在大型网络中,网络互联设备数量众多,同时也趋于复杂,给运维工程师维护网络带来了较大的难度。当出现网络故障时,排查起来非常困难,具有一个较好的排查思路对于网络工程师极其重要。
本次分享一个在以太网中出现IP地址冲突后进行排查确定故障的案例,通过登陆核心交换机查看系统日志,先快速定位可能的问题,然后根据网络拓扑逐步排查故障源在哪,然后切断故障源以解决该问题。
局域网部分用户终端访问网络资源时断时续
登陆局域网核心交换机,查看到核心交换机不断报终端IP地址与局域网网关的IP地址冲突的日志,根据日志中显示冲突的mac地址,用登陆各交换机来逐步查找冲突源的方法来进行网络排障。
网络拓扑
在核心交换机上出现的IP地址冲突日志,日志中包括了冲突的IP地址与MAC地址,可充分利用以下信息进行定位:
1.arp映射表:通过arp映射信息获知IP地址与对应的mac地址。
2.mac地址表:通过mac地址表获知该mac地址的来源端口。
3.cdp邻居表:通过CISCO cdp邻居表找到对应设备。
首先,在核心交换机1上通过查看arp表找到对应的mac地址,通过mac地址表找到对应的来源端口,再通过cdp的邻居表找到对应的交换机后,网管到对应的交换机继续查,定位问题设备,发现问题来源端口仍然回到核心交换机1,无法确认问题设备所接的交换机。
转换思路,有可能问题设备的信息来源于核心交换机2,继续在核心交换机2通过如上相同方式排查,逐渐查找问题设备,最后确认地址冲突来源于客户现场一处的接入交换机的47端口,来到该接入交换机处,发现交换机的47端口新接入一条不知用途的网线引起了地址冲突,最后在与客户协商后,决定将该接入交换机47端口关闭。
完成操作后,再次登录核心交换机查看,核心交换机不再报IP地址冲突的日志,用户终端也能正常访问网络资源。
在排查路由交换问题前,理清排障思路,可以通过一些常见的协议来一步步定位问题所在。善用arp映射信息、mac地址表以及邻居发现协议(例如思科的CDP协议和华为的LLDP协议)将对排障提供很大帮助,有时候故障能通过这些常见协议轻松解决。
建议在局域网交换机上启用DHCP-Snooping,禁止终端用户私自设置IP地址,避免局域网终端出现IP地址冲突的现象。
附:DHCP-Snooping
当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址,也能用技术手段禁止用户非法私自设置IP地址。
END