《2022年2022年华为交换机STP与环路检测冲突》由会员分享,可在线阅读,更多相关《2022年2022年华为交换机STP与环路检测冲突(6页珍藏版)》请在金锄头文库上搜索。
1、华为交换机 STP 与环路检测冲突字体大小:大| 中 | 小 2008-02-11 16:26 - 阅读: 871 - 评论: 0 中国银行福建省分行选择华为3Com 公司具有线速交换能力的系列局域网交换机Quidway S8016、 S3050组建大楼局域网。为了保证网络的可靠性,使用两台QuidWayS8016作为核心交换设备来进行整个大楼局域网络的三层交换处理,之间运行VRRP 协议进行负载均担和备份保护。楼层交换机采用 QuidWayS3050设备,每台交换机与两台核心交换机组成光纤环路,启用RSTP 协议进行链路备份。图1 是网络拓扑图。故障情况简单描述不久福建省中行的网络出现故障,
2、赶到 5 楼机房, 发现 8016B上有很多RSTP 不断重新计算以及下连3050C的光口不断 Forwarding/Discarding迁移的信息。此时8016B上也有 VRRP 主备倒换的告警信息,因为上次已经减少VRRP 组数并错开各个VRRP 组的Hello 报文时间间隔,故此时VRRP 切换并不集中。由于同时有大量生成树协议的BPDU报文上送 CPU 重 新计算以及因生成树计算错误导致的部分VRRP 组主备切换,两台 8016上的 CPU 利用率很高,网络基本不可用。首先断电8016B ,恢复业务,再仔细分析日志名师资料总结 - - -精品资料欢迎下载 - - - - - - - -
3、 - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 6 页 - - - - - - - - - 信息,并询问网络改动,发现故障情况与新增一台3050C有关系。断开新增的3050C ,恢复双机环境,网络运行正常。初步判断此次网络动荡与新增的 3050C有关。故障原因分析1. 新加的 3050C没有升级,存在STP 方面的缺陷。3 楼新增加的3050C是原来的备用机,使用的是0019版本,没有升级到中行目前在用的 0022版本, 该版本存在缺陷,可能会丢弃部分STP 协议报文不上送CPU 处理,导致RSTP 计算错误和网络形成广播风暴。 从 0020
4、版本以后已经解决, 目前中行在用的0022版本也不存在该问题。因此我们建议把3 楼的 3050C升级之后再接入到网络中。2.3 楼新增 3050C没有关闭上行端口的环路检测功能(loopback-detection)华为3Com交 换机上有环路检测功能,可以配合生成树协议(STP/RSTP/MSTP)有效地检测网络中的环路,生成树协议主要用于检测拓扑环路,环路检测功能可以有效检测端口下的环路。 环路检测功能是基于端口和VLAN 的,当检测到端口存在环回后,首先会上报LOG ,提示某个端口在某个VLAN 中存在环回情况,并设置该端口不再学习MAC 地址,端口的流量和其他端口隔离,从而进入一个该端
5、口下面存在环路而不影响其他端口的状态。但与此同时,一些正常的协议报文,比如生成树协议的BPDU 报文,也无法通过了,这样会导致生成树协议计算错误。同时,如果STP 计算错误,没有把相应的链路Discarding 掉,就会引起环路检测功能检测到网络中存在的环路,并会把收到环路检测报文的端口UP/Down一次,这将引起全网 RSTP 协议的重新计算,影响到所有的交换机,耗费大量的CPU 资源。在没有关闭上行口环路检测功能的3 楼新增 3050C上的告警信息也证实了上述判断。如果形成如图2 所示的环路,可能会导致环路检测报文从一个上连口出去,从同一台设备的另一个上连口返回,出现告警信息。名师资料总结
6、 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 6 页 - - - - - - - - - 如果形成如图3 所示的环路,可能会导致环路检测报文从一个上连口出去,从同一台设备的另一个上连口返回,即出现如告警信息。3.STP 重新计算和VRRP 主备倒换,导致设备CPU 利用率高和网络动荡,由于STP协议报文和VRRP 报文都要上送到CPU 处理,占用大量的 CPU 资源。当新增3050C的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -
7、- - - - 名师精心整理 - - - - - - - 第 3 页,共 6 页 - - - - - - - - - 环路检测功能和STP 缺陷导致整网的STP 计算错误, 网络设备不断重新计算STP,并发生端口不断迁移,导致网络发生较大动荡,这时候CPU 利用率在60% 65% ,甚至更高,这样就可能影响正常数据转发。故障排除步骤1. 查看设备故障现象,发现 RSTP 协议计算导致端口不断迁移,以及 VRRP 切换,CPU利用率 60% 65% ,判断应为环路所致,在Down掉一些端口无效后,为确保业务不受影响,断电8016B ,恢复网络和正常业务。2. 拔下 8016B的光纤和电缆,再裸机
