優先級不足致網絡故障

VLAN技術目前在網絡中運用廣泛，主要功能可以限制廣播報文，利于網絡安全，減少因主機數目過多時導致的沖突，提高網絡運行質量，可靈活構建虛擬網絡等。VLAN內的主機間可以直接通信，而VLAN間不能直接互通，如需互通還需要三層設備。目前劃分VLAN方式主要有依托網絡設備端口、MAC地址、IP地址和通信協議進行劃分。而不同的劃分方式目前還無法兼容運行，且不同的劃分方式運行的優先級也不同，因設置錯誤導致網絡故障的情況時有出現。

故障現象

單位為保障移動辦公，按照MAC地址劃分了很多VLAN，確保辦公人員無論走到哪里都可以隨機接入網絡，并使用自己相應的網絡權限進行辦公。一天，很多同事反映說無法正常上網。筆者以為是網絡出現了故障，遂安排網管員進行故障排除。但是后經了解和電話咨詢，幾乎所有的上網計算機都無法正常上網，負責故障排除的網管員斷定是單位的核心交換機出現了故障。

故障排除

為確保單位正常辦公，網管員先使用備份交換機替代了出現故障的核心交換機，網絡恢復正常。

既然故障得以排除，說明是單位的核心交換機確實出現了故障。觀察出現故障的核心交換機，加電啟動，經自檢運行后，發現交換機的電源模塊和各物理端口的信號指示燈均顯示正常，也無因燒壞硬件而出現的異常異味。故障交換機運行了一段時間并進行了觀察，發現故障交換機并沒有特別明顯的物理故障，遂準備對故障交換機進行全面檢測。因故障交換機配置內容過多過雜，不清除配置無法進行硬件檢測。于是，在配置計算機上架設了FTP服務器，在故障交換機上做了相關設置后，備份了核心交換機的配置后，清理了核心交換機的配置。

使用兩臺計算機分別連接在故障交換機的各端口進行測試，發現各端口均可以正常Ping通。即然可以Ping通，那故障交換機的物理端口就不存在故障。后又長時間運行了一段時間進行觀察，發現故障交換機一直運行正常。

打開故障交換機備份的配置文檔，對配置文檔進行檢查，發現在配置文檔中相比于以前的配置文檔，又新增了數條配置，其中在故障交換機的GigabitEthernet 0/0/5物理端口新增了配置（如圖1）。但在此接口的配置內容和方式不同于在其他物理端口的配置方式，其他物理端口的配置方式如圖2所示。

通過查看和對比相關配置后，終于找出了故障原因。核心交換機并未出現物理故障，問題出現在新增配置上。因配置內容過多過雜，新增配置不注意觀察很難發現出現的問題。原來是有同事在核心交換機上新增了該配置，GigabitEthernet 0/0/5物理端口前期一直未使用，因業務需要從該物理端口向外延伸了網絡，為保證能按需上網，故在該端口進行了VLAN設置，設置完成后，經測試，該單位網絡可以正常上網。

雖然該單位可以正常上網，但是因為配置方式的錯誤，導致其他用戶無法正常上網。在GigabitEthernet 0/0/5接口上參照其他接口的配置進行了修改，然后又進行運行測試。然后將其置換回去后，故障排除。

圖1 GigabitEthernet 0/0/5接口新增配置

圖2 其他正常端口的配置

故障原因

在GigabitEthernet 0/0/5物理端口上新增了相關設置，通過查看設置可以看出，劃分VLAN的方式是基于端口的方式，而其他物理端口使用劃分VLAN的方法卻是基于MAC地址的劃分方式。當基于端口的劃分方式生效時，基于MAC地址的劃分方式就會失效，因為在劃分VLAN的方式中，基于端口的劃分VLAN方式的優先級是高于基于MAC地址的劃分VLAN方式的優先級。當同時在交換機中進行配置時，可以生效的是基于端口的劃分VLAN方式，而基于MAC地址的劃分VLAN方式是無效的。這也就導致在GigabitEthernet 0/0/5物理端口上按基于端口劃分VLAN方式后可以和VLAN的網關可以連通，而其他端口的配置卻無法和相應VLAN的網關進行連通。

經驗總結

在日常使用VLAN時，有很多種方式進行劃分，目前，最成熟使用效果最好最受歡迎的是基于交換機端口和基于IP地址的VLAN劃分方式，這兩種方法雖然欠靈活，但配置簡單，不需要統計用戶終端的MAC地址等信息。而要移動辦公，最理想的方式是基于MAC地址的劃分方式，但這種方式易遭受MAC欺詐攻擊的隱患。

在劃分VLAN時，只能使用其中的一種方式，而不能幾種方式同時采用，當同時采用時，基于端口的方式優先級要高于基于MAC地址的方式的優先級，可以正常工作的基于端口的VLAN劃分方式，而基于MAC地址方式的無法正常工作。

要排除該故障，可以在GigabitEthernet 0/0/5端口中增加一條 mac-vlan enable配置即可，這條命令是要求該端口使用基于MAC地址的劃分方式，并進入VLAN接口中，使用mac-vlan mac-address H H-H HHH priority 0命令在相應VLAN添 加MAC地 址，priority為MAC地址的優先級，在網絡阻塞時，優先值高的MAC地址可以優先使用網絡資源，優先值低的MAC地址不能優先使用網絡資源。