1,問題描述
PC接華為交換機無法上網
2,處理過程
在SW1上為業務地址段增加如下黑洞路由:
[SW1]ip route-static 192.168.10.0 24 NULL 0
[SW1]ip route-static 192.168.20.0 24 NULL 0
[SW1]ip route-static 192.168.30.0 24 NULL 0
分析:當SW1連接FTP服務器接口up的時候,會顯示直連路由,因為直連路由的協議優先級是0,而靜態路由是60,故直連路由優先寫入IP路由表,當SW1連接FTP服務器接口down了的時候,僅有靜態黑洞路由存在,所以靜態黑洞路由寫入IP路由表,這樣就不存在去往192.168.10.2的報文走默認路由送到AR1處理了,這樣不會造成既浪費了物理鏈路的帶寬,又使這些此刻無意義的報文在SW1和AR1之間轉發浪費了硬件轉發資源。
3,根因
網絡拓撲如下:
SW1為三層交換機,作為整個XX公司分支機構的網關,通過默認路由指向R1上網,AR1配置業務地址段的回程路由,以及配置easy-ip使內網用戶上網。
SW1下行口配置成access鏈路模式,SW2、SW3作為傻瓜交換機把用戶接入到不同的vlan。
通過鏡像監控SW1交換機上行端口,發現內網有環路,抓包截圖如下:
Note:通過IP頭部中的ID字段及ttl字段可以判斷是同一個報文在設備間互相轉發。
故障排查過程:
l 通過在PC2(192.168.20.2)上ping 163.com網絡通,然後tracerroute 163.com路徑跟蹤正常。
l 繼續在PC2上ping 192.168.10.2(FTP服務器)網絡超時,通過觀察鏡像端口的流量,發現去往192.168.10.2的報文IP頭部IP字段相同,ttl字段的值在不斷減少,此時可以確定,去往internet無問題,訪問FTP服務器有網絡環路。
l 進入SW1交換機console,查看IP路由表
Route Flags: R - relay, D - download to fib
-------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 192.168.0.1 Vlanif2
通過直接查找192.168.10.2.發現路由的下一跳竟然是默認路由,正常的結果應該是本地直連。
l 繼續查看SW1的IP狀態信息:
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 4
The number of interface that is DOWN in Physical is 3
The number of interface that is UP in Protocol is 4
The number of interface that is DOWN in Protocol is 3
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 unassigned down down
Vlanif2 192.168.0.2/30 up up
Vlanif10 192.168.10.1/24 down down
Vlanif20 192.168.20.1/24 up up
Vlanif30 192.168.30.1/24 up up
通過以上信息得知,vlanif10接口物理層及鏈路層都down了(分析:所有加入vlan10的access類型鏈路掛了,以及所有透傳了vlan10的trunk類型鏈路掛了的時候,vlanif接口會跟著down)。所以這時候去往FTP服務器的流量走默認路由送往AR1,而AR1卻無法感知非直連鏈路掛了,而AR1有192.168.10.0/24網段的回程路由指向SW1,所以造成了路由環路。
4,解決方案
在SW1上為業務地址段增加黑洞路由
5,建議與總結
當網絡中使用靜態路由時,請考慮是否需要配置黑洞路由保護。
黑洞路由配置原則:作為業務網關的設備要為業務地址配置黑洞路由以防止網絡環路,初期地址規劃要做好,這樣可以匯聚成一條路由或多條路由做黑洞路由!
閱讀更多 王海軍老師 的文章
