交換機是局域網中的重要連接“樞紐”,一旦它的工作狀態出現意外的話,那么連接到該交換機上的所有計算機都得“遭殃”,輕則出現上網緩慢的現象,嚴重的話干脆就不能上網了,為此選擇性能優越、質量上乘的交換機來組建一些重要網絡,是非常關鍵的。
然而,無論性能多么優越、無論質量怎么上乘的交換機,如果不加以妥善管理、維護,那么它的工作狀態就很容易出現意外。
這不,本文下面一則網絡故障,就是由于網絡管理員沒有對交換端口的流量進行限制,造成了交換機被大流量“頂死”,最終引發了上網用戶大面積斷網的現象;為了不讓這種故障現象再次發生,網絡管理員決定控制上網端口,限制計算機的數據傳輸速度,確保交換機不會頻繁受到大容量數據信息的“沖擊”!
交換機被“頂死”
某大樓共有1000臺左右的計算機訪問Internet,為了方便控制和管理這些計算機,它們被連接到若干臺普通二層交換機上,所有二層交換機都通過多模光纖線路連接到大樓機房的路由交換機上,路由交換機通過本地電信部門的一條共享1000MB的寬帶光纖線路,與Internet網絡直接連接。
所有計算機根據所處單位的不同,被劃分到不同的虛擬工作子網中,每個虛擬工作子網都互相獨立,各個子網中的計算機不能進行跨網訪問,如此一來就能避免網絡病毒、廣播風暴等不正常現象,危險整個大樓網絡的運行穩定性。
大樓網絡剛開始投入運行的時候,網絡管理員在不同的虛擬工作子網中進行測試,發現每臺計算機的上網速度都很快,而且各個上網用戶對大樓網絡的傳輸速度也很滿意,每天幾乎沒有故障電話前來“騷擾”網絡管理員。
可是,隨著時間的推移,網絡管理員接到的故障電話開始多了起來,有說自己的計算機上網速度明顯不如以前快了,有說自己的計算機突然上網慢了起來,有說自己的計算機經常不能穩定上網,直到有一天樓層出現了大面積不能上網故障現象,這才讓網絡管理員意識到問題的嚴重性。他立即根據組網資料,查找到不能上網樓層使用的交換機IP地址,并嘗試遠程登錄進目標交換機后臺系統,來查看各個交換端口的狀態信息時,他發現遠程登錄操作竟然失敗了;
后來,網絡管理員趕到故障交換機現場,通過Console線纜連接并利用超級終端程序直接登錄進該交換機的后臺系統,再進入該交換機與大樓路由交換機相連的級聯端口配置模式,并在該模式狀態下使用“display interface”命令,查看了級聯端口的狀態信息,發現該端口的輸入輸出流量特別大,特別是最近30秒內的輸入數據包流量明顯不正常。
按照同樣的操作方法,網絡管理員又檢查了其他普通交換端口的狀態信息,發現有的交換端口輸入、輸出流量大小正常,有的輸入、輸出流量也比較大;正常情況下,普通交換端口的輸入數據包流量應該不會超過每秒鐘500個數據包,可是在故障交換機下,網絡管理員發現有很多普通交換端口下的輸入數據流量竟然超過了每秒鐘1000個數據包,這顯然是不正常的,那么這些流量究竟為什么會這么大呢?
