下面是小编为大家整理的快速解决交换机故障 提高网络运行效率(共含7篇),欢迎阅读与收藏。同时,但愿您也能像本文投稿人“北琦玉布鲁斯”一样,积极向本站投稿分享好文章。
为了提高局域网的运行维护效率,我们需要在平时积累各种交换机故障排除经验,以便在遇到故障时,能够快速地将交换机的故障解决掉;这不,本文特意为各位朋友贡献了几则交换机的故障解决技巧,希望这些内容能给大家带来帮助!
1. 解决重新设置VLAN麻烦
在管理维护单位局域网网络的时候,要是连接普通交换机的级联端口发生改变时,那么之前在该交换机系统中划分设置的VLAN往往就无法正常发挥作用了,如此说来,难道我们只有重新划分设置VLAN吗?如果真是这样的话,那网络维护工作量显然是很大的;其实,在改变普通交换机的级联端口后,我们只需要进入交换机的后台管理界面,修改一下级联端口的工作模式,以便让所有的VLAN访问都能通过,这样的话就能避免重新设置VLAN操作了。现在我们就以某单位的局域网为例,来向各位详细介绍一下交换机的具体设置步骤:
假设该单位局域网共有6个VLAN,其中S1交换机位于A子网中,S2交换机位于B子网中;最近单位新购买了几台工作站,现在需要把S1交换机移动到B子网中,而之前S1交换机是在端口24上用光纤线缆与单位局域网的核心交换机直接相连的。为了避免在交换机系统中重新划分VLAN,我们可以改变S1、S2交换机的端口工作模式。例如,我们可以先查看一下S1交换机的端口设置情况;在进行这种检查时,可以先通过telnet命令远程登录到交换机的后台管理界面,并执行字符串命令“display interfaces”,这样我们就能查看到该交换机各个端口的具体配置情况了。从上述命令返回的结果中,我们看到与S2交换机保持级联关系的S1交换机26端口状态为“interface ethernet0/26,port access vlan 2”,通过该状态我们不难明白S1交换机只属于VLAN2,也就是说该交换机只允许来自VLAN2中的工作站通行,其他VLAN中的工作站都无法通行;当S1交换机改变摆放位置后,它肯定会位于新的VLAN中,为了让新VLAN中的所有工作站都能通行,我们需要在这里将S1交换机的26端口工作模式修改为“trunk”,这样一来S1交换机就不需要重新划分设置VLAN,就能让新VLAN中的所有工作站都可以通行了。
也许有不少用户会感到纳闷,为什么S1交换机之前可以和单位局域网网络正常通信呢?原来S1交换机之前是通过光纤线缆与单位核心交换机相连的,那个光纤连接端口的工作模式已经被设置为了“trunk”,当S1交换机的摆放位置发生变化后,由于没有使用光纤线缆来连接交换机,所以对应的光纤连接端口也就没有作用了。
在修改S1交换机的26端口工作模式时,我们可以先远程登录进该交换机的后台管理界面,并在该界面的命令行中执行字符串命令“system”,将S1交换机的工作状态切换到系统配置状态,接着执行“interface ethernet 0/26”命令进入S1交换机的第26号连接端口配置状态,再在该状态下输入字符串命令“port link-type trunk”,单击回车键后,S1交换机的26号连接端口工作模式就被成功修改成“trunk”类型了;为了让局域网中的所有VLAN都能通过该端口访问S1交换机,我们还需要执行字符串命令“port trunk permit vlan all”,以便指定26号连接端口允许来自所有VLAN中的工作站访问。按照同样的操作,我们可以修改S2交换机的级联端口工作模式,确保局域网中的所有工作站都能访问S2交换机,
2. 解决主机无法Ping通故障
在管理维护网络时,我们时常会在交换机上对局域网中的某台主机IP地址进行Ping命令测试,在测试过程中要是遇到目标主机IP地址无法被Ping通的故障现象时,我们究竟该如何来排除呢?在确认目标主机已经开通电源,并且该系统自身工作状态一切正常的情况下,我们可以在交换机中进行如下排查操作:
首先通过telnet命令登录进目标交换机后台管理界面,在该界面的命令行中执行字符串命令“display interfaces”,从其后弹出的结果界面中看看目标主机与本地交换机所连端口的IP地址是否处于同一个网段,或者检查本地交换机指定连接端口的工作模式是否为“trunk”类型,如果这些参数设置不正确的话,我们必须及时将它们修改过来。
其次执行字符串命令“display arp”,从弹出的结果界面中仔细检查本地交换机管理维护的ARP表内容是否设置正确,一旦发现有不正确的记录或条目,必须及时将它修改过来。
接着检查本地交换机连接目标主机的通信端口处于哪一个虚拟子网中,找到对应的虚拟子网后,查看该虚拟子网有没有正确配置VLAN通信接口,要是已经配置了的话,我们不妨再检查该VLAN通信接口的IP地址是否和目标主机的IP地址位于相同的工作子网中,如果发现配置不正确的话,必须及时修改过来。
要是上面的各项配置参数都正常的话,本地交换机还无法Ping通局域网中的目标主机地址时,那我们不妨在本地交换机系统中启用ARP调试开关,以便详细地检查本地交换机是否能够正确地发送ARP报文和接受ARP报文,要是本地交换机只能对外发送ARP报文而无法从外面接受ARP报文时,那故障原因很可能出在以太网的物理链路层,此时我们需要重点对物理链路层进行检查。
3. 解决IP报文无法转发故障
单位局域网中的某台二层交换机没有配置安装动态路由协议,在对它进行管理维护时,我们发现该交换机的接口链路层协议状态以及该接口的物理状态全部都显示为UP,可是该交换机就无法正常转发来自局域网工作站中的IP报文。那么这种故障现象是怎么出现的呢,我们又该如何快速有效地解决该交换机故障呢?
