寒假前,我派了一份X栋学生宿舍的订单,让江先生去看看。几分钟后,我接到一个视频电话,说设备已经死了。当我看到设备灯完全熄灭时,我想办公室里有很多拆卸的设备。只要拿一个,然后连接到过去的级别。就在上级派出任务说,一些宿舍区域应该做一个理线工程,并利用这一次将新设备(实际上是其他地方的剩余设备)放在一起。
然而,这已经不是我第一次切割篮瓢了。上次更换某栋楼的汇聚交换机(Huawei S6720换成Huawei S6820)之后,三天两头跑到现场。如果非要给自己找理由,我只好说没碰过这个数据中心级别的设备,48万兆(10GIgabitethernet)6口10万兆(1000Gigabitethernet)我没见过光口。那次问题主要是汇聚设备与下级设备的端口协商问题,新汇聚设备上电接线后所有端口都没亮着实让我愣住了,请教了波哥后用negotiaion disable(在S6720上为 undo negotiation auto)恢复端口后查询的官方文件(CloudEngine 9800, 8800, 6800, 5800 V200R020C10 配置指南-接口管理)说明如下:
{
接口自协商包括协商接口速率、流量控制Training、FEC模式、双工模式等。
自协商
- 物理状态为Up配置接口negotiation disable命令会导致接口一次发生Up-Down-Up请谨慎使用状态切换。
- 链路两端的电接口不支持自协商减速。例如,两端的接口都是GE但由于某些原因,如网线只支持100M速率,两端接口不能协商到1万M接口将处于速率Down状态。
- 接口自协商模式生效后,如果用户更换模块,新模块不支持negotiation disable,例如用户将GE用光电模块代替SFP 光模块,或40GE光接口由高速电缆代替QSFP 在这种情况下,光模块:
-
- V100R005C00之前的版本,接口将在Down状态。此时,用户可以在接口视图下执行undo negotiation disable删除原有非自协商模式的配置,使接口状态再次变为Up。
- V100R005C如果00及以后的版本已经配置好了device conflict-policy keep-config接口下以预配置介质类型为准negotiation disable配置保存,接口Down;相反,配置丢失,接口丢失Up。设备冲突策略以实际插入的介质类型为准。
}
除上联口(汇聚至核心)外,所有下联口(汇聚至接入)均使命令能够使用。结果,第二天早上,我接到一个电话,说下面有几台设备没有起床。经过现场调查,我了解到机房早上断电(机房是建筑物和附楼的监控室,网络柜也在其中S6820采用双电源冗余供电,房间昨天上架时跳闸,具体原因不得而知)。日志报文如下(此处引用)CSDN博主内容):
{
Interface GigabitEtherne0/2 optical module exception (翻译:光学模块异常)
It has been observed that a transceiver has been installed that is not certified by Huawei Ethernet Switch (翻译:据观察,未经华为以太网交换机认证,已安装收发器。
Huawei cannot ensure that it is completely adaptive and will not cause any adverse effects. (翻译:华为不能保证完全适应,不会造成任何不利影响。
If it is continued to be used, Huawei is not obligated to provide support to remedy defects or faults arising out of or resulting from installing and using of the non-certified transceiver.) (翻译:如果继续使用,华为没有义务提供支持,以弥补未经认证的收发器安装和使用造成的缺陷或故障。)
————————————————
版权声明:本文为CSDN博主「想飞的爬虫」遵循原创文章CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/xiaofu9910/article/details/99544850
}
难道是SFP与SFP 光模块的对接问题(接入设备多为千兆交换机)或模块制造商的兼容性(接入交换机制造商除外Huawei还有Ruijie,忘记是否有H3C了)?然而,问题似乎不在这里。我在现场查看配置(此时尚未配置)Telnet),发现有几个接口未能发现negotiaion disable,设备断电重启后配置是否无法保存?但我记得在完成配置后都通过了commit命令保存(commit前系统视图为[*Huawei],commit后为[~Huawei])且在退出前save之后,我们不得不再次配置命令。端口灯亮了,display lldp neighbor brief然后你可以看到邻居起床,收集东西离开。
然而,事情还没有结束。第二天,我收到了一份检查报告,发现该有一些设备没有在线。这是教室区域的设备。寒假快到了。因为教室没有打开,电源被切断了吗?到现场后,发现设备光纤口(向上)不通,是光衰的原因吗?然而,在新设备上架并完成管理后,检测到所有端口的衰减值都在正常范围内,如何才能再次上升(建筑的两个附楼都有一个带有光纤配线架的弱电井,汇聚设备的跳纤跳到弱电井ODF跳到每一层和教室/办公室)?查看接入交换机配置,无异常,咨询袁老师后得到答复,S对应锐捷设备的端口应在6820下使用undo negotiation disable而非negotiation disable,我不知道具体原理。由于几个教室通常不使用,网络设备处于断电状态,当时设备的切割端口是down状态,现在基本上已经做好了相应的配置和描述。
