唐 勇

(重慶工商大學(xué) 網(wǎng)絡(luò)管理中心，重慶 400067)

隨著教育信息化的不斷深入，各高校校園網(wǎng)不斷升級擴大。但是學(xué)?；诰W(wǎng)絡(luò)建設(shè)成本的考慮，很多區(qū)域(如辦公、教學(xué)、科研以及學(xué)生公寓、教師公寓等)內(nèi)開通的網(wǎng)絡(luò)接口數(shù)量少于需要上網(wǎng)的用戶數(shù)，為解決這種問題，網(wǎng)絡(luò)用戶自身普遍采用使用家庭交換機方式來滿足多人上網(wǎng)。近年來不斷出現(xiàn)接入層網(wǎng)絡(luò)環(huán)路情況，以至于造成整個樓棟網(wǎng)絡(luò)癱瘓，經(jīng)技術(shù)檢查，是因為用戶不懂網(wǎng)絡(luò)知識，使用一根網(wǎng)線同時插在同一個家庭交換機上，造成了環(huán)路而產(chǎn)生大量的廣播風(fēng)暴，從而導(dǎo)致整棟樓的網(wǎng)絡(luò)癱瘓。現(xiàn)在的樓層接入交換機都設(shè)置并開啟了端口環(huán)路檢測，卻依然會出現(xiàn)因環(huán)路導(dǎo)致網(wǎng)絡(luò)癱瘓的情況。目前的智能接入層交換機都支持端口環(huán)路檢測，該功能主要是為解決交換機端口下面形成網(wǎng)絡(luò)環(huán)路而造成的廣播風(fēng)暴問題，如上面所述的環(huán)路情況，為什么仍然出現(xiàn)網(wǎng)絡(luò)癱瘓呢，在此通過深入了解端口環(huán)路檢測工作原理，分析在實際環(huán)境中的運行狀態(tài)，并通過計算環(huán)路造成廣播風(fēng)暴的時間，得出端口環(huán)路檢測功能缺陷的結(jié)論，并提出了修復(fù)缺陷的方案。

1 端口環(huán)路檢測工作原理及現(xiàn)象

1.1 端口環(huán)路檢測工作原理［1］

端口環(huán)路檢測原理:通過在設(shè)備的端口上的每個Vlan周期性發(fā)送端口環(huán)路檢測廣播報文，并檢測該報文的情況，如果在特定的周期內(nèi)該報文發(fā)送端口的某個Vlan能接收到該報文，就確定這個端口上的某個Vlan存在環(huán)回情況，設(shè)備就會在這個端口上關(guān)閉Vlan端口，從而達(dá)到出現(xiàn)環(huán)路后自動隔離環(huán)路，即解除廣播風(fēng)暴，保證交換機的正常運行。

1.2 抓包分析及查看交換機端口狀態(tài)

1.2.1 未造成環(huán)路時抓包情況

從圖1可以明確看出端口環(huán)路檢測包是一個64 Bytes的廣播包，發(fā)送源MAC是交換機本身的MAC地址，協(xié)議類型是LOOP，該交換機在每隔6 s發(fā)送一次端口環(huán)路檢測廣播報文。該情況證明端口環(huán)路檢測功能是開啟的。1.2.2 造成環(huán)路時抓包情況及交換機狀態(tài)

圖1 未造成環(huán)路時抓包情況

從抓包的情況來看，幾乎看不到LOOP包，只能在抓包統(tǒng)計中查看:在11.336 s時間內(nèi)，抓包140萬個包，loop包只有1個。且是端口發(fā)出的LOOP包，沒有接收到LOOP包，如圖2所示。

圖2 造成環(huán)路時抓包情況

圖3 接入交換機端口狀態(tài)

而此時查看接入交換機環(huán)路檢測狀態(tài)，未能識別端口環(huán)路。

查看接入交換機上連接家庭交換機的端口狀態(tài)，可以看出輸入數(shù)據(jù)包大部分是廣播包，輸入每秒已達(dá)到11 284 066 Bytes/s，即86 Mbit/s，并一直保持在其左右，已造成廣播風(fēng)暴，如圖3所示。

