二层交换机故障
- 0关注
- 0收藏,149浏览
租约太短了。不要这样子级联。广播范围太大了。
原先默认是缺省24小时的 我改到了8小时
原先默认是缺省24小时的 我改到了8小时
系统性排查步骤(从易到难)
请按照以下顺序进行排查,每一步都可能直接解决问题。步骤一:确认故障范围,定位问题点
这是最关键的一步,决定了排查方向。- 是单台电脑故障,还是大面积故障?
- 单台电脑故障: 重点检查该电脑的连接网线、所连接的交换机端口、电脑本身的网卡驱动/电源管理。
- 大面积/随机性故障: 基本可以确定是网络侧的问题,继续下面的步骤。
- 故障是否有规律? 比如在特定时间、连接在特定交换机下的电脑都会出问题?这有助于缩小范围。
步骤二:重点检查物理层和数据链路层(最可疑)
这是二层网络故障的高发区。- 网络环路检测:
- 现象: 这是最大的嫌疑犯。环路会导致广播风暴,耗尽交换机性能,使DHCP等广播请求被淹没,造成网络时断时续。
- 排查:
- 立即登录任意一台交换机,使用
display interface命令查看所有端口的流量计数。如果发现某个或多个端口的广播包(Broadcast) 或入方向流量(Input) 高得异常,且持续快速增长,很可能存在环路。 - 华三交换机命令:
display stp abnormal-port查看是否有端口被生成树协议阻塞(但可能由于某种原因又在频繁震荡)。 - 行动: 确认所有交换机上都开启了 STP(生成树协议)。华三命令为
stp enable(全局和端口下)。STP是防止环路的生命线。如果已开启,检查STP状态是否稳定。
- 立即登录任意一台交换机,使用
- 检查级联链路和端口:
- 现象: 级联端口不稳定,会导致上下行通信中断。
- 排查:
- 登录交换机,使用
display interface brief查看级联端口的状态。检查是否有大量的 CRC错误、输入/输出错误。命令:display interface GigabitEthernet x/x/x(查看具体级联端口)。 - 更换级联网线。劣质或受损的网线是隐形杀手。
- 登录交换机,使用
步骤三:检查交换机配置(特别是可能影响DHCP的配置)
- DHCP Snooping 配置错误:
- 现象: 如果网络中配置了DHCP Snooping(一种安全特性,用于防止私接DHCP服务器),但配置不当,就会拦截合法的DHCP请求。
- 排查:
- 登录交换机,使用
display current-configuration查看是否有dhcp-snooping相关的配置。 - 关键点: 必须将连接DHCP服务器的端口设置为 “信任(Trust)”端口。连接用户PC的端口应为“非信任”端口。如果信任端口配置错误或丢失,DHCP服务器的响应报文就会被交换机丢弃,导致PC获取不到IP。华三命令示例:在连接DHCP服务器的端口下配置
dhcp-snooping trust。
- 登录交换机,使用
- 端口安全或MAC地址学习限制:
- 现象: 交换机端口限制了所能学习的MAC地址数量,当PC的MAC地址因为表项已满而被拒绝时,通信中断。
- 排查:
- 检查端口配置是否有
mac-address max-mac-count 1之类的命令。如果设置过小,或者有异常MAC地址攻击,会导致合法PC的MAC被挤掉。可以尝试适当调大数量或检查是否存在网络攻击。
- 检查端口配置是否有
- VLAN配置一致性:
- 现象: 确保所有级联链路(Trunk)允许PC所在VLAN的流量通过,并且PC接入的端口(Access)划分到了正确的VLAN。VLAN不一致会导致DHCP请求无法到达服务器所在的VLAN。
步骤四:利用交换机信息进行深度诊断
当故障发生时,立即登录电脑所连接的接入交换机。- 查看PC连接的端口状态:
display interface GigabitEthernet x/x/x- 端口是UP还是DOWN?是否在频繁UP/DOWN震荡?(检查网线和端口)
- 端口的MAC地址表是否学习到了PC的MAC地址?使用
display mac-address interface GigabitEthernet x/x/x查看。
- 检查CPU利用率:
display cpu-usage- 如果CPU利用率持续过高,说明交换机忙于处理某种报文(很可能是广播风暴或病毒报文),导致无法正常处理DHCP请求。
总结与行动计划
根据您的描述,我强烈建议您按以下优先级进行操作:- 首要紧急操作: 立即登录交换机,检查广播包计数和端口错误计数,确认是否存在网络环路。并确认所有交换机全局和端口下均已启用STP。
- 第二优先级: 检查交换机的配置,确认是否配置了 DHCP Snooping。如果配置了,请务必核对连接DHCP服务器的上行端口是否被设置为
trust。 - 第三优先级: 系统性检查所有级联链路的端口状态、错误计数,并更换一条高质量的级联网线做测试。
- 最后: 如果问题依然存在,可以尝试在一台交换机上抓取DHCP报文,分析DHCP交互过程在哪个环节失败。华三命令示例(在PC所在的VLAN接口下):
debugging dhcp packet interface Vlan-interface x(谨慎使用,会产生大量日志)。
问题核心大概率是「DHCP 广播报文被风暴控制误丢弃」或「Trunk 口 VLAN 配置不一致」,其次是「STP 拓扑震荡导致 MAC 地址表不稳定」。优先执行「调整广播抑制阈值 + 验证 Trunk/VLAN 配置」,80% 以上能解决问题;若仍复现,再排查物理链路和 STP 配置
1. 快速修复 Trunk/VLAN 配置 # 所有级联Trunk口允许终端VLAN(假设终端VLAN为10)
[H3C] interface range 所有级联端口
[H3C-if-range] port link-type trunk
[H3C-if-range] trunk permit vlan 10 # 若DHCP服务器在其他VLAN,需同时允许
[H3C-if-range] undo port-isolate # 取消端口隔离
2. 调整广播抑制阈值(解决 DHCP 报文被误丢弃)
[H3C] interface range 所有接入口+级联口
[H3C-if-range] storm-constrain broadcast 50 # 按带宽50%抑制(足够DHCP广播)
[H3C-if-range] storm-constrain multicast 50
[H3C-if-range] storm-constrain unicast 50
3. 优化 STP 配置(稳定 MAC 地址表)
[H3C] stp mode rstp
[H3C] stp tc aging-time 600
[H3C] interface range 终端接入口
[H3C-if-range] stp edged-port enable
[H3C-if-range] stp bpdu-protection enable # 防止边缘端口收到BPDU触发震荡
4. 修复物理层协商问题 [H3C] interface range 所有级联端口
[H3C-if-range] speed 1000
[H3C-if-range] duplex full
[H3C-if-range] undo negotiation auto
[H3C-if-range] save # 保存配置
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
我试试