交换机级联端口被绑之后

故障现象

某单位新增一台计算机，用户根据周边上网终端IP地址分配规律，配上未使用的IP地址，发现不能上网，遂上报单位网管请求解决。新上任网管根据网络安全管理要求，远程操作楼层交换机，按照“交换机端口+终端MAC+终端IP”方式进行绑定，操作完成后用户还是不能上网，而后又有其他楼层用户反映不能上网。单位网管也无法远程联接刚刚操作的楼层交换机了，单位网管请求技术支援。

故障排查

经现场了解得知，出现故障大楼的简单网络拓扑结构如图1所示，整个大楼网络终端设备都属于同一个VLAN，各楼层所属交换机采取级联方式，汇聚到大楼交换机后再与单位三层路由交换机相连。网络终端乙为新增上网终端，接入楼层交换机B2。楼层N2的其他终端能正常上网，楼层N1的所有终端不能上网。网管在机房不能远程联接管理楼层N1的所有交换机。综合判断为楼层交换机配置出了问题。

图1 网络拓扑结构图

图2 查看交换机端口与终端MAC地址对应情况

查询H3C交换机端口绑定命令为：

进一步查阅资料得知，H3C交换机的级联端口不能被绑定终端，否则该交换机的接入用户终端不能正常上网。

再回顾一下单位网管的绑定操作流程：（1）用telnet命令远程登录楼层交换机。（2）用dis mac-address命令查看交换机端口与终端MAC地址对应情况（如图2），找到新增用户对应的端口号。（3）执行绑定命令。

分析操作流程，断定网管在楼层交换机A1上对网络终端乙进行了绑定，导致楼层N1所有用户终端不能上网。

故障解决

需要解决以下两个问题：

1.去除楼层交换机A1对上级联端口绑定设置，解决楼层N1所属终端不能上网问题。

找1台接入楼层交换机A1的终端，用telnet命令远程登录楼层交换机A1，执行如下命令：

注：第1行是显示交换机端口绑定情况，找到向上级联端口的绑定信息。第2行是进入1/0/x端口，该端口是楼层交换机A1向上级联端口。第3行是去除绑定设置，即将绑定的MAC地址和IP地址取消。

当然，以上步骤也可使用便携式笔记本电脑，用专用连接线直接对接楼层交换机A1的管理端口，通过超级终端操作实现。

2.登录楼层交换机B2，对新增网络终端乙进行绑定。首先需要找到对应端口，然后才能执行绑定。

注意：所有对交换机的操作，要执行save命令，否则断电重启后会恢复原样。

经验总结

至此，楼层N1网络恢复正常，网络终端乙也能上网了。细想起来，这是一起由于新上任网管没有找准网络终端乙对应的楼层交换机而造成的误配。为什么会这样呢？新增加某终端，同一VLAN内所有二层交换机都能收到这台新增终端的MAC地址，只是直连交换机登记在直连端口上，其他交换机登记在级联端口上，一般情况下在直连端口做绑定，但新上任网管没有区分这些细微之处，导致网络故障。所以说，网络管理无小事，对症下药很关键。