H3C 生成树故障处理汇总
生成树9.1什么情况下需要配置生成树边缘端口?
与交换机连接的用户侧设备(如服务器等)无需运行生成树协议。若交换机上与这些设备相连的端口使能了生成树协议,则该端口的物理状态可能频繁震荡,在Up/Down上不停跳转;或生成树拓扑变化时端口角色需要计算,导致该端口一段时间后才能进入转发状态等问题;这对一些需要高链路稳定性或低转发延迟的业务是不可接受的。为了避免上述问题,需要将与用户侧设备连接的端口配置为边缘端口。边缘端口状态变为Up后可以快速进入转发状态,并且不会发送TC报文,也不会对其他运行了生成树协议的网络造成影响。
9.2在生成树拓扑中,不同的设备可以配置不同的生成树工作模式吗?
H3C设备在运行生成树协议时,不同的设备间的不同生成树工作模式可以互相兼容。其中:
· MSTP模式可以兼容RSTP模式和STP模式,RSTP模式可以兼容STP模式。
· 对于Access端口,PVST模式在任意VLAN中都能与其他模式互相兼容;对于Trunk端口或Hybrid端口,PVST模式仅在缺省VLAN中能与其他模式互相兼容。
若设备的对端设备为其他产商设备,建议对端设备与H3C设备使用同一种工作模式,以避免因产商差异而出现的不兼容问题。
9.3开启生成树协议后,可通过哪些方法维持网络拓扑的稳定?
在使能了生成树协议的网络中,生成树计算后阻塞的部分二层通路,可能导致下行终端获取不到地址或获取地址慢、部分业务流量不通等问题,此时可通过下列方法尝试维护生成树的拓扑稳定,以保障正常的二层通路:
(1) 根桥保护
在一些组网环境中,用户指定的根桥设备因为未进行过根桥保护的相关配置,导致新设备加入组网时,成为新的根桥,引发生成树拓扑重新收敛和网络的震荡。
可通过下列方法避免其他设备的抢根:
· 设备的优先级参与生成树计算,数值越小表示优先级越高,用户可配置stp priority命令,直接将指定的设备优先级设置为0或值较小的优先级,以达到指定设备成为生成树根桥的目的。
· 通过配置stp root primary命令,用户可指定设备为生成树的根桥。需要注意的是,当设备一旦被配置为根桥之后,便不能再修改该设备的优先级。
· 设备被选举为根桥后,开启根保护功能。在接口视图下配置stp root-protection命令后,此接口在所有MSTI上的端口角色只能为指定端口。一旦该端口收到某MSTI优先级更高的BPDU,立即将该MSTI端口设置为侦听状态,不再转发报文(相当于将此端口相连的链路断开)。当在2倍的Forward Delay时间(缺省情况下Forward Delay时间为15秒)内没有收到更优的BPDU时,端口会恢复原来的正常状态。根保护功能,可以避免因错误配置或恶性攻击导致的生成树拓扑不合法的变动。
(2) 配置边缘端口和BPDU保护
对于接入层设备,接入端口一般直接与用户终端(如PC)或文件服务器相连,此时接入端口应被设置为边缘端口以实现这些端口的快速迁移。正常情况下,接入端口不应该与用户终端交互生成树协议的BPDU报文,如果收到BPDU报文可能会引起网络拓扑结构的变化,造成网路震荡。
生成树协议提供了BPDU保护功能来解决这类问题:在全局或接口视图下配置stp bpdu-protection命令后,如果边缘端口收到了BPDU,系统就将这些端口关闭,同时通知用户这些端口已被生成树协议关闭。被关闭的端口在经过一定时间间隔之后将被重新激活,这个时间间隔可通过shutdown-interval命令配置。
(3) 配置环路保护
下游设备依靠不断接收上游设备发送的BPDU来维持根端口和其他阻塞端口的状态。如果出现了链路拥塞或者单项链路故障,这些端口会收不到上游设备的BPDU,此时下游设备会重新选择端口角色,导致下游设备的根端口转变为指定端口,而阻塞端口会迁移到转发状态,导致交换网络中产生环路。
在下游设备的根端口和替换端口上通过stp loop-protection命令配置环路保护功能后,可以抑制上述环路的产生。在开启了环路保护功能的端口上,其所有MSTI的初始状态均为Discarding状态:如果该端口收到了BPDU,这些MSTI可以进行正常的状态迁移;否则,这些MSTI将一直处于Discarding状态以避免环路的产生。
需要注意的是,无需在与用户终端相连的端口上配置环路保护功能,否则该端口会因一直处于Discarding状态而无法正常转发用户报文。
(4) 配置防TC-BPDU攻击保护功能
在遭受到TC-BPDU恶意攻击行为时,设备会频繁地刷新转发地址表项。此类攻击给设备带来了很大负担,随时威胁着网络的稳定性。此时可以开启防TC-BPDU攻击保护功能,以避免频繁地刷新转发地址表项。该功能的描述如下:
· 在系统视图下执行stp tc-protection命令,可以开启防TC-BPDU攻击保护功能。
· 在系统视图下执行stp tc-protection threshold number命令,可以配置在单位时间(固定为十秒)内,设备收到TC-BPDU后立即刷新转发地址表项的最高次数。
· 开启本功能后,如果设备在单位时间(固定为十秒)内收到TC-BPDU的次数大于number次,那么该设备在这段时间之内将只进行number次刷新转发地址表项的操作,而对于超出number次的那些TC-BPDU,设备会在这段时间过后再统一进行一次地址表项刷新的操作。
9.4设备频繁收到TC报文时该如何操作?
