预防STP环路的技术措施(华为) 20051027

预防STP环路的技术措施通过下述办法，可以有效的消除STP形成环路的可能，并且也有利于STP环路的排障。1.1消除核心交换机之间的环路局域网两台核心之间应保持LOOPFREE结构，对于华为交换机组成的局域网，应将两条同一板卡的光纤通过链路捆绑的方式形成一条逻辑上的链路（最好只将2条千兆线物理链路进行捆绑），捆绑之后的链路采用Trunk方式连接。为了避免单一板卡出现故障导致通信失败，可以采用两种方式进行防范。一，在另外的一块板卡上在设置一条Trunk链路，可以采用2端口捆绑后同另外一台设备的相应捆绑端口互联，或者单个物理端口同另外设备的单个物理端口互联，同时在两台交换机之间运行RSTP协议，消除物理环路。二，同样按照方法一进行配置，但是不进行连线，作为冷备链路，当正常链路发生故障时，手工进行切换。考虑到stp协议发生故障时很难快速定位，建议采用方法二进行设置。1.2强制根、备份根的位置通过RSTP协议进行竞选根桥，将无法在RSTP出现故障时及时找出根桥。因此，应当人为制定RSTP根的位置，要求指定其中一台核心交换机作为局域网的RSTP根网桥，另外一台作为备份根桥。具体命令：在系统模式下进行设置stprootprimary(设置此交换机为主根)stprootsecondary（设置此交换机为备根）1.3主根设置在主核心上为保证交换机网SpanningTree的稳固，主根需通过手工强制配置在核心交换机上。同时，为便于SpanningTree的维护管理，全部主根应建立在第一台核心交换机上，全部备份根建立在第二台核心交换机上。1.4配置合适的双工通讯模式下表为交换机和服务器网卡工作模式匹配结果：NICSwitchNICResultSwitchPortResult1（正确）AutoAuto100fullduplex100fullduplex2100fullduplexAuto100fullduplex100halfduplex3Auto100fullduplex100halfduplex100fullduplex4(正确)100fullduplex100fullduplex100fullduplex100fullduplex5100halfduplexAuto100halfduplex100halfduplex610halfduplexAuto10halfduplex10halfduplex710halfduplex100halfduplexLinkdownLinkdown8Auto100halfduplex100halfduplex100halfduplex9Auto10halfduplex10halfduplex10halfduplex在实际连接时应主要采用1、4方式设置，优先设置方式为第4种方式，此种方式也是传输效率最高的一种方式。如果在第4种方式设置不成功的情况下，可以采用第1种方式。若1、4两种方式有问，可视具体情况选择其它方式。注：配置双工匹配模式在我行下发的《中国工商银行一级分行局域网整改实施V1.0》中已有要求。1.5配置STP协议的保护功能介绍华为交换机提供BPDU保护，根保护，环路保护，TC保护4种保护功能，每一种保护功能工作原理，适用对象都不相同，需要在不同类型的端口配置正确的保护功能。1.在连接路由器、三层交换机的三层接口的端口及连接主机（PC，服务器）的端口需要配置EDGEPORT保护功能建议在连接主机的端口同时加配BPDUGUARD功能。2.在根交换机上的Designate端口配置ROOTGUARD功能3.在交换机Designate端口下联的交换机上的对应端口（下行交换机的ROOT端口和Discarding端口）配置LOOPGUARD功能。4.在交换机全局启用TC保护功能，该功能默认已经启用不需要进行额外的配置。5.在对一个端口进行配置的时候，LoopGuard，RootGuard或者EdgePort三个配置中，不同位置的端口需要不同的配置，并且3种保护措施在同一个端口只能配置其中一种。1.6配置边缘端口并设置BPDUguard在交换机连接末端主机（服务器、路由器）端口上启用边缘端口配置功能，可以大大加快生成树的收敛时间，同时为了防止边缘端口收到恶意的BPDU攻击，可以同时在该端口配置BPDUgard功能。具体命令如下：在接口视图下进行配置interfaceEthernet*/*/*stpedged-portenable（设置本端口为边缘端口，明显改善stp收敛时间）在系统视图下进行配置stpbpdu-protection（设置bpdu保护功能，防止边缘端口收到的bpdu攻击）1.6.1注意事项交换机上启动了BPDUGUARD功能，如果边缘端口收到了配置消息，系统就将这些端口关闭，同时通知网管这些端口被STP关闭。被关闭的端口只能由网络管理人员手工恢复。对于连接交换机或HUB的端口，绝对不能启用EdgePort和BPDUGUARD功能。启动EdgePort的端口建议启动BPDUGUARD功能。