交換機(jī)網(wǎng)絡(luò)出現(xiàn)環(huán)路狀態(tài)及環(huán)路防范策略

交換機(jī)網(wǎng)絡(luò)出現(xiàn)環(huán)路狀態(tài)及環(huán)路防范策略

一、當(dāng)網(wǎng)絡(luò)出現(xiàn)環(huán)路時，通常會有以下這些癥狀表現(xiàn)：

網(wǎng)絡(luò)性能方面

· 網(wǎng)絡(luò)卡頓與延遲：環(huán)路會導(dǎo)致廣播風(fēng)暴，大量的廣播數(shù)據(jù)包在網(wǎng)絡(luò)中不斷循環(huán)傳輸，占據(jù)了大量的網(wǎng)絡(luò)帶寬。這使得正常的數(shù)據(jù)傳輸受到嚴(yán)重干擾，數(shù)據(jù)包的傳輸延遲明顯增加，用戶在訪問網(wǎng)絡(luò)資源時會明顯感覺到卡頓，比如網(wǎng)頁加載緩慢、視頻播放卡頓、文件下載速度極慢等。

· 網(wǎng)絡(luò)丟包：由于網(wǎng)絡(luò)中充斥著大量的無用廣播數(shù)據(jù)包，交換機(jī)等網(wǎng)絡(luò)設(shè)備的處理能力會達(dá)到極限。當(dāng)設(shè)備無法及時處理所有數(shù)據(jù)包時，就會導(dǎo)致部分?jǐn)?shù)據(jù)包被丟棄。這會影響到依賴可靠數(shù)據(jù)傳輸?shù)膽?yīng)用，如實時通信、在線游戲等，造成語音通話中斷、游戲畫面卡頓和丟幀等問題。

· 帶寬耗盡：廣播風(fēng)暴會使網(wǎng)絡(luò)帶寬被迅速耗盡。原本可以正常使用的網(wǎng)絡(luò)帶寬，因為環(huán)路產(chǎn)生的大量冗余數(shù)據(jù)包而被占用，導(dǎo)致整個網(wǎng)絡(luò)幾乎無法為正常業(yè)務(wù)提供服務(wù)。例如，企業(yè)網(wǎng)絡(luò)中原本可以支持多人同時辦公的帶寬，在出現(xiàn)環(huán)路后，員工可能連基本的郵件收發(fā)都變得困難。

網(wǎng)絡(luò)設(shè)備方面

· 設(shè)備發(fā)熱嚴(yán)重：網(wǎng)絡(luò)設(shè)備（如交換機(jī)）在處理大量的廣播數(shù)據(jù)包時，會增加其 CPU 和其他硬件組件的工作負(fù)荷。長時間的高負(fù)荷運(yùn)行會使設(shè)備產(chǎn)生過多的熱量，導(dǎo)致設(shè)備發(fā)熱嚴(yán)重。如果不及時處理，可能會影響設(shè)備的穩(wěn)定性和壽命，甚至導(dǎo)致設(shè)備損壞。

· 設(shè)備指示燈異常：交換機(jī)端口的指示燈通?？梢苑从扯丝诘墓ぷ鳡顟B(tài)。在出現(xiàn)環(huán)路時，受影響端口的指示燈可能會出現(xiàn)快速閃爍、不規(guī)則閃爍或常亮等異常情況。這是因為端口不斷地接收和發(fā)送大量數(shù)據(jù)包，導(dǎo)致指示燈狀態(tài)頻繁變化。

· 設(shè)備頻繁重啟：當(dāng)網(wǎng)絡(luò)設(shè)備的 CPU 資源被廣播風(fēng)暴耗盡，設(shè)備可能會出現(xiàn)性能崩潰的情況。為了嘗試恢復(fù)正常運(yùn)行，設(shè)備可能會自動重啟。但由于環(huán)路問題沒有得到解決，重啟后不久又會再次出現(xiàn)類似的問題，導(dǎo)致設(shè)備頻繁重啟。

