安全通報(bào)

公司動(dòng)態(tài) 行業(yè)動(dòng)態(tài) 安全通告

網(wǎng)絡(luò)維保----VLAN網(wǎng)絡(luò)故障排除方法

日期：2018-04-25 16:38:36 投稿人：鄭志彬

VLAN（虛擬局域網(wǎng)），主要作用是可以隔離2層廣播域，增加網(wǎng)絡(luò)安全性，在早期是利用路由器來進(jìn)行隔離的，但成本高，并且單個(gè)端口只能承載單個(gè)VLAN的流量，效率低，應(yīng)用復(fù)雜。

使用VLAN的優(yōu)點(diǎn)：

1.可以有效的帶寬利用。

2.提高了網(wǎng)絡(luò)的安全性。

3.隔離廣播域發(fā)生。

VLAN的范圍：

根據(jù)平臺(tái)和軟件版本不同，Cisco交換機(jī)最多支持4094個(gè)VLAN。

VLAN(0,4095)：保留，僅限系統(tǒng)使用。用戶不能查看。

VLAN 1：CISCO默認(rèn)VLAN，不能刪除。

VLAN 2－1001：用于以太網(wǎng)的VLAN，用戶可自己創(chuàng)建的VLAN

VLAN 1002－1005：用于FDDI和令牌環(huán)的默認(rèn)VLAN，不能刪除。

VLAN 1006－1024：保留，僅限系統(tǒng)使用。用戶不能查看。

VLAN 1025－4094：僅用于以太網(wǎng)的VLAN. 擴(kuò)展的VLAN，只有3550以上的交換機(jī)才能配，且必須將VTP模式設(shè)為透明模式。

VLAN與端口的關(guān)系

ACCESS端口：這種端口只能屬于一個(gè)VLAN，并且從該端口進(jìn)來的數(shù)據(jù)包都不包含TAG標(biāo)記，數(shù)據(jù)包進(jìn)入之后，會(huì)被加上該端口的VLAN ID（加上TAG標(biāo)記）。如果有數(shù)據(jù)需要從這種接口發(fā)送出去，數(shù)據(jù)幀中的TAG標(biāo)記將被刪除。這種端口一般用于連接用戶主機(jī)或路由器。

TRUNK端口：這種端口可以屬于多個(gè)VLAN，或者說這種端口可以傳送多個(gè)VLAN的數(shù)據(jù)幀。從這種端口發(fā)送出去的數(shù)據(jù)幀都包含有TAG標(biāo)記（缺省VLAN ID的數(shù)據(jù)幀除外）；從這種端口接收到的報(bào)文，如果已經(jīng)有TAG標(biāo)記，則直接轉(zhuǎn)發(fā)；如果沒有TAG標(biāo)記，則加上帶有缺省VLAN ID的TAG標(biāo)記。這種端口一般用于連接交換機(jī)或路由器。

HYBRID端口：這種端口可以屬于多個(gè)VLAN。但是與TRUNK端口不同的是它所傳送的數(shù)據(jù)幀，可以包含TAG標(biāo)記也可以不包含TAG標(biāo)記；而TRUNK端口則必須包含TAG標(biāo)記。其發(fā)送數(shù)據(jù)幀時(shí)根據(jù)配置信息進(jìn)行判斷是否加上TAG標(biāo)記；接收數(shù)據(jù)幀時(shí)和TRUNK端口相同。這種端口一般用于連接交換機(jī)。

VLAN故障的分類

1、VLAN用戶隔離不成功；

2、VLAN隔離后不能進(jìn)行任何通信；

3、采用VLAN技術(shù)后，無法進(jìn)行設(shè)備管理。

VLAN故障的解決方法

一、分析數(shù)據(jù)幀的轉(zhuǎn)發(fā)過程，特別是數(shù)據(jù)包攜帶的VLAN ID的變化

二、分析是否VLAN路由存在問題。

案例分析一

(VLAN配置問題導(dǎo)致用戶無法上網(wǎng)）

分析過程：

一、定位故障類型

1. 全網(wǎng)性網(wǎng)絡(luò)故障：其表現(xiàn)為全網(wǎng)性網(wǎng)絡(luò)中斷，可定位故障是出口故障，或者核心區(qū)域故障；

2. 小范圍內(nèi)網(wǎng)絡(luò)故障：如公司同一部門所有主機(jī)都不可以上網(wǎng)，定位故障在離故障源最近的相應(yīng)設(shè)備或者鏈路；

3．單點(diǎn)性網(wǎng)絡(luò)故障：個(gè)別主機(jī)不可上網(wǎng)，可定位故障在故障源本身。

二、逐層分析，定位故障源

1、首先從直連設(shè)備的物理線纜開始排查，檢查電腦網(wǎng)口指示燈是否閃爍，其次檢查交換機(jī)端口狀態(tài)是否開啟，思科交換機(jī)默認(rèn)支持.

#show ip interface brief

#show interface Gi 0/0

2、檢查vlan10主機(jī)和vlan20主機(jī)的網(wǎng)絡(luò)配置選項(xiàng)。

(此處環(huán)境配置了DHCP地址池，網(wǎng)絡(luò)應(yīng)該設(shè)置成自動(dòng)獲取地址)

在命令行模式下查看地址信息情況。Ipconfig/all

Vlan20主機(jī)正常拿到DHCP地址池信息

(Vlan10主機(jī)無法正常拿到DHCP地址池信息)

(分析過程)

以上接入層交換機(jī)配置均正常，無錯(cuò)誤

三、服務(wù)器相鄰設(shè)備的檢查

思路：

檢查DHCP服務(wù)器配置

檢查核心交換機(jī)接口配置

接口GigabitErhernet0/0配置錯(cuò)誤，不應(yīng)該配trunk，此處改為access vlan10即可

（Vlan10主機(jī)可以正常獲取地址）

測試：vlan10主機(jī)可以訪問外網(wǎng)地址，網(wǎng)絡(luò)恢復(fù)正常

總結(jié)：在排查網(wǎng)絡(luò)故障時(shí)候，要明確每一步的做法與思路，知其然，知其所以然。網(wǎng)絡(luò)不會(huì)有無緣無故的故障，網(wǎng)絡(luò)不會(huì)有解決不了的問題。推薦大家使用分段法來排查網(wǎng)絡(luò)故障，從故障源開始分析，逐層突破，相信問題就可以迎刃而解，相關(guān)技術(shù)經(jīng)驗(yàn)就豐富了。

網(wǎng)絡(luò)維保----VLAN網(wǎng)絡(luò)故障排除方法

日期：2018-04-25 16:38:36 投稿人：鄭志彬

安全服務(wù)

運(yùn)維服務(wù)

聯(lián)系我們