如果本地交换机的接口链路层协议状态以及该接口的物理状态全部都显示为UP,而交换机无法正常转发IP数据报文时,那多半是本地交换机指定协议发现路由参数没有设置正确,或者是本地交换机的静态路由没有设置生效。此时,我们可以利用telnet命令远程登录进目标交换机后台管理界面,并进入到命令行状态,输入字符串命令“display ip routing-table protocol static”,单击回车键后来查看本地交换机有没有正确配置静态路由,要是没有配置的话需要及时重新进行配置;
在确认上面的配置正确后,再执行字符串命令“display ip routing-table”,来检查本地静态路由有没有设置生效,要是没有生效的话需要重新启用并设置好静态路由,如此一来就能解决IP报文无法转发的故障了。
4. 解决数据严重掉包故障
近日,单位中的一处室向网络管理员反映,他们处室中的部分工作站访问服务器的速度很慢,向服务器上传或下载文本文件时的速度还可以,要是向服务器传输一些容量较大的多媒体信息时,那速度就非常缓慢,有时干脆就连接不上。为此,网络管理员先使用ping命令在其中一台故障工作站对服务器的连接情况进行了一下测试,测试结果表明有时部分数据包存在特别大的延时现象,并且网络传输存在严重的掉包现象。由于该处室的网络拓扑结构是所有工作站全部通过普通双绞线连接到10M集线器上,这个10M集线器再级联到单位局域网的核心交换机上,核心交换机的所有通信端口全部处于10M/100M自适应工作状态,服务器也是直接连接到该交换机中的。
一、利用交换机空闲端口来分析网络流量
当出现网络堵塞或者其他问题时,我们首先需要对一些数据流量进行分析。只有在分析的基础上,我们才能够对症下药,迅速解决问题。为此,笔者平时在遇到交换机故障时,就喜欢在交换才的空闲端口接入一个检测工具,如协议分析仪器。把协议分析仪器直接连接到交换机的空闲端口,如此的话,在不用中断当前服务的情况下,就可以查看交换机所在的广播域。网络管理员可以借此来判断是否是因为广播域过多引起了网络故障。
不过,在实际工作中,这里还有一个小技巧要注意。我们都知道,交换机是属于网络设备的二层设备,其会转发广播域,但是,不会转发其他流量。也就是说,交换机是属于一个大的广播域,而不是冲突域。所以,交换机几乎不转发任何有价值的流量到那个被监测的端口。交换机会直接把数据流量转发到其对应的目的端口。往往在这些空闲端口中,协议分析仪器只能够监测到广播包,而几乎监测不到其他的信息流量。因为转发到空闲端口(监测端口)的流量几乎全部都是广播,包含一些零星的目的地址不明的帧。这些零星的帧是由于路由转发表老化的结果。可见,如果不做过特殊的处理,在空闲端口上即使连接上监测设备,也只能够发现无穷的广播包,而不能够监测到其他有价值的信息流量。
而最昂贵的监测设备也必须在有流量的情况下,才能够帮助我们管理员找到问题的症结所在。在没有有价值的流量情况下,这些监测设备也无能为力。为此,我们网络管理员就需要想方设法,然这个空闲的端口,也能够收到其他端口经过的流量。
此时,端口镜像技术就可以帮我们有效的解决这个问题。端口镜像是指把某些端口的流量备份到一个空闲的端口,让空闲端口拥有企图端口相同的信息流量。思科的交换机基本上都有拥有这种技术。思科的交换机可以把监测工具接入到一个专门处理过的空闲端口。在思科比较早的版本中,可能对这个端口还有限制。不过在现在市场上流通的交换机,可以通过对任何一个空闲的交换机端口进行配置,实现端口镜像技术。
不过,另外还需要注意一个问题。就是交换机在转发流量的时候,为了提高转发的效率,往往把一些错误的包与信息直接过滤掉了。在平时,这明显可以提高交换机数据转发的效率。但是,我们网络管理员在故障排查的时候,可不希望看到这种情况。因为这些错误信息可能可以反映出问题的症结所在。若以在网络故障排查的时候,要注意对交换机的这个配置进行更改,
不过,故障排除完毕之后,要及时的把这个参数更改回去。
还有在对镜像端口进行监测的时候,还需要注意一个丢包的问题。监测端口的输出能力往往是影响最终排错效果的一个很重要的因素。镜像端口跟普通的交换机端口一样,可以收,也可以发。不过为了简化监测数据的结果,我们在配置镜像端口的时候,往往会关掉监测端口的发送数据包功能。而让监测器只分析接收的信息流量。虽然如此配置,但是镜像端口的接收能力仍然会有比较大的限制。如果被监测的全双工端口的速率和镜像端口是一样的花,则交换机在转发流量的时候,镜像端口很容易丢包。被监测端口过好的信息流量有可能会超过镜像端口的接收能力。所以,虽然说在理论上可以拿任何一个空闲端口作为镜像端口。不过为了减少丢包情况的发生,网络管理员在配制镜像端口的时候,还是需要有一定的选择。如至少要保证镜像端口的性能要比被监测端口高。如此才能够保证监测器得出一个正确的结果。
