当前位置:首页 >> 信息与通信 >>

预防STP环路的技术措施(华为) 20051027


预防 STP 环路的技术措施
通过下述办法,可以有效的消除STP形成环路的可能,并且也有利于STP环路 的排障。

1.1 消除核心交换机之间的环路
局域网两台核心之间应保持LOOP FREE结构,对于华为交换机组成的局域网, 应将两条同一板卡的光纤通过链路捆绑的方式形成一条逻辑上的链路 (最好只将 2条千兆线物理链路进行捆绑),捆绑之后的

链路采用Trunk方式连接。为了避免 单一板卡出现故障导致通信失败,可以采用两种方式进行防范。一,在另外的一 块板卡上在设置一条Trunk链路, 可以采用2端口捆绑后同另外一台设备的相应捆 绑端口互联,或者单个物理端口同另外设备的单个物理端口互联,同时在两台交 换机之间运行RSTP协议,消除物理环路。二,同样按照方法一进行配置,但是不 进行连线,作为冷备链路,当正常链路发生故障时,手工进行切换。考虑到stp 协议发生故障时很难快速定位,建议采用方法二进行设置。

1.2 强制根、备份根的位置 强制根、
通过 RSTP 协议进行竞选根桥,将无法在 RSTP 出现故障时及时找出根桥。因此, 应当人为制定 RSTP 根的位置,要求指定其中一台核心交换机作为局域网的 RSTP 根 网桥,另外一台作为备份根桥。具体命令: 在系统模式下进行设置

stp root primary(设置此交换机为主根) stp root secondary(设置此交换机为备根)

1.3 主根设置在主核心上
为保证交换机网Spanning Tree的稳固,主根需通过手工强制配置在核心交

换机上。同时,为便于Spanning Tree的维护管理,全部主根应建立在第一台核 心交换机上,全部备份根建立在第二台核心交换机上。

1.4 配置合适的双工通讯模式 配置合适的双工通讯模式
下表为交换机和服务器网卡工作模式匹配结果:
NIC Switch NIC Result SwitchPort Result 1(正确) Auto 2 3 4 (正确) 5 6 7 8 9 100 full duplex Auto 100 full duplex 100 half duplex 10 half duplex 10 half duplex Auto Auto Auto Auto 100 full duplex 100 full duplex Auto Auto 100 half duplex 100 half duplex 10 half duplex 100 full duplex 100 full duplex 100 half duplex 100 full duplex 100 half duplex 10 half duplex Link down 100 half duplex 10 half duplex 100 full duplex 100 half duplex 100 full duplex 100 full duplex 100 half duplex 10 half duplex Link down 100 half duplex 10 half duplex

在实际连接时应主要采用 1、4 方式设置,优先设置方式为第 4 种方式,此 种方式也是传输效率最高的一种方式。如果在第 4 种方式设置不成功的情况下, 可以采用第 1 种方式。若 1、4 两种方式有问题,可视具体情况选择其它方式。
注:配置双工匹配模式在我行下发的《中国工商银行一级分行局域网整改实施方案 V1.0》中 已有要求。

1.5 配置 STP 协议的保护功能介绍
华为交换机提供 BPDU 保护,根保护,环路保护,TC 保护 4 种保护功能,每 一种保护功能工作原理,适用对象都不相同,需要在不同类型的端口配置正确的 保护功能。 1.在连接路由器、三层交换机的三层接口的端口及连接主机(PC,服务器) 的端口需要配置 EDGE PORT 保护功能建议在连接主机的端口同时加配 BPDU GUARD

功能。 2.在根交换机上的 Designate 端口配置 ROOT GUARD 功能 3.在交换机 Designate 端口下联的交换机上的对应端口(下行交换机的 ROOT 端口和 Discarding 端口)配置 LOOP GUARD 功能。 4.在交换机全局启用 TC 保护功能,该功能默认已经启用不需要进行额外的 配置。 5. 在对一个端口进行配置的时候,Loop Guard,Root Guard 或者 Edge Port 三个配置中,不同位置的端口需要不同的配置,并且 3 种保护措施在同一个端口 只能配置其中一种。

