交換機“失連”專題問答

■江蘇 孫秀洪

編者按：工作環境中，設備之間通常通過交換機連接，本文列舉了一些和交換機相關的問題，希望對大家的工作有所幫助。

在物理線路通信正常的狀態下，遠程端口的RIP 數據報文與本地路由交換端口無法正常連接，請問怎樣解決這種故障？

答：這種問題很可能是遠程端口沒有執行network 使能命令或沒有開啟RIP 功能引起的。此外，在遠程路由交換機啟用了組播方式，而本地路由交換機中沒有啟用組播方式時，也容易造成上述故障。因此，要想有效應對這類故障，必須要先在本地和遠程端口上同時啟用RIP 功能；其次要使用network 使能命令，確保它們同時處于組播方式。

終端主機借助交換機與其他設備相連，它們位于相同的工作網段中，不過相互之間無法進行Ping 通連接，估計會是什么問題呢？

答：首先查看交換機的信號燈、電源輸入、網絡連接是否正常，交換機自身狀態是否正常。在上述因素都被排除的情況下，再查看交換機有沒有設置了IP 地址，要是使用了和其他設備不在同一工作子網的IP地址，將其刪除或設一個和其他設備在同一工作子網的IP 地址。倘若這種努力還沒有效果，那需要檢查VLAN 設置，看看連接交換機的幾個端口是否屬于不同的工作子網，所以才出現了連通性問題，如果真是這樣的話，及時將設置的VLAN 去掉或者修改到相同工作子網中。

當開啟了某網絡中路由交換機的DHCP 中繼功能，DHCP服務器與終端主機系統工作在同一個虛擬網段中，但是終端主機系統始終不能與DHCP 服務器建立正常的通信連接，不知道該如何解決？

答：出現上述問題，很可能是網絡連接不通暢、DHCP 服務未開啟、DHCP 服務器沒有對地址池參數進行正確配置等因素引起的。這個時候，不妨通過專業線纜測試工具判斷網絡線纜的連通性是否正常，在網絡通暢的情況下，進入交換機后臺系統視圖界面，在該狀態下執行“dhcp enable”命令，開啟DHCP 服務。之后，正確配置包含或與接收接口IP 地址在相同網段的地址池，以及正確配置與接口IP 地址網段相同的地址池網段。如果上述配置都正常的情況下，可以使用“display dhcp server expired all”命令判斷地址有沒有存在過期租約現象，要是存在的話，可以執行“reset dhcp server ip-in-use”命令，將那些過期租約成功刪除掉。要是還無法解決問題時，可以嘗試擴大配置的地址池網段，確保有足夠的地址可以分配利用。

單位局域網中共有不到200 臺的計算機，這些計算機分別連接到各個樓層交換機，再借助核心路由交換機上網訪問，平時每臺計算機上網連接狀態很好。但最近幾天，總有用戶在抱怨，說他們的計算機上網速度很慢，有時連簡單網頁都打不開，網管員懷疑有人悄悄在進行BT 下載。請問為了確保終端計算機與核心交換機的上網連接狀態穩定，怎樣才能準確知道哪臺計算機在悄悄下載，并能有效限制它們的惡意下載操作呢？

答：只要在局域網中部署Sniffer 這樣的監控工具，通過這些監控工具的數據流量視圖，就可以十分輕松地看到局域網中究竟哪臺計算機的數據流量比較大了，這些流量不正常的計算機，自然是有人在偷偷進行BT 下載操作了。當然，由于現在的核心路由交換機大多支持流量查看功能，大家可以在路由交換機后臺系統命令行狀態，使用“display dia”之類的命令，查看核心交換機所有交換端口的流量變化狀態，這樣就能找到悄悄進行BT 下載操作的計算機系統。如果想有效控制用戶的惡意下載行為，不妨利用聚生網管、超級網管、網路崗之類的專業工具，來對下載操作進行嚴格控制。

