一、概述
1、定义
由于传统的二层网络会出现环路问题,本文档介绍了如何解决环路以及在运行STP的传统二层网络中的相关优化技术,相关技术适用于园区网,数据中心二层网络架构等应用场景。除Port-Fast与BPDU-Guard配合使用外,其它技术可根据实际情况进行选择使用。
二、适用于以下产品
S系列
⊙SL系列交换机⊙S系列交换机
⊙SL系列交换机⊙S系列交换机
⊙S系列交换机
CN系列
⊙CN-V系列交换机(CNPC-V/CNTC-V/CNQ-V)
⊙CNTP-1GE
⊙CN8K系列交换机(CNUP-16G/CNQ/CNQ)
⊙CN9K系列交换机(CN)
⊙CN系列(CN06/CN10)
⊙CN系列(CN04/CN08)
三、优化技术目录
⊙STP-Mode⊙Port-Fast
⊙Bpdu-Guard⊙Bpdu-Filter
⊙Storm-Control⊙Loop-Guard
⊙Root-Guard
四、优化技术概述
STP-Mode(生成树模式)
简介
目前存在有多种STP模式;公有标准依次为STP、RSTP、MSTP;私有标准有:PVST、PVST+等;对于同一个二层网络来说,推荐整网使用同一种模式;以此来实现不同厂商之间的对接;.1d(STP)是最早的生成树版本,存在收敛速度慢等缺点;.1w(RSTP)是.1d的进阶版本,优点为收敛速度的提升,缺点为每增加一个VLAN,全网链路带宽,设备性能就需要增加一份负担;.1S(MSTP)作为.1w的进阶版本,即具有收敛速度快的特点,又引入实例的概念,降低了STP的维护量。
产生原因
为了解决链路冗余造成的环路问题
工作机制
通过相对应的计算,在一个环网当中逻辑的阻塞掉一个接口,来破掉环路
应用范围
全网交换机;应用过程中,需要注意全网需要有统一的region-name与reversion及instance-vlan对应关系
Port-Fast(快速端口)
简介
使接口快速的从不可用(Down)状态过渡到转发(Forwarding)状态。Port-Fast接口的UP/Down不会引发STP的震荡。
产生原因
在连接到主机的接口,正常情况下需要等待30s(2*ForwardingDelay)才能进入正常的转发状态;在此期间主要进行STP的相关计算,收敛等行为;而连接主机的接口一般不需要参与到生成树计算当中。
工作机制
当接口配置成该模式,连接主机时,该接口会迅速的从不可用(Down)状态转变成转发(Forwarding)状态。
应用范围
1)部署在接入层交换机连接主机的接口
2)连接主机的接口可以是接入(Access)接口也可以是主干(Trunk)接口;
3)严禁将Port-Fast接口与交换机相连
BPDU-Guard(BPDU防护)
简介
防止从Port-Fast接口接收到BPDU报文;当Port-Fast接口收到BPDU后,会将接口置于err-disable状态;
产生原因
为了弥补Port-Fast的缺点(连接交换机容易形成环路的问题)
工作机制
当接口收到STPBPDU报文时,会立刻将接口处于err-disable状态;默认情况下需要管理员进行人工干预后该接口才能正常使用,或采用自动恢复的方式,在不低于30s的延时时间后,重新启用该接口。
应用范围
1)开启Port-Fast功能的接口或单独使用
2)开启该功能前需要确认OVS/VSwitch等是否运行STP;如运行STP不建议开启该功能。
BPDU-Filter(BPDU过滤)
简介
BPDUFilter也叫BPDU过滤,它的意义是在某个端口上过滤BPDU的发送和接收;
产生原因
为了解决边缘端口参与生成树计算,从而帮助网络拓扑的收敛时间以及加强网络的稳定性,可能导致BPDU报文发送到其他网络,引起其他网络震荡。
工作机制
当接口收到STPBPDU时,不会发送BPDU报文,并丢弃接收到的BPDU报文
应用范围
1)一般使用在边缘端口。
2)当上联设备不希望接收到BPDU报文时。
Strom-Control(风暴控制)
简介
通过预设的接口带宽比例来抑制BUM(Broadcast,unknownUnicast,Multicast)报文,避免BUM占用大量带宽资源。
产生原因
错误的网络配置极其容易在网络中产生大量的BUM报文;一旦形成风暴,整网当中的BUM个数会以几何倍数增长,进而导致网络带宽拥塞;部分BUM报文不仅仅会占用链路带宽资源,也会消耗相关设备资源(ARPRequest报文等)
工作机制
通过在设备接口配置阈值来限定BUM报文占用带宽总数的百分比,当超出阈值时进行丢弃;来保证网络当中的链路带宽;
应用范围
接入层交换机连接主机的接口
Loop-Guard(环路防护)
简介
用于防止因光纤链路单通导致的环路问题
产生原因
当前光纤在DC当中大量使用,光模块能够接受到光,即可将接口点亮;当一个链路出现单向故障的时候,由于Blocking端口在MAX_AGE之内收不到最佳BPDU,因此导致Blocking端口过渡到Forwarding状态,从而导致了环路的产生。为避免这一情况,所以使用LoopGuard
工作机制
在启用了LoopGuard的非指定端口上不能再收到BPDU,交换机端口将进入“不一致环路(Loop-inconsistent)”的阻塞状态,不允许其经历Listening,Learning进入Forwarding状态