所以,为了减少监测端口丢包现象的发生,笔者有两个建议。一是不要把多个被监测端口的信息流量镜像到一个端口中,这会更加恶化丢包现象。二是在选择镜像端口时,最好选择一个高速的空闲端口作为监测端口。
二、利用一层设备来帮助监测器进行工作
既然交换机是属于二层设备,不能够转发所有的信息流量。那么我们就思考,能否利用一个一层设备,如集线器,来帮助监测器来收集所需要的信息呢?其实,现在不少企业的网络就是一个大的广播域。如我们在中间的一个关键环节中,加入一个集线器。然后把网络监测器连接到这个集线器的空闲端口中。如此的话,就不需要配置镜像端口,就可以让网络监测器收集到其所需要的网络流量。
利用这种方法的难度,主要在于网络管理员要选择一个合适的位置来放置这个集线器。若选择的不当的话,网络监视器仍然不能够收集到其所需要的内容。现在大部分的企业,所采取的网络应用都是基于服务器/客户端或者服务器/浏览器模式。这跟以前的网络部署模式不同。以前企业在部署网络的时候,可能每台主机都会设置共享文件夹,供其他员工访问。但是现在不同。为了提高企业文件的安全性与共享程度,网络管理员往往会部署一台专门的文件服务器来管理这些共享文件。通过统一的备份与文件访问授权方案来提高文件的安全性。
此时,企业服务器与客户段之间的流量往往是最集中的。若网络管理员把集线器部署在服务器一端,并把网络监测器放在这个集线器的空闲端口上,无疑可以监听到大部分的网络流量。从而让网络监视器能够得出一个相对合理的诊断结果。在服务器一端部署集线器等一层网络设备,可以帮助网络管理员收集到用户登录失败、访问冲突、数据包丢失、认证失败等数据流量,从而为我们解决问题提供数据上的支持。特别是通过这种方式,我们可以判断出是否是在交换机端出现了故障,还是在其他层面出现了问题。俗话说,不识庐山真面目,只缘生在此山中。有时候,脱离交换机去查找网络故障,反而可以帮助我们网络管理员迅速定位交换机故障。另外,到目前为止,这也可以说是笔者了解的唯一一种可以在交换网络环境中实际查看和分析物理地址层错误的方法。通过这种方法,可以发现交换机等网络设备是否存在着地址解析方面的错误。特别是对于发现ARP攻击具有非常好的效果。不过采用集线器来判断思科交换机的故障,仍然有一些缺陷。
交换机设备是局域网中的重要设备之一,它的工作状态与局域网的工作状态息息相关,可是,质量再好的交换机,持续运行的时间长了,也会出现这样或那样的故障,这些故障要是不能被快速解决掉,显然会影响局域网的运行稳定性。为了帮助各位朋友快速、有效地发现和解决交换故障,本文现在就对交换机各类常见故障现象进行解读,并将相关故障排除方法与大家分享一下。
解决交换端口故障
一般来说,交换端口故障往往是由于交换机与其他连接设备在传输模式和传输速度等方面的参数无法保持匹配造成的,毕竟型号不同的网络设备,它们的默认端口参数可能会设置成不一样,或者是同一品牌不同型号的设备由于使用了不同的硬件芯片,造成交换端口与其他连接端口之间的协商能力不强,或者是交换端口与其他连接端口由于参数设置不匹配,造成端口通信时无法自动协商成功,从而引发了交换端口工作不正常、无法正常传输数据的故障现象。对待由模式和速度不匹配引起的交换端口故障,我们只需要采用手工方法,进入交换机后台管理系统,进入对应交换端口视图配置界面,修改交换机的工作模式和传输速度等参数,让其与对端连接端口的工作模式和传输速度保持匹配,就能解决网络故障了。当然,有的交换机不支持后台系统管理功能,在这种情形下,我们可以尝试修改对端设备的相关参数,来让该设备的端口参数与交换端口保持匹配;例如,要是网卡与交换机之间相连时,我们可以在客户端系统修改网卡端口的工作模式参数;在进行这种操作时,我们可以依次单击“开始”/“设置”/“网络连接”命令,弹出网络连接列表窗口,右击与交换机直接相连的本地连接图标,并点选快捷菜单中的“属性”命令,打开本地连接属性设置对话框,选中目标网卡设备,单击“配置”按钮,进入目标网卡设备的配置界面,继续单击“高级”标签,在对应标签设置页面中,我们就能修改网卡设备的工作模式和传输速度了。
