透视开关故障的五种经典技术

在交换网络中,你如何决定从哪里开始发现问题我想深入研究一下交换网是非常困难的。首先,2层交换仍然是桥接和转发的,但是3层交换机具有更高级的特性和转发规则,如VLAN。



4级交换更加复杂,更先进的转发和负载平衡技术正在出现。需要更多的开关配置知识来进行故障诊断、故障诊断和解决方案。



在安装一个开关,每个开关的半双工端口是一个冲突域。如果该端口连接到一个集线器,和一些网站在枢纽连接,冲突域将扩大。但作为交换产品的价格下降,最新的网络已连接到每交换端口只有一个网站。因此,在半双工连接的情况下,冲突域是只为一个单一的电缆连接。



开关通常是一个独立的广播域的一部分,包括任何数量的其他交换机连接或连接。如果在OSI模型的3层功能,可以创建多个广播域,和广播域的数量等于VLAN的数量。在最极端的情况下,每个端口可以配置如果开关功能可以作为一个独立的广播域,这种情况可以称为路由到桌面。在创建的每个端口是一个独立的广播域,故障诊断将受到严格限制。但如果我们设置每个端口为一个独立的广播域,每个端口转发时需要路由服务交通,这将占用交换机CPU在一有限的资源。网络环境中,很难为每个单独的端口路由请求和响应,我们应该避免这种配置。在网络中,服务器总是被发现在一个子网或广播域,所有的客户在另一个子网或广播域。在这种情况下,所有的请求必须被击溃。如果维修行为被限制到一个单一的服务器组,考虑放置的服务器在一个单独的VLAN,然后使用该服务器的用户放在同一个VLAN中,流量可以使用2层交换桥接模式交换,只有少数需要路由请求。如果服务器支持多个用户,一个网络卡可以安装在服务器上实现2层交换连接的用户。



开关故障诊断的5种技术



你可以采取5种基本方式看开关。每个方法不同的是,有一个积极的或消极的一面。像其他遇到的问题在网络中,有没有一个最佳答案。最合适的解决方案往往取决于哪些资源你可以使用在你的手中(什么工具可以使用或什么工具已经安装之前),和这些技术的使用可能会导致服务中断。



即使它们结合在一起,也无法监视网络。在交换的环境中,它不是作为一个枢纽,方便。我们通过一个开关,看到所有的交通几乎是不可能的。大多数的故障诊断假设交通将站点和连接的服务器之间传递,或通过故障诊断开关上行端口。事实上,如果2台主机直接地传递信息,它将不使用交换机的上行端口或其他端口交换业务。除非你知道哪些端口是使用具体的,它不会被监控。



例如,在图1中,服务器连接到一个开关。那些有问题的用户直接连接到开关,而另一部分则是从交换机的上行端口连接到其他的交换机或路由器,接入服务器故障报告是慢;这样;故障报告本质上是没有价值的技术支持工程师。



U3000 U3000








图1,最基本的交换环境之一



方法1:通过telnet或串口访问服务器



先进的网络技术支持工程师或任何人谁知道开关密码可以选择开关或开关的远程串口检查开关的配置。(如图2)



U3000 U3000








图2,使用RS-232控制端口



交换机的配置可以通过以上2种方法来看,虽然问题不一定是配置。不管问题是操作系统有缺陷或配置不完善,很难从配置列表中查看。配置信息来定位开关果然有用,但这不是故障诊断。为了验证交换机的配置,各种开关故障诊断方法往往需要使用。



由于开关厂家和型号的不同,这些故障诊断工具的特点也不同,许多开关都配备了实时故障诊断工具,但要充分利用这些工具,必须依靠一定的理论知识和实践经验。




方法2:连接到一个空闲端口



最简单的故障诊断方法是在交换机的空闲端口访问监控工具,如协议分析器。



U3000 U3000








图3。来自任何端口的监视



监视工具连接到交换机的一个空闲端口,并且可以不中断服务地查看广播域。监视工具具有与广播域中的任何其他站点相同的权限。



遗憾的是,交换机(作为多端口桥接器)并没有将流量转发到监控端口,因为桥是这样设计的,所以流量直接转发到目的端口,不会转到其他端口,因此协议分析器几乎无法监控流量。



U3000 U3000








图4,交换机在源端口和目的端口之间转发流量。



很少的流量会流向其他端口,站点和服务器可以每秒转发几千帧,但是监听端口每分钟只能看到几帧。



U3000 U3000

流量转发到监控端口是几乎所有的广播,包括未知目的地地址一些零碎的画面。这些零碎的帧的路由转发表的老化的结果,往往一个未知的目的地端口帧。一些经验较少的技术人员看到这么高的广播(近100%),但没有注意,端口利用率很低。



