这篇博文也是我的工作生涯中的一点小心得,写出来分享给大家。
我所在的单位的网络情况是这样的,防火墙外接internet ,中间有流控,核心交换机等等,然后在分布到各个楼层的汇聚层交换机,汇聚层交换机可能下接接入层交换机,也有些是当接入层来用的,管理起来也是比较混乱。
整个网络都是一个二层的网络,VLAN为分布式的VLAN,这样的好处是易于管理,配置简单,无需配置复杂的路由协议,但是带来的坏处是什么呢,整个网络内广播报文泛滥,排错困难,一个出问题的设备或者终端可能在单位的任意一个角落,给我们这些网络管理人员带来了巨大的麻烦。
前段时间,我接到别的部门的电话,他们跟我讲这个网络是不是有问题呢?经常掉线,是不是不稳定?我心想,怎么可能,我这边好好的啊?不过话没说完,我这边也掉了。这我就很迷惑了,怎么回事,去年网还不是好好的嘛,结果我用抓包软件一看,天哪,每秒中将近有上万个ARP包,少的时候也有几千个
网络之中ARP泛滥,(后面截图,严重时每秒有上万ARP数据包),这种情况只出现办公VLAN中,其他VLAN一切正常,我开始百思不得其解,怎么会有那么多ARP数据包,后来,经过分析数据包,我发现这些数据包都是由多个无线路由器发送的,无线路由器为什么会平白无故狂发数据包呢?我想了几天,终于发现了一个特点,我们的办公VLAN地址为192.168.0.0/22 ,而且我们的无线路由器没有使用到WAN口,都是用LAN连接进线,获取我们核心交换机DHCP发放的IP地址,结果呢,就导致了什么情况呢?默认无线路由器的管理IP地址都为192.168.1.1,我们这个办公VLAN的网段刚好包含了这个地址,结果,可能是这么多无线路由器的管理地址冲突,导致各个无线路由器狂发ARP数据包来影响网络。
经过许久的分析终于得出了结论,但是如何杜绝及抑制这种情况呢? 我咨询了专业网络公司的技术总监,他给了我几个办法,1 , 交换机上设置风暴抑制,抑制广播协议的速率 2, 交换机上设置速率违背模式,超出速率采取关闭策略(但是会导致某些地方不能上网,但是那些地方的人不知情,因为是路由器自己在发送ARP报文,)3,最好的办法,从源头上控制这些,检查所有地方的路由器,统一登记,建立健全的管理模式,所有办公室小型路由统一管理,虽说这个方法最为完美,从源头上解决,但是实现起来工作难度大,有些同事会私自接入小型路由,不好进行管理。4,更改办公网段的IP地址,来避开192.168.1.1这个管理地址所在的网段,这个方面也是比较好的,但是实现起来也工作力度不小,首先,当初规划是没有考虑到,有很多办公室电脑或者路由器WAN设置了固定IP地址,很多领导的电脑都是特殊IP地址,一旦更改IP地址,那么要跑遍大部分办公室更改,工作力度不小。
目前,我们采用了第一种方法,可以说是治标不治本, 可能过几天我们要采用第四中办法,来达到根除的效果,不过经过这些故障的分析,我从中了解到了很多,我记得最深的,同时我感觉有必要提醒大家的是,在规划一个网络中的IP地址方案时,一定要考虑到方方面面,比如那些小型的路由器,尽可能的避开那么路由器的默认地址,防止这些小型设备来干扰网络的正常运作!