除了端口参数不匹配会引起交换端口故障外,网络环路也会造成交换端口发生“堵死”现象。例如,当网络管理员由于连线不当,或者由于其他方面的原因,造成了某个交换端口下面的工作子网中出现了网络环路现象,这时目标交换端口就会不停地受到大容量数据信息的冲击,最终该交换端口会被大容量数据包给“顶死”。要想快速解决由网络环路引起的交换端口故障,我们可以巧妙地利用智能交换机自带的环路检测功能,来自动侦测各个交换端口下面是否存在网络环路现象,一旦发现某个交换端口下面的确有网络环路时,我们可以及时进入对应交换端口视图配置状态,并在该状态下执行“shutdown”命令,暂时关闭该交换端口的工作状态,确保整个局域网的运行不被受到冲击。要查看某个交换端口下面的工作子网是否存在网络环路现象时,我们只要在对应交换端口的视图配置状态下,执行字符串命令“ display loopback-detection”,就能查看到目标交换端口下面的虚拟工作子网中是否存在网络环路了;当然,在查看交换端口下面是否存在网络环路之前,我们首先要将目标交换端口的环路测试功能启用起来,要启用该功能时,我们只要执行“enable loopback-detection”字符串命令就可以了。
解决网络连通性故障
在管理局域网的过程中,我们时常会遇到连接交换机的物理线缆发生各式各样的问题,例如光纤线缆或网络双绞线自身发生短路或断裂现象,或者是光纤收发连接不正确,或者是选用了错误的网络线缆类型,也有可能是类似光纤转换器这样的中间传输设备工作状态不正常,或者是网络线缆的长度超过了规定的范围等等,
在解决网络连通性故障时,我们可以首先尝试通过观察交换机控制面板上的信号灯状态,来判断网络故障是否真的是由连通性问题引起的;一般来说交换机的line信号灯被点亮的话,就说明网络线路处于连通状态,要是line信号灯处于熄灭状态的话,就说明网络线路没有连通,如果active信号灯处于不停闪烁状态时,那就说明当前线路上有数据在收发,否则的话就说明当前线路上没有数据在收发。
要是我们无法读懂交换机控制面板中的信号灯状态信息时,可以交换机后台管理系统,查看对应连接端口的状态信息,看看目标交换端口的工作状态究竟是“down”还是“up”,如果目标交换端口处于“up”状态,那就意味着对应交换端口的网络连通性是正常的,否则的话就可能存在网络连通性问题;例如,在查看e0/12连接端口的状态信息时,我们可以先进入交换机后台管理系统,在该系统下执行“interface e0/12”字符串命令时,进入e0/12连接端口的视图模式配置状态,在该状态下执行“display interface e0/12”字符串命令,在其后返回的结果信息中我们就能查看到e0/12连接端口的启用状态了。
当确认网络连通性真的存在问题时,我们应该先使用专业的线缆测试仪器,来对网络线缆的连通性进行检查,对光纤线路可以采用专业的光功率计来进行检查,如果网络线缆或光纤线路真的存在问题,我们只要替换使用新的线路就能解决问题了;当发现线路连通性不存在问题时,那我们可以继续使用替换法,来检查交换机的连接端口、插卡、槽位以及整机,直到排除网络连通性故障为止。
解决无法Ping通故障
在排查网络故障的时候,我们有时需要在交换机后台系统,使用ping命令测试局域网中的重要主机系统的网络连通性,在测试过程中如果发现重要主机系统的IP地址不能被正常Ping通时,我们该采取什么措施来快速排除这种故障呢?在确认重要主机系统运行状态正常,并且已经接入网络的情况下,我们不妨在交换机后台系统中进行下面的排查操作:
首先进入重要主机系统与交换机相连的那个端口视图模式状态,在该状态下使用“display interfaces”字符串命令,来查看对应交换端口是否工作在“trunk”模式状态下,一般来说“trunk”模式状态会允许任何工作子网的计算机访问通过,如果发现目标交换端口的链路类型不是“trunk”类型,那么我们可以在对应端口的视图模式状态下,执行“port link-type trunk”字符串命令,就能将目标交换端口的链路类型设置成“trunk”类型了。
其次在目标交换端口的视图模式状态下执行“display arp”字符串命令,从其后返回的结果信息中仔细检查本地交换机管理维护的ARP表内容有没有设置正确,如果看到有不正确的记录或条目,我们应该必须及时将它调整过来。
下面需要认真检查交换机连接重要主机系统的端口处于哪一个工作子网中,找到对应的工作子网后,检查对应工作子网是否正确配置了VLAN接口参数,如果发现已经配置了的话,再看看对应VLAN接口的IP地址与重要主机系统的IP地址是否处于同一网段,如果不在同一网段的话,应该及时调整过来。
目前使用交换机的用户非常多,同时也会出现很多问题,这里我们主要分析了如何快速解决交换机故障,为了提高局域网的运行维护效率,我们需要在平时积累各种交换机故障排除经验,以便在遇到故障时,能够快速地将交换机故障解决掉;这不,本文特意为各位朋友贡献了几则交换机故障解决技巧,希望这些内容能给大家带来帮助!