一臺臺終端設備接入到100/1000 Mbps 自適應的交換機一個端口上，連通性正常，但是將安裝有1000 Mbps 網卡的終端設備連到該交換機上時，信號面板上的指示燈顯示狀態不正常，連接狀態不正常。請問這是怎么回事？

答：這種問題多半是配置不當引起的，交換機的端口很可能被強制成100 Mbps 連接模式，在連到1000 Mbps 設備情況下才會出現失去連接故障。要想解決這種問題，可以進入到對應連接端口視圖配置模式下，將交換端口速度恢復成自適應或強制成1000 Mbps。

兩臺H3C 品牌路由交換機在通信連接正常的狀態下，嘗試在其中一臺將對端環回接口設置為bgp 鄰居，可是發現bgp 鄰居無法成功創建，不知道該怎么辦才好？

答：不放先進入路由交換機后臺系統命令行狀態，執行字符串命令“display ip routing-table”，觀察本地路由表有沒有成功學習到對端環回接口路由內容。如果能夠成功學習到的話，繼續利用Ping命令測試對端環回接口的IP地址，看看目標地址能否被正常Ping 通。在測試出連通性正常的情況下，通過“display current-configuration bgp”命令判斷bgp 參數有沒有配置正確，同時判斷有沒有通過“peer peer-address connectinterface”命令將本地環回接口設置作為和對端建鄰居的接口，有沒有在vpnv4 子地址族視圖激活鄰居。之后，在對端pe 查看bgp 信息有沒有配置正確，以及有沒有將本地環回接口設置作為建鄰居的接口，同時查看有沒有配置VPN 能力。

在管理維護Quidway S8500 路由交換機的過程中，有時候，無法查看到OSPF 的鄰接狀態，不知道是什么原因？

答：倘若我們無法從命令的輸出中看到鄰接狀態，那么就證明網絡連接有問題或ACL配置不當。這個時候，可以使用display interface 命令，確認交換端口是否up，line protocol 是否up，如果不正確的話，那就證明網絡鏈路有問題。使用Ping 命令檢查能否Ping 通鄰居路由交換機的接口；要是能Ping 通的話，需要使用display ospf interface命令檢查是否所有的鄰居路由器對應接口上的OSPF 功能是否都啟用了，檢查端口有沒有被設置成passive 接口，因為在OSPF passive 接口上不會發送hello 包。當然，還要對路由交換機的ACL 配置進行檢查。

最近用一臺舊的交換機，將幾臺計算機組建成了簡易的局域網，整個網絡的工作狀態很正常，但個別計算機無法與交換機正常連接，不知道是怎么回事？

答：這是交換機失連方面最常見的問題之一，如果RJ-45 端口或光纖插頭臟了，或許會引起交換端口污染而無法正常連接計算機。還有，平常不少用戶總喜歡在帶電狀態下插拔交換接頭，在理論上好像并沒有什么不妥，但實際上如此操作常常會在無意間增加交換端口的連接故障率。此外，連接交換機與計算機的網絡線纜所用水晶頭如果尺寸偏大，接入交換機時，也很容易破壞交換端口，影響物理連通性；在搬運設備時操作不小心，也容易引起交換端口物理損壞，造成網絡連接不正常。而且，連接在交換端口上的雙絞線，如果有一段暴露在室外，一旦這段區域被雷電擊中，也會影響特定交換端口的連通性。

因此，當出現上述現象時，應該先檢查發生故障的終端計算機，在排除了交換端口所連計算機的自身問題后，不妨嘗試更換所連交換端口，來判斷物理連通性是否正常，如果在更換交換端口后問題立即得到解決時，可以再進一步識別出端口出現問題的具體原因。在確認交換端口存在問題時，可以在網絡訪問空閑時段，關閉交換機電源，用酒精棉球清洗特定交換端口，要是端口確實出現物理損壞，那只能更換新的端口模塊了。