1.6 配置边缘端口并设置 BPDU guard 配置边缘端口并 边缘端口
在交换机连接末端主机(服务器、路由器)端口上启用边缘端口配置功能,可 以大大加快生成树的收敛时间,同时为了防止边缘端口收到恶意的 BPDU 攻击, 可以同时在该端口配置 BPDU gard 功能。具体命令如下: 在接口视图下进行配置

interface Ethernet*/*/* stp edged-port enable(设置本端口为边缘端口,明显改善 stp 收敛时间)
在系统视图下进行配置

stp bpdu-protection (设置 bpdu 保护功能, 防止边缘端口收到的 bpdu 攻击) 1.6.1 注意事项
交换机上启动了 BPDU GUARD 功能,如果边缘端口收到了配置消息,系统就 将这些端口关闭,同时通知网管这些端口被 STP 关闭。被关闭的端口只能由 网络管理人员手工恢复。 对于连接交换机或 HUB 的端口,绝对不能启用 Edge Port 和 BPDU GUARD 功能。 启动 Edge Port 的端口建议启动 BPDU GUARD 功能。 对于正在使用中的主机(服务器、路由器)端口连接,配置 Edge Port 可能会引 起瞬间中断。

1.7 设置 LOOP GUARD
1.7.1 LOOP GUARD 的工作原理
LOOP GUARD 是另外一种阻止环路形成的功能。 情况一:当备份的 Discarding 端口因某些原因没有收到 BPDU,端口将从 Discarding 状态进入 Forwording 状态,于是环路形成。但是如果端口上配置 了 LOOP GUARD 功能,当 Discarding 端口不再收到 BPDU,端口将不会进入到 Forwording 状态, 而将继续保持 Discarding。 同时使用 Display stp interface 命令查看端口的 stp 状态,将会显示 Port loop-protection: enabled, state: guarded 情况二: root 端口因某些原因没有收到 BPDU, 当 端口依然保持 FORWARDING 状态,但另外的冗余线路连接的端口,将因为失去 root port 而试图从 alternate PORT 成为 ROOT PORT,这样从 DISCARDING 状态进入到 FORWARDING 状态,因此产生环路。如果端口上配置了 LOOP GUARD 功能,当 root 端口不再 收到 BPDU,端口将不会进入 Forwording 状态,DISCARDING 的冗余端口会根据 最新的 STP 结果进入到 FORWARDING 状态。 下面是在配置 LOOP GUARD 后,环路产生时的 LOG 信息: %Sep 20 20:42:14 2005 Quidway RSTP/3/LPPROTECT:Loop-Protection port Ethernet0/23 is aged out, so we set it to discarding! %Sep 20 20:42:14 2005 Quidway RSTP/2/AGEDOUT:Ethernet0/23's stp info is aged out! 当端口再次收到 BPDU 后,端口就会重新参与生成树的计算最终进入到 FORWARDING 或 DISCARDING 状态。同时,可以使用 Display stp interface 命 令查看端口的 stp 信息,将会显示

Port loop-protection: enabled, state: no-guarded

1.7.2 LOOP GUARD 配置
配置方法如下: 在接口视图下进行配置

interface GigabitEthernet2/0/4 stp loop-protection(配置环路保护功能,此功能在 Designate 端口的下行交
换机相连端口上设置有效)

1.7.3 LOOP GUARD 配置注意事项
Loop Guard 需要在 designate 端口下行连接的交换机端口进行配置,才 能具有防环路的功能。

1.8 配置 Root GUARD 功能
对于设置了Root Guard功能的端口,端口角色只能保持为designate端口。一旦 这种端口上收到了优先级高的配置消息,即其将被选择为非designate端口时, 这些端口的状态将被设置为侦听状态,不再转发报文(相当于将此端口相连的链 路断开)。当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的 正常状态。Root Guard需要在根交换机的designate端口进行设置。配置命令如 下: 在接口视图下

interface Ethernet3/0/1 stp root-protection(设置根保护功能,在根交换机的Designate端口设置)

1.9 防止 TC-BPDU 报文攻击的保护功能
交换机在接收到TC-BPDU报文后,会执行MAC地址表项和ARP表项的删除操作。在

有人伪造TC-BPDU报文恶意攻击交换机时, 交换机短时间内会收到很多的TC-BPDU 报文,频繁的删除操作给交换机带来很大负担,给网络的稳定带来很大隐患。 防止TC-BPDU报文攻击的保护功能使能后, 交换机在收到TC-BPDU报文后的一定时 间内 (一般为10秒) 只进行一次删除操作, , 同时监控该时间段内是否收到TC-BPDU 报文。如果在该时间段内收到了TC-BPDU报文,则交换机在该时间超时后再进行 一次删除操作。这样可以避免频繁的删除MAC地址表项和ARP表项。华为6506R交 换机默认启动TC-BPDU的报文攻击保护功能。相应的配置命令为

stp tc-protection enable/disable(在系统视图下)

