“軟隔離”網橋造成的麻煩

■

故障現象

筆者單位先前有兩個網絡，分別有不同的終端和服務器，下級單位與中心通過一個E1信道相連，中間用單口網橋（E1轉1路以太網協議轉換器）轉換，交換機“透明”混用。2個網絡主要是通過設置不同的網段來區分，網絡拓撲結構如圖1所示。

這種網絡結構存在幾個問題，一是兩個網絡沒有從物理上隔離開，易混用。由于只是簡單的“邏輯”隔離，一個網絡的終端通過修改IP地址就能訪問另一個網絡。二是交換機未配置參數，不能進行遠程登錄，不便于維護、管理。單位決定對網絡進行改造，一是將兩個網絡從物理上隔離開，同時下級單位劃分不同的VLAN，實現清晰的網絡結構。二是交換機配置管理地址等參數，便于進行遠程管理。由于信道限制，為了將兩個網絡隔離開，選擇了一款帶有兩個網口的網橋（E1轉2路以太網協議轉換器），網絡拓撲結構如圖2所示。

圖1 改造前的網絡拓撲結構

圖2 改造后的網絡拓撲結構

此款網橋具有“隔離”和“交換”兩種模式，本次網絡改造主要是用網橋的“隔離”模式，將2個網絡隔離開。網絡1的終端地址規劃為VLAN11，交換機管理地址規劃為VLAN9，服務器地址規劃為VLAN8。設備重新配置IP地址，線路聯通后進行測試，發現中心可以Ping通下級單位的交換機地址，同時能遠程管理下級單位的交換機，但Ping不通下級單位的終端。

故障排查

IP地址規劃、VLAN劃分先前在沒有網橋的環境下測試過，網絡能夠正常聯通，現在中心能夠聯通下級單位的交換機，證明中間E1信道也是正常的，造成下級單位的終端與中心不通，問題肯定出在網橋上。

首先懷疑網橋的“隔離”模式未設置成功，重新設置兩端網橋為“隔離”模式，并重啟網橋，現象依舊。接著，抱著試一試的心態，把網橋設置為“交換”模式，結果發現下級單位的終端與中心能夠正常聯通，中心也可以管理下級單位的交換機。

到這一步，可以確定問題出在網橋的“隔離”模式上。馬上聯系這款網橋的技術支持，詳細詢問“隔離”模式的具體實現原理，原來這款網橋兩個網口的“隔離”是通過網橋內部自動劃分VLAN的方式來實現的：不同網口進來的數據包，有VLAN tag的網橋會去掉重新封裝自己的VLAN tag，沒有VLAN tag的網橋封裝自己的VLAN tag，然后在網橋內部“隔離”傳輸；數據包從對應網口出去的時候網橋把相應的VLAN tag再去掉。

此次應用中，交換機級聯的trunk口配置參數具體如下：

交換機管理地址為VLAN9，從交換機 trunk口出去的時候VLAN tag已經被去掉，所以經過網橋處理后不受影響；而終端地址為VLAN11，從交換機trunk口出去的時候VLAN tag仍在，經過網橋處理后原VLAN tag被去掉。因此在此款網橋“隔離”模式下，中心與下級單位的交換機可以聯通，而與終端聯不通。

故障解決

明白了原理之后，筆者重新選了一款“硬隔離”網橋，即2個網口通過分配不同的E1時隙來隔離，網絡順利聯通，改造按照預期效果完成。

經驗總結

這次故障的發生，主要是對網橋的“隔離”模式沒有理解透徹，造成了網絡改造中的一些困難。從事網絡維護工作，還是要對設備的基本原理了解清楚，這樣才能用好設備、減少麻煩。