在从事多年的IT运维外包服务过程中,曾经遇到过无数次网络环路,它会引起网络里的广播风暴,耗尽交换资源,轻则某个部门断网,重则整个组织的网络瘫痪。
其中遇到最多的产生的网络环路的原因基本是以下两种情况:
1、下游设备自环
一般是由于增加了新的需要入网的终端设备或想将私人笔记本电脑接入组织网络导致的网口不够用,于是在交换机下游端口私接了HUB或路由器,而终端使用人员对网络知识了解有限,把HUB的2个端口用同一根网线连接,便产生了回路。回路产生后,不仅HUB下的终端网络不通,还会影响连接HUB的上游交换机。
2、设备自环
这种情况大多是由于运维人员在机房操作失误造成的。比如有两条网线是连接另外一幢楼的,一条正在使用,一条是备用线,备用线平时不插交换机的,运维人员在寻线的时候,一时失误给插上了,环路就形成了。
这时就需要我们运维人员能快速定位环路端口的位置。在处理网络环路问题过程中,使用的网络环路检测方法也在不断的升级。从1.0时期的经验分析法到2.0时期的交换机协议再到3.0时期的自动告警,环路定位的效率也在不断的提高。
下面对网络环路定位技术的发展过程进行了总结,先上表格!
1.0 阶段
最开始只能用拔插网线和重启观测法来排除回路。
重启观测法就是先给交换机断电然后再接上电源,认真观察每个端口的亮灯情况,一般要等待1分钟左右端口灯才开始闪烁,一定要观察到第一个开始快速闪烁的端口,那个端口就是有环路的端口,如果没有看清楚,重新断电后再进行观察,直到找到环路端口。这种方法经验显得尤为重要,而且费时费力,效率不高。
2.0 阶段
这个阶段采用智能交换机中的一些协议和功能来检测环路。主要是Loopback Detection和Spanning Tree(生成树协议)。
Loopback Detection是通过从接口周期性发送检测报文,检查该报文是否返回本设备,从而判断该接口、设备所在网络或设备下挂网络是否存在环路。
在发现环路后,将发送记录日志,并能根据用户事先的配置对接口进行处理,默认是直接关闭接口。
对标准的核心—汇聚接入交换机结构,在汇聚交换机和接入交换机开启Loopback Detection,接入交换机上联trunk端口禁用,下联trunk端口开启, 汇聚交换机所有trunk端口开启,并开启per-vlan监测,但禁用control受控。
需要注意的是,Loopback Detection仅为单节点环路检测技术,并不支持STP/RSTP/MSTP等环网技术。
3.0 阶段
一次在甲方做运维期间,设置易网捷终端接入控制系统中无意间发现了环路检测与定位这个功能,之后再处理环路问题就很方便快捷,一目了然了。
易网捷终端接入控制系统采用了旁路监听方式,通过流量异常快速识别环路风暴,之后通过智能分析数据技术,迅速定位交换机环路端口,并使用图形化的告警方式清晰明了的显示出产生环路的交换机端口。
除了实用的网络环路定位功能之外易网捷终端接入控制系统还是一款非常专业的准入控制设备,包括全网设备自动发现、接入设备自动甄别、传输过程全面监控、入网行为自动分析、违规设备自动定位并阻断、接入告警事件审计等多种安全功能于一体,从外部到内部,形成一套立体化的纵深安全防御体系,同时具备以下技术特点:
- 旁听模式:旁路部署,不改变用户网络结构,将设备对网络的影响轻量化。
- 无客户端:可实现无客户端准入控制,免去了安装客户端的繁琐过程,部署方便快捷。
- 硬件指纹技术:系统会自动扫描设备IP地址、MAC地址、接入位置、操作系统标识信息进行自动收集并绑定,为每一个设备生成唯一标识。
- 高兼容性:兼容性好,即使是有老旧、不可用网管网络设备的网络环境,也可以部署准入管理系统。高稳定性:7*24
- 小时保证在网络中运行,无需在各个子网安装监控代理。