分類: Cisco

解決Cisco路由器嚴重丟包現象

部門(下稱部門A)中有人反映不能訪問上級部門(部門B)的網絡。我從該人所用的計算機A1(IP地址為10.20.12.11/24)上用ping命令向部門B網絡中的計算機B1(IP地址為10.20.30.110/24)和B2(IP地址為10.20.30.111/ 24)發送測試數據包,丟包率達100%,ping本部門的其它計算機則顯示連接正常。檢查其計算機IP設置,發現網關設置正確(正確網關為10.20.12.1),於是懷疑路由器不能正常工作。用本辦公室計算機A2、A3測試,發現以下奇怪現象:

(1)在計算機A2(IP為10.20.12.12/24)上用ping命令分別ping部門B網絡中計算機B1和B2,發現B1有正常回應,B2的回應率在20%~50%之間;在計算機A3(IP為10.20.12.13/24)中用ping命令分別ping計算機B1和B2,回應顯示連接正常,丟包率為0。

(2)將計算機A3的IP地址改為10.20.12.12/24後測試,ping得的結果同(1)中的計算機A2測試情況。

(3)將計算機A2的IP地址改為尚未使用過的IP地址:10.20.12.22/24,測試與B1和B2的連接,結果顯示正常,丟包率為0。

(4)將計算機A1的IP地址改為尚未使用過的IP地址:10.20.12.23/24,測試與B1和B2的連接,結果顯示正常,丟包率為0。

故障分析

考慮到網絡連通情況與本機IP地址有關,參考本單位網絡拓撲結構圖,於是懷疑可能是由於部門B網絡的防火牆設置引發該故障。由於部門B與本部門分別位於城市中兩個不同地方,不方便查看其防火牆設置,於是打電話詢問。但該部門網絡管理員告之其防火牆是針對網絡IP段設置的,也就是說,該防火牆對於部門A的整個網絡IP段都是允許訪問的。

分析以上原因,可能是本部門中某些計算機向部門B網絡發送過非法訪問信息,部門B的防火牆自動將該IP列入侵計算機名單,屏蔽了其發送的IP數據包,從而引發網絡連接不正常的現象。調查本部門中所有計算機,將不能正常訪問外部網絡(部門B網絡)的計算機的IP更換為新的IP地址,問題暫時解決。
但一個星期後,網絡又出現故障,有幾個原來能正常訪問部門B計算機出現丟包現象,而有幾個原來不能正常訪問外部網絡的IP地址卻可以正常訪問外部網絡,看來問題可能不在防火牆上。

在計算機上A2(IP地址為10.20.12.12/24)用Tracert命令跟踪測試,現像如下:

c:\>Tracert 10.20.30.110

Tracing route to 10.20.30.110 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 10.20.12.1

2 1 ms <1 ms 1 ms 192.168.10.2

3 1 ms 1 ms 1 ms 10.20.30.1

4 2 ms 1 ms 2 ms 10.20.30.110

Trace complete

將計算機上A2的IP地址改為10.20.12.22/24,用Tracert命令跟踪測試,現像如下:

Tracing route to 10.20.30.110 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 10.20.12.1

2 1 ms * * 192.168.10.2

3 * 2 ms * 10.20.30.1

4 * * * Request timed out

5 * * * Request timed out

6 * * 2 ms 10.20.30.110

Trace complete

Trace complete

有時用Tracert跟踪測試得到4、5行及以後顯示的都是Request timed out。

回顧近期網絡結構變動情況,原來本部門中網關的位置用的是一個三層交換機(只使用其路由功能),當時內網能正常訪問外部網絡,在一星期前換為Cisco 3640路由器,將按三層交換機中的配置重新配置3640路由器,換後不久就出現以上網絡故障。檢查Cisco 3640的端口配置和路由配置,發現端口IP地址配置正常,而在路由列表中有兩條路由:

