在一些較大規模的企業網,辦公網裏會出現一種情況,網絡結構不是用三層路由將不同物理區域或不同功能區域進行分割,而是一張大的二層網絡,一路TRUNK放行所有VLAN來打通網絡。這樣的網絡在複雜到一定程度後就會出現各種稀奇古怪的問題,而且如果對網絡結構不瞭解那就更是無從下手。下面就說一個剛剛處理的類似問題。
客戶的整個網絡剛經過2次大動作,一是我公司負責的核心交換機替換,二是另一家公司負責的機房整體搬遷。然後,過去了2個月,客戶一天反饋有一個樓裏的視頻會議設備無法連接,開不了會,測試到網關不通。覈對了視頻會議設備的地址,就是上面說得那種大二層情況,視頻會議的終端分散在幾個樓裏,但是確都要在同一個網段,然後網關還不在本園區的核心上,而是在另一個功能區域的核心上,這2個核心之間是三層路由。
中間有很多排查的彎路,篇幅所限就不贅述了,直接說最關鍵的情況。在終端上PING網關是不通的,但是在CMD裏用命令arp -a可以看到網關的ARP信息。既然ARP表裏有這個地址,我判斷線路是通的,但是中間有安全設備阻斷了。這裏要說一點,防火牆的安全策略是會阻斷報文,但是ARP這一類的協議報文是不會阻斷的。接着客戶就去找防火牆,但是找了幾臺可能的牆,登上去一看都不像。這裏就有個很麻煩的問題,這個二層線路是怎麼連的,沒有文檔記錄,也沒人清楚。負責機房搬遷的公司給了一張表,上面記錄着搬遷前設備的連線信息。反覆覈對最後摸清楚了線路連接的情況。
園區核心交換機-------S5120------S5510------視頻網關交換機,實際是按這樣連接的線路。中間並沒有安全設備。這就奇怪了,既然沒安全設備,學習到了ARP信息爲什麼還不通,只能一臺一臺的檢查配置。檢查到S5120和S5510之間的接口配置時,發現問題了。S5120接口配置的ACCESS口,vlan1000,S5510接口配置的是TRUNK口,放行了vlan1000。剛纔看到的怪現象就可以解釋了,和vlan打標籤、去標籤的機制有關係。
最後我不想在把vlan打標籤這個事又來解釋一下,大家有興趣可以做個試驗看看現象,自己分析一下爲什麼會這樣。