二层环路故障诊断

所有故障皆“事出有因”，故障的发生一定是在一个稳定的正常运行的网络中，某一网络环节发生了变化而引起的，这些诱发网络产品生故障的变化包括：

所有这些诱发故障的内在因素绝大多数都有其“外在异常表现”，具体会反映在特定网元的告警、日志、流量统计、端口状态等信息中。因此故障快速定位的关键在于，如何有效而快速的通过事发时间、影响范围、所做操作及故障网络范围的网元基本信息的查看，快速发现这些“外在异常表现”所在的点，进而锁定故障网元节点，找出问题根因。

如下图所示，网络中出现二层环路通常会有如下现象，如果分析现网问题发现存在以下异常表现中的一个或者多个，则网络中存在二层环路可能性较大。

诊断步骤

检查端口带宽流量简要信息。

通过 display interFace brief 命令，查看所有接口下的流量，存在环路的接口上InUi和OutUi两个计数会逐步增加至端口速率上限。

上述步骤在确认可能是环路的情况下，可以通过如下步骤进一步判断确认环路是否的确存在。

查看MAC地址漂移

MAC地址漂移即设备上某一个接口学习到的MAC地址在同一VLAN中另一个接口上也学习到，后学习到的MAC地址表项会覆盖原来的表项。

导致MAC地址漂移的可能原因包括网络存在环路或者非法用户进行网络攻击等。因此出现MAC地址漂移不一定是因为存在环路，但是如果设备存在环路，则一定会有MAC地址漂移现象发生。

如下图所示，当SwitchA向两个方向同时发送报文时，在SwitchB上的两个不同端口都会收到该报文，从而出现MAC地址漂移。当SwitchB的两个端口出现了MAC地址漂移时，说明交换机的两个端口间可能出现了环路。

交换机所有形态和版本均默认支持MAC地址漂移检测功能。MAC地址漂移检测配置主要是指MAC地址漂移后设备是否产生告警，以及MAC地址漂移后是否设置端口堵塞功能。

框式交换机的MAC地址漂移查看方法：

开启MAC地址漂移检测功能后，您可以执行命令 display trapbuffer 查看MAC地址漂移告警（告警OID 1.3.6.1.4.1.2011.5.25.160.3.7 或OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.12）。各个版本的告警信息存在一定的差异，样例如下：

版本	告警信息
全局检测	L2IF/4/MAC_FLAPPING_ALARM:OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.12The mac-address has flap value . (BaseTrapSeverity=0, BaseTrapProbableCause=0, BaseTrapEventType=4, L2IfPort=549,entPhysicalIndex=1, MacAdd=0000-0000-002b,vlanid=1001, FormerIfDescName=Ethernet3/0/2,CurrentIfDescName=Ethernet3/0/3,DeviceName=S9306-169)
VLAN检测	不支持
全局检测	L2IFPPI/4/MAC_FLAPPING_ALARM:OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.12The mac-address has flap value . (L2IfPort=0,entPhysicalIndex=0, BaseTrapSeverity=4, BaseTrapProbableCause=549, BaseTrapEventType=1, MacAdd=00e0-fc00-4447,vlanid=1001, FormerIfDescName=GigabitEthernet6/0/6,CurrentIfDescName=GigabitEthernet6/0/7,DeviceName=9306-222.159)
VLAN检测	L2IFPPI/4/MFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 Loop exist in vlan 1001, for mac-flapping.
V100R006及后续版本	全局检测	L2IFPPI/4/MAC_FLAPPING_ALARM:OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.12The mac-address has flap value. (L2IfPort=0,entPhysicalIndex=0, BaseTrapSeverity=4, BaseTrapProbableCause=549, BaseTrapEventType=1, MacAdd=0025-9e6e-1c55,vlanid=1001, FormerIfDescName=GigabitEthernet2/1/23,CurrentIfDescName=GigabitEthernet2/1/22,DeviceName=9303-222.157)
	VLAN检测	L2IFPPI/4/MFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 Loop exists in vlan 1001, for flapping mac-address 0025-9e6e-1c55 between port GE2/1/23 and port GE2/1/22.

