Symptom

网络结构为：核心交换机-汇聚交换机-接入交换机，网关地址在核心交换机上，LAN下终端无法访问网络，在检查时发现出现ping网关99.99%不通的情况。通过排查发现从核心设备管理VLAN访问汇聚交换机及接入交换机管理地址正常无丢包，但从网关到LAN终端地址能通但丢包严重达到50%左右。起初已怀疑为网关地址冲突，于是在LAN终端进行检查但未发现MAC地址变化，于是进行其他排查步骤。

Cause

90%概率为网关地址/网关MAC地址冲突，不排除有攻击者伪造网关MAC地址。

Solution

1. 关闭接入交换机与汇聚交换机的端口，在汇聚接入交换机上单独做一个Access口测试，发现正常，无丢包，说明链路正常，故障点在接入交换机上。
2. 在LAN终端上开启Ping网关检测，依次开启汇聚连接接入交换机的端口，并观察ping包情况，当故障交换机联通时会立刻出现丢包情况，从而定位到故障交换机。
3. 依次关闭交换机上所有已连接的端口，发现当关闭某一个端口时，ping丢包情况消失，从而定位到故障端口。
4. 查看MAC地址表，发现该端口下居然有一个MAC地址与核心交换机上的网关地址一模一样，这就是导致故障的原因。
5. 处理掉交换机下非法接入设备，故障恢复。

本次故障，其实一开始的怀疑时没有问题的，就是网关冲突，但是只考虑到了IP冲突并没有考虑到MAC地址冲突，因为常见的原因是喜欢瞎搞的傻逼用户乱改IP导致冲突，一般通过查看终端的ARP表或抓包会发现MAC地址的变化，但这个是MAC地址冲突，所以无论在终端上怎么排查都没有发现MAC地址的变化。

如果一开始有考虑到MAC地址冲突，那么最开始直接查看汇聚交换机上的MAC地址表就可以定位到问题，但是生活中哪有那么多如果。上面的排查步骤只是为故障排查提供一个思路，遇到类似问题时可以如此操作，也为自己做个记录备份提醒自己。

本文由 Ethan 创作，采用 知识共享署名4.0 国际许可协议进行许可。
本站文章除注明转载/出处外，均为本站原创或翻译，转载前请务必署名。