查看交换网络几乎是无用的,因为监控工具必须获得流量,获得的流量或查询广播域有助于搜索和查找其他类型的问题,但这不利于解决用户连接缓慢的问题。



对于大多数交换机,有一种更好的选择来将需要监视的端口流量备份到一个特殊的空闲端口。



大多数交换机制造商提供备份或镜像通信,可以将监视工具连接到交换机中的特定配置端口。旧交换机必须指定一个特殊的监视端口作为镜像端口,但大多数新交换机可以指定任何端口作为镜像端口。



虽然开关制造商有不同的镜像方式,但基本上还是有相同的监控选项,值得注意的是,在几乎所有的情况下,交换机都在过滤流量的同时过滤掉错误,对于故障诊断,这意味着同时将有用信息过滤掉。



此外,实际操作要求我们通过控制端口(交换机的RS232端口)或telnet进程配置镜像,这意味着除了监控工具外,我们通常还需要一台计算机或终端来配置交换机。



镜像端口往往只是一个监控港口,但许多开关厂家允许的端口被配置为全双工,镜子配置,监控工具可以看慢的主机和报告被连接的服务器之间的实际流量的备份镜像只能监控。端口的开关,甚至上行端口,也可以同时监控交换机的多个端口。但许多港口都同时监控,过多的流量可能超过接收能力的镜子。



它是监控端口的输出能力的一个重要问题。镜子的嘴可以收集并可以发送。在配置的时候,镜子的功能通常是关闭的。然而,是否镜子的功能是关闭的(镜子是否是全双工或不)镜子,接受能力是有限的。如果全双工端口监测率,镜像端口相同,开关很容易失去转发流量时,但开关不会通知你。



假设你是监控服务器连接在100mb全双工速率开关。当服务器在全双工工作,发送和接收服务器速度是100MB,所以是多少总。然而,该开关的100MB的图像端口最多只能接受100mb交通。所以当任何交换机的端口(全双工)的利用率达50%以上,收到的数据包的镜子将丢失。



如果多个端口被镜像到一个端口,那么数据包丢失的问题就更严重了,因为大多数交换机工作能力很低,这个问题不会立即被注意到,大多数用户连接的平均使用率很低,只有偶尔会有突发的流量。



如果你选择了一个高速的镜子,你可以减少数据包丢失的问题。例如,在图6 1000mb取代的100MB的图像接口,易于接受200mb监控交通。




方法3:访问链路上的集线器



使用的轮毂具有重大的战略意义。许多网络,大部分的发送和接收的流量来自共享设备如文件服务器连接的交换机端口和文件服务器之间的枢纽,并连接到集线器的分析仪,分析仪和文件服务器实际上是连接到同一个广播域。通过这种方法,技术支持人员可以看到所有传入和传出的文件服务器的流量,并帮助技术支持人员解决一系列的问题,包括用户登录失败、效率低、连接损耗。



U3000 U3000








图5,使用集线器监视交换机端口



对轮毂的方法往往是不切实际的,尤其是当多个服务器需要监控。哪里适合接入集线器所有服务器都连接好了吗如果您正在使用集线器,为了交换连接,您不希望您的网络如此频繁地受到干扰。集线器造成的延迟通常是由于连接丢失造成的。此外,许多时间监控工具不支持服务器使用的技术或连接速率。



使用一个共享中心,监控所有的流量和错误的链接仍然是一种有效的方法。这几乎是仅有的方式查看和分析在一个交换网络环境中的MAC层的错误。也可以使用SNMP来发现这些错误。然而,为了更好地进行误差分析,或使用监控工具直接查看最直接的。



有2个主要的方法对轮毂缺陷。服务器链接可能不全双工不匹配或枢纽双工状态,这将带来更多的错误结果的监控,使用这种方法时,你必须手上有一个共同的中心。许多新型集线器现在类似开关,而不是共享转发设备,访问这个中心相当于进入了一个新的开关,你不能看到你想看到的交通,它不工作的监控。如果访问公司是一个双速集线器,这样达10Mb /100MB双率,各率可以提供广播域,然后将两率之间。在这种情况下,有必要确认监控环节和监控工具都运行在相同的速率在矿石可以使用双速率集线器,也有许多集线器提供了在所有端口之间转发的能力,因此称自己为廉价交换机,对人们来说是误解。



方法4:使用水龙头(监控接口箱)或分流。



此方法类似于添加共享集线器,不同之处在于TAP链接仅接收流量,而监视工具不允许发送通信量。



这2个字的水龙头和分流有时可以互换,虽然分流通常应用于光纤链路,光纤链路中的分流,将光光的初始路径和路径监测。典型的光谱比为80:20,70:30,和50: 50.in为例,80%的光通过分束器传送到原来的路径,和20%的光线被转发到监控路径。如果光纤有问题,或传输距离很长,由光分路器是导致链路的问题很容易引起20%的光损失。分流可以带来3分贝的衰减在光纤链路。一些调车必须耐用。因此,即使一个分配器安装在链路的一端,连接将被中断,使它可以安装在另一端使链路正常工作,光分路器可以没有工作电源。需要注意的是,分流是一个内部重要(入境)监测装置,所以对并联电缆正确连接是非常重要的。



