VTP協議裁剪功能引故障

■

前一段時間，單位將“服役”近十年的思科4506交換機替換為華三的S7502E交換機，但是在替換后，出現了部分處室無法上網的問題，經排查，定位故障的直接原因為VTP協議的裁剪功能導致某個VLAN的數據報文無法正常轉發。之所以裁剪功能生效，是因為華三的S7502E交換機不支持思科私有的VTP協議。下面就將對整個故障的定位及排除過程進行詳細介紹。

網絡結構

單位網絡結構如圖1所示，三個樓層機房中的三個思科2960接入交換機通過中繼線直接連接到中心機房的核心交換機（此次割接替換的設備），經過核心交換機上聯的出口連接互聯網（這里省略了上聯的出口路由器及相應的安全設備），另外有的樓層由于一臺交換機的接入接口數不夠，還下掛了一臺思科2960交換機，各交換機之間通過中繼線連接，中繼線配置為允許所有的VLAN通過。各樓層用戶直接連接到相應樓層的接入交換機上，不同的處室通過劃分不同的VLAN進行邏輯上的隔離以防止廣播風暴。

圖1 網絡拓撲結構圖

故障現象

在華三S7502E交換機替換掉思科4506交換機之后，在有的樓層出現一定數量用戶無法上網的情況，而且問題用戶都是來自于同一處室。

分析處理

1.通過對各問題用戶進行分析，我們注意到，無法上網的用戶都是以處室為單位出現故障，即他們是處于同一個VLAN中；樓層的思科交換機VLAN是通過思科的私有VTP協議進行配置的，目前所有樓層思科2960都是配置成Client模式，之前替換的思科4506設備配置的是VTP的Server模式。于是，我們首先將圖1中思科2960-B1設備修改為Server模式，使各樓層的VLAN能夠保持一致。完成配置后，故障并未消失，這個情況也在意料之內，于是進一步進行分析。

2.基于以上的分析結論，懷疑是因為相應的VLAN數據報文無法進行轉發導致，于是對所有中繼線上的VLAN報文透傳情況進行查詢。查看發現，思科2960-A1和思科2960-A2之間的中繼線允許VLAN17通過，而思科2960-A1上聯華三S7502E的中繼線并未允許VLAN17的報文通過，VLAN17即下掛在思科2960-A2下出問題的處室所處的VLAN。另外，思科2960-B1和思科2960-B2之間的中繼線允許通過VLAN25通過，但是思科2960-B1上聯華三S7502E的中繼線并未允許VLAN25的報文通過，VLAN25即下掛在思科2960-B2下出問題的處室所處的VLAN。

3.分析至此，我們有兩個疑問：第一，為什么我們配置的是允許所有VLAN數據報文都能從中繼線通過，但是特定兩個VLAN未能得到允許？第二，我們已經對照過華三S7502E和思科4506的配置，并未發現有配置缺失，為什么替換之前沒有問題呢？

4.根據比較替換設備前后的配置及網絡環境差異，我們基本可以將問題集中在思科的私有VTP協議上，于是對接入交換機上所有設備的VTP狀態進行了查詢，發現所有思科設備上的VTP裁剪功能都是打開的。VTP裁剪是為了避免不必要的泛洪數據流，而選擇性地對個別VLAN數據報文不進行轉發，選擇的依據為接收端交換機是否存在活躍的相應VLAN的端口。

5.我們推測，VLAN17和VLAN25的數據報文很有可能就是被裁剪掉了，基于需要快速恢復業務的原則，先將所有思科交換機上的VTP裁剪功能進行關閉，觀察業務是否恢復，之后再進一步的分析。

VTP裁剪功能關閉之后，VLAN17和VLAN25中的業務恢復正常，通過網管軟件查看各樓層用戶情況，確認所有的樓層用戶業務也都正常，至此問題全部解決。

故障分析

業務已經全部恢復，但是為了確保不再出現類似的問題，還需要將問題根源做進一步的分析。

我們已經能夠基本確定，故障的原因來自VTP協議的裁剪功能，但是尚未解決為什么替換之前思科4506在線時不存在此問題的疑問。經過查看配置發現，在核心交換機上存在接口VLAN17和VLAN25的配置，但是在其他樓層的交換機上并未配置VLAN17和VLAN25接 口。結合VTP裁剪功能的描述，問題的根源就浮出水面了。

當思科4506在線時，由于思科4506上存在接口VLAN17和VLAN25，所以思科2960-A1與思科2960-B1上聯的中繼線能夠轉發相應VLAN的數據報文，但是當思科4506替換為華三S7502E之后，因為華三S7502E并不支持VTP協議，所以思科2960-A1認為它的接收端并不存在接入VLAN17的設備（這個信息需要從VTP報文中獲取），于是將VLAN17從中繼線上進行了裁剪。同理，思科2960-B1也將VLAN25進行了裁剪，從而導致了VLAN17和VLAN25中用戶無法上網的問題。

VTP協議的裁剪功能是默認關閉的，建議只有在泛洪流量占用資源特別嚴重的情況下開啟，否則，在對思科設備進行替換的操作中，就很有可能出現不希望的裁剪動作。

經驗總結

VTP協議屬于思科的私有協議，由于在早些年，大家使用的設備大多數都是思科的設備，所以在整個網絡中的互聯互通不存在問題。隨著近些年國內設備廠商的崛起，越來越多的企業選擇華三、華為等設備廠商的產品，這樣就可能出現在產品替換過程中一些兼容性問題。

所以，在進行不同廠商產品替換的時候，建議最好在替換前搭建模擬環境進行互通性測試，以防止在真正的割接中出現問題，導致業務中斷。另外，在替換設備的割接操作中，如果出現了問題，應該嘗試從不同廠商功能實現的差異性方面去分析問題。