文/白海

交換機(jī)故障現(xiàn)場(chǎng)處理操作實(shí)踐

文/白海

為了更快速、更高效地處理交換機(jī)的故障，爭(zhēng)取在現(xiàn)場(chǎng)能夠一次性地將故障相關(guān)的信息捕獲完全，確保通過(guò)與相關(guān)廠商研發(fā)相關(guān)人員的溝通和聯(lián)系，能夠根據(jù)這些信息快速地定位故障的原因，所以有必要對(duì)交換機(jī)在出現(xiàn)故障時(shí)現(xiàn)場(chǎng)處理的步驟進(jìn)行總結(jié)和規(guī)范，方便網(wǎng)絡(luò)管理人員能夠高效處理各類網(wǎng)絡(luò)故障。

故障描述

IEEE 802 LAN 中，用戶只要能接到網(wǎng)絡(luò)設(shè)備上，不需要經(jīng)過(guò)認(rèn)證和授權(quán)即可直接使用。這樣，一個(gè)未經(jīng)授權(quán)的用戶，他可以沒(méi)有任何阻礙地通過(guò)連接到局域網(wǎng)的設(shè)備進(jìn)入網(wǎng)絡(luò)。隨著局域網(wǎng)技術(shù)的廣泛應(yīng)用，特別是在運(yùn)營(yíng)網(wǎng)絡(luò)的出現(xiàn)，對(duì)網(wǎng)絡(luò)的安全認(rèn)證的需求已經(jīng)提到了議事日程上。如何在以太網(wǎng)技術(shù)簡(jiǎn)單、廉價(jià)的組網(wǎng)特點(diǎn)的基礎(chǔ)上，提供用戶對(duì)網(wǎng)絡(luò)或設(shè)備訪問(wèn)合法性認(rèn)證的手段，已經(jīng)成為業(yè)界關(guān)注的焦點(diǎn)。IEEE 802.1X協(xié)議正是在這樣的背景下提出的。

IEEE802.1X（Port-Based Network Access Control）是一個(gè)基于端口的網(wǎng)絡(luò)存取控制標(biāo)準(zhǔn)，為L(zhǎng)AN接入提供點(diǎn)對(duì)點(diǎn)式的安全接入。這是IEEE標(biāo)準(zhǔn)委員會(huì)針對(duì)以太網(wǎng)的安全缺陷而專門制定的標(biāo)準(zhǔn)，能夠在利用IEEE 802 LAN的優(yōu)勢(shì)基礎(chǔ)上，提供一種對(duì)連接到局域網(wǎng)設(shè)備或用戶進(jìn)行認(rèn)證的手段。

以啟用802.1X功能的復(fù)雜故障現(xiàn)場(chǎng)環(huán)境為例。交換機(jī)下連的用戶不能認(rèn)證，或能夠認(rèn)證通過(guò)但不能獲得IP地址（通過(guò)DHCP方式獲得IP地址），不能上網(wǎng)等；或靜態(tài)配置IP地址的情況下，不能認(rèn)證或能夠認(rèn)證通過(guò)但不能跟網(wǎng)關(guān)通訊，不能上網(wǎng)的故障。

交換機(jī)故障現(xiàn)場(chǎng)處理步驟

在開啟802.1X功能之后，802.1X標(biāo)準(zhǔn)定義了一種基于“客戶端——服務(wù)器”（Client-Server）模式實(shí)現(xiàn)了限制未認(rèn)證用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)?？蛻舳艘L問(wèn)網(wǎng)絡(luò)必須先通過(guò)認(rèn)證服務(wù)器的認(rèn)證。在客戶端通過(guò)認(rèn)證之前，只有EAPOL報(bào)文（Extensible Authentication Protocol over LAN）可以在網(wǎng)絡(luò)上通行。交換機(jī)只提供Authentication、Authorization and Accounting三種安全功能。針對(duì)此類故障可以通過(guò)以下步驟解決。