袁老师给我发了官方文件Telnet以前自己配置的命令少了一个protocol inbound telnet(在HCIP在讨论小组中,一些小组朋友提到了一些设备Telnet这个命令不需要配置)。密码设置还需要带大写字母和符号。回想起我上课的时候。GNS3环境下配置Cisco5行不需要命令。
——————————
回到学生宿舍的新设备上架。该建筑共6层,其中网络设备位于2楼和5楼(负责接入1、2、3、4、5、6楼的宿舍网络,每个宿舍由接入交换机接入网线,不同的宿舍在不同的宿舍vlan下)。破旧的旧设备位于五楼的走廊柜内,有四台设备,一台锐利S2952(本设备为学生区,后面提到的三个设备分别与本设备级联)和锐捷S2126G(设备损坏,四台设备中只有设备没有地址Telnet,不知道设备是否配置,大致有两种情况:一是级联口Access,主设备级联口也是Access,设备的非级联端口处于同一位置vlan在另一种情况下,双方的联口是Trunk所以设备的每个端口都是不同的vlan中。设备损坏,无法通过console口检配置),另一个也是锐捷S2952(像鲁迅先生写的一株是枣树,一株也是枣树?设备损坏,无法通过console口检配置),另一个也是锐捷S2952(像不像鲁迅先生写的“一株是枣树,还有一株也是枣树”?)以及一台锐捷S2926。采用一台H3C的S3100(具体型号未知,设备由其他办公区拆除)48台设备更换,事实上,设备上架后我有点后悔,毕竟,与制造商设备切割应该更好,当然,这个结论是在制造商命令版本后,形式不同。
首先决定将H3C设备直接以非网络管的形式连接,发现双方的级联口端口灯在连接后熄灭,主交换机(锐捷S2952)上show interface status,级联口为disabled。是否触发了stp的bpdu保护?检查主交换机的端口配置如下:
{
interface GigabitEthernet 0/xx
switchport access vlan xxxx
rldp port loop-detect shutdown-port
spanning-tree bpduguard enable
spanning-tree portfast
}
于是关闭bpdu经查询,保护和快速端口,RLDP 全称是Rapid Link Detection Protocol,这是瑞捷网络自主开发的一项链接协议,用于快速检测以太网链路故障(引用瑞捷官员)。当我在这里写作时,我仍然不熟悉协议的机制,也不知道该命令是否触发端口disabled(经查询,配置命令rldp port loop-detect时间问号补充,shutdown-port相应的注释是Set interface errordisable while error),当时不知道为什么把这个命令改成了 rldp port loop-detect warning而非no rldp port loop-detect,好像是配成rldp port loop-detect disable,系统报错,选择配置前者。
但从那以后,虽然双方的级联口状态都变成了up,但是主设备上的报警总是%SPANTREE-5-TOPOTRAP: Topology Change Trap for instance 0.百度在瑞捷官网的服务与支持-常见问题中找到以下信息:
{
交换机有时会打开RLDP检测环路功能,但是当某个端口收到本设备自己发出的RLDP环路检测报告还将根据实际情况判断网络是否为环路。RLDP收到本设备的环路报不认为是环路:
1)假设环路有两个路由口,比如1/2和2/16都是路由口,或者一个是路由口,另一个是交换口。
2)假设环路是两个不同的分类vlan端口,或trunk口允许的vlan列表不一致,如1/2和2/16是交换口,但属于vlan不同。
3)设备开启STP协议中,如果有环路,STP先检测环路的存在,BLOCK其中一口,此时RLDP也不认为产生了环路。(或者两个端口转发状态不一致的其他情况)
该情况下STP会有如下LOG提示:%SPANTREE-5-TOOTRAP: Topology Change Trap for instance 0. 而RLDP没有log信息。
}
对应信息中第三条。我想还是双方级联口改为Trunk口吧,于是进入H3C S3100配置vlan,这时候命令版本不同的弊端出现了:我发现我不能vlan range xxxx to xxxx或者vlan batch xxxx to xxxx(而且在该设备上查看端口状态命令是display brief interface),我蒙了,于是手动配置数条后dis cu,嗷,原来是vlan xxxx to xxxx,嗨害,来了嗷。
做完配置我寻思没毛病嗷插上线至笔记本试试,一看ip地址169.254,我心想不对啊。dis cu。上行口赫然一条port trunk permit vlan 1,好嘛,我的错,放行所有业务vlan,port trunk permit vlan 1 , xxxx to xxxx。这回总不能错了吧。笔记本上以太网禁用再启用,地址一看192.168.1.5。我打开网页输入192.168.1.1,我靠,一台TP-LINK。我人傻了,哪个孙子路由器没关闭DHCP还把Lan口接上了?打开网页要输入管理员密码,123456,不对,12345678,不对,放弃了。我还寻思能进页面的话找到该路由器的mac然后dis mac-address xxxx.xxxx.xxxx找到对应哪个端口,看来是没戏。我突然想到除了这台H3C S3100,其余的几台锐捷设备级联口都配置了ip dhcp snooping trust,不过在H3C S3100上我只找到一条dhcp server-guard source-mac xxxx-xxxx-xxxx命令,当时不知道具体意思,昨天在官网技术文档上找到如下信息:
