科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道由于10M转2M设备不支持VLAN导致能PING通外网但是无法打开网页

由于10M转2M设备不支持VLAN导致能PING通外网但是无法打开网页

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

S8016下接S3526,S3526通过10M/2M设备下接MA5100。MA5100和S3526都只做二层设备,将用户的VLAN信息透传到S8016,在S8016上配置三层虚接口地址,并做NAT转换上外网。

作者:zdnet安全频道 来源:论坛整理 2008年11月24日

关键字: VLAN

  • 评论
  • 分享微博
  • 分享邮件

由于10M/2M设备不支持VLAN导致能PING通外网但是无法打开网页

现象描述

组网情况如下:

S8016下接S3526S3526通过10M/2M设备下接MA5100

MA5100S3526都只做二层设备,将用户的VLAN信息透传到S8016,在S8016上配置三层虚接口地址,并做NAT转换上外网。

故障现象如下:

1MA5100下面的用户能够PING通外网的地址和域名(比如sina.com),但是无法打开相应的网页。

2、将MA5100S3526断开,MA5100连接旁边的一台MA5200,通过ISN8850却上网正常。

3、将便携直接接在S3526下面,上网也正常。

告警信息

接在MA5100下面的用户打开页面的时候提示“Internet Explorer 无法连接到您请求的页。可能该页目前不可用”。

原因分析

整个组网中涉及到三个设备,可以一一分析:

1、根据上面描述的故障现象中的第三点,可以肯定S8016S3526没有问题。

2、根据上面描述的故障现象中的第二点,可以肯定MA5100也是没有问题的。

处理过程

根据上面的分析,三台设备都是没有问题的,唯一要确认的是MA5100接到MA5200上的时候是否有数据上的变动。

1、经过了解,MA5100一共有7VLAN,由于S8016VLAN 1是系统保留的,所以MA5100透传到S8016VLAN都是非1VLAN,但是MA5100接到MA5200的时候,用的是缺省VLAN 1,这样就相当于传送到MA5200的数据报文是不带VLAN信息的。

2、怀疑是MA5100上行的传输设备不支持VLAN导致的,因为有一种10M/2M的传输设备是不支持VLAN的。经过确认,MA5100S3526之间的确采用的是10M/2M设备。

3、为了确认是10M/2M设备导致的问题,做如下测试:

第一步:从MA5100下面的PC PING 1468大小的包,能通,但是丢包严重;PING 1469的包,无法通过。

第二步:将S3526的接口改为ACCESS模式,直接把便携接在MA510010M/2M的出口上(即抛开MA5100),能够上网,也能PING1469的报文。

第三步:在S3526侧的10M/2M的出口上直接接一台PC,两台PCPING 3000的包,能通,但是丢包严重。

测试结果分析如下:

1、一般设备的接口的MTU值是1500,这个值指的是IP层的报文长度,当这个报文承载在以太网帧上的时候,加上以太网帧的18的字节,整个以太网帧的长度是1518。当这个以太网帧被打上VLAN信息的时候,整个二层报文的长度就会变为1522个字节。

2、所谓10M/2M设备不支持VLAN,是指这种设备最长只能接收1518字节长度的报文,当报文长度超过1518的时候,设备就丢弃报文。

3、在我们PING 1468的时候,1468IP层的净负荷,加上20个字节的IP报文头和8个字节的ICMP报文头,整个IP层的报文长度为1496个字节,再加上18个字节的以太网帧封装和4个字节的VLAN信息,整个以太网帧的长度刚好为1518的字节,这个时候10M/2M的设备能够接收,所以能够PING通。

4、在PING 1469的时候,根据上面的计算整个以太网帧的长度为1519个字节,10M/2M设备无法接收,丢弃,导致无法PING通。

5、测试中的第一步丢包严重说明线路质量不好,测试的第三步就是用来验证这个结论的,结果也证明了线路质量不好。

为了再次证实测试的结果:

1、将MA5100改为untagged上行,MA5100下面的用户能够正常上网,但是网速慢,这是由于线路质量不好导致的。

2、将MA5100接在MA5200上,下面的用户上网很慢,进一步证实线路质量不好。

最后结论:

由于10M/2M设备不支持VLAN导致无法通过长度超过1468字节的IP报文,最终导致用户无法打开网页。更换为光电转换器一切OK

建议与总结

这个故障起初看很不可思议,因为三台设备分开的时候所有的都是正常的,而接在在一块就出现问题。分析该故障的关键入手点就是分开和接在一起的时候是否是完全一致的。另外一点是不可以被“能PING通”这个现象所迷惑,因为实际组网中“能PING通”一般都是DOS下默认的56字节的包,整个线路正常不仅仅是要能PING通小包,一定要保证能PING通大包,同时还要保证PING大包的丢包率是在可以接受的范围内。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章