1 詳細(xì)了解出現(xiàn)故障前后網(wǎng)絡(luò)環(huán)境變化的相關(guān)信息；

2 詳細(xì)了解交換機(jī)使用的數(shù)量及出現(xiàn)故障的交換機(jī)的數(shù)量；

3 詳細(xì)了解出現(xiàn)故障的交換機(jī)每個(gè)端口下連的最終的用戶數(shù)及整臺(tái)交換機(jī)所帶的用戶數(shù)；

4 詳細(xì)了解每臺(tái)交換機(jī)出現(xiàn)故障的用戶數(shù)，及部分用戶的MAC地址和IP地址信息（至少要求三個(gè)以上）；

5 提供完整的網(wǎng)絡(luò)拓?fù)鋱D（從最終用戶的電腦→交換機(jī)→匯聚層交換機(jī)→核心層交換機(jī)→DHCP Server及RG-SAM Server;要求在拓?fù)鋱D上標(biāo)出設(shè)備的型號(hào)，管理IP地址，各交換設(shè)備相連的準(zhǔn)確的端口標(biāo)識(shí)及DHCP Server和RG-SAM Server服務(wù)器的MAC地址和IP地址及認(rèn)證客戶端的版本及配置信息）；

6 收集故障機(jī)的指示燈的狀態(tài)信息(比如燈的閃爍情況，Link/Active指示燈的情況，Power指示燈情況，光纖模塊指示燈的情況，堆疊指示燈的情況等信息)；

7 在交換機(jī)上打開debug aaa命令，收集認(rèn)證過(guò)程Debug信息,具體操作如下：

switch#debug aaa

8 收集出現(xiàn)故障時(shí)的交換機(jī)的show信息，具體如下：

在交換機(jī)上需要收集的信息如下：

Show version;show vesion slot;show version devices;show service;show cpu;show memory;show

vlan;show run;show dot1x summary;show mac-addresstable dynamic;show arp;show interfaces;show

interfaces status;show ip interface;

9 收集出現(xiàn)故障時(shí)的交換機(jī)的Sdebug信息，具體如下：

sd

console on

showerr

memory

Semophores //間隔30s再操作一次;

Semo2 //間隔30s再操作一次;

Event //間隔30s再操作一次;

Queue //間隔30s再操作一次;

Task //間隔30s再操作一次;

ShowAppMemory

hwerrlog

su 0

console on

dump pcim

dump soc

dump arl

dump vtable

dump ptable

dump stg

dump phy 1

dump phy ge0

dump phy ge1

dump irule.0

dump imask.0

dump irule.1

dump imask.1

dump irule.2

dump imask.2

dump girule.0

dump gimask.0

dump girule.1

dump gimask.1

console on

dump pcim

dump soc

dump arl

dump ptable

dump stg

dump phy 1

dump phy ge0

dump phy ge1

dump irule.0

dump imask.0

dump irule.1

dump imask.1

dump irule.2

dump imask.2

dump girule.0

dump gimask.0

dump girule.1

dump gimask.1

10 在匯聚層及核心層交換機(jī)上需要收集的信息如下：

Show version;show vesion slot;show service;show cpu;show memory;show vlan;show

run;show mac-address-table dynamic;show arp;show interfaces;show interfaces status;show ip

interface;show ip route show log

11 故障排查步驟：

A.通過(guò)串口登陸交換機(jī)，在特權(quán)模式下ping交換機(jī)的管理IP地址及管理網(wǎng)關(guān)的IP地址DHCP Server IP地址及RG-SAM IP地址；

B.將筆記本電腦接在出現(xiàn)故障的交換機(jī)用戶VLAN的端口上；

C.設(shè)置筆記本電腦的IP地址；（通過(guò)ipconfig/all確認(rèn)，要求提供截圖）

D.在筆記本電腦上運(yùn)行Sniffer軟件(需要定義過(guò)濾模板,只捕獲ICMP協(xié)議)，然后在筆記本電腦上開一個(gè)dos窗口，去ping網(wǎng)關(guān)同網(wǎng)段的設(shè)備及其他網(wǎng)段的IP地址,將測(cè)試過(guò)程(要求截圖)及報(bào)文保存；

E.在交換機(jī)上需要收集如下信息：

Show dot1x summary;show mac-address-table dy;show arp;

