交換機(jī)端口聚合的問題小解

交換機(jī)端口聚合功能使用廣泛，既能增加帶寬，又能提供冗余鏈路功能，深受網(wǎng)絡(luò)工程師的喜愛，在一些大型網(wǎng)絡(luò)環(huán)境，配合集群或虛擬化，可以對網(wǎng)絡(luò)的高可靠性提供更進(jìn)一步的鏈路保障。

最近筆者單位為提高網(wǎng)絡(luò)安全，新增安全設(shè)備，在實(shí)施過程中，因?yàn)閱挝粰C(jī)房設(shè)備眾多，且安全設(shè)備主要是對機(jī)房核心設(shè)備進(jìn)行防護(hù)，又不想更改現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，安全設(shè)備就安裝在了用戶核心交換機(jī)與服務(wù)器核心交換機(jī)之間，做透明方式接入，拓?fù)鋱D如圖1所示。

兩臺交換機(jī)之間使用千兆電口做聚合、使用相同的聚合組（聚合組只具有本地有效性，此處是方便記憶）。兩臺防火墻獨(dú)立運(yùn)行，沒有使用HA（此次使用的防火墻不支持HA雙活，不支持跨設(shè)備端口聚合，防火墻使用透明模式接入，每臺防火墻使用三個(gè)電口，兩個(gè)電口做橋接，接入網(wǎng)絡(luò)，一個(gè)電口做為管理口，用來管理安全設(shè)備）。兩臺交換機(jī)配置如下（部分）。

圖1 單位網(wǎng)絡(luò)拓?fù)鋱D

服務(wù)器核心交換機(jī)、用戶接入核心交換機(jī)：

使用intface vlan2作為路由接口，用戶網(wǎng)段與服務(wù)器網(wǎng)段使用VLAN2虛擬接口路由。

以上配置完畢，用戶反映內(nèi)網(wǎng)服務(wù)器使用正常，在運(yùn)行了一段時(shí)間后，突然有人反映，應(yīng)用出現(xiàn)訪問緩慢，甚至打不開的情況。在用戶網(wǎng)段使用ping命令測試與服務(wù)器的鏈接情況，出現(xiàn)丟包現(xiàn)象。

當(dāng)時(shí)認(rèn)為是服務(wù)器出現(xiàn)問題，但在服務(wù)器網(wǎng)段訪問應(yīng)用服務(wù)器時(shí)，應(yīng)用打開速度正常，使用ping命令測試延時(shí)也在正常范圍內(nèi)，且未出現(xiàn)丟包現(xiàn)象，通過與更多內(nèi)網(wǎng)辦公用戶溝通，出現(xiàn)應(yīng)用緩慢，甚至打不開的情況非常普遍。

當(dāng)時(shí)認(rèn)為是防火墻出現(xiàn)了問題，登錄防火墻查看情況，咨詢了防火墻廠家技術(shù)人員，都沒有找到防火墻策略出現(xiàn)了什么問題。

正在非?？鄲灂r(shí)，突然發(fā)現(xiàn)防火墻的一個(gè)橋接端口顯示狀態(tài)為“down”。當(dāng)時(shí)第一想法是，“我做的端口聚合，即便有口‘down’掉了，鏈路是冗余的，所有流量都應(yīng)自動切換到另外一條鏈路上，不應(yīng)該出現(xiàn)丟包的問題的”。然后順便查看了接口上有沒有收到錯(cuò)誤的數(shù)據(jù)包等工作，都沒有找到相關(guān)的問題。

無意中使用“dis linkaggregation ver”查看了服務(wù)器核心交換機(jī)聚合口的狀態(tài)，發(fā)現(xiàn)如圖2所示情況。

圖2 查看服務(wù)器核心交換機(jī)聚合口的狀態(tài)

圖3 在另外一臺交換機(jī)查看相關(guān)狀態(tài)

當(dāng)然，有接口“down”掉，此接口變成了“U”狀態(tài)，也是正常的。但當(dāng)在另外一臺交換機(jī)使用“dis linkaggregation ver”查看相關(guān)狀態(tài)時(shí)，瞬間明白了丟包的原因，如圖3所示。

兩臺交換機(jī)使用的都是1/0/1口跟1/0/2口，但是用戶核心交換機(jī)兩個(gè)口都是“S”狀態(tài)，然而服務(wù)器核心交換機(jī)1/0/1的狀態(tài)為“U”，1/0/2的狀態(tài)為“S”。

在使用靜態(tài)端口聚合時(shí)，端口在聚合組中是否傳輸數(shù)據(jù)的標(biāo)準(zhǔn)是：1.端口的狀態(tài)是否為“UP”狀態(tài)；2.端口是否為“選中”裝態(tài)，即“S”狀態(tài)。如果某個(gè)端口狀態(tài)為“UP”，但在聚合組中狀態(tài)為“U”，那么這個(gè)端口也不傳輸數(shù)據(jù)。

在此次問題中，因?yàn)榉?wù)器核心交換機(jī)的1/0/1接口連接的線纜脫落，接口的狀態(tài)為“down”，接口在聚合組中的狀態(tài)為“U”，因此這個(gè)接口不參與數(shù)據(jù)的轉(zhuǎn)發(fā)；但是用戶核心交換機(jī)1/0/1端口狀態(tài)為“UP”，在聚合組中的狀態(tài)卻為“S”，所以此接口參與數(shù)據(jù)轉(zhuǎn)發(fā)。

由于以上情況的發(fā)生，從而造成用戶核心交換機(jī)通過GE1/0/1與GE1/0/2兩個(gè)接口發(fā)送數(shù)據(jù)，而服務(wù)器核心交換機(jī)只能通過GE1/0/2接收數(shù)據(jù)，數(shù)據(jù)鏈路層接收到的數(shù)據(jù)不完整，導(dǎo)致應(yīng)用層數(shù)據(jù)包也不完整，所以表現(xiàn)為應(yīng)用打開緩慢或無法打開。

導(dǎo)致此次問題的根本原因是接口線纜的松動，但是也由此次問題讓筆者更深刻的認(rèn)識靜態(tài)端口聚合所存在的問題，以及以后使用端口聚合時(shí)需要注意的問題，從而避免靜態(tài)端口聚合出現(xiàn)類似“接口分裂”的情況。