ip route 0.0.0.0 0.0.0.0 192.168.10.2

ip route 0.0.0.0 0.0.0.0 10.20.12.254

因本部門網絡是單位廣域網中最下層子網,根據業務需要訪問本單位整個廣域網,而本部門網絡只通過一台Cisco 3640路由器Router A接入部門B網絡中,再通過部門B的路由器Router B接入單位廣域網(見前面網絡拓樸圖)。為方便設置,我們只需要在Cisco 3640加入一條缺省路由“ip route 0.0.0.0 0.0.0.0 192.168.10.2”就可以將本部門對外部網絡的的訪問都轉發到部門B的路由器Router B,從而實現網絡的互聯。可能由於設置人員的失誤,在路由表中多加了一條並不存在的下一跳節點“ip route 0.0.0.0 0.0.0.0 10.20.12.254”。以致當內網中的計算機訪問外部網絡時,路由器有時不能將IP數據包正確地發送到192.168.10.2中,由於路由器加電工作後,內存中保存了內網對外網的訪問路由列表,使得一些計算機一直能正常訪問外網,而另一些計算機不能正常訪問,當路由器重新啟動(如第二個星期一早上重啟路由器)後,訪問路由列表重新建立,使得內部計算機訪問外網的現象發現變化。

故障排除

在路由器特權模式下刪除無用的路由列表:

# no ip route 0.0.0.0 0.0.0.0 10.20.12.254

#wr

重啟路由器後,本部門所有計算機都能正常訪問部門B的網絡及單位廣域網,故障得到徹底解決。

指的是路由器或者其他互聯網網絡設備上存儲的表,該表中存有到達特定網絡終端的路徑,在某些情況下,還有一些與這些路徑相關的度量。

路由表的一般形式為:

Destination Gateway Flag Refs Use Inerface

其中,Destination目標網絡或主機的IP地址;Gateway到達指定目地的使用網關;Flag標誌字段,描述這一路由的一些特性;Refcnt表示為了建一次連接,該路由使用的次數;Use表示通過該路由傳輸的分組報文數;Interface表示該路由使用的網絡接口名。

一個典型的路由表的例子

Destination Gateway Flags Refs Use Interface

default 26.112.191.98 UGS 0 0 net0

default 26.112.191.98 UGS 0 18 net0

26.112.191 26.112.191.2 UC 1 0 net0

26.112.191.2 127.0.0.1 UGHS 3 92 lo0

127.0.0.1 127.0.0.1 UH 3 9786480 lo0

224 26.112.191.2 UCS 0 0 net0

獲得Cisco CCNA 640-802證照方法

CCNA認證屬於Cisco售後工程師認證體系得入門認證,獲得CCNA最快捷的方式就是通過640-802考試。
    通過CCNA可以證明你已掌握網路的基本知識, 並能初步安裝、配置和操作Cisco路由器、交換機及簡單的LAN和WAN。CCNA認證表示經過認證的人員具有為小型辦公室/庭辦公室(SOHO)市場聯網的基本技術和相關知識。通過CCNA認證的專業人員可以在小型網路(100或100以下個節點)中安裝、配置和運行LAN、WAN和撥號訪問業務。他們可以使用的協議包括(但不限於)IP、IGRP、OSPF、EIGRP、IPX、Serial、Apple、Talk、Frame Relay、IP RIP、VLAN RIP、Ethernet、Access Lists。
    CCNA 640-802考試的簡介
  考試編號:640-802
  考試時間:140分鐘
  考題數目:44-55題
  及格分數:825
  考試題型:模擬題;實驗題、拖拽題、選擇題

    Killtest提供最新的權威640-802 Cisco Certified Network Associate(CCNA)考古題,包括了當前最新的640-802考試問題,包括選擇題、多選擇題、實作(Lab)題,全部附有正確答案保證您一次性通過640-802 考試。

CCIE學習——私有VLAN和VTP

為什麽會有私有VLAN?在實際網絡環境中,我們經常需要劃分多個小的VLAN,如果要將它們與現有的IP網段壹壹對應,會很難實現。所以引入私有VLAN(類似於私有地址)。私有VLAN可以使交換機的端口屬於不同VLAN,但使用同壹網段的地址。 ●私有VLAN所需支持的端口通信類型:1)端口能與所有設備通信2)端口之間能互相通信,且能與共享設備(主要是路由器)通信3)端口只能與共享設備通信為了支持這些通信,壹個私有VLAN可包含壹個主VLAN和壹個或多個從VLAN。在主VLAN中的端口處於混雜模式,可以發送和接收其他端口(包括屬於從VLAN的端口)的幀,這個端口壹般是留給共享設備使用的(如路由器和共用服務器)。其他連接到下層客戶端的接口則屬於從VLAN。從VLAN也有兩種類型:公共VLAN和孤立VLAN。如果幾個端口共用壹個設備,那麽可將這些端口分配到公共VLAN中;如果某個端口與其他任何端口都不通信,那麽就將其分配為孤立VLAN。以上的設計可以歸納為下表:可通信的端口 主VLAN端口 公共VLAN端口 孤立VLAN端口
與主VLAN通信 是 是 是
與同壹從VLAN通信 N/A 是 否
與其他從VLAN通信 N/A 否 否

