VTP協(xié)議裁剪功能引故障

■

前一段時(shí)間，單位將“服役”近十年的思科4506交換機(jī)替換為華三的S7502E交換機(jī)，但是在替換后，出現(xiàn)了部分處室無(wú)法上網(wǎng)的問(wèn)題，經(jīng)排查，定位故障的直接原因?yàn)閂TP協(xié)議的裁剪功能導(dǎo)致某個(gè)VLAN的數(shù)據(jù)報(bào)文無(wú)法正常轉(zhuǎn)發(fā)。之所以裁剪功能生效，是因?yàn)槿A三的S7502E交換機(jī)不支持思科私有的VTP協(xié)議。下面就將對(duì)整個(gè)故障的定位及排除過(guò)程進(jìn)行詳細(xì)介紹。

網(wǎng)絡(luò)結(jié)構(gòu)

單位網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，三個(gè)樓層機(jī)房中的三個(gè)思科2960接入交換機(jī)通過(guò)中繼線直接連接到中心機(jī)房的核心交換機(jī)（此次割接替換的設(shè)備），經(jīng)過(guò)核心交換機(jī)上聯(lián)的出口連接互聯(lián)網(wǎng)（這里省略了上聯(lián)的出口路由器及相應(yīng)的安全設(shè)備），另外有的樓層由于一臺(tái)交換機(jī)的接入接口數(shù)不夠，還下掛了一臺(tái)思科2960交換機(jī)，各交換機(jī)之間通過(guò)中繼線連接，中繼線配置為允許所有的VLAN通過(guò)。各樓層用戶(hù)直接連接到相應(yīng)樓層的接入交換機(jī)上，不同的處室通過(guò)劃分不同的VLAN進(jìn)行邏輯上的隔離以防止廣播風(fēng)暴。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

故障現(xiàn)象

在華三S7502E交換機(jī)替換掉思科4506交換機(jī)之后，在有的樓層出現(xiàn)一定數(shù)量用戶(hù)無(wú)法上網(wǎng)的情況，而且問(wèn)題用戶(hù)都是來(lái)自于同一處室。

分析處理

1.通過(guò)對(duì)各問(wèn)題用戶(hù)進(jìn)行分析，我們注意到，無(wú)法上網(wǎng)的用戶(hù)都是以處室為單位出現(xiàn)故障，即他們是處于同一個(gè)VLAN中；樓層的思科交換機(jī)VLAN是通過(guò)思科的私有VTP協(xié)議進(jìn)行配置的，目前所有樓層思科2960都是配置成Client模式，之前替換的思科4506設(shè)備配置的是VTP的Server模式。于是，我們首先將圖1中思科2960-B1設(shè)備修改為Server模式，使各樓層的VLAN能夠保持一致。完成配置后，故障并未消失，這個(gè)情況也在意料之內(nèi)，于是進(jìn)一步進(jìn)行分析。

2.基于以上的分析結(jié)論，懷疑是因?yàn)橄鄳?yīng)的VLAN數(shù)據(jù)報(bào)文無(wú)法進(jìn)行轉(zhuǎn)發(fā)導(dǎo)致，于是對(duì)所有中繼線上的VLAN報(bào)文透?jìng)髑闆r進(jìn)行查詢(xún)。查看發(fā)現(xiàn)，思科2960-A1和思科2960-A2之間的中繼線允許VLAN17通過(guò)，而思科2960-A1上聯(lián)華三S7502E的中繼線并未允許VLAN17的報(bào)文通過(guò)，VLAN17即下掛在思科2960-A2下出問(wèn)題的處室所處的VLAN。另外，思科2960-B1和思科2960-B2之間的中繼線允許通過(guò)VLAN25通過(guò)，但是思科2960-B1上聯(lián)華三S7502E的中繼線并未允許VLAN25的報(bào)文通過(guò)，VLAN25即下掛在思科2960-B2下出問(wèn)題的處室所處的VLAN。

3.分析至此，我們有兩個(gè)疑問(wèn)：第一，為什么我們配置的是允許所有VLAN數(shù)據(jù)報(bào)文都能從中繼線通過(guò)，但是特定兩個(gè)VLAN未能得到允許？第二，我們已經(jīng)對(duì)照過(guò)華三S7502E和思科4506的配置，并未發(fā)現(xiàn)有配置缺失，為什么替換之前沒(méi)有問(wèn)題呢？

