■ 枝江市职业教育中心 杨华

编者按：随着办公信息化的建设不断推进，越来越多的节点接入到各单位的网络中。导致单位的网络设备不断增加、升级更新，但随之而来的是网络管理维护难度越来越大。原先提供的物理信息点的数量远远不能满足用户入网的需求。本文将以常见的几种物理环路场景作深入分析。

针对网络环路的解决办法通常是用户自行添加普通交换机进行简单互联，以满足上网的需要。但由于用户对网络技术的缺乏，很容易造成网络环路。

物理环路的几种拓扑形式

1.链路聚合配置不当

该种技术需要交换机必需具备的功能和配置技术。以太网链路聚合通过将多条以太网物理链路捆绑在一起形成一条以太网逻辑链路，实现增加链路带宽的目的，同时这些捆绑在一起的链路通过相互动态备份，可以有效地提高链路的可靠性。如图1所示，Switch1与Switch2之间通过三条以太网物理链路相连，将这三条链路捆绑在一起，就成为了一条逻辑链路。这条逻辑链路的带宽最大可等于三条以太网物理链路的带宽总和，增加了链路的带宽；同时，这三条以太网物理链路相互备份，当其中某条物理链路down，但在具体实施过程中，某些用户简单认为在两交换机端口之间用两根以上的网线互联起来就可以增加物理带宽，从100MB就可以达到300MB以上的带宽，导致网络环路的产生。

2.虚拟化配置不当

最开始交换机或服务器为了达到高可用性都使用双机热备技术，即VRRP（虚拟路由冗余协议）技术来解决该问题，以实现主、备核心三层交换设备之间动态、无停顿的热切换。现在最新的交换机虚拟化技术已越来越流行，如图2所示，各个厂商的名称叫法都不一样，但实现功能一样，都是将两台或者两台以上的交换机虚拟成一台，各厂商虚拟化名称如下：

思 科 -VSS、华 三 -IRF、华 为 -CSS、锐 捷 -VSU、神州-VSF。

当使用了虚拟化技术后，两台核心可看作一台交换机，这时，两个核心连接至汇聚的两根纤就可以做成链路捆绑，交换机就可以不用生成树而实现链路冗余，且两根链路带宽会叠加。当然在配置过程中，如果操作不当，也很容易造成网络环路。

图1 交换机之间链路聚合

图2 交换机之间虚拟化

图3 三台交换机之间环路

注意：（1）以上两种技术实现最好先做好配置，然后再进行物理连接，避免在配置未生效前就已经环路了。（2）在下连交换机等网络设备时，对避免环路的配置也是不一样了，如果在链路聚合的状态下，由于只是链路虚拟成一条，所以就形成三台设备构成的物理环路，只能启动生成树协议进行阻塞。如果是在虚拟化的状态下，由于两台核心交换机虚拟成一台，就形成了两台设备的物理环路，最优的配置是再进行链路聚合，实现提高带宽、链路备份的功能。

3.网络冗余链路配置不当

在一个交换网络中有可能会出现单点失效的故障，所谓单点失效，指的是由于网络中某一台设备的故障，而影响整个网络的通信。为了避免单点失效，提高网络的可靠性，可以通过构建一个冗余拓扑来解决，如图3所示。但是，一个冗余的拓扑，又会给我们的网络造成环路，而产生其它的影响。为了解决二层环路问题，而设计了SPT协议。但在具体实施过程中，由于用户缺乏对网络技术知识的认识，为了网络通信的可靠性，相当然的使用两台二层交换机通过LAN互联起来，然后再分别用网线连接到三层交换机上，如图2所示，导致网络环路的产生。

注意：(1)不是所有二层设备都支持生成树协议，若设备支持，还分有的厂商设备是默认开启的，有的需要手动开启的。此时开启的是最普通的SPT协议，在同一VLAN中始终有一条链路处于堵塞状态，链路利用效率不高，特别是在多VLAN中资源浪费较大，这时需手动开启多生成树协议MSTP。（2）在端口聚合中还需要生成树树协议吗，因为端口聚合将多条链路虚拟成一条链路，逻辑上不存在冗余链路，所以无须生成树的干预。（3）在虚拟化中，两台设备虚拟成一台设备，也不符合生成树的的开启条件，当然也不会激活它。

4.网络布线不规范

（1）某些用户在工作室内布置网线，由于操作失误经常会将同一根网线插在同一个VLAN里的交换机两端口上，形成网络环路。环路的产生不是直接发生成可配置的交换机上，但是对于上层交换机会造成直接影响，这时就要用到端口的环路检测功能，通过追踪从本端口发出的环回检测包来判断该端口下是否有回路。

注意：因为环路仅发生在一台设备上，根据生成树协议的工作原理，它是无法启用发挥作用的，因为STP至少应在两台设备上才会触发。所以这种网络环路配置生成树是没有意义的。

（2）环路发生在两台交换机之间，如果同时配置了生成树和环路检测功能，因为生成树协议作用在前，它会先阻塞一个端口，避免环路的产生。环路检测也不会检测到环路。若没有启用生成树协议，环路检测会检测到环路而采取相应措施。

环路检测及应对措施

1.终端数据抓包分析

可以在终端上安装协议分析软件监控当前网络的运行状况，我们知道IPID(IP标识)一样，说明属于同一数据包，如果在网络中同一数据包出现多次的话，说明网络中存在IP分片或网络中存在环路，经过抓包分析在数据包中未发现IP分片数据包，而且环路的话，其TTL值肯定会逐渐减小至0，综合以上分析就可以断定存在网络环路。

但并不是所有的机器都发IPID重复的数据包，环路交换机与发IPID重复数据包的机器并不存在对应关系，也就是说环路的位置并不能确定。既然我们不能分析出环路所在，如何才能找出环路位置，从而排除它？我们可以有采取物理隔离的分析方法，首先让一半的客户端在线，另一半与网络断开，进行抓包，如有相同的IPID广播包，说明环路在这一半中，如没有，说明环路发生在另一半，依此类推，逐渐缩小范围，最终查出环路交换机为止。

2.登陆网络设备分析

登陆到网络设备查看端口流量，若清楚知道网络流量大小，就可以判断出网络是否出现异常。若不清楚网络流量的话，则可以通过多次查看端口流量使用情况来进行判断是否环路。

注意：如果只有一台设备的一个端口出入方向流量较大，可能是单端口环回。如果只有一台设备的两个端口流量较大，可能是本设备两个端口环回； 如果某端口只有单方向流量，只有出或者只有入，需要重点排查，因为环路有可能在该端口的上下游设备。

3.设备外观检测

一般来说，当网络中有环路存在，大量数据包被转发，交换机指示灯闪烁的与正常时有明显不同，可用“狂闪”来形容，有经验的网络管理者，可以根据交换机指示灯闪烁的方式缩小范围，直到找出环路的交换机。