1.10 通过 trap 告警及时检测光纤端口单通的情况
当光纤相连的两台华为65交换机端口发生单通情况的时候, 两个互联端口中的一 个会变为DOWN的状态,具体来讲就是收不到光信号的那个端口会Down,这时有端 口down的交换机将会发送trap告警信息给网管中心,或者通过Display interface来查看端口是否处于down异常状态,网络管理人员就可以及时进行技 术处理,减小单通故障造成的影响。

1.11 配置 STP 事件 LOG
STP 环路发生前,通常会有 LOG 信息发生,因此,要求对所有交换机配置 LOG SERVER,并且打开 debug stp event 命令,以便能够通过 LOG 信息及时发 现 STP 的变化。具体命令如下: 在系统视图下

info-center enable(启用信息中心) info-center loghost <日志主机的 ip 地址>(配置日志主机的地址) info-center source default channel loghost debug level debuging (配置输
出到日志主机的信息源)
注:配置 STP LOG 在我行下发的《中国工商银行一级分行局域网整改实施方案 V1.0》中已有 要求。

1.12 VLAN 裁减
在接入交换机与核心交换机之间配置 VLAN 裁减,缩小 STP 域和减少接入 交换机与核心交换机之间不必要的广播流量。 VLAN 裁减应通过手工配置的方式 完成。具体命令: 在接口视图下进行配置

port trunk permit vlan vlanID 1.12.1 注意事项
VLAN 裁减需要在核心交换机上配置, 需要仔细确认该 TRUNK 所连接的接 入交换机上端口 VLAN 情况,在接入交换机上使用 display vlan 命令检查,不考 虑裁减 VLAN 1。 如果将来需要在接入交换机上增加已被裁减 VLAN 的端口连接,需要增加 TRUNK 上的 VLAN 定义。
注:配置 VLAN 裁减在我行下发的《中国工商银行一级分行局域网整改实施方案 V1.0》中已 有要求。

1.13 关闭无用端口
未连接任何设备的端口依然会占用交换机一定的资源, 而且当在非计划内将 未审核的设备,特别是 HUB 或交换机接入时,很有可能会造成 STP 环路。关闭暂 时不用的交换机端口,需要使用时再进行分配或启用,避免非法接入或误操作。
注:关闭交换机无用端口在我行下发的《中国工商银行一级分行局域网整改实施方案 V1.0》 中已有要求。

checklist 监控脚本设计
通过自动化运行的 checklist 脚本能够在故障发生的初期及时预警,各单位可

根据附件中的脚本模板编写各自的 checklist 脚本。

2.1 监控脚本的设计思路
第一、要求可以监控到 STP 的变化 第二、要求具备发现 STP 环路隐患的功能 第三、要求能够较准确的定位 STP 环路; 第四、要求具备发现已经存在的 STP 环路的功能; 第五、要求能够通过多个方面证实 STP 环路已经发生; 第六、要求在发生 STP 后,最大限度地通过特殊脚本抓取相关信息; 第七、要求做好脚本的拆分工作,对核心设备的监控脚本循环周期应控制在 3-5 分钟以内。

2.2 监控脚本的设计方案
2.2.1 交换机之间物理连接的检查
通过对交换机之间物理连接的检查,验证网络连接状态。 参考命令及检测内容: Display interface 检测端口的状态,包括是否 up,收发数据包统计,错误统计等
注:该项检查在我行 checklist 推广项目中已有要求。

2.2.2 STP 根变化的监控
通过对 STP 环路产生原因的分析, 我们认为在监控 STP 时, 应该关注 STP 的 ROOT 是从哪个端口学习到的。正常情况下,STP 的 ROOT 应该不会发生变化。 一旦 STP 的 ROOT 学习发生变化,可能就会有 STP 环路发生。 参考命令及检测内容: Display stp 检测根 MAC

