Come eseguire la risoluzione dei problemi VLAN

La tecnologia LAN virtuale o VLAN può fallire per vari motivi. Possono verificarsi problemi di connettività VLAN a causa di connessioni fisiche, errori di configurazione del collegamento dati di livello 2 impropri o problemi con la configurazione di rete instradata di livello 3.

Di seguito sono riportati alcuni passaggi da eseguire durante la risoluzione dei problemi di connettività VLAN.

Connettività fisica

Affinché la rete funzioni, deve esistere una connettività fisica di base. I problemi tipici includono fili o cavi ottici rotti, polvere o sporco sui connettori ottici, connettori difettosi, interferenze da sistemi elettrici o cavi schiacciati.

Molti di questi problemi si manifestano come collegamenti unidirezionali, in cui i pacchetti vanno in una direzione ma non nell’altra. I dispositivi di rete possono rilevare frequentemente collegamenti unidirezionali, facilitando la diagnosi con comandi semplici, ad esempio mostra interfaccia. Gli amministratori devono controllare lo stato dell’interfaccia e i contatori di errore nell’output per identificare il tipo specifico di problema.

Mancata corrispondenza duplex

Sui collegamenti Ethernet a bassa velocità, controllare l’impostazione duplex. Entrambi i lati di un collegamento devono essere configurati per la stessa impostazione duplex (auto, intero o metà) e velocità. Una mancata corrispondenza duplex può funzionare a velocità di pacchetto basse e non riesce a velocità di pacchetto più elevate, quindi non fare affidamento su un semplice test ping. Un’interfaccia che mostra le collisioni tardive è in half-duplex che comunica con un’interfaccia full-duplex. Un’interfaccia full-duplex mostra i frame runt se il dispositivo collegato è in half-duplex. L’impostazione consigliata per la maggior parte dei dispositivi è automatica.

Configurazione VLAN errata

Gli errori di collegamento dati più comuni sono la configurazione errata dell’ID VLAN di una porta o l’omissione dell’ID VLAN vocale sulle porte che collegano i telefoni IP. Il collegamento sembra buono e i contatori di pacchetti aumentano. Ma non c’è connettività. In questo caso, gli amministratori dovrebbero eseguire un semplice controllo della configurazione.

canalizzazione

Sui collegamenti trunking, gli amministratori devono impostare la VLAN nativa, che indica allo switch quale VLAN utilizzare per qualsiasi frame che non dispone di un ID VLAN. Questo ID è normalmente coerente su tutta la rete e gli amministratori devono solo eseguire un semplice controllo della configurazione.

I collegamenti switch-to-switch utilizzano spesso il trunking per passare più VLAN su un singolo collegamento. L’elenco delle VLAN consentite deve corrispondere su entrambe le estremità del collegamento. Una mancata corrispondenza può causare istanze isolate di una VLAN. La connettività funziona per alcuni endpoint e non per altri. Qui, esegui semplici controlli di configurazione sulle interfacce del trunk dello switch.

I controlli di configurazione di cui sopra sono luoghi ideali per applicare l’automazione della convalida della configurazione. Questi controlli non richiedono l’applicazione di modifiche: devono semplicemente evidenziare potenziali problemi al personale di rete.

Loop di inoltro in una rete commutata

Le reti commutate tradizionalmente si basano su Spanning Tree Protocol (STP) per prevenire loop di inoltro. Ma, in alcuni casi, si verificano loop anche con STP per prevenirli. Un loop inoltra rapidamente frame Ethernet attorno al loop, consumando la larghezza di banda dell’interfaccia e le CPU degli switch. Fa rapidamente diventare una rete così congestionata da cessare di funzionare. Sfortunatamente, poiché le CPU ei collegamenti di rete sono saturati, è impossibile utilizzare la rete per diagnosticare il problema.

Per risolvere i problemi, gli amministratori dovrebbero suddividere la rete in domini successivamente più piccoli per identificare la posizione del loop. Dividi la rete nel mezzo e identifica quale metà contiene il loop. Gli amministratori possono ripetere il processo di suddivisione finché non identificano gli switch su cui si trova il loop e le interfacce che sono interconnesse. È una buona idea esercitarsi in un ambiente di laboratorio per apprendere il processo. I fornitori hanno anche creato funzioni, come unidirezionale Link Detection, Loop Guard, Root Guard e BPDU Guard, per prevenire diversi tipi di loop.