起初的時候,網絡管理員懷疑是故障交換機存在網絡環路,可是啟用了故障交換機的環回受控測試功能后,發現并沒有網絡環路存在,為此網絡管理員估計這些大流量可能是故障交換機下面的上網用戶惡意下載造成的。繼續在故障交換機的后臺系統中,執行“display cpu”命令時,網絡管理員發現交換機系統的CPU資源已經被消耗掉90%以上,而正常情況下交換機系統的CPU資源消耗率應該在50%以上,看來故障交換機已經被上網用戶的大流量“頂死”了,從而引發了連接到該交換機上的所有用戶都不能正常上網了。
解決故障的可行方案
從上面的故障描述來看,樓層用戶大面積不能上網的原因,顯然就是上網用戶毫無節制地消耗寶貴的帶寬資源引起的。要想不讓交換機被大流量的數據包“頂死”,通常有兩種方案可供選擇,一種方案是想辦法擴大訪問Internet網絡的出口帶寬大小,讓上網用戶繼續在“高速高路”上自由馳騁,另外一種方案就是保持上網出口帶寬大小不變,想辦法限制每個用戶的上網訪問流量大小,確保他們不能過度占用上網出口帶寬資源。
考慮到目前上網線路的租用,是根據出口帶寬大小的不同進行收費的,并且出口帶寬大小越大,上網線路的租用費用也是越高,顯然通過簡單地擴大上網出口帶寬的大小來避免交換機被堵死的故障,需要支付較高的網絡運行成本,而且即使使用了這種應對方案,交換機仍然存在被大容量數據包“頂死”的可能。經過權衡考慮,網絡管理員打算從網絡優化設置著手,來限制上網用戶的訪問流量大小,禁止其進行BT下載或在線欣賞大容量多媒體影片時惡意搶用上網帶寬資源。
由于限制上網流量大小的方法也有很多,例如選用一些專業的限速工具,我們可以針對某個IP地址,來限制計算機的上網訪問流量大小,或者通過代理服務器中轉的方法進行流量控制,避免上網用戶隨意消耗上網帶寬資源;
不過這些方法都有明顯的缺憾,例如使用代理服務器進行中轉控制上網流量時,上網用戶的訪問速度會受制于代理服務器的性能,而且代理服務器同時處理的任務比較多時很容易發生癱瘓現象,而使用專業工具進行限制上網流量時,如果上網計算機的IP地址不停變化的話,那么流量限制效果也不會好到哪里。
最后,網絡管理員經過認真分析、考慮,決定使用樓層交換機自帶的網絡管理功能,來限制每個上網交換端口的出入速度,日后無論上網計算機的IP地址怎么變化,只要接入到經過限速設置的交換端口上,它們的上網流量大小都被控制在一個規定的范圍,如此一來交換機受到大流量數據包的沖擊機率就大大降低了。
很明顯,這種應對方案不需要額外支付上網成本,不需要單獨增加設備,更不需要調整大樓網絡已有的組網結構,因此這種限制端口流量的方案既能保證交換機不容易受到大容量數據信息的“沖擊”,又能保證大樓網絡可以穩定地運行。當然,這種應對方案僅對中小規模的網絡以及上網應用比較單一的網絡比較適用!
限制端口的流量大小
選定了解決故障的可行方案后,網絡管理員立即動手準備對故障交換機的各個交換端口訪問速度進行限制了。由于不同型號的交換機,限制端口流量大小的方法是不一樣的,網絡管理員發現單位網絡中故障交換機使用的是Quidway品牌的交換機,上網搜索相關資料后,他發現該品牌的交換機往往使用line-rate命令來限制端口流量速度,同時他發現該品牌的交換機報文速率限制級別取值為1~127。
如果速率限制級別取值在1~28范圍內,則速率限制的粒度為64Kbps,這種情況下,當設置的級別為N,則端口上限制的速率大小為N*64K;如果速率限制級別取值在29~127范圍內,則速率限制的粒度為1Mbps,這種情況下,當設置的級別為N,則端口上限制的速率大小為(N-27)*1Mbps。
考慮到整個大樓網絡的出口帶寬大小為共享1000MB,網絡管理員決定將樓層交換機上每個普通交換端口最大傳輸速度的大小限制為5Mbps;
假設,局域網中的某臺普通計算機要是連接到了樓層交換機的第2個以太端口上,網絡管理員現在希望這個以太端口的最大傳輸速度只能為5Mbps,要達到這個控制目的,那么他只要先以系統管理員身份進入目標樓層交換機后臺管理系統,執行“system”字符串命令,將其切換到系統全局配置狀態,在該狀態下繼續執行字符串命令“interface Ethernet 0/2”,進入第2個以太端口配置模式,在該配置界面下執行“line-rate outbound 32”命令,這樣一來就能將目標交換端口的出方向報文流量速度限制為5Mbps了;
按照同樣的操作方法,再執行“line-rate intbound 32”命令,將目標交換端口的入方向報文流量速度也限制為5Mbps。之后,再對其他交換端口執行相同的操作,將它們的流量傳輸速度全部限制為5Mbps,那樣的話整個交換機出口帶寬資源就不會被某一個交換端口過度消耗了,那么交換機也就不容易被大容量數據“頂死”了。
當然,在局域網規模比較大、計算機數量比較多的情況下,我們就不能簡單地針對普通樓層交換機的交換端口進行限制流量了,畢竟這種限制方法工作量非常大,不利于提高網絡的管理效率,而且日后需要恢復普通交換端口的工作狀態時,也是比較麻煩的。
此時,我們可以嘗試在局域網的核心交換機上,對每個樓層交換機的級聯端口訪問流量進行限制,以便限制各個樓層網絡對整個核心交換機產生大流量“沖擊”。
京公網安備 11010502049343號