PoE供电引发故障

2016-11-26

网络安全和信息化 2016年6期

引言：在企业日常的应用中，网络管理人员往往会忽略POE与非POE交换机的区别，经常将一些不支持POE供电的设备接入POE交换机。尽管大部分的网络设备能够承受微弱的电压变化，但是仍然有少数的设备，特别是一些老旧型号的设备对于电压稳定性的要求特别高，如果没有手动关闭POE交换机对应端口的供电功能，将会对设备的稳定运行带来影响。本文将介绍一起由POE供电引发的故障及排查方法。

PoE（Power Over Ethernet）供电俗称以太网供电，是指在现有的以太网布线基础架构不做任何改动的情况下，在为一些基于IP的终端传输信号的同时，还能为此类设备提供直流供电的技术。POE供电已成为利用以太网同时传送数据和电功率的最新标准规范，并保持了与现存以太网系统和用户的兼容性。

随着IP电话、无线AP、网络监控等设备被大量引入，POE供电由于具备技术成熟、维护简单、布线方便等优点得到了广泛应用，给企业信息化建设带来了极大便利。但是不久前，笔者所在单位发生了一起网络故障，最终排查出的故障原因正是由于POE供电不当所引起。下面将对该故障及排查过程进行详细介绍。

图1 改造后的Internet出口拓扑图

故障现象

不久前，笔者所在单位进行网络改造，目的是对Internet出口架构进行优化，加强Internet线路保障水平。主要工作是在原有的联通Internet线路之外，额外引入一条移动的Internet线路作为备用线路。同时，更新出口互联交换机以及撤除老式防毒墙（原互联交换机及防毒墙已使用6年，严重老化）。经过前期准备及紧张的调试后，网络改造工作顺利完成，经过测试，Internet出口功能和性能都达到了预期，改造后的出口拓扑如下图1所示。

正当大家还沉浸在改造成功的喜悦中，问题出现了：改造后第二天上午9：30左右，联通线路突然中断，笔者赶紧利用traceroute命令进行排查，发现内网路由均正常，但是从单位防火墙到运营商局端设备间数据不能正常跳转，说明问题应该出现在防火墙或者局端。登录防火墙检查状态，发现CPU利用率、内存、并发连接数等关键指标均正常，但是使用Ping命令去测试联通线路局端网关，却无法Ping通；而Ping移动线路局端网关，却能够正常Ping通，这样就排除了防火墙的问题，证明故障肯定出现在防火墙之外的局端。

接着检查了光猫的状态，发现TX（发送）口和RX（接收）口指示灯时断时续，这与正常时的状态不一致，说明光猫收发数据不正常。重启光猫，线路立即恢复了正常。但是到11：00左右，线路又一次中断，现象与之前一模一样，但是这次故障时间很短，大概只持续了1分多钟，笔者还没来得及做任何操作，线路已经自行恢复正常了。

故障排查

从故障现象初步分析，联通线路中断的根源很可能是光猫，那么更换光猫后故障应该可以解决。于是联系联通客服人员，要求更换光猫。下午5:30下班后，联通人员到达现场，更换了光猫，测试亦未发现任何异常。

第三天早上8:10左右，联通线路再次闪断2分钟，由此看来，故障并不是由光猫自身导致的。在排除线路、设备等硬件故障后，笔者考虑到了电流、电压的问题。但是经过仪器实际检测，机房电源、UPS设备以及插线板的电压都非常稳定，而且机房其他设备也没有出现类似问题，所以能够排除机房电源的问题。

为了尽快解决这个问题，我们采用了“最近变更回退”的方法进行排查。由于这次故障是在进行网络改造后出现的，必须分析这次改造所涉及的变更操作，并与改造前的正常状态进行对比，必要时进行回退操作。主要变更操作有如下三项：

1.防火墙上新接入一条移动Internet线路，设置了若干条源地址路由，供部分服务器使用。

2.撤掉了位于防火墙和运营商局端的一台老式防毒墙，该防毒墙一直以透明网桥的模式接入。

3. 更新升级了互联交换机。由原来的思科2960百兆交换机更换为思科3560千兆交换机。

故障分析

下面就按照上述三条变更操作逐步进行分析。

1.该操作主要是进行了路由变更，属于“软变更”。通过仔细核对防火墙配置文件，发现并无问题，而且故障现象是线路时断时续，如果属于路由设置错误，一般不会出现如此现象，所以能够排除该变更的可能性。

2.该项操作属于“硬变更”，由于防毒墙属于透明网桥接入，所以撤掉防毒墙的操作并不会影响网络的运行，反而能够减少一个故障点，所以也能够排除可能性。

3.该项操作属于“硬变更”，前期通过检测，新更换的思科3560交换机运行状态正常，能够排除交换机硬件损坏的可能性。由于交换机上采用的是默认配置，所以不会出现由于人为配置错误而导致网络故障的可能。但是由于新旧交换机型号和IOS内核版本并不一致，所以不能完全排除交换机自身的原因。

为了确定交换机是否为故障源头，笔者将原来的2960交换机重新上线，替换下3560交换机。经过两天的测试，联通线路没有出现任何故障，由此看来，故障源头已经确定为交换机，原因肯定是新旧交换机的逻辑属性不一致，从而引发与之互联的光猫状态异常。

笔者仔细对两款交换机的逻辑属性进行了对比，有如下两点属性不同：第一，2960交换机都是百兆端口，而3560交换机都是千兆端口。第二，2960交换机不支持POE端口供电，而3560交换机支持POE端口供电。

光猫的以太网接口为百兆全双工模式，而3560交换机为千兆接口，尽管当前绝大多数网络设备均支持端口速率自适应，但是还是存在端口速率不匹配的可能性。通过Console口登录3560交换机，进入接口模式，输入“speed 100”和“duplex full”两条命令，将对应接口强制指定为百兆全双工模式。改完后测试两天，线路仍然频繁出现闪断现象，所以排除了端口速率不匹配的因素。

设备供电流程

POE供电系统是由供电端设备（PSE, Power Sourcing Equipment）和受电端设备（PD, Powered Device）两部分组成；其供电流程如下所示：

1.检测：一开始，POE设备在端口输出很小的电压，直到其检测到线缆终端的连接为一个支持IEEE 802.3af标准的受电端设备。

2.PD端设备分类：当检测到受电端设备PD之后，POE设备可能会为PD设备进行分类,并且评估此PD设备所需的功率损耗。

3.开始供电：在一个可配置时间(一般小于15μs)的启动期内，PSE设备开始从低电压向PD设备供电，直至提供48V的直流电源。

4.为PD设备提供稳定可靠的48V直流电，满足PD设备不高于 15.4W的功耗。

5.若PD设备从网络上断开时，PSE就会快速地(一般在300～400ms之内)停止为PD设备供电，并重复检测过程以检测线缆的终端是否连接PD设备。

故障解决

从上述流程中可以看出，3560交换机承担PSE角色，光猫成为PD角色；在PSE检测阶段，3560交换机会持续向光猫输出极小的电压，而由于光猫是利用外接电源供电，不支持POE供电，所以这个检测电压可能会对光猫的工作电压带来一定冲击，如果光猫对工作电压的稳定性要求很高，那么检测电压很可能会造成光猫运行异常。

为验证结果，笔者登录3560交换机，在接口配置模式下，输入“power inline never”命令，强制关闭对应接口的POE供电功能。后经过测试观察，联通线路再没有出现异常。