1. 解决重新设置VLAN麻烦
在管理维护单位局域网网络的时候,要是连接普通交换机的级联端口发生改变时,那么之前在该交换机系统中划分设置的VLAN往往就无法正常发挥作用了。如此说来,难道我们只有重新划分设置VLAN吗?如果真是这样的话,那网络维护工作量显然是很大的;其实,在改变普通交换机的级联端口后,我们只需要进入交换机的后台管理界面,修改一下级联端口的工作模式,以便让所有的VLAN访问都能通过,这样的话就能避免重新设置VLAN操作了。现在我们就以某单位的局域网为例,来向各位详细介绍一下交换机的具体设置步骤:
假设该单位局域网共有6个VLAN,其中S1交换机位于A子网中,S2交换机位于B子网中;最近单位新购买了几台工作站,现在需要把S1交换机移动到B子网中,而之前S1交换机是在端口24上用光纤线缆与单位局域网的核心交换机直接相连的。为了避免在交换机系统中重新划分VLAN,我们可以改变S1、S2交换机的端口工作模式。例如,我们可以先查看一下S1交换机的端口设置情况;在进行这种检查时,可以先通过telnet命令远程登录到交换机的后台管理界面,并执行字符串命令“display interfaces”,这样我们就能查看到该交换机各个端口的具体配置情况了。
从上述命令返回的结果中,我们看到与S2交换机保持级联关系的S1交换机26端口状态为“interface ethernet0/26,port access vlan 2”,通过该状态我们不难明白S1交换机只属于VLAN2,也就是说该交换机只允许来自VLAN2中的工作站通行,其他VLAN中的工作站都无法通行;当S1交换机改变摆放位置后,它肯定会位于新的VLAN中,为了让新VLAN中的所有工作站都能通行,我们需要在这里将S1交换机的26端口工作模式修改为“trunk”,这样一来S1交换机就不需要重新划分设置VLAN,就能让新VLAN中的所有工作站都可以通行了,
也许有不少用户会感到纳闷,为什么S1交换机之前可以和单位局域网网络正常通信呢?原来S1交换机之前是通过光纤线缆与单位核心交换机相连的,那个光纤连接端口的工作模式已经被设置为了“trunk”,当S1交换机的摆放位置发生变化后,由于没有使用光纤线缆来连接交换机,所以对应的光纤连接端口也就没有作用了。
在修改S1交换机的26端口工作模式时,我们可以先远程登录进该交换机的后台管理界面,并在该界面的命令行中执行字符串命令“system”,将S1交换机的工作状态切换到系统配置状态,接着执行“interface ethernet 0/26”命令进入S1交换机的第26号连接端口配置状态,再在该状态下输入字符串命令“port link-type trunk”,单击回车键后,S1交换机的26号连接端口工作模式就被成功修改成“trunk”类型了;为了让局域网中的所有VLAN都能通过该端口访问S1交换机,我们还需要执行字符串命令“port trunk permit vlan all”,以便指定26号连接端口允许来自所有VLAN中的工作站访问。按照同样的操作,我们可以修改S2交换机的级联端口工作模式,确保局域网中的所有工作站都能访问S2交换机。
2. 解决主机无法Ping通交换机故障
在管理维护网络时,我们时常会在交换机上对局域网中的某台主机IP地址进行Ping命令测试,在测试过程中要是遇到目标主机IP地址无法被Ping通的交换机故障现象时,我们究竟该如何来排除呢?在确认目标主机已经开通电源,并且该系统自身工作状态一切正常的情况下,我们可以在交换机中进行如下排查操作:
首先通过telnet命令登录进目标交换机后台管理界面,在该界面的命令行中执行字符串命令“display interfaces”,从其后弹出的结果界面中看看目标主机与本地交换机所连端口的IP地址是否处于同一个网段,或者检查本地交换机指定连接端口的工作模式是否为“trunk”类型,如果这些参数设置不正确的话,我们必须及时将它们修改过来。其次执行字符串命令“display arp”,从弹出的结果界面中仔细检查本地交换机管理维护的ARP表内容是否设置正确,一旦发现有不正确的记录或条目,必须及时将它修改过来。
接着检查本地交换机连接目标主机的通信端口处于哪一个虚拟子网中,找到对应的虚拟子网后,查看该虚拟子网有没有正确配置VLAN通信接口,要是已经配置了的话,我们不妨再检查该VLAN通信接口的IP地址是否和目标主机的IP地址位于相同的工作子网中,如果发现配置不正确的话,必须及时修改过来。
交换机是局域网中的一种核心的网络终端,那么维护好交换机系统也变得十分的重要了,为了让局域网网络能够更稳定地工作,我们时常需要对交换机设备进行合理调教,确保该设备始终能够高效地运行,