设备收到TC报文后会进行如下两个操作:
(1) TC报文所在的实例触发MAC地址删除及重新学习。
在MAC地址删除重新学习过程中,会产生未知单播流量导致网络中流量泛洪。
(2) TC报文所在的实例触发ARP探测。
ARP探测会导致ARP广播报文在网络中泛洪,增加设备负担。
如果设备频繁收到TC报文,就会频繁进行如上两种操作,会对网络中的设备产生冲击,因此要尽量避免这种情况。一般可按照如下步骤进行排查解决:
(1) 确定网络中频繁产生TC报文的设备。
分析设备日志信息,确定是哪个端口频繁收到TC报文。确定端口后,进一步排查与该端口对接设备的日志信息,继续分析是该设备产生的还是其下一级设备产生的TC报文。采用逐级排查的方式确认是哪台设备产生的TC报文。
注意
PVST模式下端口收到TC报文后,默认不打印日志信息。可通过配置stp log enable tc命令配置在PVST模式下设备检测或接收到TC报文时打印日志信息功能。
(2) 确定设备频繁产生TC报文的原因。
设备开启生成树协议的情况下,如果端口UP/DOWN,则会产生TC报文。即如果存在端口频繁UP/DOWN的情况,便会频繁产生TC报文。
(3) 消除TC报文。
如果设备上存在端口频繁UP/DOWN,则分析定位端口UP/DOWN的原因并解决,即可消除设备频繁产生TC报文的情况。
如果暂时无法排查出频繁产生TC报文的原因或无法解决端口UP/DOWN问题,可以按照如下方式进行临时规避:
(1) 如果该端口对接的是终端设备,可配置端口为边缘端口(通过stp edged-port命令配置)。端口配置为边缘端口后,该端口UP/DOWN时,不再产生TC报文。
(2) 如果该端口对接的是非终端设备,可通过如下两种方式进行临时规避:
¡ 开启TC-BPDU传播限制功能(通过stp tc-restriction命令开启,缺省情况下处于关闭状态)。当开启了端口的TC-BPDU传播限制功能之后,该端口将不再向其它端口传播TC-BPDU,也不删除本机的转发地址表项。
¡ 开启防TC-BPDU攻击保护功能(通过stp tc-protection命令开启,缺省情况下处于开启状态),并通过配置收到TC-BPDU后立即刷新转发地址表项的最高次数来控制刷新频率(通过stp tc-protection threshold命令配置,缺省情况为在单位时间(固定为十秒)内,设备收到TC-BPDU后立即刷新转发地址表项的最高次数为6)。
9.5开启生成树协议后,如何避免对其他网络造成不良影响?
与其他网络相连的边缘设备开启生成树功能后,会通过相连的端口发送BPDU报文至外部,引发其他网络重新计算生成树,造成网络震荡。此时通过配置BPDU过滤功能,可以使端口不再发送BPDU报文,以免对其他网络造成不良影响。请客户按以下配置步骤开启边缘端口的BPDU过滤功能。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置端口的BPDU过滤功能。
stp port bpdu-filter { disable | enable }
谢谢楼主分享 感谢分享,谢谢提供资料的好心人。 太腻害啦膜拜大佬 太腻害啦膜拜大佬 太腻害啦膜拜大佬 太腻害啦膜拜大佬 太腻害啦膜拜大佬 太腻害啦膜拜大佬 {:6_267:}
谢谢楼主分享
页:
[1]