組網規模稍大一點的工作網絡中，往往都部署有DHCP 服務器，來為終端計算機自動分配IP 地址。但現在很多網絡設備都自帶DHCP 服務，當它們接入網絡后，自帶DHCP 服務就可能會無意中干擾合法DHCP服務器運行狀態，從而影響整個網絡的連接性能，請問如何保護合法DHCP 服務器運行穩定呢？

答：很簡單！只要在局域網核心交換機中啟用DHCP 監聽功能，來禁止非信任用戶向網絡發送除上網請求以外的其它DHCP 報文，確保普通網絡設備自帶DHCP 服務不會影響網絡中的合法DHCP 服務器正常工作。比方說，要啟用H3C 路由交換機的DHCP 監聽功能時，不妨先將交換機后臺系統切換到全局視圖模式狀態，輸入“dhcpsnooping”命令按回車后，DHCP監聽功能就會被啟用成功了。一旦開啟了DHCP 監聽功能后，核心交換機日后就能智能監控網絡中傳輸的DHCP 報文，一旦發現非信任端口有除了上網請求類型之外的其他DHCP 報文時，將會強制交換端口自動將其丟棄，這樣非法DHCP 服務器就無法對合法DHCP 服務器造成影響了。

某單位網絡使用了H3C S8500 系列路由交換機上網訪問，幾臺樓層交換機通過多模光纖線路與之接級。為安全起見，網管員將路由交換機上的每個交換端口進行了隔離，保證位于各個樓層的子網都處于不同的工作網段，以前各個樓層上網還算正常。而現在計算機與交換機之間頻繁發生連通性問題，具體現象為：有時打開網頁速度很慢，不過網絡下載速度卻正常，有時什么也訪問不了，不知道這種現象該怎么解決？

答：如果網絡下載速度始終正常，那就意味著大樓網絡數據包轉發沒有任何問題，那么無法訪問網絡內容，多半就是局域網中的DHCP 服務器和DNS 服務器存在問題。此時，可以重點檢查局域網中的DHCP 服務器有沒有正確分配IP 地址，地址租約參數是否設置正確，局域網中是否同時存在其他的小路由器，并且這些設備的自帶DHCP在影響著本地網絡。只有確保DHCP 服務器的唯一，同時參數配置正確，才能讓局域網客戶端獲得有效的上網地址。在確認DHCP 服務沒有問題時，還要檢查局域網中是否有獨立的DNS 服務器，如果有的話，應查看DNS 服務器工作狀態是否穩定，是否和本地ISP 的DNS 服務器更新有關聯；要是使用的是本地ISP 的DNS 服務器，看看是不是本地ISP 的DNS 服務器有問題。

在H3C 路由交換機命令行狀態下，使用“display stp”命令，查看特定交換端口的Stp/Rstp 狀態時，看到指定交換端口失去連接，這時該如何才能恢復目標交換端口的連接性狀態呢？

答：特定交換端口的連接性狀態不正常，往往表現在兩個方面，一是交換端口的forwarding 狀態變成了discarding 狀態，二是交換端口的discarding 狀態變成了forwarding 狀態。對于第一種情況，只要重點檢查目標端口的優先級參數、STP 的cost 值參數是否正常，在這些參數都正常的情況下，再觀察一下指定端口下面是否存在網絡環路現象，一旦發現存在網絡環路時，應該及時排除環路故障，就能將交換端口工作狀態恢復正常。對于第二種情況，主要是觀察交換端口STP 數據報文是否收發正常。

某子網連接到核心交換機的g1/4/16 光端口上，通過路由交換系統訪問Internet，平時該工作子網中的每臺計算機上網連通性很正常。但最近上網速度明顯沒有以前那樣快捷了，剛開始還以為是終端計算機自身連通性不好，采取檢查線路、掃描病毒、優化系統等措施后，網絡連接速度還是很慢，嚴重時還頻繁出現掉線現象，請問怎樣有效應對這種類型故障？