定期升级让交换机永葆活力
笔者曾经遭遇一则网络频繁中断故障,每次只有重新启动交换机系统才能解决问题;在仔细排查流量异常、网络病毒等因素后,又请ISP运营商对上网线路进行了测试,结果显示上网线路也没有任何问题。
在毫无头绪的情况下,笔者突然想起该交换机设备已经连续工作了很多年,软件系统的版本比较低,会不会是由于版本太低的原因导致了交换机系统活力不足呢?为了验证自己的猜测是否正确。
笔者立即以系统管理员身份登录进入交换机后台管理界面,在该界面的命令行状态下执行了“displaycpu”命令,发现交换机系统的CPU 占用率一直在95%以上,这难怪连接到该交换机中的工作站不能上网了;
之后,笔者又在命令行状态下执行了“displayversion”命令,从其后的结果界面中,笔者发现交换机系统的VRP平台软件版本果然比较低,马上到对应交换机设备的 中下载最新版本的平台软件,并开始对交换机系统软件进行升级。
由于单位使用的交换机支持远程管理功能,为此笔者采用了最为常见的FTP方式进行升级的;在正式升级之前,笔者先查看了一下目标交换机 Flash存储器的剩余空间大小,要是剩余空间不多的话,需要删除一些过时的文件,不然的话最新的交换机升级包程序将无法上传到交换机系统中。
在确认Flash存储器剩余空间足够后,笔者将自己使用的普通工作站当成是FTP服务器,将交换机设备看成是客户端系统,如此一来笔者不需要对交换机设备进行任何配置,就能很轻易地架设好一台FTP服务器了,此时笔者就能从交换机上登录到FTP服务器上,利用FTP命令将事先下载保存到本地普通工作站上的最新VRP平台软件下载保存到交换机的Flash存储器中了。
为了防止平台软件升级失败,笔者又对原始的交换机配置文件备份了一下,毕竟交换机设备从低版本升级到高版本时,由于命令行上的差异,可能会造成部分交换机配置信息发生丢失,这个时候对旧配置文件进行备份是相当有必要的。
3lian素材
之后,笔者使用boot命令,指定交换机系统在下次启动时自动调用最新的平台软件,当交换机系统重新启动成功并更新好了VRP平台软件后,又对照以前的配置将交换机系统重新配置了一下,交换机的工作状态立即恢复正常了。
而且很长一段时间后,笔者发现该系统的CPU占用率一直为15%左右,这说明交换机平台软件升级到最新版本后,确实可以让交换机永葆活力,
所以,当局域网交换机工作状态一直不稳定时,我们应该及时检查一下对应平台软件的版本高低,一旦发现交换机系统版本较低时,必须及时对其进行升级,这样能够解决许多由交换机自身性能引起的隐性故障现象。
搜集可疑流量。一旦可疑流量被监测到,我们需要捕获这些数据包来判断这个不正常的流量到底是不是发生了新的蠕虫攻击。正如上面所述,Netflow并不对数据包做深层分析。
我们需要网络分析工具或入侵检测设备来做进一步的判断。但是,如何能方便快捷地捕获可疑流量并导向网络分析工具呢?速度是很重要的,否则你就错过了把蠕虫扼杀在早期的机会。除了要很快定位可疑设备的物理位置,还要有手段能尽快搜集到证据。
我们不可能在每个接入层交换机旁放置网络分析或入侵检测设备,也不可能在发现可疑流量时扛着分析仪跑去配线间。有了上面的分析,下面我们就看如何利用Catalyst的功能来满足这些需要!
检测可疑流量Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能,采集流经网络的流量信息。这些信息采集和统计都通过硬件ASCI完成,所以对系统性能没有影响。 Catalyst 4500 Sup V-10GE缺省就带了Netflow卡,所以不需增加投资。
追踪可疑源头,Catalyst 集成的安全特性提供了基于身份的网络服务(IBNS),以及DHCP监听、源IP防护、和动态ARP检测等功能。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息,同时防范IP地址假冒。这点非常重要,如果不能防范IP地址假冒,那么Netflow搜集到的信息就没有意义了。
用户一旦登录网络,就可获得这些信息。结合ACS,还可以定位用户登录的用户名。在Netflow 收集器(Netflow Collector)上编写一个脚本文件,当发现可疑流量时,就能以email的方式。
把相关信息发送给网络管理员。在通知email里,报告了有不正常网络活动的用户CITG, 所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.252.240.10,物理接口是 FastEthernet4/1.
