0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何防止交换机环路故障

jf_qwOiugB3 来源:通信弱电交流学习 2023-12-07 11:19 次阅读

你肯定知道这个经典网络组网模型:接入-汇聚-核心-出口。接入多数是二层交换机为主,节约成本有的地方用傻瓜交换机,主要配置access隔离广播域。为了防止环路,接入层,大多数人都会配置生成树协议。STP(生成树协议)是一种第2层协议,在网桥之间运行,旨在帮助建立无环路(loop-free)的网络拓扑结构。运行STP(生成树协议)的以太网设备部署在很多网络里,很多在职的网络工程师对STP都很眼熟,但是设置时的错误也多,甚至可以说是比比皆是。如果你能纠正这些生成树问题,可以改善应用程序性能、缩短会聚时间、提高弹性以及减少网络停运时间。今天我们来复盘一下网络工程师在部署时常见的关于STP的问题,顺便讲讲解决思路。

01没有配置根网桥

许多企业组织对生成树习以为常,仅仅接受默认的配置设置了事。这使得网络环境中的所有交换机都使用32678这一默认的根网桥优先级值。如果所有交换机都用同一个根网桥优先级,那么MAC地址最低的那只交换机将被建立为根网桥。

许多网络并没有配置成单只交换机有一个较低的根网桥优先级,这会迫使那只核心交换机被建立为任何或所有虚拟局域网(VLAN)的STP根。

在这种情况下,MAC地址偏低的小型接入层交换机就有可能是STP根。这种情况势必会增加一些性能开销,导致会聚时间较长(由于根网桥重新建立)。

258d79f0-94a9-11ee-939d-92fbcf53809c.jpg

图 |通常状况下错误配置的生成树环境

如图所示,作为STP根的交换机实际上是核心交换机2,因为它拥有的MAC地址恰好低于核心交换机1。

一条最佳实践就是为“主”(核心)交换机配置较低的STP优先级,那样一只交换机将是根网桥,其他任何核心交换机会有高一点的优先级值;万一主核心网桥失效,它们就会自动接过重任。万一出现网桥故障,在交换机上配置“不同层次”的STP优先级将查明哪只交换机应该是根网桥。这样一来,STP网络运行起来就更具有确定性了。在核心思科交换机上,你应该用这个命令配置主根交换机:

Core-Sw1(config)# spanning-tree vlan 1-4096 root primary

在核心思科交换机上,你应该用这个命令配置次根交换机:

Core-Sw2(config)# spanning-tree vlan 1-4096 root secondary

这两个命令的最终效果会将主交换机端口的网桥优先级设为8192,将次交换机的根网桥优先级设为16384。

02使用IEEE 802.1D

而未使用Rapid-STP

典型的IEEE 802.1D协议有下列默认计时器:15秒用于侦听,15秒用于学习,20秒用于最长生存时间超时。生成树中的所有交换机都应该认同这些计时器,不鼓励你修改这些计时器。这些较旧的计时器对一二十年前的网络来说也许够用了,而如今,这些30秒至50秒的会聚时间实在太慢了。如今,许多交换机能够支持快速生成树协议(IEEE 802.1w),可是很少有网络管理员启用该功能。

快速生成树协议(RSTP)大大缩短了会聚时间,其秘诀在于使用端口角色,使用通过指定端口在网桥之间发送消息这种方法,计算备用路径,以及使用更快速的计时器。因而,如果可以使用RSTP,企业组织应该尽量使用。如果企业仍拥有无法使用RSTP的交换机,也别担心:针对通向老式STP交换机的那些接口,RSTP交换机会切回到传统的802.1D操作方式。

03阻塞的上行链路

生成树的任务就是防止环路形成。为此,它学习了解通向根的次最优路径,让这些不太理想的链路处于阻塞模式。

如果交换机之间有多条并行路径,那么其中一条路径将被选择进入阻塞模式,防止两只交换机之间出现环路。这样一来,拥有多条上行链路只适用于主链路故障切换,而不是为这条路径提供更高的带宽。

在上图中,你可以看到交换机D的这种情况。通向交换机2的链路是通向根网桥的最优路径,而通向交换机1的次最优路径处于STP阻塞状态。因此,只有一条链路的带宽可供上行通信使用。

我们希望能够利用这两条上行链路来转发流量、增加带宽,那样我们可以使用某种链路聚合技术,比如端口信道/以太网信道(LACP (IEEE 802.3ad),PAgP),或者某种多机箱端口信道(MC-LAG IEEE 802.3AX/AY),或者使用拥有虚拟端口信道(vPC)的思科Nexus交换机。

另一种选择就是使用可堆叠交换机,并配置每个上行链路端口,连接至堆叠交换机中的不同交换机。由于堆叠交换机可以配置成它就是一只交换机,那样可以使用端口信道。从生成树的角度来看可以将两条链路当成一条链路,这两条链路都可以用来转发流量。其他选择能够取得同样这个效果,比如思科的6500虚拟交换系统(VSS)。

