标签：ARP 网关 二层 故障 排查 S5120 S5510 安全设备

       在一些较大规模的企业网，办公网里会出现一种情况，网络结构不是用三层路由将不同物理区域或不同功能区域进行分割，而是一张大的二层网络，一路TRUNK放行所有VLAN来打通网络。这样的网络在复杂到一定程度后就会出现各种稀奇古怪的问题，而且如果对网络结构不了解那就更是无从下手。下面就说一个刚刚处理的类似问题。

        客户的整个网络刚经过2次大动作，一是我公司负责的核心交换机替换，二是另一家公司负责的机房整体搬迁。然后，过去了2个月，客户一天反馈有一个楼里的视频会议设备无法连接，开不了会，测试到网关不通。核对了视频会议设备的地址，就是上面说得那种大二层情况，视频会议的终端分散在几个楼里，但是确都要在同一个网段，然后网关还不在本园区的核心上，而是在另一个功能区域的核心上，这2个核心之间是三层路由。

        中间有很多排查的弯路，篇幅所限就不赘述了，直接说最关键的情况。在终端上PING网关是不通的，但是在CMD里用命令arp -a可以看到网关的ARP信息。既然ARP表里有这个地址，我判断线路是通的，但是中间有安全设备阻断了。这里要说一点，防火墙的安全策略是会阻断报文，但是ARP这一类的协议报文是不会阻断的。接着客户就去找防火墙，但是找了几台可能的墙，登上去一看都不像。这里就有个很麻烦的问题，这个二层线路是怎么连的，没有文档记录，也没人清楚。负责机房搬迁的公司给了一张表，上面记录着搬迁前设备的连线信息。反复核对最后摸清楚了线路连接的情况。

        园区核心交换机-------S5120------S5510------视频网关交换机，实际是按这样连接的线路。中间并没有安全设备。这就奇怪了，既然没安全设备，学习到了ARP信息为什么还不通，只能一台一台的检查配置。检查到S5120和S5510之间的接口配置时，发现问题了。S5120接口配置的ACCESS口，vlan1000，S5510接口配置的是TRUNK口，放行了vlan1000。刚才看到的怪现象就可以解释了，和vlan打标签、去标签的机制有关系。

        最后我不想在把vlan打标签这个事又来解释一下，大家有兴趣可以做个试验看看现象，自己分析一下为什么会这样。

标签：ARP,网关,二层,故障,排查,S5120,S5510,安全设备
来源： https://blog.51cto.com/648909/2441706

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。