■

某企業(yè)要求所有員工間的電腦不能互訪，但都可以訪問OA服務(wù)器。企業(yè)成立初期員工不多，于是為每個(gè)用戶端口劃分一個(gè)VLAN，將交換機(jī)各端口配置為Hybrid模式，實(shí)現(xiàn)了每個(gè)員工都能訪問OA服務(wù)器， 但又相互隔離的要求。網(wǎng)絡(luò)連接示意圖如圖1所示。

交換機(jī)配置如下：

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

圖2 PC2抓包結(jié)果

故障現(xiàn)象

網(wǎng)絡(luò)建成初期運(yùn)行正常，但隨著員工數(shù)量不斷增加，服務(wù)器訪問量不斷增大，用戶反映高峰期訪問服務(wù)器很慢，甚至出現(xiàn)無法訪問的現(xiàn)象。根據(jù)用戶反饋的問題，首先懷疑網(wǎng)絡(luò)出現(xiàn)了環(huán)路導(dǎo)致風(fēng)暴，但排查后排除了存在環(huán)路的可能，于是在PC2上進(jìn)行抓包分析（如圖2）。

從抓包結(jié)果看，PC2收到了服務(wù)器發(fā)往PC1的單向報(bào)文，同樣在PC1上抓包也收到了服務(wù)器至PC2的單向報(bào)文。

查詢交換機(jī)上的MAC表項(xiàng)（如圖3），服務(wù)器、PC1及PC2的MAC地址均學(xué)習(xí)正確，并且根據(jù)抓包結(jié)果判斷服務(wù)器至每個(gè)用戶的單向報(bào)文都會(huì)轉(zhuǎn)發(fā)到其他用戶端口，這明顯不符合交換機(jī)報(bào)文轉(zhuǎn)發(fā)的原理。

故障分析

我們現(xiàn)在以PC1為例來分析用戶訪問服務(wù)器時(shí)的數(shù)據(jù)轉(zhuǎn)發(fā)流程。

1.PC1訪問OA服務(wù)器，報(bào)文進(jìn)入交換機(jī)端口g0/0/1后，交換機(jī)查詢MAC地址表項(xiàng)，由 于 PC1在 VLAN10，而 服務(wù)器在VLAN100中，交換機(jī)在VLAN10中沒有發(fā)現(xiàn)服務(wù)器MAC地址（雖然交換機(jī)的MAC地址中已經(jīng)有服務(wù)器的MAC地址，但它是在VLAN100中），因此交換機(jī)會(huì)在VLAN10對報(bào)文進(jìn)行泛洪，因?yàn)間0/0/3工作在Hybrid模式且允許VLAN10報(bào)文通過，因此g0/0/3端口會(huì)收到該報(bào)文，并將它轉(zhuǎn)發(fā)到OA服務(wù)器。

2.OA服務(wù)器回復(fù)PC1的報(bào)文進(jìn)入交換機(jī)的g0/0/3端口，因?yàn)镺A服務(wù)器在VLAN100中，PC1在VLAN10中，交換機(jī)的VLAN100中沒有PC1的MAC地址表項(xiàng)，因此交換機(jī)會(huì)在VLAN100對該報(bào)文進(jìn)行泛洪，因g 0/0/2端口允許VLAN100的報(bào)文通過，因此PC2會(huì)收到該報(bào)文，實(shí)際上交換機(jī)所有用戶端口都能收到該報(bào)文。PC1和OA服務(wù)器完成了一次通信。

3.PC1后續(xù)與服務(wù)器間的報(bào)文同前面一樣，服務(wù)器回復(fù)PC1報(bào)文會(huì)繼續(xù)泛洪，因此這就是為什么PC2抓包能看到幾乎所有的單播報(bào)文。

圖3 交換機(jī)MAC地址表

4.當(dāng)用戶的業(yè)務(wù)量大的時(shí)候，泛洪到各端口的流量就會(huì)疊加起來，假設(shè)一個(gè)端到端的流量在100M，那么十個(gè)這樣的互訪流量就會(huì)將端口流量增大到1G。單播泛洪正是網(wǎng)絡(luò)變慢的根本原因。

故障解決

根據(jù)企業(yè)目前業(yè)務(wù)現(xiàn)狀，使用交換Hybrid端口特性已無法滿足用戶要求。我們可以采取兩種方法對交換機(jī)進(jìn)行重新設(shè)置。

第一種方法是使用端口隔離。將交換機(jī)各端口劃分至一個(gè)VLAN中，除服務(wù)器外的所有用戶端口都配置為端口隔離。交換機(jī)配置如下：

第二種方法是使用MUX VLAN。將服務(wù)器劃分至MUX VLAN 100中，將用戶劃分至從VLAN的Separate VLAN 10中。交換機(jī)的配置如下：

經(jīng)驗(yàn)總結(jié)

雖然Hybrid端口特性應(yīng)用靈活，實(shí)現(xiàn)簡單，但我們在做網(wǎng)絡(luò)規(guī)劃時(shí)如果只考慮組網(wǎng)結(jié)構(gòu)、技術(shù)實(shí)現(xiàn)，而忽視業(yè)務(wù)流量、數(shù)據(jù)流向等問題，就會(huì)給網(wǎng)絡(luò)帶來安全隱患。