網(wǎng)絡(luò)連接方面

· 部分或全部設(shè)備斷網(wǎng)：環(huán)路產(chǎn)生的廣播風(fēng)暴可能會導(dǎo)致交換機(jī)的 MAC 地址表出現(xiàn)混。SW交換機(jī)依靠 MAC 地址表來轉(zhuǎn)發(fā)數(shù)據(jù)包，當(dāng) MAC 地址表異常時，交換機(jī)可能無法正確地將數(shù)據(jù)包轉(zhuǎn)發(fā)到目標(biāo)設(shè)備，從而導(dǎo)致部分或全部設(shè)備無法正常連接到網(wǎng)絡(luò)。

· 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)異常：在一些支持網(wǎng)絡(luò)拓?fù)渥詣影l(fā)現(xiàn)和顯示的網(wǎng)絡(luò)管理系統(tǒng)中，可能會顯示出異常的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。例如，原本正常連接的設(shè)備之間可能會出現(xiàn)異常的連接關(guān)系，或者某些設(shè)備顯示為無法正常識別或連接狀態(tài)。

二、交換機(jī)防環(huán)路的策略：

1、指定STP根指定匯聚交換機(jī)為STP的根交換機(jī)；

啟用環(huán)路保護(hù)功能（stp bpdu-protection是用來保護(hù)邊緣端口的邊緣端口下面是接pc的 所以收不到BPDU包。而如果不小心在該接口下接入了一個交換機(jī) 就會接收到BPDU包 而開啟了這個功能之后 你的這個端口檢測到有BPDU包的存在 就會自動把狀態(tài)變?yōu)閐own。如果你網(wǎng)絡(luò)中沒有啟用邊緣端口不需要使用這個命令）

端口開啟bpdu enable不論是trunk，還是access口，都可以配置bpdu enable命令。BPDU橋協(xié)議數(shù)據(jù)單元，是STP生成樹協(xié)議中的報文，開啟主要是防環(huán)。通過BPDU來協(xié)商哪個端口處于blocking的狀態(tài)來阻塞數(shù)據(jù)發(fā)出，這樣就可以達(dá)到防環(huán)。在每個或者單個端口上開啟；如果接收到任何BPDU，該端口即被屏蔽。

開啟邊緣端口配置的接口不參與生成樹計算，即可以轉(zhuǎn)發(fā)BPDU也可以接收BPDU。配置BPDU保護(hù)功能后，如果邊緣端口收到了BPDU，交換機(jī)將關(guān)閉這些端口，同時通知網(wǎng)管系統(tǒng),被關(guān)閉的端口只能由網(wǎng)絡(luò)管理人員手動恢復(fù)。

終端、服務(wù)器都不支持STP協(xié)議，如果這些設(shè)備和交換機(jī)連接，建議在交換機(jī)的端口上執(zhí)行命令stp edged-port enable開啟邊緣端口屬性或執(zhí)行命令stp disable去使能STP。

否則，當(dāng)用戶插拔鏈路連接介質(zhì)，或先執(zhí)行shutdown，再執(zhí)行undo shutdown，重啟端口后，因?qū)Χ硕丝诓粫l(fā)送STP的協(xié)議報文進(jìn)行協(xié)商，導(dǎo)致交換機(jī)上的端口經(jīng)過2倍的Forward Delay（默認(rèn)為15秒）時間后才能正常轉(zhuǎn)發(fā)報文。

或者使用stp disable命令。

stp bpdu-protection

用來保護(hù)邊緣端口的邊緣端口下面是接pc的 所以收不到BPDU包 。而如果不小心在該接口下接入了一個交換機(jī)就會接收到BPDU包 而開啟了這個功能之后 你的這個端口檢測到有BPDU包的存在 就會自動把狀態(tài)變?yōu)閐own。如果你網(wǎng)絡(luò)中沒有啟用邊緣端口不需要使用這個命令。

啟用環(huán)路檢測功能loopback-detection環(huán)回檢測，環(huán)回監(jiān)測會在相應(yīng)端口發(fā)送檢測包，如果能夠從發(fā)送的端口收到發(fā)送的包，即為端口內(nèi)存在環(huán)路，對access端口，會刪除mac列表，block端口，對trunk端口會上報，不會禁用端口。因此，環(huán)回監(jiān)測功能只能發(fā)現(xiàn)單一端口的自環(huán)，或者是下級存在外部環(huán)路，例如本端口下級聯(lián)hub，在hub上產(chǎn)生環(huán)路。如果需要檢測和防止多端口的環(huán)路，例如兩端口同時接入一根網(wǎng)線的兩段，則需要開啟stp。