对于正在使用中的主机（服务器、路由器）端口连接，配置EdgePort可能会引起瞬间中断。1.7设置LOOPGUARD1.7.1LOOPGUARD的工作原理LOOPGUARD是另外一种阻止环路形成的功能。情况一：当备份的Discarding端口因某些原因没有收到BPDU，端口将从Discarding状态进入Forwording状态，于是环路形成。但是如果端口上配置了LOOPGUARD功能，当Discarding端口不再收到BPDU，端口将不会进入到Forwording状态，而将继续保持Discarding。同时使用Displaystpinterface命令查看端口的stp状态，将会显示Portloop-protection:enabled,state:guarded情况二：当root端口因某些原因没有收到BPDU，端口依然保持FORWARDING状态，但另外的冗余线路连接的端口，将因为失去rootport而试图从alternatePORT成为ROOTPORT，这样从DISCARDING状态进入到FORWARDING状态，因此产生环路。如果端口上配置了LOOPGUARD功能，当root端口不再收到BPDU，端口将不会进入Forwording状态，DISCARDING的冗余端口会根据最新的STP结果进入到FORWARDING状态。下面是在配置LOOPGUARD后，环路产生时的LOG信息：%Sep2020:42:142005QuidwayRSTP/3/LPPROTECT:Loop-ProtectionportEthernet0/23isagedout,sowesetittodiscarding!%Sep2020:42:142005QuidwayRSTP/2/AGEDOUT:Ethernet0/23'sstpinfoisagedout!当端口再次收到BPDU后，端口就会重新参与生成树的计算最终进入到FORWARDING或DISCARDING状态。同时，可以使用Displaystpinterface命令查看端口的stp信息，将会显示Portloop-protection:enabled,state:no-guarded1.7.2LOOPGUARD配置配置方法如下：在接口视图下进行配置interfaceGigabitEthernet2/0/4stploop-protection（配置环路保护功能，此功能在Designate端口的下行交换机相连端口上设置有效）1.7.3LOOPGUARD配置注意事项LoopGuard需要在designate端口下行连接的交换机端口进行配置，才能具有防环路的功能。1.8配置RootGUARD功能对于设置了RootGuard功能的端口，端口角色只能保持为designate端口。一旦这种端口上收到了优先级高的配置消息，即其将被选择为非designate端口时，这些端口的状态将被设置为侦听状态，不再转发报文（相当于将此端口相连的链路断开）。当在足够长的时间内没有收到更优的配置消息时，端口会恢复原来的正常状态。RootGuard需要在根交换机的designate端口进行设置。配置命令如下：在接口视图下interfaceEthernet3/0/1stproot-protection（设置根保护功能，在根交换机的Designate端口设置）1.9防止TC-BPDU报文攻击的保护功能交换机在接收到TC-BPDU报文后，会执行MAC地址表项和ARP表项的删除操作。在有人伪造TC-BPDU报文恶意攻击交换机时，交换机短时间内会收到很多的TC-BPDU报文，频繁的删除操作给交换机带来很大负担，给网络的稳定带来很大隐患。防止TC-BPDU报文攻击的保护功能使能后，交换机在收到TC-BPDU报文后的一定时间内（一般为10秒），只进行一次删除操作，同时监控该时间段内是否收到TC-BPDU报文。如果在该时间段内收到了TC-BPDU报文，则交换机在该时间超时后再进行一次删除操作。这样可以避免频繁的删除MAC地址表项和ARP表项。华为6506R交换机默认启动TC-BPDU的报文攻击保护功能。相应的配置命令为stptc-protectionenable/disable(在系统视图下)1.10通过trap告警及时检测光纤端口单通的情况当光纤相连的两台华为65交换机端口发生单通情况的时候，两个互联端口中的一个会变为DOWN的状态，具体来讲就是收不到光信号的那个端口会Down，这时有端口down的交换机将会发送trap告警信息给网管中心，或者通过Displayinterface来查看端口是否处于down异常状态，网络管理人员就可以及时进行技术处理，减小单通故障造成的影响。1.11配置STP事件LOGSTP环路发生前，通常会有LOG信息发生，因此，要求对所有交换机配置LOGSERVER，并且打开debugstpevent命令，以便能够通过LOG信息及时发现STP的变化。