更換交換機艱辛路

引言： 單位分公司因管理需要，每臺電腦都需要連接專門的服務器，原本只有10M帶寬的HUB，已經跟不上時代的發展，故計劃在車間現場部署一臺HP2910網管交換機。然而，將配置好的網管交換連接后，卻出現線路不通的故障。本文介紹故障的排查過程。

分公司有一個車間原本只有幾個管理人員，需要使用情況也比較簡單，對網絡要求不高,所以一直使用一個HUB共享上網。最近，因管理需要，該車間要改造成智能車間，每臺電腦都需要連接專門的服務器，實時錄入單據，原本只有10M帶寬的HUB，已經跟不上時代的發展，故計劃在車間現場部署一臺HP2910網管交換機，運用原有的線路（線路之前就是按照1000M標準要求布線的）。

故障現象

一位網管同事A從機房拿出一臺HP2910交換機，配好管理 IP，創建好 VLAN，設置好網關，端口認證機制。駕車趕到車間現場，替換下原來的HUB，連接好線纜，發現網絡不通。現場的同事A緊急撥打業務能力較強的其他同事求助。

圖1 相鄰交換機鏈路信息

在辦公室的同事B從現場同事A處得到車間現場的網管交換機MAC地址后，從核心交換機一級一級地查到車間現場交換機的上聯交換機。該上聯交換機也是一臺HP2910的網管交換機，IP地址為10.89.1.111，根據現場同事描述，車間交換機是連接在上聯交換機的21口，在上聯交換機上利用show lldp info remote-device命令查看，可以發現下聯交換機（如圖 1）。但是就是Ping不通，從上聯交換機本身都Ping不通車間交換機。

故障分析

同事B想到，該端口之前連的是一臺HUB，因為HUB不具備管理功能，所以直接對上連接交換機的21口劃分的VLAN，屬于 VLAN 183，現在下聯一臺網管交換機，此交換機很明顯不屬于VLAN 183，且下聯電腦也將屬于不同的部門，不同的VLAN。根據經驗，B同事將上聯交換機的21端口全部打上VLAN tagged，允許各個VLAN都可以通過21端口。但是經過測試，網絡仍然不通。

這時，聽到在現場的同事A說，現場的電腦可以獲取來賓網段的地址（沒有通過準入認證的IP地址）。交換機不通為什么還能獲取公司IP，雖然是來賓地址，但畢竟是公司DHCP信號已經穿透，而且上聯交換機能通過lldp鏈路發現協議看到下聯的現場交換機。同事B懷疑是交換機配置有問題，因為A同事平時配置交換機的經驗不足。因此電話通知同事A，讓其帶著交換機返回辦公室，讓同事B再次確認交換機配置。

回到辦公室，同事B仔細檢查了配置，沒有發現問題，然后又對該交換機清空配置之后重新配置了一遍，避免因部分字母數字微小區別人眼很難發現問題存在。重刷配置之后，對辦公室洽談區的一個網口也配置成如現場上聯的交換機21口一樣，對該端口全部VLAN打上tagged。再次運用Ping命令測試，問題依舊。

幾個同事開始懷疑該交換機是不是有問題，要求更換一臺交換機嘗試，因為前段時間正好解決了一起因交換機系統Bug導致的問題。但是筆者對該問題比較感興趣，而且覺得此問題應該不是交換機硬件或者系統問題。因此，開始了一系列測試。

同時打開“洽談區上聯交換機”配置窗口和“問題交換機”，該交換機即使不是一臺網絡設備，只是一臺終端，只要是在同一個網段，直連也應該通，為什么會在同管理網段的兩臺交換機會Ping不通呢？

1.先將上聯交換機的端口還原成untagged口，劃分到VLAN 111，同時給“問題交換機”的管理VLAN也配置成VLAN 111的地址10.88.111.200，把交換機網關也配置成VLAN 111的網關10.88.111.1。運用Ping命令Ping網關，Ping通過。此時證明該交換機至少是可以通信的，應該沒有硬件故障。

2.把上聯交換機端口劃分到VLAN 1，同時給“問題交換機”的VLAN再次配置成VLAN 1的地址，即交換機管理網段的地址10.89.1.129，網關設置成10.89.1.1。再次測試，竟然通過了，讓本人非常的意外，之前可是怎么試都是不通的。

3.仔細回憶之前，同事將交換機剛拿到此區域時做的配置，我們只是把端口將VLAN打上tagged，并沒有將端口untagged,且劃分到VLAN 1的操作。筆者突然一下子豁然開朗，交換機作為網絡設備的同時，自己本身也是一臺終端設備，將上聯口打上tagged只是讓交換機作為網絡設備的功能啟用，但是作為終端設備的功能需要將上聯口打上untagged，并且劃分到VLAN 1。

4.立刻ssh連接到之前車間上聯的交換機，查看21端口，該交換機的確沒有在VLAN 1網段。

故障解決

找到原因所在，解決起來就簡單了，一個是可以直接修改21號端口的配置，另外一個就是可以用之前預留的交換機級聯口。

級聯口的標志是：該端口既在管理VLAN里面打untagged，又在其他VLAN里面打了tagged。根據配置信息顯示，端口49-52符合要求。同事A再次將配置好的交換機拿到現場，這次我們建議將上聯端口插在預留的級聯口49號端口上。果然，交換機連接成功。

經驗總結

1.解決問題需從原理出發，不能太過依賴經驗。本案例中我們就是依賴以往的經驗，簡單地理解成級聯交換機只要將端口打上tagged就可以了，從某種程度上來說，這一點沒錯，交換機打上tagged，就可以保證下聯交換機的PC都可以連網，這個從上文所述的“現場PC可以獲得公司的來賓地址”就可以理解，公司DHCP信號可以通過。至于現場PC為什么只獲得來賓地址，而沒有獲得正常可連公司網的地址，原因在于網管交換機端口上配置了3A認證，必須安裝公司的準入客戶端才可以獲得正式地址。

2.維護人員出門維護，筆記本電腦、配置線等各種工具必須佩帶齊全，出現問題，可以現場處理。該案例中同事A沒有帶電腦，出現問題除了讓遠在辦公室的同事遠程支援，沒有其他辦法。而辦公室的同事對現場的情況不了解，有時不能很好地處理問題。

3.做好運維工作，必須要具備不怕困難，知難而上的精神。通過多次測試，將問題原因找到，為將來的運維累積知識。

4.準守規定，例如本案例，上聯交換機已經預留好了端口，偏偏要用其他端口。

5.解決交換機配置問題，清空重新配置確實是一個好方法，雖然本案例中重刷交換機配置，沒能解決問題，但是該同事的想法是值得認可的。