在匯聚層或核心層交換機(jī)上需要收集如下信息：

Show mac-address-table dy;show arp

F.將筆記本電腦接在跟交換機(jī)管理IP同一個(gè)VLAN的端口上；

G.設(shè)置筆記本電腦的IP地址；（通過(guò)ipconfig/all確認(rèn)，要求提供截圖）

H.在筆記本電腦上運(yùn)行Sniffer軟件(需要定義過(guò)濾模板,只捕獲ICMP協(xié)議)，然后在筆記本電腦上開一個(gè)dos窗口，去ping網(wǎng)關(guān)同網(wǎng)段的設(shè)備及其他網(wǎng)段的IP地址,將測(cè)試過(guò)程(要求截圖)及報(bào)文保存；

I. 在交換機(jī)上需要收集如下信息：

Show dot1x summary;Show mac-address-table dy;show arp;

在匯聚層或核心層交換機(jī)上需要收集如下信息：

Show mac-address-table dy;show arp

傳統(tǒng)的網(wǎng)絡(luò)故障處理，沒(méi)有合理規(guī)范的處理流程，造成網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)故障通常采用經(jīng)驗(yàn)法等方式處理故障，既浪費(fèi)時(shí)間又不能及時(shí)處理故障。通過(guò)本文的處理流程經(jīng)驗(yàn)介紹，希望能對(duì)網(wǎng)絡(luò)管理人員有所幫助和提高。

（作者單位為三峽電力職業(yè)學(xué)院）

數(shù)據(jù)中心的未來(lái) 軟件兼容性將是關(guān)鍵

據(jù)國(guó)外媒體報(bào)道，數(shù)據(jù)中心目前已經(jīng)在世界各地落戶，從南極洲冰冷的苔原到改建的19世紀(jì)教堂，再到改裝的核掩體或一個(gè)32層的龐然大物都可以成為數(shù)據(jù)中心。

在2009年，谷歌提出了構(gòu)建數(shù)據(jù)中心平臺(tái)的想法。像一個(gè)石油平臺(tái)一樣存儲(chǔ)計(jì)算能力，整個(gè)平臺(tái)將使用風(fēng)能和太陽(yáng)能發(fā)電。不過(guò)對(duì)數(shù)據(jù)中心的未來(lái)，還未有定論。一個(gè)模塊化的集裝箱轉(zhuǎn)運(yùn)到海外(類似于谷歌的想法或在撒哈拉沙漠建造巨大的數(shù)據(jù)農(nóng)場(chǎng)正好利用當(dāng)?shù)氐奶?yáng)能）。

不過(guò)無(wú)論發(fā)生什么，有一件事是明確的：我們需要不斷加強(qiáng)數(shù)據(jù)中心的存儲(chǔ)和計(jì)算能力。云計(jì)算可能不會(huì)全部使用外包的數(shù)據(jù)中心，許多的企業(yè)還是傾向于建立自己的數(shù)據(jù)中心。但是不管怎樣數(shù)據(jù)中心還是對(duì)計(jì)算事業(yè)的整合做出了貢獻(xiàn)。通過(guò)混合云的創(chuàng)新，企業(yè)防火墻和一級(jí)托管服務(wù)提供商的界限正變得模糊。

因?yàn)樘摂M和數(shù)據(jù)技術(shù)，數(shù)據(jù)中心可以兼容更多的解決方案。不論數(shù)據(jù)中心在何地建造，都必須大規(guī)模擴(kuò)展跨越多個(gè)平臺(tái)。無(wú)論NoSQL、MySQL還是Oracle的其他數(shù)據(jù)庫(kù)，云生態(tài)系統(tǒng)都要包容他們，而不是變成不共戴天的敵人。虛擬化使得軟件獨(dú)立于硬件存在，平臺(tái)的大一統(tǒng)成為可能。

Facebook最近宣布將使其云計(jì)算平臺(tái)普雷斯托開源，該平臺(tái)儲(chǔ)存超過(guò)300 PB的數(shù)據(jù)，為它11億用戶進(jìn)行檢索。它標(biāo)志著開源平臺(tái)將繼續(xù)在數(shù)據(jù)中心的未來(lái)扮演重要的引擎作用。

不管未來(lái)數(shù)據(jù)中心看起來(lái)如何都將是高效環(huán)保的，通過(guò)開源驅(qū)動(dòng)創(chuàng)新。