 ●為什麽需要VTP?手工配置VLAN信息可能很麻煩(在多個交換機上配置),所以可以考慮讓交換機自學習配置信息,根據VTP協議,只需要配置壹臺交換機,其他需要配置VLAN的交換機可以由此動態地學習到配置信息,這樣大大簡化了配置過程。而且當需要修改配置時,使用VTP也很方便。VTP會廣播VLAN ID、VLAN名和VLAN類型信息,但是,它不會廣播哪些端口屬於哪個VLAN的信息,所以這些還是需要手工在每臺交換機上配置。此外,雖然用於私有VLAN的ID信息會被廣播,但具體配置信息不會由VTP廣播。 ●VTP的功能與模式的相關性如下表:功能 服務器模式 客戶端模式 透明模式
初始VTP廣播 是 是 否
接收到廣播以更新其VLAN配置 是 是 否
轉發接收到的VTP廣播 是 是 是
在NVRAM或vlan.dat中保存VLAN配置 是 是 是
使用命令創建、修改或刪除VLAN 是 否 是

 ●VTP的工作過程VTP的更新過程始於管理員在VTP服務端交換機修改VLAN配置。當新配置開始時,VTP服務器將VTP版本號增1,並將該新版本號與整個VLAN配置數據庫壹同廣播。有了VTP版本號,就可以判斷什麽時候VLAN數據庫更新了。當接收到壹個VTP更新時,先檢查其版本號,如果版本號大於現有配置的版本號,則接收該新配置。Cisco交換機默認使用VTP服務器模式,不過在未配置VTP域名之前,VTP更新不會發送。而對於VTP客戶端而言,它們不需要配置VTP域名。如果未配置域名,客戶端會自動設定域名為其收到的第壹個VTP更新中的域名。不過,要讓VTP客戶端生效,妳至少需要使用vtp mode命令配置其模式。當使用VTP時,如果出於可用性的考慮,至少需要兩臺VTP服務端交換機。正常情形下,配置其中壹臺即可,另壹臺可以自動學習。新接入的VTP服務端或客戶端交換機若滿足以下情形,可以更新其他交換機的VTP數據庫:1)新交換機的鏈路處於trunk模式2)新交換機與其他交換機使用同樣的VTP域名3)新交換機的版本號大於現有交換機的版本號4)如果配置了密碼,新交換機的密碼應與其他交換機相同。 ●VTP配置VTP向所有活動的trunk接口(ISL或802.1Q)發送更新(註意這個前提條件),壹般情況下,Cisco交換機的默認配置是無VTP域名的服務端模式,所以它不會發送任何VTP更新。配置示例:Switch1#conf tSwitch1(config)#vtp domain work            ——配置VTP域名,Switch1可以發送更新了Switch1(config)#^ZSwitch2#sh vtp status                        ——查看Switch2學習到的VTP信息VTP配置選項:1)domain:在VTP更新中設置域名。如果接收到的VTP更新的域名與其配置的域名不匹配,則被丟棄。壹個交換機只允許壹個VTP域名。2)password:在VTP更新中生成MD5的密碼。如果接收到的VTP更新的密碼與其配置的密碼不相同,則被丟棄。3)mode:設置交換機為服務器、客戶端或透明模式。4)version:設置版本號為1或2。服務端和客戶端在交換VLAN配置信息的時候必須版本號相匹配。版本號設為2的透明模式交換機可以轉發版本號為1或2的VTP更新。5)pruning:允許VTP修剪(僅當接收端的交換機有屬於某個VLAN的端口時,才將該VLAN信息發送給它,這樣可以減少網絡洪泛流量)。6)interface:指定交換機選擇哪個源MAC地址作為VTP更新接口。