一次大二层网络的故障排查

       在一些较大规模的企业网，办公网里会出现一种状况，网络结构不是用三层路由将不一样物理区域或不一样功能区域进行分割，而是一张大的二层网络，一路TRUNK放行全部VLAN来打通网络。这样的网络在复杂到必定程度后就会出现各类稀奇古怪的问题，并且若是对网络结构不了解那就更是无从下手。下面就说一个刚刚处理的相似问题。

        客户的整个网络刚通过2次大动做，一是我公司负责的核心交换机替换，二是另外一家公司负责的机房总体搬迁。而后，过去了2个月，客户一天反馈有一个楼里的视频会议设备没法链接，开不了会，测试到网关不通。核对了视频会议设备的地址，就是上面说得那种大二层状况，视频会议的终端分散在几个楼里，可是确都要在同一个网段，而后网关还不在本园区的核心上，而是在另外一个功能区域的核心上，这2个核心之间是三层路由。

        中间有不少排查的弯路，篇幅所限就不赘述了，直接说最关键的状况。在终端上PING网关是不通的，可是在CMD里用命令arp -a能够看到网关的ARP信息。既然ARP表里有这个地址，我判断线路是通的，可是中间有安全设备阻断了。这里要说一点，防火墙的安全策略是会阻断报文，可是ARP这一类的协议报文是不会阻断的。接着客户就去找防火墙，可是找了几台可能的墙，登上去一看都不像。这里就有个很麻烦的问题，这个二层线路是怎么连的，没有文档记录，也没人清楚。负责机房搬迁的公司给了一张表，上面记录着搬迁前设备的连线信息。反复核对最后摸清楚了线路链接的状况。

        园区核心交换机-------S5120------S5510------视频网关交换机，实际是按这样链接的线路。中间并无安全设备。这就奇怪了，既然没安全设备，学习到了ARP信息为何还不通，只能一台一台的检查配置。检查到S5120和S5510之间的接口配置时，发现问题了。S5120接口配置的ACCESS口，vlan1000，S5510接口配置的是TRUNK口，放行了vlan1000。刚才看到的怪现象就能够解释了，和vlan打标签、去标签的机制有关系。

        最后我不想在把vlan打标签这个事又来解释一下，你们有兴趣能够作个试验看看现象，本身分析一下为何会这样。