端口抽头也会带来信号丢失的问题,因为抽头需要识别交通信号。如果链接本身有问题或环节很长,自来水的引入可能导致连接interruption.tap需要供应电信号恢复,既能监测端口。如果设计好,链接不应该被打断,当功率下降在水龙头。



链路监测使用自来水的方法是查看链路流量的好办法。一旦安装成功,水龙头是监测设备的透明和可以在任何时候使用,也不会带来更多的干扰。不幸的是,当水龙头连接,连接必须暂时中断了。此外,水龙头或分流将在2个不同的方向提供流量。也就是说,发送和接收是分开的。



为了监控请求和响应通过点击链接的同时,一个监测工具有两个输入口是必要的。一个双端口监控工具,可以监控每个方向分开,也可以关注两个方向联系在一起进行分析。您也可以选择监测一次只有一个方向,但它将很难对其进行分析。水龙头,监测全双工和半双工操作环节可监控没有任何区别。你可以选择一个单端口监控工具,监控一个方向,或选择一个双端口监控工具,同时监测两方向。




方法5:使用SNMP查询交换机



一个交换网络故障诊断的最有效的方法应该是通过向交换机直接检查网络状态。这可以通过SNMP或连接到开关的控制端口实现的。显然,对开关的控制端口直接连接是不理想的,因为这需要一个物理连接到网络中的每个开关。一个更理想的选择是建立一个连接到开关控制port.snmp终端服务器是更好的选择,可以随时随地在交换网络区,无需额外的硬件查询。如果你部署的网络管理系统,您还可以配置时利用,错误,或其他参数超过阈值,开关使SNMP陷阱啊然后利用网络管理或监控工具来研究什么导致门槛超越。



实际上,所有交换机都提供SNMP功能,甚至是最便宜的交换机。它们之间的主要区别是提供多少信息。一些廉价交换机只提供简单的SNMP信息,并针对整个交换机。这些昂贵的交换机还可以为交换机的每个端口提供详细的信息。



SNMP可能是监视交换机网络最常用和最少干扰的方法。SNMP控制台不需要非常接近被监视的设备。它只需要路由到达。同时,交换机的安全配置允许控制台与交换机的代理进行通信。



U3000 U3000








图6。使用SNMP监视交换机安全性



虽然交换机可以识别错误,但交换机本身并不经常报告错误,因此使用SNMP查询可能是最好的方法。



支持SNMP的交换机有一个不同的MIB库(管理信息库),每种MIB都是不同的,除了一些支持它们交换机的私有MIB库外,一个标准的MIB库对于监控交换网络也是非常有用的。



RFC 1213 MIB II



RFC 1643以太网类接口MIB



RFC 2819 –RMON Ethernet



RFC 2021 - 2;远程监控



RFC 2613 ndash; SMON



许多RFC的不断更新和提高后,它们产生的。所以我们要检查最近更新的RFC。例如,RFC1213,至少五的更新和提高,产生了5个新的RFC(2011201220132358和2665)。除了定义利用率和错误的RFC,桥接的MIB(rfc1493)也很有用的。



当使用SNMP监控网络,你一定要注意安全。如果SNMP代理不限,然后在任何潜在的任何人都可以监控你的网络动态或修改交换机的配置。当开关被出售,SNMP默认打开的,用了一个很普通的密码,密码被称为通信协议字符串,这是传播的明文,这构成了潜在的danger.snmp V3提供通信字符串加密和降低风险,但SNMP V3还没有得到广泛应用。最常见的通信字符串是公开的。现在,公众,互联网上很多的SNMP代理可以访问。



我们应该修改通信字符串immediately.snmp代理应该配置不同的字符串不同的访问级别,和不同的IP地址和不同的子网有不同的访问级别,或限制基于其他配置接入水平。通过路由器访问SNMP代理可能对SNMP的一些局限性的影响。防火墙也可以完全防止SNMP即使你可以通过SNMP访问代理,代理还需要代理来支持你要查询的MIB库。大多数制造商完全支持标准的MIB库。然而,也有一些厂家不支持它。有时为了支持预期的管理信息库,你需要升级的开关的操作系统这个方法也有问题,如果SNMP代理没有正确地执行MIB,那么响应是完全错误的。



交换机对SNMP查询没有响应的原因很多,一旦这些问题得到解决,SNMP就可以提供非常有效的监测和趋势分析。



结论



故障诊断的常用方法是等待用户的投诉。该方法简单,但非常有效。用户可感知的网络的正常运行是什么。一旦性能下降,网络支持中心将很快收到客户的投诉,用户投诉,你应该从他的接入点开始故障诊断。这种方法的缺点是,它是完全被动的,没有前瞻性。



理想的方法是采用前瞻性监测,包括定期查询各个交换机,监控各交换机端口的流量和流量趋势,以及检测其他相关网段,将问题解决方案从故障诊断转变为故障预防。