查看CPU占用率

CPU占用率高，是设备本身的一种现象，直观表现为用户执行命令 display cpu-usage 查询的回显信息中，整机CPU占用率偏高，如超过70%或者产生告警basetrap_1.3.6.1.4.1.2011.5.25.129.2.4.1 hwCPUUtilizationRisingAlarm（默认超过90%会产生此告警）。

一般的软件任务导致的CPU使用率高持续时间不会太长，所以CPU统计中如果5分钟内的使用率一直持续的比较高的话，基本就是出现了异常或人为攻击，这时候就需要查看设备的正在运行的任务，检查哪个任务消耗的CPU资源高。

判断是否为环路故障时，您可以在任意视图执行命令 display cpu-usage ，查看设备CPU占用率的统计信息。

如何快速破环

以太网环路会在短时间内形成数据风暴，当端口的流量达到带宽的最大负荷，会形成链路拥塞，影响网络业务。因此，在确认现网存在数据环路后，您需要第一时间按照如下步骤处理，尽快恢复数据业务。

紧急破环又称手动破环，当网络风暴严重影响正常的业务时，需要使用此方法尽快恢复业务。您可以通过如下三个方法紧急破环。

二层环路问题，急!!

二层环路，是发生在数据链路层的环路。 分为单交换机环路和多交换机环路。 单交换机环路毫无疑问是人为搞破坏。 多交换机环路一般是网络布线混乱造成的。 二层环路是局域网非常常见但又不容易遇到的严重型网络故障，而且属于人为故障。 如果有人刻意搞破坏，没有经验的网络管理员甚至找不到故障源。 网络越大，排查越困难。 二层环路会导致三个问题，第一个就是MAC地址漂移。 第二：广播风暴。 第三：重复帧。 后面两个问题并不会立即摧毁网络，只会让网络性能急剧下降。 真正让网络瘫痪的是MAC地址漂移。 首先,发生环路的一个或多个交换机会因为MAC地址漂移，首先嗝屁。 然后因为广播风暴，导致整个网络瘫痪。 二层环路重在预防，这在使用即插即用交换机的中小企业尤其重要。 那些傻瓜式的交换机无法配置生成树协议，所以，这就要求在网络组建和网络管理的时候，综合布线一定要清晰，网络管理员对整个网络拓扑必须要非常熟悉。 大型企业都会采用网管型交换机，配置生成树协议，从而在一定程度上先天免疫二层环路。 不过在某些特殊情况下，生成树协议会失效，这个尤为需要特别注意。

VLAN可以解决二层环路的问题

可以。 VLAN作用：划分广播域，把二层划分的更细致，方便管控，防止广播风暴等。 通过VLAN解决二层广播风暴，通过生成树STP解决二层环路带来的广播风暴。

贝尔金默认路由器环路故障的解决方法

一、组网环境

贝尔金 A、贝尔金 B与其他路由三台设备都运行在IS-IS Level-2区域中。为了引导其他路由的上行流量负载分担，贝尔金 A与贝尔金 B同时对其他路由下发了IS-IS缺省路由，出现路由环路。

二、故障分析

1、在贝尔金 A 、贝尔金 B和其他路由设备上分别执行命令display current-configuration查看接口上IS-IS的配置情况，发现贝尔金 A、 贝尔金 B和其他路由设备的IS-IS配置正确。

2、在其他路由设备上执行命令display isis peer，查看邻居状况，发现其他路由已分别与贝尔金 A 和贝尔金 B建立邻居关系。

3、在其他路由设备上执行命令display isis route，发现存在贝尔金 A 和 贝尔金 B的缺省路由。在贝尔金 A 和贝尔金 B设备上分别执行命令 display isis route发现贝尔金 A 和贝尔金 B能互相学习到对方的 缺 省路由，因此而形成了路由环路。

三、故障处理

1、执行命令system-view，进入系统视图。

2、执行命令isis 1，进入IS-IS视图。

3、执行命令acl number 2008，创建 ACL 2008并进入ACL视图。

4、执行命令rule 5 deny source 0.0.0.0 0，增加一个基于ACL 2008的规则5，过滤源地址为0.0.0.0的路由。

5、执行命令rule 10 permit，增加一个基于ACL 2008的规则10，允许任何报文通过。

6、执行命令isis 1，进入IS-IS视图。

7、执行命令filter-policy 2008 import，使用ACL 2008对接收的路由进行过滤。

8、完成上述操作后，贝尔金 A 和贝尔金 B可以过滤彼此的IS-IS缺省路由，该故障排除。

对于IS-IS路由协议Level-2区域中两台设备同时下发IS-IS默认路由时，双方会将对方发布的默认路由条目放入路由转发表中，产生的缺省路由会让他们互相指向从而形成环路，因此需要过滤掉彼此的IS-IS缺省路由。

上一篇：交换机之间直连的2种链路聚合配置方法

下一篇：S5700交换机如何配置链路聚合