{
dhcp-snooping server-guard source-mac命令用来配置防DHCP服务器仿冒功能发送探测报文的源MAC地址。undo dhcp-snooping server-guard source-mac命令用来恢复防DHCP服务器仿冒功能发送探测报文的源MAC地址为缺省值。
缺省情况下,防DHCP服务器仿冒功能发送探测报文的源MAC地址为交换机的桥MAC地址。
需要注意的是:S3100系列以太网交换机中,只有S3100-SI系列支持此命令。
}
这个mac地址应该填DHCP服务器的物理地址,但由于工作内容不同,我没有接触过核心设备,我也不确定DHCP服务器是否使能在核心设备上,不然通过汇聚设备的LLDP协议也能将mac地址填上去,想想还是算了。好在我后边在网上找到了S3100的官方技术文档。分别全局使能dhcp-snooping(不是dhcp snooping enable)以及级联口配置dhcp-snooping trust(不是ip dhcp snooping trust),参考信息如下:
{
dhcp-snooping命令用来开启交换机DHCP Snooping功能。undo dhcp-snooping命令用来关闭DHCP Snooping功能。在DHCP Snooping功能关闭后,所有端口都可转发DHCP服务器的响应报文,并且不记录DHCP客户端的IP地址和MAC地址。
缺省情况下,交换机的DHCP Snooping功能处于关闭状态。
需要注意的是:开启DHCP Snooping功能后,不支持与之连接的客户端使用BOOTP方式动态获取IP地址。
相关配置可参考命令:display dhcp-snooping。
dhcp-snooping trust命令用来配置端口为DHCP Snooping信任端口。undo dhcp-snooping trust命令用来恢复端口为DHCP Snooping不信任端口。
缺省情况下,开启DHCP Snooping功能后,交换机的所有端口均为DHCP Snooping不信任端口。
需要注意的是:
l S3100系列以太网交换机中,只有S3100-EI系列支持此命令。
l 开启DHCP Snooping功能后,为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,且设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
相关配置可参考命令display dhcp-snooping trust。
}
好,网线插在这台S3100上,笔记本顺利拿到学校内网的172段地址并弹出锐捷Sam+的认证界面。
基本上到这里就结束了,然而割接、上架与理线过程中还有很多事儿我也没提,比如和小江骑车快到宿舍楼下才发现S3100还放在办公室内;机柜在走廊墙壁上,要拿梯子才够得着,并且走廊中的灯是声控灯,为了保证线理至理线架中,我们要隔数十秒就要吼一嗓子,再者,我感觉这些声控灯的传感器不是按照音量触发的,而是音调;S3100的console接口在后方,在上架后它的物理位置也在最上方,由于原来的老锐捷设备作为傻瓜式交换机级联接入,没有对应的vlanif口做Telnet,这台S3100目前也没有管理地址,做配置的话只能爬上梯子然后费力地把console线插上;理线过程中有拆卸交换机-上架理线架的过程,交换机不小心把主设备的上行ST-LC光纤跳纤压断了(第二天换好了);换光纤后又有一天发现上行口又不通了,心里隐约慌张,除去汇聚机房断电的原因,会不会是因为我把主设备的spanning-tree disable而且学生某个宿舍里确实有错接的情况导致广播风暴了?好在确实是汇聚机房外边的配电箱检修,整挺好;晚上打游戏接到该栋同学的电话说网络还未恢复,隔天再去现场发现某台锐捷设备的ip dhcp snooping trust做在另一个未使用的端口上了,我的错;然而我发现此次割接很大一个不可逆的问题在于几台锐捷因为使用时间的问题,部分端口已经不太好使了,比如插线后端口灯闪烁或是直接拿不到地址,这些情况在往日可能被解决了,而在理线时我将线全部拔出,肯定又部分线插至了问题端口上,近几天的这些问题有俩,估计开学后会更多。
此外,我个人觉得是否能通过端口隔离使这台H3C除去级联口外所有端口都双向隔离,这样应该也能杜绝掉非法的DHCP服务器劫持其他设备,我本想在办公室中搭建一个环境模拟情况,但发现没有多余的路由器,还是以后再说吧。DHCP虽然属于应用层协议,但是像TP-Link或者Mercury这样的家用路由器通过二层交换机劫持二层设备下的其他主机地址显然是还未通过三层的,正因如此我觉得用端口隔离或sub vlan都可行,翻了我之前做的交换方面的笔记,才发现好多东西又给忘了,看到super vlan、Vrrp啥的乍一看像看到新东西一样……唉……前几天才知道有个Rldp,昨天又看到个Rrps,才愈加发现自个无论是实践能力还是理论基础都弱的可怜,有些东西不实操还真记不住,怪不得彬哥跟我说事教人一次就会。学习之路真是任重道远。
本文行文逻辑混乱,且毫无学术性可言,权当割接的个人经验与学习之谈,各个方面都缺乏严谨,欢迎讨论与指正。
写这么多属实是毛用没有,安安心心等外卖了,下午开把文明6整把特里布瓦纳娜一套戎克船指定嘎嘎乱杀。