1,问题描述
PC接华为交换机无法上网
2,处理过程
在SW1上为业务地址段增加如下黑洞路由:
[SW1]ip route-static 192.168.10.0 24 NULL 0
[SW1]ip route-static 192.168.20.0 24 NULL 0
[SW1]ip route-static 192.168.30.0 24 NULL 0
分析:当SW1连接FTP服务器接口up的时候,会显示直连路由,因为直连路由的协议优先级是0,而静态路由是60,故直连路由优先写入IP路由表,当SW1连接FTP服务器接口down了的时候,仅有静态黑洞路由存在,所以静态黑洞路由写入IP路由表,这样就不存在去往192.168.10.2的报文走默认路由送到AR1处理了,这样不会造成既浪费了物理链路的带宽,又使这些此刻无意义的报文在SW1和AR1之间转发浪费了硬件转发资源。
3,根因
网络拓扑如下:
SW1为三层交换机,作为整个XX公司分支机构的网关,通过默认路由指向R1上网,AR1配置业务地址段的回程路由,以及配置easy-ip使内网用户上网。
SW1下行口配置成access链路模式,SW2、SW3作为傻瓜交换机把用户接入到不同的vlan。
通过镜像监控SW1交换机上行端口,发现内网有环路,抓包截图如下:
Note:通过IP头部中的ID字段及ttl字段可以判断是同一个报文在设备间互相转发。
故障排查过程:
l 通过在PC2(192.168.20.2)上ping 163.com网络通,然后tracerroute 163.com路径跟踪正常。
l 继续在PC2上ping 192.168.10.2(FTP服务器)网络超时,通过观察镜像端口的流量,发现去往192.168.10.2的报文IP头部IP字段相同,ttl字段的值在不断减少,此时可以确定,去往internet无问题,访问FTP服务器有网络环路。
l 进入SW1交换机console,查看IP路由表
Route Flags: R - relay, D - download to fib
-------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 192.168.0.1 Vlanif2
通过直接查找192.168.10.2.发现路由的下一跳竟然是默认路由,正常的结果应该是本地直连。
l 继续查看SW1的IP状态信息:
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 4
The number of interface that is DOWN in Physical is 3
The number of interface that is UP in Protocol is 4
The number of interface that is DOWN in Protocol is 3
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 unassigned down down
Vlanif2 192.168.0.2/30 up up
Vlanif10 192.168.10.1/24 down down
Vlanif20 192.168.20.1/24 up up
Vlanif30 192.168.30.1/24 up up
通过以上信息得知,vlanif10接口物理层及链路层都down了(分析:所有加入vlan10的access类型链路挂了,以及所有透传了vlan10的trunk类型链路挂了的时候,vlanif接口会跟着down)。所以这时候去往FTP服务器的流量走默认路由送往AR1,而AR1却无法感知非直连链路挂了,而AR1有192.168.10.0/24网段的回程路由指向SW1,所以造成了路由环路。
4,解决方案
在SW1上为业务地址段增加黑洞路由
5,建议与总结
当网络中使用静态路由时,请考虑是否需要配置黑洞路由保护。
黑洞路由配置原则:作为业务网关的设备要为业务地址配置黑洞路由以防止网络环路,初期地址规划要做好,这样可以汇聚成一条路由或多条路由做黑洞路由!
閱讀更多 王海軍老師 的文章