另外还有客户端IP地址和MAC地址 ,以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量。掌握了这些信息后,网管员就可以马上采取以下行动了:通过远程SPAN 捕获可疑流量。Catalyst接入层交换机系统上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上。
例如将接入层交换机系统上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口,只需非常简单的几条命令即可完成。流量被捕获到网络分析或入侵检测设备(例如Cat6500集成的网络分析模块NAM或IDS模块),作进一步的分析和做出相应的动作。
笔者单位通过楼层交换机,接入到一个与Internet网络完全物理隔离的电子政务内网中,进行网上办公;整个行政大楼中的其他单位也是通过相同的方式,连接到电子政务内网平台,进行行政审批、行政处罚以及电子监察这方面的行政权力运行事项,为了保证电子政务内网平台能够高效、稳定运行,大楼网络管理员几乎每天都要对分布在各个楼层中的网络设备进行巡检,以便及时发现各种可能存在的问题。
交换机无故重启
近日,大楼网络管理员在进行正常巡检时,发现位于四楼的某交换机所有端口信号灯都不亮,而且该交换机的电源指示灯也没有被点亮,连接到该楼层交换机上的所有客户端系统都不能正常上网;经过仔细检查,网络管理员发现该交换机的电源输入模块可能存在问题,造成输入电源无法为该交换机正常供电。对于这样的硬件故障,短时间内只有重新更换新的交换机,才能解决客户端系统不能正常上网故障;想到做到,网络管理员立即从仓库里找来备用的同型号交换机,赶到故障现场,连上物理线缆并接通电源进行启动,原以为经过这样简单的设备替换操作之后,网络故障能够立即得到解决;可是,在替换交换机的过程中,网络管理员发现每次交换机启动稳定没有多长时间,它又会莫名其妙地重新启动,这是怎么回事呢,难道这个备用的同型号交换机也出现了问题?由于这个备用的交换机放在大楼网络管理中心的仓库里,已经有一年多的时间了,之前曾经测试过,该备用交换机的工作状态是正常的,于是就将它留在手头,以备日后不测之需;现在好不容易有了用武之地,怎么到了关键时候,这个备用设备就掉链子呢?于是,网络管理员决定好好地对这个备用交换机,进行一下全方面的检查、测试,看看究竟是真病还是在装病。
追踪故障原因
由于备用交换机连接到大楼电子政务内网平台之后,经常发生无故重新启动现象;为了方便追踪故障原因,网络管理员特地将它从电子政务内网网络中断开,并用笔记本电脑通过console控制端口单独与它进行连接。在连接好物理线缆后,网络管理员在自己的笔记本电脑中,依次单击“开始”/“程序”/“附件”/“通讯”/“超级终端”菜单选项,打开超级终端程序界面,在该界面中创建一个与备用交换机直接通信的超级终端连接,在备用交换机刚刚启动稳定的那一刻,进入超级终端控制窗口;当备用交换机再次重新启动时,网络管理员在超级终端控制窗口中,看到交换机后台系统提示说在启动过程中遇到了一个总线型故障,或许就是这个总线型故障造成了备用交换机不能长时间稳定工作。
起初的时候,网络管理员怀疑备用交换机的系统映像文件存在问题,造成了交换机的后台系统不能正常启动运行;现在,通过在超级终端控制窗口中对交换机的启动过程进行监控,网络管理员发现交换机的系统映像文件已经被成功装载,并且已经启动运行,这说明交换机无故重启故障与系统映像文件没有任何关系,这也用不着从网上下载更新最新版本的系统映像文件了,
既然备用交换机在启动过程中存在一个总线故障,那问题多半出在交换机的总线上;考虑到总线一般位于交换机的主板中,网络管理员下意识地认为交换机的主板可能存在问题,多年来的维修习惯,促使网络管理员决定打开备用交换机的外壳,看看对应主板是否存在明显的问题。想到做到,网络管理员立即找来螺丝刀,拧开交换机背面的所有螺丝钉,移走交换机外壳,取出交换机的主板,借助放大镜仔细观察了主板上的每一个电子元件,发现它们都没有明显的烧毁迹象,只是每一个电子元件表面都覆盖了比较多的灰尘,难道是这些灰尘在暗中“捣乱”?为了排除灰尘因素,网络管理员决定还是先将覆盖在主板元件表面的灰尘清洁干净;说到做到,网络管理员立即动手,拿来了专门清洁电脑主板灰尘的细软小毛刷,认认真真地对主板的各个“角落”进行了一次全面、彻底地大扫除。
在确认灰尘被清洁干净之后,网络管理员又按照正确的操作方法,小心翼翼地将交换机的主板恢复原位,同时安装好交换机外壳,并且拧紧固定螺丝;接着,连接好物理线缆,同时接通交换机的输入电源,通过超级终端监控窗口进行观察,网络管理员看到交换机这次启动顺序一切正常,并且能够进入交换机后台配置界面了,这下让网络管理员感觉到非常意外。由于在这次启动过程中,网络管理员没有发现系统提示说有总线型错误,难道清除了覆盖在交换机元件表面的灰尘后,交换机的工作状态真的正常了?网络管理员还是有点不放心,他再次切断备用交换机的电源,过一段时间后,重新接通它的连接电源,让交换机系统进行重新启动,在启动过程中他通过超级终端程序窗口监控到交换机引起顺序正常,同时也没有发现总线型错误的提示,看来问题真的是由覆盖在交换机电子元件表面的灰尘引起的。
故障总结反思
经过仔细分析,网络管理员认为一直存放在大楼机房仓库的备用交换机,之所以不断地进行重新启动,就是由于不起眼的灰尘惹的祸。经过检查发现,大楼机房仓库的卫生环境很差,自大楼建好以后,这个仓库几乎就没有怎么打扫过,里面的地板、墙壁以及其他各个角落,到处都布满了灰尘,人在仓库的地板上走动时,都能留下很清晰的脚印;在这种灰尘漫舞的环境下,备用交换机由于包装好,灰尘趁机“溜”到交换机机箱内部,覆盖在电子元件表面。再加上平时大楼机房仓库通风效果不好,备用交换机在里面放置的时间比较长,这样就导致电子元件表面的灰尘是越来越多,而且灰尘在吸收了空气中的水蒸气后,造成电子元件表面变得很潮湿,所以当日后网络管理员接通交换机电源后,就容易出现类似总线错误的故障,严重的时候,能直接烧毁交换机的电子元件。如此看来,空气中的灰尘虽然不是十分起眼,但是它对交换机之类的网络设备的影响是很大的。
为了保证局域网网络能够始终稳定地运行,我们建议各位网络管理员在做好网络的管理、维护工作外,也需要做好定期对网络设备进行清洁卫生的工作,同时保证网络设备能够一直工作在一个整洁、干净的环境中,此外还需要对一直存放的备用网络设备进行定期通电测试,以避免上述故障再次发生。
在规模较大的局域网中,工作站的IP地址通常都是从DHCP服务器中动态获取得到的,这样可以有效地节省IP地址资源;不过在与DHCP服务器长期接触的过程中,我们或许会遇到各种与DHCP服务有关的网络故障,这些故障极大地影响了局域网网络的运行效率,有鉴于此,本文下面就对几则常见的与DHCP服务有关的网络故障进行解读,并为各种故障提供相应的应对办法,希望这些内容能帮助各位更好地管理好局域网!
