PC接华为交换机无法上网

发布时间:  2016-02-23 浏览次数:  642 下载次数:  14
问题描述

PC接华为交换机无法上网

告警信息

处理过程

SW1上为业务地址段增加如下黑洞路由:

[SW1]ip route-static 192.168.10.0 24 NULL 0

[SW1]ip route-static 192.168.20.0 24 NULL 0

[SW1]ip route-static 192.168.30.0 24 NULL 0

分析:当SW1连接FTP服务器接口up的时候,会显示直连路由,因为直连路由的协议优先级是0,而静态路由是60,故直连路由优先写入IP路由表,当SW1连接FTP服务器接口down了的时候,仅有静态黑洞路由存在,所以静态黑洞路由写入IP路由表,这样就不存在去往192.168.10.2的报文走默认路由送到AR1处理了,这样不会造成既浪费了物理链路的带宽,又使这些此刻无意义的报文在SW1AR1之间转发浪费了硬件转发资源。

根因

网络拓扑如下:    

                                                     

SW1为三层交换机,作为整个XX公司分支机构的网关,通过默认路由指向R1上网,AR1配置业务地址段的回程路由,以及配置easy-ip使内网用户上网。

SW1下行口配置成access链路模式,SW2SW3作为傻瓜交换机把用户接入到不同的vlan

通过镜像监控SW1交换机上行端口,发现内网有环路,抓包截图如下:


Note:通过IP头部中的ID字段及ttl字段可以判断是同一个报文在设备间互相转发。


 

故障排查过程:

l  通过在PC2(192.168.20.2)上ping 163.com网络通,然后tracerroute 163.com路径跟踪正常。

l  继续在PC2ping 192.168.10.2(FTP服务器)网络超时,通过观察镜像端口的流量,发现去往192.168.10.2的报文IP头部IP字段相同,ttl字段的值在不断减少,此时可以确定,去往internet无问题,访问FTP服务器有网络环路。


 

l  进入SW1交换机console,查看IP路由表

<SW1>dis ip routing 192.168.10.2

Route Flags: R - relay, D - download to fib

-------------------------------------------------------------------------

Routing Table : Public

Summary Count : 1

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        0.0.0.0/0   Static  60   0          RD   192.168.0.1     Vlanif2

通过直接查找192.168.10.2.发现路由的下一跳竟然是默认路由,正常的结果应该是本地直连。

l  继续查看SW1IP状态信息:

<SW1>dis ip interface brief

*down: administratively down

^down: standby

(l): loopback

(s): spoofing

The number of interface that is UP in Physical is 4

The number of interface that is DOWN in Physical is 3

The number of interface that is UP in Protocol is 4

The number of interface that is DOWN in Protocol is 3

 

Interface                         IP Address/Mask      Physical   Protocol 

MEth0/0/1                         unassigned           down       down     

NULL0                             unassigned           up         up(s)    

Vlanif1                           unassigned           down       down     

Vlanif2                           192.168.0.2/30       up         up       

Vlanif10                          192.168.10.1/24      down       down     

Vlanif20                          192.168.20.1/24      up         up       

Vlanif30                          192.168.30.1/24      up         up 

通过以上信息得知,vlanif10接口物理层及链路层都down了(分析:所有加入vlan10access类型链路挂了,以及所有透传了vlan10trunk类型链路挂了的时候,vlanif接口会跟着down)。所以这时候去往FTP服务器的流量走默认路由送往AR1,而AR1却无法感知非直连链路挂了,而AR1192.168.10.0/24网段的回程路由指向SW1,所以造成了路由环路。

解决方案

SW1上为业务地址段增加黑洞路由

建议与总结

当网络中使用静态路由时,请考虑是否需要配置黑洞路由保护。

黑洞路由配置原则:作为业务网关的设备要为业务地址配置黑洞路由以防止网络环路,初期地址规划要做好,这样可以汇聚成一条路由或多条路由做黑洞路由!

END