Inondazioni Unicast

In casi più rari, uno switch potrebbe dimenticare dove si trova un endpoint all’interno di una VLAN, provocando una situazione nota come inondazione unicast. Ciò si verifica quando il timer della cache da indirizzo a porta del controllo di accesso multimediale dello switch è diverso dalla cache da indirizzo IP a indirizzo MAC del router della VLAN. (Un esempio è descritto in “Inondazioni Unicast nelle reti di campus commutate). Lo switch dimentica su quale porta è attivo un determinato indirizzo MAC, facendo sì che lo switch inondi qualsiasi frame destinato all’indirizzo MAC a tutte le porte nella VLAN. Diverse topologie e scenari di rete possono causare questo allagamento. Se i sistemi interessati inviano molti dati, ad esempio facendo un backup del disco, tutti i sistemi sulla VLAN subiranno un carico elevato.

Gli amministratori possono identificare questo problema quando i sistemi finali sulla VLAN interessata diventano lenti e i contatori di pacchetti su tutte le interfacce nella VLAN aumentano alla stessa velocità. Un’opzione consiste nell’impostare il timer da indirizzo MAC a porta leggermente più alto del timer da indirizzo IP a MAC. In alternativa, i fornitori di switch hanno implementato funzionalità che aiutano a evitare il carico elevato limitando il numero di operazioni di flooding unicast sconosciute. Questi sono comandi specifici del fornitore, quindi gli amministratori dovrebbero verificare con il proprio provider.

Diagramma che mostra tre problemi VPN comuni da risolvere
I problemi VPN comuni includono problemi di connettività fisica, configurazione VLAN errata e configurazioni di routing di livello 3.

Problemi di livello 3 (rete instradata).

Un’altra classe di problemi riguarda la connettività della VLAN al resto di una rete di livello 3. In questi casi, la VLAN funziona correttamente, ma la sua connettività esterna non funziona. Se gli amministratori possono eseguire il ping di almeno un altro sistema nella sottorete, la connettività di base di livello 2 funziona ed è probabile che si tratti di un problema di livello 3. Ci sono delle eccezioni, quindi sii aperto a scenari alternativi.

Configurazione dell’endpoint

Se il problema riguarda un singolo endpoint, verificare che il relativo indirizzo IP sia nella sottorete corretta e abbia la maschera di sottorete corretta. Una configurazione errata potrebbe derivare da un errore di battitura nel processo di configurazione o da una configurazione ID VLAN errata sull’interfaccia dello switch dell’endpoint, che la inserisce nella VLAN/sottorete sbagliata.

Osservare i sintomi e determinare se il problema riguarda il livello fisico, il livello del collegamento dati, il livello instradato o il livello dell’applicazione.

Configurazione gateway

Gli amministratori dovrebbero essere in grado di eseguire il ping del gateway predefinito sulla sottorete, nonché dei sistemi adiacenti sulla stessa sottorete. Se i sistemi adiacenti rispondono al ping ma il gateway predefinito no, il problema è causato da due possibili scenari.

La prima opzione è che il gateway predefinito non è configurato correttamente. Potrebbe trattarsi di un’interfaccia virtuale dello switch (SVI) mancante o del router che collega la VLAN alla rete instradata di livello 3 mancante, configurato in modo errato o non in uno stato operativo “attivo”. Gli amministratori dovrebbero quindi diagnosticare la connessione SVI o router e, una volta convalidata, tornare all’endpoint guasto. Ulteriori test potrebbero richiedere agli amministratori di tornare agli scenari di test di livello 2 descritti sopra.

La seconda possibilità è che la subnet mask del gateway predefinita dell’endpoint sia errata. Il sintomo di questo scenario è che l’endpoint può eseguire il ping di alcuni, ma non di tutti, gli altri endpoint all’interno della VLAN/sottorete. Se può raggiungere il gateway predefinito e ricevere i pacchetti correttamente instradati, dipende dagli indirizzi specifici coinvolti. Ancora una volta, questo è un caso in cui l’automazione della convalida della rete è di grande aiuto.

Riepilogo

La risoluzione dei problemi di rete è sempre la soluzione migliore utilizzando un approccio divide et impera. Osservare i sintomi e determinare se il problema riguarda il livello fisico, il livello del collegamento dati, il livello instradato o il livello dell’applicazione. Determina dove la connettività fallisce e perché, quindi inizia a controllare gli elementi specifici relativi a quel livello. Testare ogni potenziale errore per identificare dove si trova il problema e identificare cosa deve essere corretto. La risoluzione dei problemi VLAN è un’abilità preziosa appresa attraverso l’esperienza.

Leave a Comment

Your email address will not be published. Required fields are marked *