125859497.png

故障一S105-1上行链路断了之后,网络中断

故障二网络中加入一台接入SW,导致无线不能上网

一、网络分析

核心用两台华三S10504,接入用S5500,采用mstp+vrrp组网,所有网关都在核心上。有40多个vlan,其中奇数号码vlan 的生成树主根在S105-1,备根在S105-2;对应的奇数号码vrrp Master也在S105-1SlaveS105-2。偶数反过来一一对应。

无线控制器用5004,行为管理做透明模式,防火墙ISP双出口。

本来只有一台S105核心,网络正常运行。为了增强网络的健壮性、可靠性,现客户要求增加一台核心,所有接入SW全双上行,分别接到两台核心上。因为核心上没有配万兆板卡,不能做IRF2+接入双上行链路聚合。只能采用mstp+vrrp方式组网。

故障一S105-1上行链路断了之后,网络中断

现象:下面的所有网段都不能上网,但是在S105-2上可以ping通外网,带源ping就不通,源是下面业务的网关地址。

分析:AC只有一根线接到S105-1,心跳线暂时没有。因为下面有40多台接入交换机,所有mstp+vrrp实施起来比较繁琐,且容易出错。

初步判断vrrp+mstp配置有问题,或者转发机制有问题,导致流量没有经过S105-2走;或者行为管理有问题

1.查看mstpvrrp状态,都是正常的。

2.直接用pc1 telnet到网关上,发现远程到S105-2上,说明流量是经过S105-2上走的,没问题;S105-2到外网也是通的。

3.因为行为管理是深信服的,FWDptech的,都不方便查看。

解决方案:FW回来的路由指向10.0.0.1,且只有一条。

1.在两台核心上增加了一组vrrp,虚拟网关是10.0.0.1S105-1vrrp占有着,理所当然是MasterS105-2Slave。相当于FW上下行有两个网关。故障解决。

2.FW上增加一条备份路由,指向S105-2,优先级次。

故障二网络中加入一台接入SW,导致无线不能上网

现象:网络中加入了一台SW10,导致无线网络瘫痪,有线网络没问题,但没有观察全网。

分析:这时两台核心之间没有心跳线,AC只有一根线接到S105-1

SW10没有开启stp,网络正常;当stp开启,无线网络瘫痪。

针对某一个偶数vlan,比如vlan98,肯定有一台接入SW两条上行线都是转发状态,这样可能所有偶数vlan的无线流量都从这太SW10上转发。

解决方案:在AC上加一根线到S105-2上,两台核心之间加两条心跳线,从根源上解决网络瓶颈和可靠性,问题得以解决。