应用范围
接入层交换机上启用;
Root-Guard(根防护)
简介
避免现网环境出现新的主对网络造成冲击,引发全网收敛等问题。
产生原因
当网络环境当中有明确固定的跟桥时,为防止非法用户使用软件或设备模拟根桥对现网造成冲击等问题
工作机制
在启用了Root-Guard功能的接口上,不能再接受到配置BPDU(由根桥发出);当收到配置BPDU时,将对该接口进行入向阻塞。当不在收到配置BPDU时,将自动打开盖接口
应用范围
交换机的指定接口
五、现网应用风险等级评估表
六、相关配置命令
STP-Mode(更改配置)
S系列交换机
Spanning-treemodemst
//全局配置模式,更改模式为mst
Spanning-treemstconfiguration
//进入mst配置模式
Instance1vlan10,20,30
//设置实例与vlan的对应关系,默认所有vlan处于实例0当中
Instance2vlan40,50,60
Revision1
//设置revision信息,全网统一
Nameinspur
//设置region-name,全网统一,默认为空;
Spanning-treemst1priority
//全局配置模式,配置实例1的优先级为
Spanning-treemst2priorityrootprimary
//全局配置模式,配置实例2的优先级为
CN系列交换机
Spanning-treemodemst
//全局配置模式,更改模式为mst
Spanning-treemstconfiguration
//进入mst配置模式
Instance1vlan10,20,30
//设置实例与vlan的对应关系,默认所有vlan处于实例0当中
Instance2vlan40,50,60
Revision1
//设置revision信息,全网统一
Nameinspur
//设置region-name,全网统一,默认为空;
Spanning-treemst1priority
//全局配置模式,配置实例1的优先级为
Spanning-treemst2priorityrootprimary
//全局配置模式,配置实例2的优先级为
Port-Fast(新增配置)
S系列交换机
Spanning-treeportfast//接口下执行
CN系列交换机
Spanning-treeporttypeedge//接口下执行,接口为Access接口
Spanning-treeporttypeedgetrunk//接口下执行,接口为Trunk接口
BPDU-Guard(新增配置)
S系列交换机
Spanning-treebpduguardenable//接口下执行
CN系列交换机
Spanning-treebpduguardenable//接口下执行
BPDU-Filter(新增配置)
S系列交换机
Spanning-treebpdufilterenable//接口下执行
CN系列交换机
Spanning-treebpdufilterenable//接口下执行
Strom-Control(新增配置)
S系列交换机
Storm-controlactiontrap/shutdown
//接口下执行,设置动作为trap或shutdown(err-disable)
Storm-controlbroadcastlevel10.00
//接口下执行,设置广播报文阈值为带宽的10%
Storm-controlmulticastlevel10.00
//接口下执行,设置组播报文阈值为带宽的10%
Storm-controlunknown-unicastlevel10.00
//接口下执行,设置未知单播报文阈值为带宽的10%
snmp-serverenabletrapsstorm-controltrap-rate
//全局配置执行,如果action为trap必须要配置该条,并启用snmp-serverhost等相关配置信息;设置发送风暴控制信息,速率为报文/分钟
CN系列交换机
Storm-controlactiontrap/shutdown
//接口下执行,设置动作为trap或shutdown(err-disable)
Storm-controlbroadcastlevel10.00
//接口下执行,设置广播报文阈值为带宽的10%
Storm-controlmulticastlevel10.00
//接口下执行,设置组播报文阈值为带宽的10%
Storm-controlunicastlevel10.00
//接口下执行,设置单播报文阈值为带宽的10%
snmp-serverenabletrapsstorm-controltrap-rate
//全局配置执行,如果action为trap必须要配置该条,并启用snmp-serverhost等相关配置信息;设置发送风暴控制信息,速率为报文/分钟
Loop-Guard(新增配置)
S系列交换机
Spanning-treeguardloop
//接口下启用
CN系列交换机
Spanning-treeguardloop
//接口下启用
Root-Guard(新增配置)
S系列交换机
Spanning-treeguardroot
//接口下启用
CN系列交换机
Spanning-treeguardroot
//接口下启用