举例如下: Protocol mode: IEEE RSTP The bridge ID (Pri.MAC): 32768.00e0-fc44-d527(桥 mac) The bridge times: Hello Time 2 sec, Max Age 20 sec, Forward Delay 15 sec Root bridge ID(Pri.MAC): 0.00e0-fc38-354c(根桥 mac) Root path cost: 200 Bridge bpdu-protection: disabled Timeout factor: 3 Display stp interface 检测端口状态,discarding 或 forwording,端口角色 举例如下: Port 14 (Ethernet0/14) of bridge is Forwarding Port spanning tree protocol: enabled Port role: Root Port Port path cost: 200 Port priority: 128 Designated bridge ID(Pri.MAC): 0.00e0-fc38-354c The Port is a non-edged port Connected to a point-to-point LAN segment Maximum transmission limit is 3 Packets / hello time Times: Hello Time 2 sec, Max Age 20 sec

Forward Delay 15 sec, Message Age 0 BPDU sent: 68

TCN: 0, RST: 68, Config BPDU: 0 BPDU received: 12754 TCN: 0, RST: 12754, Config BPDU: 0

注:该项检查在我行 checklist 推广项目中已有要求。

2.2.3 STP 环路的预警
大部分的 STP 环路发生和双工不匹配、单向链路、损坏的数据包、系统资 源故障有关,在这四种情况下,我们注意到交换机和交换机间相连的端口计数器 中,会出现大量的 ERROR 信息,因此,通过在应急脚本中监控端口的 ERROR 数变化,可以在 STP 环路产生前,及时发现大部分 STP 环路隐患。需要注意的 是,在发现端口 ERROR 数变化后,如果确定是没有 STP 环路发生,应及时将端 口的 ERROR 数清零。 参考命令及检测内容: Display interface 检测错包统计,包括 crc,overrun 等 举例如下: Ethernet0/1 current state : DOWN IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc44-d527 The Maximum Transmit Unit is 1500 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX Unknown-speed mode, unknown-duplex mode Link speed type is autonegotiation, link duplex type is autonegotiation Flow-control is not enabled Port-flow-constrain has not been configured completely The Maximum Frame Length is 1536 Broadcast MAX-ratio: 100% PVID: 1 Mdi type: auto Port link-type: access Tagged VLAN ID : none

Untagged VLAN ID : 1 Last 300 seconds input: 0 packets/sec 0 bytes/sec

Last 300 seconds output: Input(total):

0 packets/sec 0 bytes/sec

0 packets, 0 bytes

0 broadcasts, 0 multicasts Input(normal): - packets, - bytes

- broadcasts, - multicasts Input: 0 input errors, 0 runts, 0 giants, 0 frame, - throttles, 0 CRC

- overruns, 0 aborts, 0 ignored, - parity errors

Output(total): 496666 packets, 38180090 bytes 496538 broadcasts, 128 multicasts, 0 pauses Output(normal): - packets, - bytes - broadcasts, - multicasts, - pauses Output: 0 output errors, - underruns, - buffer failures

0 aborts, 0 deferred, 0 collisions, 0 late collisions 0 lost carrier, - no carrier

2.2.4 监控 LOG 日志中的端口 discaring 和 forwording 信息 日志中的端口
STP 环路发生后,原来 discarding 的端口会变为 forwording,因此会在 LOG 日志产生相应信息。监控日志的最后 10 条 LOG 记录中有无 discarding 或 forwording 字样及频繁程度,也可以及时发现交换机网产生的环路冲突。 参考命令及检测内容: Display loggingbuffer size 10 (10 代表最后 10 条日志) 检测 logbuffer 中最近 10 条的记录

2.2.5 监控交换机的 CPU 变化
STP 环路发生时,交换机的 CPU 通常很高,但 CPU 高不一定是因为 STP 环路造成的,例如:蠕虫病毒爆发。通过监控交换机的 CPU 变化也能够对监控 STP 环路起到一定的作用。 参考命令及检测内容: Display cpu

检测交换机的 cpu 利用率
注:该项检查在我行 checklist 推广项目中已有要求。

2.2.6 监控交换机是否正确打开了 STP DEBUG 功能
由于交换机配置 STP LOG 时需要同时打开 debug stp event, Debug 功能很容 易在日常维护操作中被关闭,需要通过 checklist 检测该 Debug 功能一直处于打 开状态。 参考命令及检测内容: Display debug 检测“RSTP event debugging switch is on”字符串

