网络瘫痪故障

nac116 · 发表于 2008-6-7 04:46:27

附件抓包为网络瘫痪时抓取，发现snmp的轮训包数量巨大，及arp请求包也数量巨大。
但是可以确定的是该trunk接口已经不允许vlan1通过。
arp请求包都是属于vlan1的数据。
各位高手给些建议会是什么原因

qingneng000 · 发表于 2008-6-7 07:53:53

1.arp请求太频繁，有arp扫描，检查1.png中的红色部分的机器，arp每秒利用率太高见2.png
2.关闭10.121.128.10机器和10.10.10.102 机器的snmp服务试试（可以通过卸载SNMP服务也可以通过防火墙来禁用161端口来实现。

），并查看102 机器什么进程占用了1033端口

[ 本帖最后由 qingneng000 于 2008-6-7 08:51 编辑 ]

飞雪 · 发表于 2008-6-7 08:40:28

确实是中间出现了环路，以后对类似情况一定要细心。

[ 本帖最后由飞雪于 2008-6-7 15:00 编辑 ]

nac116 · 发表于 2008-6-7 09:16:22

如果这么简单就好，这里发出arp请求的是源物理地址: 00:15:2C:00:50:00 [22/6]
是一个6509交换机。这个是6509交换机的管理地址。6509应该不会中毒的。实际上后来查出是其实一个vlan3111有环路。可惜我在想的是为什么不是vlan3111的数据有大量的arp请求而是vlan1 管理地址的有arp大量请求数据包。
同事这里snmp的数据包也有大量的，就更不明白了，因为snmp的数据包是通过路由方式过来的不是广播方式过来的。也不是vlan 3111的数据包。
这里vlan3111的数据包就是大家可以看到的源IP地址: 153.3.8.125 [26/4]发出的数据包（视频监控）
原因是找到，都是不知道为什么抓到的包和原因无法解释？？

nac116 · 发表于 2008-6-7 09:28:39

组网模式是一个6509下挂2个华为75e交换机，75e交换机分别下挂1个3652交换机。都是trunk。2个3652华为交换机之间也是trunk 。虽然启用了stp，但是可能是思科华为的交换机之间生成树不兼容。无法block环路，后来在一个75a上面trunk只允许一个业务vlan过，视频，语音vlan，办公vlan  vlan1 都不允许。这里抓取的数据包来自75b交换机下挂3652交换机的trunk。该trunk允许视频vlan，业务vlan，办公vlan，语音vlan。

注  抓数据包的时候75a 允许视频vlan，业务vlan，办公vlan，语音vlan 不允许vlan1
                              75b  允许视频vlan，业务vlan，办公vlan，语音vlan 不允许vlan1

网络正常时75a允许：业务vlan  不允许vlan1
               75b允许视频vlan，业务vlan，办公vlan，语音vlan 不允许vlan1

测试过办公vlan和语音vlan肯定没问题。

oldjiang · 发表于 2008-6-7 12:43:40

1、确实有环路，如下图netbios数据包重复的IP标志，其他一些协议也有

2、关于ARP问题，定位ARP-request，端点，发包降序

多数端点是在自己询问自己，可惜ARP包没有标志之类的字段，不能判断是不是同一个包。
3、具体到 00:15:2C:00:50:00 ，按概要、目标汇总

总共询问了43个地址，其中对大部分目标是单播
我觉得他没有扫描，倒像是在确认他的arp缓存
至于包的数量多，可能是环路造成的
4、00:0F:E2系列的mac是各个交换机的管理地址？管理vlan的ip是10.10.10.x？
5、用默认的vlan 1做为管理vlan，这样的做法不规范。
6、定位SNMP协议，会话，也是环路。

[ 本帖最后由 oldjiang 于 2008-6-7 15:01 编辑 ]

nac116 · 发表于 2008-6-8 22:39:00

版主好，为什么我的科来看不到ip标识这一列？是不是版本不一样。
客户原来设备就是使用10.10.10.x网段地址做管理地址 vlan1 的地址。已经建议他们更改了。

oldjiang · 发表于 2008-6-8 23:13:35

就是解码列，在数据包解码窗口点击数据包的不同字段，解码列的内容就显示相应字段的值，这个功能很好用。
显示解码窗口

点编号字段

解码列显示包编号

点IP层的标志字段

解码列显示IP标志

版本是一样的

[ 本帖最后由 oldjiang 于 2008-6-8 23:21 编辑 ]

oldjiang · 发表于 2008-6-8 23:20:14

我猜测不止一个VLAN发生了环路，包括管理VLAN。即发生环路的TRUNK所允许的VLAN都发生了环路。

nac116 · 发表于 2008-6-9 09:00:06

这个是我主要的疑问，发生环路是肯定的，并且已经确定是vlan3111发生环路，vlan1肯定没有允许通过的。下挂的39交换机已经不再使用vlan1做管理地址了。
我们在现在只要trunk允许了vlan3111就马上问题来了只要把vlan3111一过滤，问题就消失。
这里抓取的数据包，怎么解释？我别的vlan没发生环路。

oldjiang · 发表于 2008-6-9 13:10:28

能否给出拓扑图？在哪个trunk允许vlan3111就会有问题？

nac116 · 发表于 2008-6-9 14:59:41

版主拓扑已经上传，
环路肯定是的至少我不明白为什么vlan3111发生环路会导致vlan1arp请求或者snmp轮训数据包这么多而导致网络瘫痪:
这里3112 应该也会导致环路，可能因为3112这个vlan本身数据不多的原因吧。
vlan3111是一个视频监控vlan 数据量要大些。vlan3111这个vlan的ip地址是153地址段。

[ 本帖最后由 nac116 于 2008-6-9 15:02 编辑 ]

oldjiang · 发表于 2008-6-9 20:39:43

我见过的STP都是和上级交换机连，同级交换机是不连的，如下图，黄色的表示block状态

环境所限，没有见过复杂的STP应用。看的越多，要学的越多。
cisco 6509 is the root of the spanning tree?

[ 本帖最后由 oldjiang 于 2008-6-9 21:43 编辑 ]

nac116 · 发表于 2008-6-13 16:46:29

版主我这里 75和3652之间是广域网线路哦不可能交叉互联的。线路成本太高了

oldjiang · 发表于 2008-6-13 17:18:52

哦，原来是这样。我咨询了一下，很少有通过广域网链路做spanning tree的，能不做就不做；单链路做spanning tree也是没有意义的。

[ 本帖最后由 oldjiang 于 2008-6-16 10:20 编辑 ]

nac116 · 发表于 2008-6-29 15:13:52

是的实际生产网络都推荐走3层，尽量不采用生成树来进行数据备份！

网络瘫痪故障

评分

回复 6# 的帖子

回复 14# 的帖子