具体命令如下：在系统视图下info-centerenable(启用信息中心)info-centerloghost<日志主机的ip地址>（配置日志主机的地址）info-centersourcedefaultchannelloghostdebugleveldebuging（配置输出到日志主机的信息源）注：配置STPLOG在我行下发的《中国工商银行一级分行局域网整改实施方案V1.0》中已有要求。1.12VLAN裁减在接入交换机与核心交换机之间配置VLAN裁减，缩小STP域和减少接入交换机与核心交换机之间不必要的广播流量。VLAN裁减应通过手工配置的方式完成。具体命令：在接口视图下进行配置porttrunkpermitvlanvlanID1.12.1注意事项VLAN裁减需要在核心交换机上配置，需要仔细确认该TRUNK所连接的接入交换机上端口VLAN情况，在接入交换机上使用displayvlan命令检查，不考虑裁减VLAN1。如果将来需要在接入交换机上增加已被裁减VLAN的端口连接，需要增加TRUNK上的VLAN定义。注：配置VLAN裁减在我行下发的《中国工商银行一级分行局域网整改实施方案V1.0》中已有要求。1.13关闭无用端口未连接任何设备的端口依然会占用交换机一定的资源，而且当在非内将未审核的设备，特别是HUB或交换机接入时，很有可能会造成STP环路。关闭暂时不用的交换机端口，需要使用时再进行分配或启用，避免非法接入或误操作。注：关闭交换机无用端口在我行下发的《中国工商银行一级分行局域网整改实施方案V1.0》中已有要求。checklist监控脚本通过自动化运行的checklist脚本能够在故障发生的初期及时预警，各单位可根据附件中的脚本模板编写各自的checklist脚本。2.1监控脚本的设计思路第一、要求可以监控到STP的变化第二、要求具备发现STP环路隐患的功能第三、要求能够较准确的定位STP环路；第四、要求具备发现已经存在的STP环路的功能；第五、要求能够通过多个方面证实STP环路已经发生；第六、要求在发生STP后，最大限度地通过特殊脚本抓取相关信息；第七、要求做好脚本的拆分工作，对核心设备的监控脚本循环周期应控制在3-5分钟以内。2.2监控脚本的设计方案2.2.1交换机之间物理连接的检查通过对交换机之间物理连接的检查，验证网络连接状态。参考命令及检测内容：Displayinterface检测端口的状态，包括是否up，收发数据包统计，错误统计等注：该项检查在我行checklist推广项目中已有要求。2.2.2STP根变化的监控通过对STP环路产生原因的分析，我们认为在监控STP时，应该关注STP的ROOT是从哪个端口学习到的。正常情况下，STP的ROOT应该不会发生变化。一旦STP的ROOT学习发生变化，可能就会有STP环路发生。参考命令及检测内容：Displaystp检测根MAC举例如下：Protocolmode:IEEERSTPThebridgeID(Pri.MAC):32768.00e0-fc44-d527（桥mac）Thebridgetimes:HelloTime2sec,MaxAge20sec,ForwardDelay15secRootbridgeID(Pri.MAC):0.00e0-fc38-354c（根桥mac）Rootpathcost:200Bridgebpdu-protection:disabledTimeoutfactor:3Displaystpinterface检测端口状态，discarding或forwording，端口角色举例如下：Port14(Ethernet0/14)ofbridgeisForwardingPortspanningtreeprotocol:enabledPortrole:RootPortPortpathcost:200Portpriority:128DesignatedbridgeID(Pri.MAC):0.00e0-fc38-354cThePortisanon-edgedportConnectedtoapoint-to-pointLANsegmentMaximumtransmissionlimitis3 Packets/hellotimeTimes:HelloTime2sec,  MaxAge20secForwardDelay15sec,MessageAge0BPDUsent:  68TCN:0,RST:68,ConfigBPDU:0BPDUreceived:12754TCN:0,RST:12754,ConfigBPDU:0注：该项检查在我行checklist推广项目中已有要求。2.2.3STP环路的预警大部分的STP环路发生和双工不匹配、单向链路、损坏的数据包、系统资源故障有关，在这四种情况下，我们注意到交换机和交换机间相连的端口计数器中，会出现大量的ERROR信息，因此，通过在应急脚本中监控端口的ERROR数变化，可以在STP环路产生前，及时发现大部分STP环路隐患。需要注意的是，在发现端口ERROR数变化后，如果确定是没有STP环路发生，应及时将端口的ERROR数清零。