答：首先查看特定工作子網接入交換機與核心交換機之間的物理連接是否牢靠，在物理連接牢靠的情況下，檢查交換端口的工作模式是否匹配，如果不匹配時，或許會要不斷地協商、糾錯，這容易引起網絡傳輸發生丟包現象。要是上面的因素被排除后仍然無法解決問題，很可能是交換端口發生了損壞，比方說，交換端口頻繁遭遇大流量沖擊發生性能老化現象，或者是用戶使用端口的方法不當，從而造成了上網數據嚴重丟包故障，此時只有更換新的端口才能解決問題。

現在多數核心交換機都具有回路監測功能，善于使用該功能，可以快速定位局域網中的回路位置，可是該功能有時不能隨意使用，不知道是什么原因？

答：要是隨意使用這項功能，可能會對其他網段工作狀態造成影響。例如，要是交換機某端口工作在Trunk 模式，那么該端口下面要是包含了多個網段，此時如果隨意啟用回路監測受控功能，那么只要一個網段中存在回路，那么其他網段的工作狀態都會受到影響。一般來說，匯聚層交換機某端口下面連接的交換機支持并啟用回路監測功能時，那么就能將該端口設置成Trunk 模式，并且啟用回路監測功能，不過要關閉回路監測受控功能。如果下掛的交換機不支持回路監測功能，那可以啟用端口回路監測功能，回路監測受控功能也能同時運行。

在一臺安裝了Windows 10系統的終端主機中，系統任務欄明明顯示網絡連接速度為1 Gbps。但是，在實際進行網絡連接時，發現連接速度連百兆網絡的性能都達不到，這是什么原因？

答：造成這種狀態的原因有很多，例如線纜、水晶頭、外界干擾、網絡配置等等。在解決這類故障時，應該先保證使用質量好的物理線纜，同時水晶頭要用原裝AMP 的。其次確保物理線纜不受擠壓，不與其他強電線纜靠在一起，并暫時退出網絡防火墻或病毒程序。第三要確保網卡設備工作模式與所連交換端口模式保持匹配，還要盡可能停用網卡設備的“流控制”功能，同時將綁定在網卡設備上的其他無關協議全部取消掉。

很多惡意用戶經常會向局域網中發送虛假的TC-BPDU 報文，對核心交換機實施欺騙攻擊，如果核心交換機在短時間內接受到太多的TC-BPDU 報文，那么系統就會頻繁刪除MAC 地址列表或ARP 列表操作，這樣的操作很容易引起交換機出現連通性問題，請問怎樣預防這種欺騙攻擊？

答：不妨嘗試配置啟用核心交換機自帶的預防TC-BPDU 報文攻擊保護功能，當啟用了這項功能后，交換機日后接受到TC-BPDU 報文，默認狀態下每隔10 s 刪除一次MAC 地址列表或ARP 列表，避免了頻繁刪除操作消耗太多的系統資源，同時在這段時間內，預防TC-BPDU 報文攻擊保護功能還會同時監控交換機是否接受到其他TC-BPDU 報文，如果接受到的話，就會強制后臺系統在指定時間段后，再刪除一次ARP 列表記錄和MAC 地址列表記錄，確保刪除操作不會太頻繁。在配置這項功能時，可以在系統全局模式狀態下，輸入“stp tc-protection enable”命令即可。

筆者想要實現FEC 功能，嘗試將兩臺交換機的兩對端口用兩條線同時連在一起，不過卻發現每臺交換機始終是其中一個端口能夠連通，另外一個端口不能連通，請問這是不是交換機的端口發生了問題？

答：正常情況下，這種狀態交換機是沒有問題的，因為兩臺交換機是用兩個端口相互連接，所以交換機后臺系統會自動認為是存在網絡回路，于是它就會自動斷掉其中一根，將相應的端口工作狀態關閉掉，這時該端口連通性狀態自然不正常。解決方法是打開交換機后臺系統的Spanning tree 功能(默認狀態下該功能是打開的)，讓交換機知道這兩個連接端口是FEC 功能，邏輯上屬于一個端口。