04超过STP的最大规模

我们都生活在这样的城市:缺少统一协调的城市规划,道路总是拥挤不堪、无法顺畅通行。同样,网络常常像白杨树那样生长。网络当中出现新增的设备,但是网络很少重新设计架构,除非购置了一套全新的网络。随着新的交换机添加到局域网环境中,生成树不断随之变化。一些大型网络环境支持的应用程序依赖整个网络上的第2层连接,这类网络环境应该意识到这种生长。

要是网络拓扑超过STP的最大规格,企业就会遇到问题。802.1D规范建议,生成树的网桥跳数(bridge hop)不超过7段。如果有许多“雏菊链式”交换机,很可能出现这种情况。参阅上图,就会发现连一种简单的网络拓扑也会超过生成树的这一最大规模。像医院和大学校园这些组织的网络拥有庞大的局域网环境,跨整个网络延伸单一的VLAN。它们应该认识到其生成树的规模。这些组织应该将局域网交换环境的情况记入文档,并且寻找过于频繁的拓扑变更通知(TCN),从而定期检查生成树的规模。

05VTP域

企业组织面临的困难常常牵涉VLAN隧道协议(VTP)以及它与STP有怎样的关系。VTP这种机制可以帮助在单一局域网交换环境中建立和维护VLAN。VTP服务器可以建立新的VLAN,然后自动为VTP客户机配置那些新的VLAN。随后,那些VTP客户端交换机上的端口被分配到这个新的VLAN。

VTP有助于让VLAN编号在局域网交换环境中保持一致性。很早以来就存在与VTP有关的问题,许多人建议将VTP配置成透明模式。

一些企业组织抽时间来配置VTP域,并配置VTP服务器和客户机。一些企业组织还在所有交换机上使用同一个VTP域名,即便在所有地方都是如此。如果使用第2层城域以太网服务,并将其配置成802.1Q干线,这就会开始引起问题。

上图描述了这个问题。该例子中的交换机都有同样的VTP域名。数据中心与灾难恢复站点之间的连接使用了802.1Q干线,但是只允许三个VLAN接入这条干线。因此,灾难恢复站点的交换机了解所有的VLAN,使用生成树来确定城域以太网链路是VLAN 10、20和30通向根的路径。然而,灾难恢复站点的交换机认为,它是该干线上未使用的其他VLAN的STP根。这可能会引起问题,因为现在环境有两只交换机认为自己是VLAN 40、50和60的STP根。

使用VTP的企业应该慎重使用,知道哪些交换机是VTP服务器或客户机,使用VTP密码,删除不再提供服务的交换机上的配置和VTP信息,并且在不需要VTP的场合下考虑禁用VTP。

06STP与HSRP不一致

许多企业组织拥有冗余核心交换机,它们还为所连接局域网上的计算机充当第3层默认网关。像HSRP、VRRP、GLBP及其他这些首跳冗余协议为只配置一个单一默认网关IP地址的主机提供了默认网关冗余机制。如果HSRP活动默认网关不是为该VLAN充当STP根的同一只第2层/第3层交换机,问题就会随之而来。上图表示,交换机1是HSRP活动路由器,但它不是任何VLAN的STP根。交换机2是STP根,但它配置成HSRP备用路由器。这就形成了非最佳流量路径,可能会导致核心交换机间的干线上出现更严重的拥塞状况。使用首跳冗余协议的企业应该确保,活动默认网关与STP根相一致。

07没有控制STP

由于那么多的企业组织只是接受交换机厂商在生成树方面的默认设置,它们并没有最优化控制STP。企业可能没有配置生成树,以防止无意中添加的未授权交换机形成环路。许多企业使用思科的PortFast接口设置,帮助为连接到我们知道不运行STP的计算机的端口迅速调出交换机端口。激活端口之前,让端口连接至等待侦听和学习状态的计算机毫无意义。

结合使用PortFast和BPDU-Guard是最佳实践,那样如果通过该接口收到BPDU,它可以防御性地关闭端口。

激活这项功能的思科IOS全局命令如下:

Core-Sw1(config)# spanning-tree portfast edge bpduguard

激活这项功能的思科IOS接口配置命令如下:

Core-Sw1(config-if)# spanning-tree bpduguard enable

如果交换机已配置好了任何端口信道,那么配置以太网信道保护机制(EtherChannel guard)是个好主意。

激活这项功能的思科IOS全局命令如下:

Core-Sw1(config)# spanning-tree etherchannel guard misconfig

企业还应该在连接至服务器的所有接入交换机端口上使用根保护机制(Root Guard)。

激活这项功能的思科IOS接口配置命令如下:

Core-Sw1(config-if)# spanning-tree guard root

有时候,刀片服务器嵌入了以太网交换机,这类服务器也应该考虑到STP设计和配置当中。应该将这些交换机的配置与其他任何STP设备一视同仁,其配置应该补充网络环境中的其他交换机。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 以太网
    +关注

    关注

    40

    文章

    5371

    浏览量

    171032
  • 交换机
    +关注

    关注

    21

    文章

    2621

    浏览量

    99216
  • 网桥
    +关注

    关注

    0

    文章

    129

    浏览量

    16951
  • 网络工程师
    +关注

    关注

    2

    文章

    34

    浏览量

    7888
  • STP
    STP
    +关注

    关注

    0

    文章

    42

    浏览量

    10248

原文标题:如何防止交换机环路,网络工程师来教你

文章出处:【微信号:通信弱电交流学习,微信公众号:通信弱电交流学习】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    Is交换机组成的环形网络中,当位于主控节点的Ism网管交换机故障后,为什么环网中其他交换机不受影响?

    当位于主控节点的交换机故障断掉,环网中其他交换机是如何保持正常运行的?或者说什么原理让环网其他交换机不受影响?
    发表于 07-25 06:14

    [分享]常见网络交换机故障及应用问答

    常见网络交换机故障及应用问答问:我的机器通过交换机和其他设备相连在同一网段,但是却ping不通,是哪些问题造成的? 答:有可能是硬件故障或是设置故障
    发表于 06-02 11:31

    常见交换机硬件故障分类及解决方法

    连接导致网络环路等。解决:排查接头是否插好,排查线路是否连接正确。总结:从交换机故障或者其他SDH设备故障角度来看,机房环境是影响交换机
    发表于 05-28 16:17

    交换机的10种故障类型

    (position )被分为处理(processing)机系统的机架、模块,交换系统的机架、模块和维护(Maintain)管理系统的机架、模块等。这些机架、模块也会出交换机故障(fault)。  5、设备(sh
    发表于 01-12 16:02

    交换机软件存在的故障

    。比如VLAN 划分不正确导致网络不通,端口被毛病地关闭,交换机和网卡的模式配置不匹配等原因。  这类故障有时很难发现,须要必定的经验积累。如果不能确保用户的配置有问题,请先恢复出厂默认配置,然后再
    发表于 01-12 16:11

    工业交换机电源故障问题汇总

    众所周知,工业以太网交换机由于其特定的工业应用场合,我们在使用过程中难免会发生这样或那样的故障,但纵观来看这些故障还是有一定规律可循,比如电源故障就占其中很大一部分比重。工作中常遇到各
    发表于 12-29 06:33

    工业交换机电源故障汇总

    大家都知道,工业交换机因为其相应的工业生产运用场所,我们在应用全过程中不可避免出现那样或那般的故障,但纵览看来这种故障或是有一定规律性可寻,例如电源故障就占在其中非常大一部分比例。工作
    发表于 12-30 06:52

    工业交换机出现电源故障时应该如何处理

    现如今,随着信息化的飞速发展,工业交换机作为信息流通的承载者,可以说是应用最为广泛的网络设备之一,其作用不言而喻,因此工业交换机的选择是十分重要的。但是工业交换机在长期运行过程中,难免会出现一些
    发表于 12-31 06:11

    交换机的常见故障及解决方法

    交换机的常见故障及解决方法 【简 介】在网络硬件设备中,交换机故障是算少的,这里我们总结一下交换机常见的
    发表于 08-01 11:33 5280次阅读

    无线交换机故障的排查和处理

    无线交换机是网络的疏导中心,那么如果出现无线交换机故障,整个网络就很容易陷入瘫痪状态。那么我们就将来介绍一下无线交换机故障
    发表于 07-27 11:11 766次阅读

    三层交换机防止攻击配置

    三层交换机防止攻击配置
    发表于 12-27 16:16 0次下载

    交换机怎么排查常见的故障

    交换机怎么排查常见的故障
    发表于 10-09 14:29 6次下载

    交换机路由环路故障的解决方法

    怎么样解决小交换机引起的路由环路故障?某日接到部门B的电话,说整个部门都不能上网,于是先在自己电脑上进行测试,PING我部门网关显示正常(我部门网关和部门B的网关不同)显示正常,访问Internet
    的头像 发表于 07-04 10:06 1038次阅读

    由小交换机造成的路由环路故障怎么处理?

    怎么样解决小交换机引起的路由环路故障?某日接到部门B的电话,说整个部门都不能上网
    的头像 发表于 07-08 08:57 752次阅读

    工业交换机如何防止广播风暴

    工业交换机作为网络设备的重要组成部分,在网络中起到了连接各个设备和传输数据的重要作用。然而,广播风暴是工业交换机面临的一个常见问题,会影响网络性能和稳定性。为了防止广播风暴的发生,工业交换机
    的头像 发表于 06-04 15:58 395次阅读