2.2.7 checklist 工具登陆异常的警示
由于 STP 环路发生后,交换机的 CPU 通常会很高,登陆交换机此时会不成 功,因此,如果交换机无法登陆,可能也是和 STP 环路有关。

2.2.8 检查交换机网络的广播报文的增长率
当交换网络产生环路时,将会产生大量的广播报文,在很短的时间内广播报 文的增长率将会很高, 通过 checklist 工具按照一定的时间进行核心交换机的端口 流量取样可以快速发现网络中的广播风暴形成的时间, 及时采取措施减小环路的 影响。例如采样时间为 20 秒,第一次采样得到某端口的广播包数量为 3000 个, 总数据包量为 4000 个,第二次采样得到该端口的广播包数量为 6000 个,总数据 包量为 8000 个那么(6000-3000)/(8000-4000)=0.75 说明广播报的增长速率为 75%,很有可能是发生广播风暴了。当采取措施消除环路后,第 3 次采样该端口 的广播包数量为 6100 个, 总数据包数量为 10000 个那么 (6100-6000) /10000-8000) =0.05 说明广播包的增长率为 5%,属于正常情况,网络正常。 相关命令: Display interface

2.2.9 今后华为 65 交换机所作的改进
后期华为 65 交换机将支持 DLDP 协议,类似 cisco 的 UDLD 协议对于光纤 端口的单通情况可以很好的检测, 这时及时采取措施也可以减小光口单通情况造 成的环路。 后期华为 65 交换机将在 Salience III 96G 和 Salience III 384G 引擎自带的 SFP 接口支持夸板捆绑功能, 可以避免两台核心交换机运行 stp 协议带来的环路隐患。


相关文章:
预防STP环路的技术措施(华为) 20051027
预防STP环路的技术措施(华为) 20051027_信息与通信_工程科技_专业资料。预防STP环路的技术措施.预防STP 环路的技术措施通过下述办法,可以有效的消除STP形成环路的可能...
华为stp学习笔记
SwitchA 选用华为-3com 公司的高中端交换机,如 S8500 或者 S6500 系列交换机 ...从而达到手工指定网络中的根网桥,以及端口的 STP 角色,完成阻断环路及链路的冗余...
华为交换机STP与环路检测冲突
2.3 楼新增 3050C 没有关闭上行端口的环路检测功能(loopback-detection)华为 ...华为S9300交换机问题与解... 2页 免费 预防STP环路的技术措施(... 13页 4...
华为数通考试试卷(STP&RSTP技术原理)20121016(含答案)
华为数通考试试卷 华为数通考试试卷(STP&RSTP 技术原理)考试时间 60 分钟(共 ...【多选】端口状态迁移时,从(E)状态迁移到(EF)状态,是不会出现环路风险的,...
环路故障专题案例
STP 后发现环路无法正常收敛:Switch-1、ATAE-SW-8 均为根桥,Switch 互连 ...华为技术有限公司 9 文档版本 01 (2015-12-16) 环路故障专题初稿 环路故障...
华为STP配置案例
华为STP配置案例_计算机硬件及网络_IT/计算机_专业资料。STP 配置案例 1 简介在二层交换网络中,一旦存在环路就会造成报文在环路内不断循环和增生,产生广播风暴, ...
绝技!广播风暴或者环路的快速检测方法!~
以太网技术,中心机房配备一台华为 6506 三层 路由交换机,各楼层采用华为 3026 ...STP 配置无法排除的网络环路问题,利用 STP 的 BPDUguard 特性来预防广 播风暴...
思科华为STP MOde
思科华为STP MOde_IT/计算机_专业资料。思科华为STP MOdeCISCO Catalyst 3550 与...选择一台指定交换机;将冗余路径上的交换机置为 Blocking,来消 除网络中的环路...
华为stp生成树协议笔记
华为stp生成树协议笔记_计算机硬件及网络_IT/计算机_专业资料。华为stp生成树协议...会出现环路问题,为了解 决环路,才有了 stp 生成树 1 mac 地址表震荡 2 ...
更多相关标签:
stp 环路保护 | stp环路 | 交换机stp环路保护 | stp 临时环路 | 肠炎的危害及预防措施 | 登革热预防措施 | 纠正预防措施报告 | 实施的预防措施是 |