我们正在对我们的网络进行一些更改,在更改了我们用作核心路由器的路由器之后,出现了一个奇怪的问题。
问题是有两个子网(总共超过 10 个),其他子网上的主机无法访问这些子网上的主机,但是只要我登录到核心交换机/路由器(Catalyst 4507E+ ) 并 ping 这些主机之一,然后每个人都可以 ping 有问题的主机。然后在我从核心路由器完成 ping 大约十分钟后,我启用的主机再次变得无法从其他子网访问。
子网直接连接到核心。
到目前为止,我唯一的猜测是存在一些 ARP 问题。来自核心的 ping 帮助这些节点成功地 ARP,然后 ARP 缓存条目超时并且它们再次无法访问,也许?
我一直在不知不觉地监视子网上的 Windows 主机,主要问题是它们从未不可用,所以它只影响该子网上的 Linux 主机。这让我觉得这可能是 ServerFault 的更多问题,因为问题是特定于操作系统的。
当您从 4500 ping 时,CAM 和 ARP 表已填充。CAM 的老化速度比 ARP 快。如果您等待 4 小时,它也会从 ARP 超时。那些 4500 是集群的吗?如果是,我会说 VLAN 没有进入活动节点以进行 MAC 地址填充。所有请求都到达被动节点并且它们被丢弃。可能特定 VLAN 的 STP 拓扑对主动节点处于阻塞状态。我会将工作 vlan 的 STP 拓扑与不工作的 vlan 进行比较。仔细检查来自此 VLAN 的接入层的上行链路。也可能是4500之间的VSL链接不允许particualr vlan。您还需要确保两个 4500 在此 vlan 中都有端口。以及检查 4500 之间的洪水:
#show platform hardware floodset vlan [VLANID]
如果两个 4500 在所需接口上都具有洪水设置。
临时修复将增加 vlan 老化时间,例如:
#mac address-table aging-time 14400 vlan [VLANID]
问题似乎无法从不同的子网主机 ping 通。但能够从子网直接连接网络的核心交换机ping通。
您可以从核心交换机 ping 通,因为它是直接连接的网络。我们可以在核心交换机中看到 ARP 表将 IP 地址映射到直接连接的子网主机 IP 地址。由于检查核心交换机上配置的任何访问列表是否存在任何限制,因此无法从其他子网主机 ping。