在分別對接入層交換機(jī)配置STP和Loopback-detection進(jìn)行測試后，得出結(jié)果：

1.當(dāng)接入層交換機(jī)有兩個端口用網(wǎng)線同時與同一個傻瓜交換機(jī)相連形成環(huán)路時：

（1）STP生效，阻塞其中一個端口，網(wǎng)絡(luò)正常。

（2）Loopback-detection未生效，該交換機(jī)開始廣播風(fēng)暴，網(wǎng)絡(luò)不正常。

2.當(dāng)接入層交換機(jī)有一個端口用網(wǎng)線連著一個傻瓜交換機(jī)，傻瓜交換機(jī)上有兩個端口用網(wǎng)線對接時：

（1）STP生效。阻塞該接入層交換機(jī)端口，其他接口網(wǎng)絡(luò)正常，但該交換機(jī)無法遠(yuǎn)程控制。

（2）Loopback-detection生效，阻塞該接入層交換機(jī)端口，并通報trap信息，其他接口網(wǎng)絡(luò)正常。

TC-guard gongji防護(hù)

啟用防TC-BPDU報文gongji功能后，在單位時間內(nèi)，MSTP進(jìn)程處理TC類型BPDU報文的次數(shù)可配置（缺省的單位時間是2秒，缺省的處理次數(shù)是3次。）。如果在單位時間內(nèi)，MSTP進(jìn)程在收到TC類型BPDU報文數(shù)量大于配置的閾值，那么MSTP進(jìn)程只會處理閾值指定的次數(shù)。對于其它超出閾值的TC類型BPDU報文，定時器到期后，MSTP進(jìn)程只對其統(tǒng)一處理一次。這樣可以避免頻繁的刪除MAC地址表項和ARP表項，從而達(dá)到保護(hù)交換機(jī)的目的。 

當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時，交換機(jī)會從自己的指定端口向外發(fā)送TCN BPDU報文 接收到TCN BPDU報文的交換機(jī)向發(fā)送者發(fā)送TCA報文 根交換機(jī)接收到TCN BPDU報文向網(wǎng)絡(luò)中發(fā)送TC BPDU 收到TC BPDU的交換機(jī)將 MAC地址表老化時間設(shè)為15s 就這些 TCA是應(yīng)答TCN的，只回應(yīng)發(fā)送TCN的交換機(jī) TC是發(fā)送到整個網(wǎng)絡(luò)的。通過查看端口的TC報文計數(shù)，發(fā)現(xiàn)端口收到大量的TC報文，且在不斷增長。觸發(fā)MAC刪除、ARP表項刷新，設(shè)備處理大量arp-miss、arp-request和arp-reply報文，導(dǎo)致CPU升高，OSPF Hello報文、VRRP心跳報文不能及時處理，出現(xiàn)震蕩。

stp tc-protection //tc保護(hù)

arp topology-change disable

mac-address update arp

當(dāng)設(shè)備收到TC報文后，默認(rèn)會清掉MAC、老化ARP。當(dāng)設(shè)備上的ARP表項較多時，ARP的重新學(xué)習(xí)會導(dǎo)致網(wǎng)絡(luò)中的ARP報文過多。配置arp topology-change disable、mac-address update arp后，在網(wǎng)絡(luò)拓?fù)渥兓瘯r，可以根據(jù)MAC地址的出接口變化刷新ARP表項出接口?？梢詼p少大量不必要的ARP表項刷新。

執(zhí)行此命令arp topology-change disable，去使能設(shè)備響應(yīng)TC報文的功能后，當(dāng)網(wǎng)絡(luò)的拓?fù)浒l(fā)生變化的時候，系統(tǒng)的ARP表項不再進(jìn)行老化或者刪除操作，如果未對設(shè)備使能“MAC刷新ARP”功能，此時由于設(shè)備中保存的ARP表項沒有得到及時刷新，可能導(dǎo)致用戶業(yè)務(wù)中斷。蘇州東元信息技術(shù)有限公司因此建議執(zhí)行命令mac-address update arp，使能MAC刷新ARP功能。