一次大二層網絡的故障排查

       在一些較大規模的企業網，辦公網裏會出現一種狀況，網絡結構不是用三層路由將不一樣物理區域或不一樣功能區域進行分割，而是一張大的二層網絡，一路TRUNK放行全部VLAN來打通網絡。這樣的網絡在複雜到必定程度後就會出現各類稀奇古怪的問題，並且若是對網絡結構不瞭解那就更是無從下手。下面就說一個剛剛處理的相似問題。

        客戶的整個網絡剛通過2次大動做，一是我公司負責的核心交換機替換，二是另外一家公司負責的機房總體搬遷。而後，過去了2個月，客戶一天反饋有一個樓裏的視頻會議設備沒法鏈接，開不了會，測試到網關不通。覈對了視頻會議設備的地址，就是上面說得那種大二層狀況，視頻會議的終端分散在幾個樓裏，可是確都要在同一個網段，而後網關還不在本園區的核心上，而是在另外一個功能區域的核心上，這2個核心之間是三層路由。

        中間有不少排查的彎路，篇幅所限就不贅述了，直接說最關鍵的狀況。在終端上PING網關是不通的，可是在CMD裏用命令arp -a能夠看到網關的ARP信息。既然ARP表裏有這個地址，我判斷線路是通的，可是中間有安全設備阻斷了。這裏要說一點，防火牆的安全策略是會阻斷報文，可是ARP這一類的協議報文是不會阻斷的。接着客戶就去找防火牆，可是找了幾臺可能的牆，登上去一看都不像。這裏就有個很麻煩的問題，這個二層線路是怎麼連的，沒有文檔記錄，也沒人清楚。負責機房搬遷的公司給了一張表，上面記錄着搬遷前設備的連線信息。反覆覈對最後摸清楚了線路鏈接的狀況。

        園區核心交換機-------S5120------S5510------視頻網關交換機，實際是按這樣鏈接的線路。中間並無安全設備。這就奇怪了，既然沒安全設備，學習到了ARP信息爲何還不通，只能一臺一臺的檢查配置。檢查到S5120和S5510之間的接口配置時，發現問題了。S5120接口配置的ACCESS口，vlan1000，S5510接口配置的是TRUNK口，放行了vlan1000。剛纔看到的怪現象就能夠解釋了，和vlan打標籤、去標籤的機制有關係。

        最後我不想在把vlan打標籤這個事又來解釋一下，你們有興趣能夠作個試驗看看現象，本身分析一下爲何會這樣。