Day15: VLAN 與 Trunks 的日誌檢查

2025 iThome 鐵人賽

DAY 15

自我挑戰組

日誌檢查學習自我挑戰系列第 15 篇

17th鐵人賽

vvlj6306

2025-09-29 22:34:10

60 瀏覽

分享至

在思科（Cisco）或其他主流網路設備中，檢查日誌主要是為了定位協定不匹配或狀態改變。
系統日誌是紀錄設備活動、錯誤和狀態改變的主要來源。

在交換器（Switch）的系統日誌（show logging）中，以下關鍵訊息能直接指向 VLAN 或 Trunking 的配置錯誤或狀態變化。

要檢查的內容	關鍵日誌訊息 (關鍵字)	意義與故障排除方向
Trunk Native VLAN 不匹配	`%CDP-4-NATIVE_VLAN_MISMATCH`	最常見的 Trunk 錯誤。兩端連線的交換器，其 Native VLAN 設定不一致。這會導致控制訊務（如 CDP, STP）傳輸混亂。解決：檢查兩端介面 `switchport trunk native vlan X` 設定是否相同。
Trunk 狀態改變	`%TRUNK-5-TRUNKING_STATE_CHANGE`	Trunk 狀態發生改變 (如從 Trunking 變為 Not-Trunking 或 Port Down)。解決：檢查 Port 狀態、線材或對端 DTP/Trunk 模式配置。
STP 阻擋連線埠	`%SPANTREE-2-BLOCK_PORT_TYPE`	介面（通常是 Trunk Port 或 Port-Channel）因為 STP 協定被阻擋。解決：檢查是否有環路產生，或 PortFast/BPDU Guard 配置是否正確。
介面實體/協定狀態	`%LINK-3-UPDOWN` 或 `%LINEPROTO-5-UPDOWN`	介面（Port）實體層或協定層狀態發生變化。如果 Trunk 埠狀態不穩，優先檢查線材或 SFP 模組。
VLAN ID 不存在	`%SW_VLAN-4-VLAN_DEL`	介面被配置為 Access Port，但該 VLAN ID 已經從設備的 VLAN 資料庫中被刪除。解決：確認該 VLAN 存在 (`show vlan brief`)，或在 VTP 環境中檢查 VTP Domain 的同步狀態。
EtherChannel 協商失敗	`%EC-5-CANNOT_BUNDLE`	兩個 Trunk 埠在建立 Port-Channel (LAG) 時，協定或配置不匹配（如 LACP 或 PAgP 模式不協商，或兩端 Trunk/Access 模式不一致）。解決：確保所有成員埠的 Trunk 模式、Native VLAN、允許的 VLANs 等配置完全一致。

例如:假設VLAN 跨交換器通訊失敗

故障情境 (Symptom)
網路結構：兩台交換器 SW1 和 SW2 之間通過一條連線埠（例如：Gi1/1）相連，該連線埠被設定為 Trunk Link。
設備連線：
PC-A 連接到 SW1 的 Access Port，屬於 VLAN 10。
PC-B 連接到 SW2 的 Access Port，也屬於 VLAN 10。
問題描述： PC-A 無法 Ping 通 PC-B。但 PC-A 可以 Ping 通 SW1 上的其他 VLAN 10 設備。
故障假設 (Hypothesis)
由於兩台 PC 都屬於同一個 VLAN (VLAN 10)，且都能在各自的交換器內部通訊，問題很可能出在 SW1 和 SW2 之間的 Trunk Link 上。
最可能的故障點：
VLAN 10 未被允許通過 Trunk Link。
Trunk Link 兩端的 Native VLAN 設定不一致。
系統化排查步驟 (The 6-Step Drill)
我們將遵循由下而上、由近到遠的原則進行排查。
步驟 1：檢查連線埠狀態 (Layer 1/2 Physical)
目標：確認連線埠的實體狀態和協定狀態是否正常。

指令 (在 SW1 和 SW2 的 Gi1/1 上執行)	預期結果	故障判斷
`show interface Gi1/1 status`	狀態應為 `connected`	如果是 `notconnect`，表示實體線材或 SFP 模組故障。
`show interface Gi1/1 switchport`	Operational Mode 應為 `trunk`	如果是 `access` 或 `down`，表示 Trunk 協商失敗 (DTP 錯誤)，或手動設定不正確。
`show logging`	檢查是否有 `%LINK-3-UPDOWN` 訊息	確認連線埠沒有反覆上下線的震盪狀態，這通常指向實體層問題。

步驟 2：檢查 VLAN 存在性 (VLAN Database)
目標：確認 VLAN 10 在兩台交換器上都已被建立且處於活動狀態。

指令 (在 SW1 和 SW2 上執行)	預期結果	故障判斷
`show vlan brief`	應看到 VLAN 10 且狀態為 `active`	如果該 VLAN 不存在或狀態為 `suspended` (暫停)，則無法傳輸該 VLAN 的訊務。檢查日誌：尋找 `%SW

步驟 3：檢查 Trunk 設定 (Layer 2 Trunking)
目標：這是最關鍵的一步，檢查 Trunk Link 兩端是否允許 VLAN 10 通過，以及 Native VLAN 是否匹配。

指令 (在 SW1 和 SW2 的 Gi1/1 上執行)	預期結果	故障判斷
`show interface Gi1/1 switchport`	Allowed VLANs 列表中必須包含 `10`	如果只允許 `1-9, 11-4094`，表示 VLAN 10 被排除在外，導致該 VLAN 流量無法跨交換器傳輸。
`show interface Gi1/1 switchport`	Native VLAN 兩端必須一致 (例如：都是 `1`)	如果不一致，將導致未標籤（Untagged）的控制訊務被錯誤處理，並且會造成安全隱患。
`show logging`	檢查日誌：尋找 `%CDP-4-NATIVE_VLAN_MISMATCH`	這是最常見且直接的 Trunk 錯誤指示。如果找到此訊息，恭喜您，故障原因已確定，只需修正 Native VLAN 即可。

步驟 4：檢查控制協定 (STP/VTP)
目標：確認 Trunk 埠沒有被 STP 阻擋。

指令 (在 SW1 和 SW2 上執行)	預期結果	故障判斷
`show spanning-tree interface Gi1/1`	狀態應為 `FWD` (Forwarding, 轉發)	如果狀態為 `BLK` (Blocking, 阻擋)，則表示 STP 正在阻擋該埠以防止環路。故障點：可能存在隱藏環路，或 STP 配置（如 PortFast 或 BPDU Guard）錯誤。檢查日誌：尋找 `%SPANTREE-2-BLOCK_PORT_TYPE` 訊息。