未設隔離VLAN引發全網故障

網絡環境

由于學校擴建，新造了七幢大樓，包括網絡中心和學生機房，校園網規模也相應擴大了很多，校園網VLAN從原來的5個擴大到12個（如圖1）。在多VLAN條件下，網絡的復雜度更是高了很多。校園網從網絡設計、設備采購到施工全部由城建公司一手操辦，實際應用中難免出現規劃不合理的情況。

圖1 擴建后網絡拓撲結構

圖2 核心交換機vrrp配置表

故障現象

前不久，城建公司給新大樓一個學生機房和老的藝體樓網絡接通，發現接入后整個校園的網絡總是時斷時續。工程師從接入查到核心，卻一時也找不到問題。校園內網登錄外網使用銳捷1000s認證登錄，瀏覽網頁時總是頻繁出現登錄窗口，登錄成功后不久又要求重新認證。

故障排查

城建的工程師懷疑是否核心交換機出了問題，建議核心交換機重啟。核心交換機重啟后，情況依舊，判斷應該不是核心交換機的問題。斷開新接入的機房5和藝體樓，網絡馬上恢復。

恰巧前幾天他們剛剛請了銳捷的工程師的vrrp雙核心配置，然后打電話給銳捷廠家技術員，回應接入新增網絡網絡要他們工程師來配置vrrp。請廠家工程師不光需要額外費用，關鍵還要走流程，流程走完廠家還要排日期，具體哪天能來還不知道。感覺廠家不夠負責任，城建公司的技術員也借故推辭一定要廠家技術支持，于是干脆臨時把新接入的網絡斷掉，匯報領導。

可是我總感覺事情做了一半，心有不甘，索性重新檢查核心配置，發現明明相應VLAN的vrrp配置都有的，從經驗判斷，問題不在核心。核心交換機vrrp配置表如圖2所示。

干脆嘗試自己動手排除故障。單獨把機房5光纖接通，故障馬上出現。會不會機房5的匯聚交換機可能有問題？于是把機房5的匯聚交換機配置仔細檢查了一遍，卻怎么也找不到問題。正在一籌莫展的時候，無意間看了一眼匯聚交換機，發現有一個燈閃爍過于頻繁，不太正常，拔下對應網線，做網絡測試，果真正常了。

順著線找下去，一直找到對應信息插座，找到了問題的根源。原來，兩個信息插座被哪個調皮的學生用網線對跳了，造成了短路。

故障解決

問題找到了，但覺得問題并沒有就此結束。因為這一根小小網線的惡作劇，卻造成了所有VLAN的崩潰，這樣的話VLAN劃分還有什么意義？繼續分析所有匯聚交換機的配置，放在一起對比終于找到了問題。

圖3 新增匯聚交換機VLAN配置表

原來，城建公司請的工程師配置新大樓的時候為了省事，在新配的匯聚交換機配置時，把校園網所有的VLAN都給加上去了，恰恰引起故障的網線在新造大樓的機房5，這樣新大樓的匯聚和所有VLAN都處于非隔離狀態，所以當機房5的網絡出問題時，就造成了整個校園網的癱瘓。新增匯聚交換機VLAN配置表如圖3所示。

接下來問題就簡單了，登錄所有匯聚交換機，刪除不必要的VLAN，故障解決。