這篇博文也是我的工作生涯中的一點小心得,寫出來分享給大家。
我所在的單位的網絡情況是這樣的,防火牆外接internet ,中間有流控,核心交換機等等,然後在分佈到各個樓層的匯聚層交換機,匯聚層交換機可能下接接入層交換機,也有些是當接入層來用的,管理起來也是比較混亂。
整個網絡都是一個二層的網絡,VLAN爲分佈式的VLAN,這樣的好處是易於管理,配置簡單,無需配置複雜的路由協議,但是帶來的壞處是什麼呢,整個網絡內廣播報文氾濫,排錯困難,一個出問題的設備或者終端可能在單位的任意一個角落,給我們這些網絡管理人員帶來了巨大的麻煩。
前段時間,我接到別的部門的電話,他們跟我講這個網絡是不是有問題呢?經常掉線,是不是不穩定?我心想,怎麼可能,我這邊好好的啊?不過話沒說完,我這邊也掉了。這我就很迷惑了,怎麼回事,去年網還不是好好的嘛,結果我用抓包軟件一看,天哪,每秒中將近有上萬個ARP包,少的時候也有幾千個
這以上圖片就是我抓包所截圖,網絡之中ARP氾濫,(後面截圖,嚴重時每秒有上萬ARP數據包),這種情況只出現辦公VLAN中,其他VLAN一切正常,我開始百思不得其解,怎麼會有那麼多ARP數據包,後來,經過分析數據包,我發現這些數據包都是由多個無線路由器發送的,無線路由器爲什麼會平白無故狂發數據包呢?我想了幾天,終於發現了一個特點,我們的辦公VLAN地址爲192.168.0.0/22 ,而且我們的無線路由器沒有使用到WAN口,都是用LAN連接進線,獲取我們核心交換機DHCP發放的IP地址,結果呢,就導致了什麼情況呢?默認無線路由器的管理IP地址都爲192.168.1.1,我們這個辦公VLAN的網段剛好包含了這個地址,結果,可能是這麼多無線路由器的管理地址衝突,導致各個無線路由器狂發ARP數據包來影響網絡。
經過許久的分析終於得出了結論,但是如何杜絕及抑制這種情況呢? 我諮詢了專業網絡公司的技術總監,他給了我幾個辦法,1 , 交換機上設置風暴抑制,抑制廣播協議的速率 2, 交換機上設置速率違背模式,超出速率採取關閉策略(但是會導致某些地方不能上網,但是那些地方的人不知情,因爲是路由器自己在發送ARP報文,)3,最好的辦法,從源頭上控制這些,檢查所有地方的路由器,統一登記,建立健全的管理模式,所有辦公室小型路由統一管理,雖說這個方法最爲完美,從源頭上解決,但是實現起來工作難度大,有些同事會私自接入小型路由,不好進行管理。4,更改辦公網段的IP地址,來避開192.168.1.1這個管理地址所在的網段,這個方面也是比較好的,但是實現起來也工作力度不小,首先,當初規劃是沒有考慮到,有很多辦公室電腦或者路由器WAN設置了固定IP地址,很多領導的電腦都是特殊IP地址,一旦更改IP地址,那麼要跑遍大部分辦公室更改,工作力度不小。
目前,我們採用了第一種方法,可以說是治標不治本, 可能過幾天我們要採用第四中辦法,來達到根除的效果,不過經過這些故障的分析,我從中瞭解到了很多,我記得最深的,同時我感覺有必要提醒大家的是,在規劃一個網絡中的IP地址方案時,一定要考慮到方方面面,比如那些小型的路由器,儘可能的避開那麼路由器的默認地址,防止這些小型設備來干擾網絡的正常運作!