在一些较大规模的企业网,办公网里会出现一种情况,网络结构不是用三层路由将不同物理区域或不同功能区域进行分割,而是一张大的二层网络,一路TRUNK放行所有VLAN来打通网络。这样的网络在复杂到一定程度后就会出现各种稀奇古怪的问题,而且如果对网络结构不了解那就更是无从下手。下面就说一个刚刚处理的类似问题。
客户的整个网络刚经过2次大动作,一是我公司负责的核心交换机替换,二是另一家公司负责的机房整体搬迁。然后,过去了2个月,客户一天反馈有一个楼里的视频会议设备无法连接,开不了会,测试到网关不通。核对了视频会议设备的地址,就是上面说得那种大二层情况,视频会议的终端分散在几个楼里,但是确都要在同一个网段,然后网关还不在本园区的核心上,而是在另一个功能区域的核心上,这2个核心之间是三层路由。
中间有很多排查的弯路,篇幅所限就不赘述了,直接说最关键的情况。在终端上PING网关是不通的,但是在CMD里用命令arp -a可以看到网关的ARP信息。既然ARP表里有这个地址,我判断线路是通的,但是中间有安全设备阻断了。这里要说一点,防火墙的安全策略是会阻断报文,但是ARP这一类的协议报文是不会阻断的。接着客户就去找防火墙,但是找了几台可能的墙,登上去一看都不像。这里就有个很麻烦的问题,这个二层线路是怎么连的,没有文档记录,也没人清楚。负责机房搬迁的公司给了一张表,上面记录着搬迁前设备的连线信息。反复核对最后摸清楚了线路连接的情况。
园区核心交换机-------S5120------S5510------视频网关交换机,实际是按这样连接的线路。中间并没有安全设备。这就奇怪了,既然没安全设备,学习到了ARP信息为什么还不通,只能一台一台的检查配置。检查到S5120和S5510之间的接口配置时,发现问题了。S5120接口配置的ACCESS口,vlan1000,S5510接口配置的是TRUNK口,放行了vlan1000。刚才看到的怪现象就可以解释了,和vlan打标签、去标签的机制有关系。
最后我不想在把vlan打标签这个事又来解释一下,大家有兴趣可以做个试验看看现象,自己分析一下为什么会这样。