摘要:大家好,我是 “极客运维社”的飞哥,点击右上方“关注”,每天和大家分享 关于 网络设备及系统和企业组网 方面干货。码字不易,如果您觉得文章还可以,就点赞+关注+收藏吧,也许在以后某个时间能够用得到。
大家好,我是 “极客运维社”的飞哥,点击右上方“关注”,每天和大家分享 关于 网络设备及系统和企业组网 方面干货。码字不易,如果您觉得文章还可以,就点赞+关注+收藏吧,也许在以后某个时间能够用得到。
开头:凌晨2点的夺命连环call
“王工!核心交换机瘫了,整个分公司业务全挂!”电话那头的声音带着崩溃。我摸黑爬起来,一边开电脑一边骂娘——这已经是本月第三次了!上次是因为某同事手滑删了VLAN,上上次是光模块插反... 搞网络的谁没经历过几次深夜惊魂?但这次,我决定把多年摸爬滚打的血泪经验全掏出来,让兄弟们少走点弯路。
一、先别甩锅给配置!这3个物理层暗雷你排了吗?
真实惨案:去年西安某园区企业割接,5人的团队查了5小时配置,最后发现是机房劣质网线问题导致。
1、 灯都不亮还玩个锤子?
1)华为交换机指示灯潜规则:
绿色常亮:链路正常,但别高兴太早!
橙色闪烁:要么STP阻塞,要么端口被error-down(比如bpdu保护触发)
直接灭灯:赶紧抄起红光笔测光纤!
救命命令(连不上设备时用Console线直连):
display interface brief # 10秒锁定问题端口2.、光模块的玄学三连
1)收光功率不对:单模-8dBm~-3dBm是安全区,超过这个范围?等着丢包吧!
display transceiver diagnosis interface GE0/0/12)多模插单模:这事我干过!结果光衰直接-30dBm,传输距离缩水到3米...
3) 兼容性翻车:某次用第三方光模块,华为直接报错"Unsupported transceiver",血的教训!
3.、网线界的“刺客”
1) 六类线当五类用:水晶头没按T568B压紧?恭喜,千兆变百兆!
2)机房老鼠背锅侠:咬断网线算什么?我还见过老鼠在光纤上磨牙![大笑]
3) 暴力施工后遗症:被机柜轧过的网线,表面完好但铜芯断裂,用测线仪一测——1、3号线不通!
二、VLAN配置三大幻觉:你以为通了,其实在裸奔
真实翻车现场:某物流园区监控突然黑屏,查到最后发现Trunk口漏放VLAN...
1、 Access口经典作死操作
1)PVID对不上:
display port vlan2)误开Hybrid模式:
新来的小弟把Access口改成Hybrid,还自信满满配了tagged VLAN,结果网关都ping不通!
2、 Trunk口的“我忘了”陷阱
1) 放行VLAN列表漏了关键业务:
port trunk allow-pass vlan 10 20 # 漏了30?等着被业务部门喷吧!3、 VLAN没激活的幽灵事件
1) 堆叠环境下的神坑:
在堆叠主设备上创建VLAN 100,但备机没同步?
display vlan # 所有成员交换机都要查一遍!2)VLAN被shutdown:
某次安全加固时手滑敲了shutdown vlan 100,差点背锅离职...
三、STP协议:那个让全网瘫痪的“老实人”
真实噩梦:某工厂接入交换机误设优先级,把核心交换机踢下根桥,导致全厂断网3小时。
1、 根桥被篡位现场
1)查看谁是老大:
display stp | include root 如果Root ID不是你规划的核心交换机?赶紧`stp root primary`抢回来!2)优先级乱设惨案:
某同事在接入交换机上配了stp priority 0,直接引发全网震荡!
2、 端口卡在Blocking状态
1) 暴力解决方案:
interface GE0/0/5 stp edged-port enable # 临时开启边缘端口 #但切记!生产环境别乱用,可能引发环路!2) 查看阻塞元凶:
display stp abnormal-port # 专治各种不服3) MSTP区域配置对不上
域名称/修订级别不一致:
display stp region-configuration #看到Region Name对不上?赶紧`stp region-configuration`统一配置!例与VLAN映射错误:
把VLAN 10映射到Instance 2,但其他设备映射到Instance 1,直接隔离!
四、安全策略:你以为在防御,其实在自残
真实社死现场:某电商平台限时秒杀时,ACL规则把促销服务器IP封了...
1、 端口安全的“沉默杀手”
1)MAC限制的坑:
display port-security #看到"Restrict!"?赶紧`port-security max-mac-num 100`扩容量!2)Sticky MAC的乌龙:
换张网卡就上不了网?检查是否开了port-security mac-address sticky!
2、 ACL规则的反向操作
1) 隐藏的deny规则:
display acl 3000 | include deny #发现rule 5 deny了业务网段?赶紧删!2) 错误的方向绑定:
traffic-filter inbound acl 3000 # 本该用outbound #结果把进来的流量全过滤了...3、DHCP Snooping的误伤
1)信任端口没设:
display dhcp snooping #看到所有端口都是untrusted?DHCP请求全被丢!2)静态IP被误杀:
打印机设了静态IP?得手动`dhcp snooping static-binding`!
五、终极武器:抓包与日志的降维打击
真实破案:某电商企业被ARP攻击,靠镜像抓包锁定内鬼——居然是内部员工私接的路由器!
1.、镜像端口神操作
1)暴力抓包法:
observe-port 1 interface GE0/0/24 # 接笔记本的端口 interface GE0/0/1 port-mirroring to observe-port 1 both # 双向抓取2)Wireshark速判技巧:
ARP请求有去无回?查VLAN或网关
TCP重传超50%?必是链路问题
2、 日志挖矿指南
1)快速过滤大招:
display logbuffer | include %ERR #看到%MAC_FLAP?赶紧拔网线找环路!2)历史告警追溯:
display trapbuffer # 专治“时好时坏”的灵异故障六、老炮的保命清单
1、高危操作双人复核:改STP/ACL前必须拉个人盯着
2、 配置描述强迫症:
interface GE0/0/7 description To_IDC_Firewall # 别嫌麻烦!3、变更窗口铁律:周五下午不搞事,除非想周末加班
4、救命工具包:
红光笔(查光纤断点)
USB转Console线(别指望网管口)
备用光模块(多厂商兼容款)
最后说句大实话: 搞网络这行,配置谁都会敲,真正的差距在于故障时的处理速度。记住这5招不是终点,下次断网时,你定能悟出第6招、第7招...
来源:极客运维社