4.根據(jù)比較替換設(shè)備前后的配置及網(wǎng)絡(luò)環(huán)境差異，我們基本可以將問(wèn)題集中在思科的私有VTP協(xié)議上，于是對(duì)接入交換機(jī)上所有設(shè)備的VTP狀態(tài)進(jìn)行了查詢(xún)，發(fā)現(xiàn)所有思科設(shè)備上的VTP裁剪功能都是打開(kāi)的。VTP裁剪是為了避免不必要的泛洪數(shù)據(jù)流，而選擇性地對(duì)個(gè)別VLAN數(shù)據(jù)報(bào)文不進(jìn)行轉(zhuǎn)發(fā)，選擇的依據(jù)為接收端交換機(jī)是否存在活躍的相應(yīng)VLAN的端口。

5.我們推測(cè)，VLAN17和VLAN25的數(shù)據(jù)報(bào)文很有可能就是被裁剪掉了，基于需要快速恢復(fù)業(yè)務(wù)的原則，先將所有思科交換機(jī)上的VTP裁剪功能進(jìn)行關(guān)閉，觀察業(yè)務(wù)是否恢復(fù)，之后再進(jìn)一步的分析。

VTP裁剪功能關(guān)閉之后，VLAN17和VLAN25中的業(yè)務(wù)恢復(fù)正常，通過(guò)網(wǎng)管軟件查看各樓層用戶(hù)情況，確認(rèn)所有的樓層用戶(hù)業(yè)務(wù)也都正常，至此問(wèn)題全部解決。

故障分析

業(yè)務(wù)已經(jīng)全部恢復(fù)，但是為了確保不再出現(xiàn)類(lèi)似的問(wèn)題，還需要將問(wèn)題根源做進(jìn)一步的分析。

我們已經(jīng)能夠基本確定，故障的原因來(lái)自VTP協(xié)議的裁剪功能，但是尚未解決為什么替換之前思科4506在線時(shí)不存在此問(wèn)題的疑問(wèn)。經(jīng)過(guò)查看配置發(fā)現(xiàn)，在核心交換機(jī)上存在接口VLAN17和VLAN25的配置，但是在其他樓層的交換機(jī)上并未配置VLAN17和VLAN25接 口。結(jié)合VTP裁剪功能的描述，問(wèn)題的根源就浮出水面了。

當(dāng)思科4506在線時(shí)，由于思科4506上存在接口VLAN17和VLAN25，所以思科2960-A1與思科2960-B1上聯(lián)的中繼線能夠轉(zhuǎn)發(fā)相應(yīng)VLAN的數(shù)據(jù)報(bào)文，但是當(dāng)思科4506替換為華三S7502E之后，因?yàn)槿A三S7502E并不支持VTP協(xié)議，所以思科2960-A1認(rèn)為它的接收端并不存在接入VLAN17的設(shè)備（這個(gè)信息需要從VTP報(bào)文中獲?。?，于是將VLAN17從中繼線上進(jìn)行了裁剪。同理，思科2960-B1也將VLAN25進(jìn)行了裁剪，從而導(dǎo)致了VLAN17和VLAN25中用戶(hù)無(wú)法上網(wǎng)的問(wèn)題。

VTP協(xié)議的裁剪功能是默認(rèn)關(guān)閉的，建議只有在泛洪流量占用資源特別嚴(yán)重的情況下開(kāi)啟，否則，在對(duì)思科設(shè)備進(jìn)行替換的操作中，就很有可能出現(xiàn)不希望的裁剪動(dòng)作。

經(jīng)驗(yàn)總結(jié)

VTP協(xié)議屬于思科的私有協(xié)議，由于在早些年，大家使用的設(shè)備大多數(shù)都是思科的設(shè)備，所以在整個(gè)網(wǎng)絡(luò)中的互聯(lián)互通不存在問(wèn)題。隨著近些年國(guó)內(nèi)設(shè)備廠商的崛起，越來(lái)越多的企業(yè)選擇華三、華為等設(shè)備廠商的產(chǎn)品，這樣就可能出現(xiàn)在產(chǎn)品替換過(guò)程中一些兼容性問(wèn)題。

所以，在進(jìn)行不同廠商產(chǎn)品替換的時(shí)候，建議最好在替換前搭建模擬環(huán)境進(jìn)行互通性測(cè)試，以防止在真正的割接中出現(xiàn)問(wèn)題，導(dǎo)致業(yè)務(wù)中斷。另外，在替換設(shè)備的割接操作中，如果出現(xiàn)了問(wèn)題，應(yīng)該嘗試從不同廠商功能實(shí)現(xiàn)的差異性方面去分析問(wèn)題。