浦城信用社故障分析解決报告.docVIP

浦城信用社网故障分析解决报告 中国电信浦城分公司 2015年8月 （一）故障现象 浦城信用社今年6月份组的VLAＮ　ＶＰＮ网，但是使用过程中发现外网有丢包现象，且无线路由器丢包严重，主机相对正常。 （二）排除障碍过程 刚接到用户反映情况，首先想到的检查我们汇聚到信用联社路由器链路是否正常，通过更换光电收发器和光功率测试，排除此故障点，VLAN VPN网络单点故障容易导致全网出问题，考虑到移动架设的VPN和我司相同VLAN ID，所以和信用社网管员一起把我司网络和移动网络分割开，得到下面拓扑： 但是故障并没缓解，判断我司这边网络可能出现问题，故障点未知，抱着试试看的态度对网络抓包进行分析，通过抓包，发现好几个ip地址对应通一个MAC，且有无线路由器的ip。 192.168.0.13是城郊网点无线路由的地址，192.168.0.12是城西网点无线路由的地址，两地址对应的MAC竟然相同，PING 两个地址出现不同程度的严重丢包现象 两地址的ICMP回包MAC地址均相同，测试电脑的arp表里面也对应同一MAC地址，怀疑某台无线路由中毒，数据被导向中毒无线路由器，通过排查城西无线路由器MAC地址为C0-61-18-AF-F9-11就是引起网络故障的MAC，更换此路由器，网络恢复通畅，但是有一点不明白，为什么城郊网点路由器像哑巴一样不回arp 请求报文，而是城西网点路由器帮忙回的arp请求报文，按道理城郊网点收到局域网arp广播请求报文，要回复自己的MAC，但通过抓包只有城西的代替在回复？通过更换路由器，网络恢复正常。通过进一步抓包分析发现MAC地址C0-61-18-AF-F9-11对应的ip都是无线路由内设置的地址，通过和信用社网管核对，发现其配置无线路由方法是导入配置，就是配置一个点的路由，其它点都是拷贝这个点的配置信息，然后更改ip，tp-link无线路由器的设计缺陷导致无线路由器的WAN 口MAC地址都为第一个路由器的拷贝，所有无线路由器的WAN 口MAC地址一致，导致所有无线路由出现不正常现象。 （三）故障产生原理分析 以下面拓扑作为故障原产生理分析： A、B、C、D为四台无线路由器，经过导入配置后导致WAN口 MAC地址相同，都为aa-aa-aa-aa-aa-aa，分别接交换机1、2、3、4口，交换机及有张MAC地址表，表里记录着端口和MAC地址对应的关系，上面这种MAC地址重复的特殊情况，MAC地址表该怎样记录端口和MAC对应关系呢？通过查询相关技术文档，交换机从端口接收到报文后会根据情况更新MAC地址表，MAC地址表更新有以下规则：1、一个端口可以对应多个MAC地址；2、同一MAC地址不能对应不同端口（也就是说一个MAC只能对应一个端口）；通过以上规则，我们可以知道A、B、C、D的MAC相同，但是交换机内只能存在一条aa-aa-aa-aa-aa-aa对应的端口号，A、B、C、D都会向交换机发送报文，这就引起触发交换机更新MAC地址表，引起MAC地址表漂移，一会aa-aa-aa-aa-aa-aa对应PORT1，一会aa-aa-aa-aa-aa-aa对应PORT2等等；当B上网时，查询网关的MAC地址，封包后数据可以送到网关，出去这没问题，对端回包时，路由器通过查询ARP表把查询到B对应的MAC地址（此时ABCD对应的MAC地址都为aa-aa-aa-aa-aa-aa），把目的MAC封装好，发送给交换机，由于交换机的MAC地址表漂移，若此时aa-aa-aa-aa-aa-aa对应的为PORT1，数据包就往A路由发送，导致B收不到数据（网络中断），若恰好aa-aa-aa-aa-aa-aa对应PORT2，B就收到数据正常；MAC地址表的不稳定导致上网时断时续。以太网局域网数据报文收发是建立在彼此信任的基础上，并无无相应安全鉴权措施，这就导致局域网不是个安全稳定的环境，保证好主机做好安全措施，对网络的健壮性和安全性能取得良好的效果。 通过修复后网络恢复正常： 卓越宽带 卓越服务 浦城电信客户支撑组 林峰 2015年8月3日