H3C 路由交換機在連通性正常的情況下，與該交換端口互連的計算機，向路由交換機發送IP 數據報文時，路由交換機無法對其成功轉發，請問如何解決這種故障？

答：首先檢查交換機是否啟用了動態路由功能，一旦看到其還沒有啟用，那肯定就是交換機的靜態路由存在問題。此時，可以嘗試切換到交換機后臺系統指定端口視圖模式狀態，并在命令行狀態下輸入“display ip routingtable protocol static”命令，在結果信息中檢查交換機的靜態路由有沒有配置正確。然后在靜態路由配置正確的情況下，繼續輸入“display ip routing-table”命令，查看指定靜態路由是否工作正常。正常情況下，在靜態路由啟用同時參數配置正確的情況下，路由交換機應該能對數據報文執行轉發操作。

有時，當嘗試從Quidway S8500 路由交換機后臺系統，通過Ping 命令測試網絡中指定主機是否在線時，發現目標IP 地址的連通性一直有問題，不知道是什么原因？

答：首先查看目標主機有沒有關閉Ping 命令測試功能，如果對應系統運行了防火墻或者進行了包過濾，那么核心交換機就可能不能Ping 通對應系統的IP 地址。在排除上述因素后，再查看交換機的參數配置是否正確，如果網絡配置正確，查看指定主機與相連交換端口位于哪個VLAN，該VLAN是否正確配置了接口參數，特別是接口IP 地址與特定主機的IP 地址有沒有被劃分到同一個網段中。最后，可以考慮啟用核心交換機的ARP 調試開關，判斷交換機是否正常發送、接收ARP 報文，一旦看到交換機只能對外發送，而不能接收ARP 報文時，那多半是以太網物理層存在問題。

某用戶在日常維護網絡時，發現H3C S7500E 系列交換機的千兆/百兆SFP 光口無法處于UP 狀態，在排除線路連通性因素后，他懷疑該交換端口的光模塊出現了問題，那怎樣才能判斷光模塊是否工作正常呢？

答：首先可以試著使用“display transceiver alarm interface”命令，檢查特定端口上的光模塊故障告警信息，如果顯示為“None”，就意味著該模塊沒有問題；如果顯示有報警提示，則意味著該光模塊有問題或該模塊與光接口類型不匹配。其次使用“display transceiver interface”命令，看看兩端的光模塊波長、距離等參數是否相同。第三借助光功率計分析測試特定端口收發光功率是否在正常范圍內，是否穩定。如果上述方法仍然無法判斷，只要更換與光接口匹配的光模塊來進行替換排查了。

當遇到無法上網，查看交換機的工作狀態是否正常時，管理員有時會在現場看到交換端口信號燈狀態不正常，而連接到對應端口上的終端計算機自然也不能上網訪問。碰到這類問故障，該怎樣恢復終端計算機的網絡連通性呢？

答：眾所周知，交換機是由管理模塊、堆疊模塊、擴展模塊等多個模塊組合而成的，幾乎每個模塊都有屬于自己的外部接口，這些模塊一旦發生了故障時，我們往往能夠直接通過信號燈狀態來判斷出它們的工作狀態。所以，當看到某個端口的信號燈狀態不正常時，我們可以考慮重新啟動一下交換機后臺系統，看看通過重啟方式能不能解決軟性故障；如果重啟方式無法解決問題的話，我們可以考慮更換交換機的端口模塊，在更換端口模塊時，我們盡量將交換機設備的電源斷開，之后插入新的端口模塊，如果實在無法解決問題的話，我們就只能夠聯系設備供應商了。

某網絡H3C S3100 系列接入交換機下，連接有一臺虛擬機的物理服務器，下連的虛擬機所處子網各不相同，如果希望它們既能與外網保持連通，又能相互之間保持連通，是否需要對交換端口進行單獨的參數配置操作？

答：不需要！只要在物理服務器中進行集中配置就可以實現上述連通目的了，因為每個虛擬機相互之間的連通，都是通過虛擬機軟件的NAT 模式來配置的，與交換端口的配置無關。