更换交换机艰辛路

引言： 单位分公司因管理需要，每台电脑都需要连接专门的服务器，原本只有10M带宽的HUB，已经跟不上时代的发展，故计划在车间现场部署一台HP2910网管交换机。然而，将配置好的网管交换连接后，却出现线路不通的故障。本文介绍故障的排查过程。

分公司有一个车间原本只有几个管理人员，需要使用情况也比较简单，对网络要求不高,所以一直使用一个HUB共享上网。最近，因管理需要，该车间要改造成智能车间，每台电脑都需要连接专门的服务器，实时录入单据，原本只有10M带宽的HUB，已经跟不上时代的发展，故计划在车间现场部署一台HP2910网管交换机，运用原有的线路（线路之前就是按照1000M标准要求布线的）。

故障现象

一位网管同事A从机房拿出一台HP2910交换机，配好管理 IP，创建好 VLAN，设置好网关，端口认证机制。驾车赶到车间现场，替换下原来的HUB，连接好线缆，发现网络不通。现场的同事A紧急拨打业务能力较强的其他同事求助。

图1 相邻交换机链路信息

在办公室的同事B从现场同事A处得到车间现场的网管交换机MAC地址后，从核心交换机一级一级地查到车间现场交换机的上联交换机。该上联交换机也是一台HP2910的网管交换机，IP地址为10.89.1.111，根据现场同事描述，车间交换机是连接在上联交换机的21口，在上联交换机上利用show lldp info remote-device命令查看，可以发现下联交换机（如图 1）。但是就是Ping不通，从上联交换机本身都Ping不通车间交换机。

故障分析

同事B想到，该端口之前连的是一台HUB，因为HUB不具备管理功能，所以直接对上连接交换机的21口划分的VLAN，属于 VLAN 183，现在下联一台网管交换机，此交换机很明显不属于VLAN 183，且下联电脑也将属于不同的部门，不同的VLAN。根据经验，B同事将上联交换机的21端口全部打上VLAN tagged，允许各个VLAN都可以通过21端口。但是经过测试，网络仍然不通。

这时，听到在现场的同事A说，现场的电脑可以获取来宾网段的地址（没有通过准入认证的IP地址）。交换机不通为什么还能获取公司IP，虽然是来宾地址，但毕竟是公司DHCP信号已经穿透，而且上联交换机能通过lldp链路发现协议看到下联的现场交换机。同事B怀疑是交换机配置有问题，因为A同事平时配置交换机的经验不足。因此电话通知同事A，让其带着交换机返回办公室，让同事B再次确认交换机配置。

回到办公室，同事B仔细检查了配置，没有发现问题，然后又对该交换机清空配置之后重新配置了一遍，避免因部分字母数字微小区别人眼很难发现问题存在。重刷配置之后，对办公室洽谈区的一个网口也配置成如现场上联的交换机21口一样，对该端口全部VLAN打上tagged。再次运用Ping命令测试，问题依旧。

几个同事开始怀疑该交换机是不是有问题，要求更换一台交换机尝试，因为前段时间正好解决了一起因交换机系统Bug导致的问题。但是笔者对该问题比较感兴趣，而且觉得此问题应该不是交换机硬件或者系统问题。因此，开始了一系列测试。

同时打开“洽谈区上联交换机”配置窗口和“问题交换机”，该交换机即使不是一台网络设备，只是一台终端，只要是在同一个网段，直连也应该通，为什么会在同管理网段的两台交换机会Ping不通呢？

1.先将上联交换机的端口还原成untagged口，划分到VLAN 111，同时给“问题交换机”的管理VLAN也配置成VLAN 111的地址10.88.111.200，把交换机网关也配置成VLAN 111的网关10.88.111.1。运用Ping命令Ping网关，Ping通过。此时证明该交换机至少是可以通信的，应该没有硬件故障。

2.把上联交换机端口划分到VLAN 1，同时给“问题交换机”的VLAN再次配置成VLAN 1的地址，即交换机管理网段的地址10.89.1.129，网关设置成10.89.1.1。再次测试，竟然通过了，让本人非常的意外，之前可是怎么试都是不通的。

3.仔细回忆之前，同事将交换机刚拿到此区域时做的配置，我们只是把端口将VLAN打上tagged，并没有将端口untagged,且划分到VLAN 1的操作。笔者突然一下子豁然开朗，交换机作为网络设备的同时，自己本身也是一台终端设备，将上联口打上tagged只是让交换机作为网络设备的功能启用，但是作为终端设备的功能需要将上联口打上untagged，并且划分到VLAN 1。

4.立刻ssh连接到之前车间上联的交换机，查看21端口，该交换机的确没有在VLAN 1网段。

故障解决

找到原因所在，解决起来就简单了，一个是可以直接修改21号端口的配置，另外一个就是可以用之前预留的交换机级联口。

级联口的标志是：该端口既在管理VLAN里面打untagged，又在其他VLAN里面打了tagged。根据配置信息显示，端口49-52符合要求。同事A再次将配置好的交换机拿到现场，这次我们建议将上联端口插在预留的级联口49号端口上。果然，交换机连接成功。

经验总结

1.解决问题需从原理出发，不能太过依赖经验。本案例中我们就是依赖以往的经验，简单地理解成级联交换机只要将端口打上tagged就可以了，从某种程度上来说，这一点没错，交换机打上tagged，就可以保证下联交换机的PC都可以连网，这个从上文所述的“现场PC可以获得公司的来宾地址”就可以理解，公司DHCP信号可以通过。至于现场PC为什么只获得来宾地址，而没有获得正常可连公司网的地址，原因在于网管交换机端口上配置了3A认证，必须安装公司的准入客户端才可以获得正式地址。

2.维护人员出门维护，笔记本电脑、配置线等各种工具必须佩带齐全，出现问题，可以现场处理。该案例中同事A没有带电脑，出现问题除了让远在办公室的同事远程支援，没有其他办法。而办公室的同事对现场的情况不了解，有时不能很好地处理问题。

3.做好运维工作，必须要具备不怕困难，知难而上的精神。通过多次测试，将问题原因找到，为将来的运维累积知识。

4.准守规定，例如本案例，上联交换机已经预留好了端口，偏偏要用其他端口。

5.解决交换机配置问题，清空重新配置确实是一个好方法，虽然本案例中重刷交换机配置，没能解决问题，但是该同事的想法是值得认可的。