2 端口環(huán)路檢測有效性分析

事實上已經(jīng)造成環(huán)路，但交換機沒有檢測到環(huán)路狀態(tài)，也就是說交換機發(fā)出LOOP包之后沒有接收到該包，在數(shù)據(jù)傳輸上面出現(xiàn)問題，并進(jìn)行以下分析。當(dāng)交換機端口形成環(huán)路時，通過家庭交換機的任何一個廣播包都會通過A端口到達(dá)B端口和通過B端口到達(dá)A端口，從而產(chǎn)生2個廣播包，在這樣的循環(huán)過程中，廣播n次，就會產(chǎn)生2n個廣播包，從而產(chǎn)生廣播風(fēng)暴。

當(dāng)產(chǎn)生的廣播包已經(jīng)完全占滿了家庭交換機的資源，達(dá)到家庭交換機最多能同時處理數(shù)據(jù)包的能力，繼續(xù)成倍產(chǎn)生的數(shù)據(jù)包將會被丟棄，這個極限稱為臨界條件。

在正常情況下，交換機在產(chǎn)生環(huán)路時轉(zhuǎn)發(fā)的數(shù)據(jù)包不止一個，T遠(yuǎn)遠(yuǎn)小于2。電信號的傳播速度大小約為接近于光速，光速［4］在真空中的傳播速度為299 792.458 km/s，接入交換機到家庭交換機的網(wǎng)線長度不能超過100 m，交換機百兆線速端口的包轉(zhuǎn)發(fā)率［5］為0.148 8 Mps，正常情況下環(huán)路檢測包發(fā)出到收到時間 =線路的傳播時間*2+交換機轉(zhuǎn)發(fā)延遲=6.66*e-7+6.72*e-6，整個收發(fā)時間對比于交換機達(dá)到的臨界時間可以忽略不計。

3 結(jié)論及解決辦法

3.1 結(jié)論

交換機端口發(fā)送loop檢測包有周期性，一般是5～300 s之間，環(huán)路檢測功能只有在形成環(huán)路并達(dá)到廣播風(fēng)暴的臨界條件之內(nèi)發(fā)送環(huán)路檢測包才有效，即形成環(huán)路后最多2 s內(nèi)發(fā)送loop檢測包才有效，超過臨界時間后將會被交換機丟棄，導(dǎo)致環(huán)路檢測功能失效，該功能在實現(xiàn)上存在缺陷。

3.2 解決辦法

在不考慮交換機性能和網(wǎng)絡(luò)性能的情況下，盡量將檢測周期縮短，以增加端口環(huán)路檢測的有效概率。在交換機上面(包括家庭交換機)上設(shè)計QoS，使loop檢測的優(yōu)先級最高。第一種解決辦法可以在現(xiàn)有條件下進(jìn)行，比較容易實現(xiàn)，但仍然會存在功能失效問題，第二種解決辦法需要設(shè)備生產(chǎn)廠商支持，在交換機中加入QoS對Loop檢測優(yōu)先級的支持，雖然目前實現(xiàn)起來困難，但是最終解決了環(huán)路檢測功能的失效問題。

［1］田昌鵬，門華，唐勇.基于網(wǎng)絡(luò)監(jiān)聽原理的信息安全管理［J］.重慶工商大學(xué)學(xué)報:自然科學(xué)版，2004，21(05):441-443

［2］張應(yīng)輝.路由器交換機原理及應(yīng)用［M］.北京:科學(xué)出版社，2006

［3］wxxl0616.環(huán)路檢測原理［EB/OL］.［2010-01-5］.http://bbs.51cto.com/thread-533422-1.html

［4］百度百科.光速［EB/OL］.［2010-01-02］http://baike.baidu.com/view/18638.htm

［5］立方.解析交換機背板帶寬延遲［EB/OL］.http://www.cnw.com.cn/network-switch/htm2009/20091103_185372.shtml［2009-11-03］

［6］張彤，肖南峰.基于 BP網(wǎng)絡(luò)的指紋識別系統(tǒng)［J］.重慶理工大學(xué)學(xué)報:自然科學(xué)版，2010，24(01):120-123

［7］黃勤，龔海清，劉金享.基于改進(jìn)的遺傳神經(jīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)［J］.重慶理工大學(xué)學(xué)報:自然科學(xué)版，2010，24(02):67-69