参考命令及检测内容：Displayinterface检测错包统计，包括crc，overrun等举例如下：Ethernet0/1currentstate:DOWNIPSendingFrames'FormatisPKTFMT_ETHNT_2,Hardwareaddressis00e0-fc44-d527TheMaximumTransmitUnitis1500Mediatypeistwistedpair,loopbacknotsetPorthardwaretypeis100_BASE_TXUnknown-speedmode,unknown-duplexmodeLinkspeedtypeisautonegotiation,linkduplextypeisautonegotiationFlow-controlisnotenabledPort-flow-constrainhasnotbeenconfiguredcompletelyTheMaximumFrameLengthis1536BroadcastMAX-ratio:100%PVID:1Mditype:autoPortlink-type:accessTagged VLANID:noneUntaggedVLANID:1Last300secondsinput: 0packets/sec0bytes/secLast300secondsoutput: 0packets/sec0bytes/secInput(total): 0packets,0bytes0broadcasts,0multicastsInput(normal): -packets,-bytes-broadcasts,-multicastsInput: 0inputerrors,0runts,0giants, -throttles,0CRC0frame, -overruns,0aborts,0ignored,-parityerrorsOutput(total):496666packets,38180090bytes496538broadcasts,128multicasts,0pausesOutput(normal):-packets,-bytes-broadcasts,-multicasts,-pausesOutput:0outputerrors, -underruns,-bufferfailures0aborts,0deferred,0collisions,0latecollisions0lostcarrier,-nocarrier2.2.4监控LOG日志中的端口discaring和forwording信息STP环路发生后，原来discarding的端口会变为forwording，因此会在LOG日志产生相应信息。监控日志的最后10条LOG中有无discarding或forwording字样及频繁程度，也可以及时发现交换机网产生的环路冲突。参考命令及检测内容：Displayloggingbuffersize10(10代表最后10条日志)检测logbuffer中最近10条的记录2.2.5监控交换机的CPU变化STP环路发生时，交换机的CPU通常很高，但CPU高不一定是因为STP环路造成的，例如：蠕虫病毒爆发。通过监控交换机的CPU变化也能够对监控STP环路起到一定的作用。参考命令及检测内容：Displaycpu检测交换机的cpu利用率注：该项检查在我行checklist推广项目中已有要求。2.2.6监控交换机是否正确打开了STPDEBUG功能由于交换机配置STPLOG时需要同时打开debugstpevent，Debug功能很容易在日常维护操作中被关闭，需要通过checklist检测该Debug功能一直处于打开状态。参考命令及检测内容：Displaydebug检测“RSTPeventdebuggingswitchison”字符串2.2.7checklist工具登陆异常的警示由于STP环路发生后，交换机的CPU通常会很高，登陆交换机此时会不成功，因此，如果交换机无法登陆，可能也是和STP环路有关。2.2.8检查交换机网络的广播报文的增长率当交换网络产生环路时，将会产生大量的广播报文，在很短的时间内广播报文的增长率将会很高，通过checklist工具按照一定的时间进行核心交换机的端口流量取样可以快速发现网络中的广播风暴形成的时间，及时采取措施减小环路的影响。例如采样时间为20秒，第一次采样得到某端口的广播包数量为3000个，总数据包量为4000个，第二次采样得到该端口的广播包数量为6000个，总数据包量为8000个那么（6000-3000）/(8000-4000)＝0.75说明广播报的增长速率为75%，很有可能是发生广播风暴了。当采取措施消除环路后，第3次采样该端口的广播包数量为6100个，总数据包数量为10000个那么（6100-6000）/10000-8000)＝0.05说明广播包的增长率为5%，属于正常情况，网络正常。