1台路由器和4台以太网交换机,因此在开班人数较多时建议分成3组进行,每组的人数最好不要超过五人,否则会影响实验效果。
1.6.2 组长推举以及组员分工在分组之后,需要推举出一个组长来领导各组完成实验。组长在本组的实验过程中主要起一个牵头的作用,并组织组内的讨论。组长的推举可以采取学员毛遂自荐的方式,如果学员反应不积极,也可以有意识的指定学员中技术水平较好的来担任组长,以保证实验的顺利进行。在推举出组长之后,还可以引导组长对自己的组员也进行相应的分工。比如说可以让特定的组员负责查看配置与display信息;某些组员负责实际操作,修改配置;某些组员负责记录故障点和每一步操作,完成实验报告。
1.6.3 分组讨论在实验的开始阶段,教师应该要求各组的组长带领各组的组员先弄清网络的状况与要求,并把各路由器上的配置都先读一遍,这样才不会在后面的实验中大家都弄得一头雾水。接下来可以让组长组织对故障现象,故障定位和如何解决问题进行组内的讨论。同时教师也应该时刻关注各组的讨论情况和实验进展,并在必要的时候参与进来,把大家引导到正确的思路上来。因此,在分组讨论排除故障阶段,根据具体情况,可能会需要一到两名教师指导实验以保证实验效果。
1.6.4 各组总结在实验完成之后,可以请各组的组长分别对本组的实验情况作一个经验总结,包括故障的定位过程以及如何排除故障。教师在这个时候可以鼓励各组的组员积极的对组长的发言进行补充,教师自己也可以针对学员的总结进行一些点评和补充。
1.6.5 提问在各组完成总结之后,教师可以有针对性的提一些问题,以加深学员对交换知识的理解,下面列出一些问题,以供参考:参考问题:
1.PVLAN技术的优势和不足都有哪些?(优势:解决大规模组网时VLAN ID不足的问题,同时满足用户二层隔离。不足:返回的数据发送给所有用户,浪费了系统资源。)
2.交换机和路由器互通时,什么时候接口配置成TRUNK?什么时候配置成Access?(路由器做不同VLAN间路由时配置成TRUNK,不需要传递VLAN信息时配置成Access。)
1.6.6 教师总结在本实验的最后,教师还应该对整个实验的故障排除思路,故障点分析和解决方案做一个最终的总结,以加深学员对课程的理解,并使之更系统化。
1.6.7 实验中的时间点控制下午的实验时间为2:00到5:30共三个半小时的时间,教师在指导实验的同时也需要对各阶段的时间点进行一定控制,以保证在规定时间之内完成整个实验,下面是参考的时间点:2:00PM之前:教师准备好实验环境,设置好故障点。2:00-2:30PM:教师介绍实验的网络状况和具体要求,向学员描述故障现象以及排障要求。分组并选举组长,明确各组员的分工。2:30-4:30PM:各组长组织组员验证故障现象,熟悉网络状况和具体配置。对故障现象,故障定位和如何解决问题进行组内讨论,最终排除故障。注意:考虑到时间问题,在4:30PM时不管各组是否完成,都应该进入下一阶段。在下一阶段可以让各组对已经排除的故障点进行总结,再由教师进行总结。4:40-5:30PM:休息十分钟之后,进入组长总结,提问和教师总结阶段。5:30PM:实验结束。
1.7 经验总结通过本实验,我们可以了解到在使用VLAN和Trunk等技术的交换网络中,对于各个接口类型和VLAN之间的关系的理解非常重要,换句话说,也就是要清楚报文在网络中传送时,什么时候有VLAN ID,ID是多少?什么时候没有VLAN ID,什么时候要进行VLAN ID的转换,转换为多少?在一个接口上面,哪些VLAN可以通过,哪些不能通过,通过的报文哪些有VLAN ID(Tagged),哪些没有VLAN ID(Untagged)。只要熟练掌握了以上理论,一般都能很快找到VLAN互通问题的根结所在,从而解决问题。