1、消除授权失败故障
有一网络中的服务器不小心死机了,可是重新启动服务器系统之后,却发现其中的DHCP服务器无法向其他工作站自动分配IP地址了,检查一下DHCP服务器的具体参数配置时,却发现系统提示没有授权,不过在域控制服务器中我们却发现系统已经提示授权。面对这种DHCP服务器授权失败的故障,我们该如何进行应对,才能让DHCP服务器重新具有自动分配IP地址的能力呢?
其实域控制服务器中之所以显示已经授权,这是由于域控制服务器自动“记忆”惹的祸,要想让DHCP服务器重新具有分配IP地址的功能,只需要在域控制服务器中将原先的DHCP服务器授权取消掉,然后再次对DHCP服务器进行授权,这样就能使DHCP服务器生效了。
2、消除无法获得IP故障
局域网中有一台工作站由于意外原因重新安装了
操作系统,不过系统安装完毕并设置好局域网参数后,工作站竟然不能上网。当为工作站设置好固定IP地址以及其他网络参数时,发现工作站立即能够联入局域网了;很显然当工作站被设置为自动获取IP地址时,局域网中的DHCP服务器却无法为工作站分配IP地址。
为了检验是否是DHCP服务器有问题,笔者到局域网中的其他工作站中,执行了“ipconfig/renew”字符串命令,发现DHCP服务器能为该工作站分配IP地址,这一现象表明DHCP服务器自身没有问题;那为什么重装系统的工作站无法从DHCP服务器中获得IP地址呢,难道是DHCP服务器中的可用IP地址已经用完了吗?为此笔者来到DHCP服务器旁,并对服务器中的参数进行了查看,结果发现该服务器的作用域范围为192.168.1.10~192.168.1.42,共30个IP地址;而且在DHCP服务器的租约缓存设置项处,笔者看到所有的IP地址都已经使用完了,
不过令笔者感到疑惑不解的是,整个局域网中的工作站只有22台,那么其他8个可用的IP地址究竟被分配到什么地方去了呢?后来在DHCP服务器的租约缓存设置项处,笔者发现其他的8个IP地址都分配给了以前拿到单位上使用的
笔记本电脑了。虽然这些笔记本电脑只是临时上网,但它们一旦获得IP地址后就会一直占用它们直到解除“租约”为止,那么这些暂时没有使用的笔记本电脑为什么会一直占用分配给它们的IP地址呢?原来DHCP服务器的“租约”设置存在问题,笔者发现服务器给客户的租用时间被设置为了“365”天。很明显,这样的“租约”时间实在是太长了,如此一来那些笔记本电脑即使没有接入到网络中,它们也会“强行”占用着那些IP地址。要想将其他8个IP地址从笔记本电脑中释放出来,我们只有进入到如图1所示的设置界面,将DHCP服务器的“租约”期限设置得稍微短一些,例如一个星期左右,此外还需要将DHCP服务器中的租约缓存内容删除掉,这样被笔记本“强行”占用的其他8个IP地址才能被释放出来。一旦释放成功的话,那么重装过系统的工作站一接到局域网网络中,就能够从DHCP服务器中自动获得IP地址了。
图1 域属性
3、消除DHCP不可用故障
局域网中有一台安装有Windows2003Server的计算机,不仅充当局域网的文件服务器以便备份各种重要的文件信息,还用作DHCP服务器为工作站分配IP地址。平时工作站用户经常使用FTP工具,把一些容量较大的多媒体文件传输到服务器中保存。有一次,同事在一台工作站中向服务器传输数据时,发现该工作站无法从DHCP服务器中获得可用IP地址,并且计算机屏幕上弹出DHCP服务器不可用的提示,这样工作站就不能上网,而且将工作站系统重新启动之后,这种提示仍然还会出现。
★ 提高互动课堂效率
★ 怎样快速提高作文