8、加电,查看8016B的日志,分析故障原因,发现出现故障时候有大量的RSTP 端口迁移, 而且故障时间与下午增加3 楼 3050C的时间吻合。3. 登录到 3 楼新增加的3050C ,发现其没有升级也没有关闭上行口的环路检测功能,其日志中有环路告警,可能因该交换机的STP 报文处理缺陷和环路检测功能导致RSTP 计算错误,最终引起设备CPU 利用率高以及网络动荡。4. 断开 3 楼新增的 3050C ,再逐步恢复8016B的光纤和电缆连接,网络正常。观察至今一直稳定。5 升级新增加的3050C , 关闭上行链路的环回链路检测功能、配置调度算法保证BPDU报文的发送,再接入到网络中。后期设备维护建
9、议1. 建议升级3 楼新增的 3050C到 0022版本或者更新的版本。目前3 楼新增加的3050C使用的版本过老,对于STP 协议报文处理有所不足,而且不支持IPPort MAC的绑定功能,建议升级到统一的0022版本,或者更新的0025版本。2. 建议关闭3 楼新增 3050C上连光口的环路检测功能(Loopback-Detection)。华为交换机包含了环路检测功能,用于检测端口环路(比如交换机某个端口通过Hub 或者名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共
10、6 页 - - - - - - - - - 直接网线产生的环路,STP 协议是无法检测和避免的)。一般来说,环路检测和STP 之间是不冲突的,但是如果在STP 的干路上出现了单环路(从某个端口发送出去的报文,又从本端口收上来),则可能导致STP 异常(因为出现单环路的端口会被隔离掉,STP 报文不能正常转发,而且此时STP 协议不知道)。STP 干路上出现单环路的原因,可能是某个VLAN 内存在单环路。建议在上行口的接口模式下,配置如下命令:undo loopback-detechtion enable 关闭端口的环路检测功能。3. 建议在 3 楼交换机上配置WRR (Weighted Rou
11、nd Robin)加权轮循调度算法。交换机的端口支持4 个或 8 个输出队列, WRR 队列调度算法在队列之间进行轮流调度,保证每个队列都得到一定的服务时间,可以避免低优先级队列中的报文(比如STP 中的BPDU 报文)可能长时间得不到服务。这样可以有效避免因为楼层交换机负载大而引起BPDU 报文丢失的问题。建议在全局模式下,配置如下命令:queue wrr 25 25 25 25 4. 建议两台8016升级到 5339版本。福建中行两台8016当前使用的版本为VRP Software, Version 3.10(NSSA ),Release 5330,运行时间超过了一年(Quidway S8
12、016 Uptime is 54 Week ,0 Day ,5 Hour ,23 Minute),当前的版本是5339 ,该版本已经在全国大量使用,对很多方面进行了优化,对VRRP 也支持得更好,建议近期将两台8016升级到5339版本。相关链接:环路检测功能基于端口, VLAN 来进行环回检测,默认每隔30s 检测一次。可以调整检测间隔从5秒到 300 秒。只有启动了环回检测功能的端口才会自动进行环回检测。缺省情况下,端口的环回检测功能是Enable状态。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -
13、 - - - - 第 5 页,共 6 页 - - - - - - - - - 命令 loopback-detection control enable,此命令可以启动Trunk和 Multi端口在检测到环回后的受控功能,如果系统发现Trunk或者 Multi端口上某个VLAN 存在环回,会使端口受控。该命令对Access端口没有影响,即Access端口存在环回时,都会进入受控状态。在 Trunk和 Hybrid端口上配置了命令 loopback-detection per-vlan enable后,系统会对端口上所有的VLAN 进行环回检测。 配置了 undo loopback-detecti
14、on per-vlan enable ,系统只对端口的缺省VLAN 进行环回检测。缺省情况下,系统对Trunk和 Hybrid端口上所有的VLAN 进行环回检测。当检测到端口存在环回后,首先会上报Long ,提示某个端口在某个VLAN 中存在环回情况。如果配置了端口要进入受控状态,则会设置该端口不再学习MAC 地址,端口的流量和其他端口隔离。从而进入一个该端口下面存在环路而不影响其他端口的状态。推荐配置设备的上行端口一般是配置成Trunk ,建议直接关闭上行端口的环路检测功能(请在上行端口下配置undo loopback-detection per-vlan enable),或者打开环回检测,但是配置该端口不受控(端口下配置undo loopback-detechion control enable),这样,当该端口检测到某个VLAN 存在环路后,仅仅上报环回的Trap ,但不会使端口进入受控状态。这样,一些VLAN 的环路则不会影响别的 VLAN 中的业务。建议直接关闭上行口的环路检测功能。对于下行端口和用户端口,打开环路检测,且配置端口受控。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 6 页 - - - - - - - - -
