现象描述
1、组网概述:
Quidway S8016->C公司 12012->C公司5509->O公司交换机->防火墙(往外网的接口地址A1.B1.C1.41,往内网的接口地址A1.B1.C1.40)->MP交换机->网页服务器2(WIN2000操作系统,A1.B1.C1.39)和网页服务器3(WIN2000操作系统,A1.B1.C1.60) 另外O公司交换机下还接有网页服务器1(A1.B1.C1.39)
描述:
1)原有C公司5509下接的设备的组网如上,网页服务器1中页面部分链接在网页服务器2上。O和防火墙,防火墙的作用只是透传。
2)O公司交换机没有进行任何配置。
3)5509与12012使用一根多模光纤,2根以太网线连接。GE口为主用路由,ETH口为备用路由。
4)S8016、C公司12012、C公司5509均起用OSPF协议,自动生成路由表。5509配置为AREA 0,S8016配置为AREA 1。配置了到网页服务器网段的静态路由。
2、故障现象:
将C公司5509下所有设备组网、相关配置均保持不变割接到S8016下之后出现问题,原数据局中心机房的机器可以访问所有的网页服务器,但是割接之后不能访问网页服务器1和2。公网用户访问所有服务器正常。详细描述如下:
1)A地拨号用户可以正常访问网站(A地用户IP地址:61.*.*.*)。
2)B地ADSL宽带用户可以正常访问网站(宽带用户ip地址为218.*.*.*)。
3)只有数据局中心机房几台机器无法访问部分网页服务器。数据局中心机房PC地址为A1.B1.C1.1~31/27,可以PINGA1.B1.C1.60),而不能PING通网页服务器2(A1.B1.C1.39),最多能PING到interface vlan 4A1.B1.C1.62/27)。
4)将便携机配置为网页服务器4,直接连接到8016的5/0/2口上,配置IP地址为A1.B2.C2.93/30,其网关为三层A1.B2.C2.94/30,测试发现,公网用户和数据局机房PC均可以访问网页服务器4。将网页服务器4放置到OMP交换机下,配置地址为A1.B1.C1.23/27,发现公网用户和机房PC也均可以访问到它。
5)从数据局中心机房PC机和S8016上PING部分服务器均会出现丢包现象。
告警信息
无
原因分析
数据局中心机房PC无法访问网页服务器1和2的原因分析:
1、找出S8016的告警信息并进行分析。
2、C公司5509上原有数据是否删除掉,原有端口是否已经shutdown。
3、S8016数据配置是否有错误。
3、O公司交换机是否相关配置有问题。
4、防火墙是否有什么限制访问的设置。
5、服务器是否配置有问题。
从PC机和S8016上PING服务器丢包的原因分析:
由于从S8016上PING O公司交换机直接挂的服务器和下面防火墙下的服务器都有丢包现象,而且用(此接口连接O公司交换机)查看接口状态,发现output发出去的包均正常,而input进来的包存在error和crc公司交换机上。
处理过程
1、分析告警信息:
1)机房湿度告警,由于机房没有相应的加湿设备,比较干燥,造成这个告警,与故障无关。
2)风扇框告警和-48V电源告警均与机房环境有关系,与出现的故障无关。
3)不断出现的VP_send(......)是由于打开的调试信息,显示的error
2、查看防火墙,防火墙配置为透传所有报文,没有限制服务器访问;查看O公司交换机,O公司实际只是一个HUB公司交换机和防火墙,故障仍然存在,排除防火墙和O公司交换机的问题。
3、将便携机配置为网页服务器4,直接连接到8016的5/0/2口上,配置IP地址为A1.B2.C2.93/30,其网关为三层A1.B2.C2.94/30,测试发现,公网用户和数据局机房PC均可以访问网页服务器4。将网页服务器4放置到OMP交换机下,配置地址为A1.B1.C1.23/27,发现公网用户和机房PC也均可以访问到他,且S8016上数据配置正确,排除
4、怀疑为C公司5509上数据没有删除掉会出现ip地址冲突,查看C公司5509数据发现,原有的vlan 4已经shutdown地址冲突,排除S5509的问题。
5、配置S8016端口镜像:
port monitor eth 5/0/15 //配置5/0/15为监测端口,此端口上接PC机,运行抓包软件。
port mirroring eth 5/0/2 both //配置5/0/2为镜像端口,此端口的进出报文全部转发给5/0/15接口
PC机上运行SpyNet Sniffer软件进行抓包。发现S8016已经将外网发过来的报文转发给了网页服务器2(A1.B1.C1.39并没有回包。此时怀疑服务器配置可能存在问题,经检查发现网页服务器1和2的子网掩码为24位的,网页服务器服务器位的。将所有网页服务器的子网掩码均更改为正确的27位掩码,故障解决。
2、从PC机和S8016上PING服务器丢包的处理:
由于从S8016上PING O公司交换机直接挂的服务器和下面防火墙下的服务器都有丢包现象,而且用(此接口连接O公司交换机)查看接口状态,发现OUTPUT发出去的包均正常,而INTPUT进来的包存在error和crc公司交换机上。更换O公司交换机更换为S2403H交换机,丢包现象消除。
建议与总结
设备挂接在C公司5509下通信的原理:
1)公网用户访问网页服务器,服务器收到报文之后,由于用户跟服务器在不同网段,响应报文直接发送给服务器的网关,由C公司5509的路由模块转发至C公司12012路由器,再转发给用户,通信正常。
2)数据局中心机房的机器访问网页服务器3(A1.B1.C1.60/28)的通信原理跟公网用户相同。而访问网页服务器1时,由于服务器配置的子网掩码是24位的,那么服务器认为中心机房PC(A1.B1.C1.1~31/27)跟自己是同一网段的,那么就不走三层,直接走二层通信,而C公司5509有交换模块,此时可以将C公司5509,服务器通过ARP广播得到PC机网卡的MAC地址,直接二层通信。
设备挂接在S8016下通信的原理:
1)公网用户访问网页服务器,服务器收到报文之后,由于用户跟服务器在不同网段,响应报文直接发送给服务器的网关,由S8016转发至C公司12012路由器,再转发给用户,通信正常。
2)数据局中心的机器访问网页服务器3(A1.B1.C1.60/28)的通信原理跟公网用户相同,也利用S8016时,由于服务器配置的子网掩码是24位的,那么服务器认为中心机房PC(A1.B1.C1.1~31)跟自己是同一网段的,那么就不走三层,直接走二层通信,而服务器发送的广播报文到达S8016的接口时,S8016不会往别的子网转发广播报文。所以造成了S8016的包可以发送到网页服务器2,但是网页服务器2PC机就无法访问网页服务器2,但是可以访问网页服务器3。将服务器的子网掩码更改为27位后,故障解决。
接O公司交换机丢包、接S2403H不丢包的原理:
经检查,发现此WEB SERVER上行接的O公司交换机实际上是一个HUB,而HUB采用的是冲突检测机制,当缓冲区数据满的时候,再有数据发送过来,就采取丢弃策略,就造成了用户数据包的丢失。而交换机有更大、更健全的缓冲区机制,就可以解决HUB功能的不足,不会出现频繁的丢包。