精华内容
下载资源
问答
  • 华为交换机处理mac地址漂移

    千次阅读 2020-11-27 11:37:21
    如图1所示,网络中三台CE间网线误接并关闭了stp,形成了网络环路,引起MAC地址发生漂移、MAC地址表震荡。 为了能够及时检测网络中出现的环路,可以在Switch上配置MAC地址漂移检测功能,通过检测是否发生MAC地址漂移...

    以下内容来自于华为的官网的产品文档:

    配置MAC地址漂移检测示例

    组网需求

    如图1所示,网络中三台CE间网线误接并关闭了stp,形成了网络环路,引起MAC地址发生漂移、MAC地址表震荡。

    为了能够及时检测网络中出现的环路,可以在Switch上配置MAC地址漂移检测功能,通过检测是否发生MAC地址漂移来判断网络中存在的环路,从而排除故障。

    图1 配置MAC地址漂移检测应用组网图 ,CE的两个端口都学习到了PC的mac地址,在没有stp的网络中多个端口学到同一个mac地址,有环路产生。红色箭头是arp广播方向

    配置思路

    采用如下思路配置MAC地址漂移检测功能:

    1.开启MAC地址漂移检测功能,实现检测网络中是否存在MAC地址漂移。

    2.配置MAC地址漂移表项的老化时间。

    3.配置接口MAC地址漂移后的处理动作,实现破除环路。

    操作步骤,在CE4上
    1.开启MAC地址漂移检测功能 
    [~Switch] mac-address flapping detection
    [*Switch] commit

    2.配置MAC地址漂移表项的老化时间,可选
    [~Switch] mac-address flapping aging-time 500
    [*Switch] commit

    3.配置10GE1/0/0、10GE1/0/1接口MAC地址漂移后关闭 
    [~Switch] interface 10ge 1/0/0
    [~Switch-10GE1/0/1] mac-address flapping trigger error-down
    [*Switch-10GE1/0/1] quit
    [*Switch] interface 10ge 1/0/1
    [*Switch-10GE1/0/2] mac-address flapping trigger error-down
    [*Switch-10GE1/0/2] quit
    [*Switch] commit

    4.配置被Shutdown接口的自动恢复功能、自动恢复时间 
    [~Switch] error-down auto-recovery cause mac-address-flapping interval 500
    [*Switch] commit

    5.检查配置结果 

    配置完成后,当接口10GE1/0/0的MAC地址漂移到接口10GE1/0/1后,接口10GE1/0/1关闭;使用display mac-address flapping可查看到漂移记录。
    [~Switch] display mac-address flapping
    MAC Address Flapping Configurations :
    -------------------------------------------------------------------------------
      Flapping detection          : Enable
      Aging  time(s)              : 500
      Quit-VLAN Recover time(m)   : --
      Exclude VLAN-list           : --
      Security level              : Middle
      Exclude BD-list             : --
    -------------------------------------------------------------------------------
    S  : start time    E  : end time    (D) : error down
    -------------------------------------------------------------------------------
    Time         : S:2017-08-24 14:40:11           E:2017-08-24 14:40:23
    VLAN/BD      : 1/-
    MAC Address  : 0025-9e95-7c24
    Original-Port: 10GE1/0/1
    Move-Ports   : 10GE1/0/2(D)                      
    MoveNum      : 83
    -------------------------------------------------------------------------------
    Total items on slot 1: 1

    配置文件

    Switch的配置文件
    #
    sysname Switch
    #                                                                               
    mac-address flapping aging-time 500    
    #                                                                               
    error-down auto-recovery cause mac-address-flapping interval 500
    #
    interface 10GE1/0/0
     mac-address flapping trigger error-down    
    #
    interface 10GE1/0/1
     mac-address flapping trigger error-down    
    #
    return

     

    查看端口因安全策略down的状态  disp error-down recovery 

     

    上面的第三部配置mac地址漂移后,非origin的端口被shutdown,有些场景不适用,比如要求不能关闭端口的场景,可以使用下面的方法规避:

    1、配置端口mac学习优先级

    interface 10GE1/0/0
     mac-learning priority 1         默认端口学习mac的优先级是0,配置为1后,10G1/0/1接口就无法学习已经在10G1/0/0学习到的mac地址了

    2、配置不允许相同优先级接口的mac地址漂移

    全局下 undo mac-learning priority allow-flapping         配置后,mac学习优先级(默认是0)相同的端口之间无法学习到对方已经学习到的mac地址了

    展开全文
  • 1.测试没有启用STP引起的MAC地址震荡和广播风暴 三.MAC地址表项的学习 1.交换机的初始状态是没有MAC地址表项的数据的,但可以通过学习获得 2.交换机学习到的MAC地址,是通过ARP请求/应答报文里的源MAC学习到的 四....

    一.实验拓扑图

    示例图

    二.实验目的

    1.测试没有启用STP引起的MAC地址震荡和广播风暴

    三.MAC地址表项的学习

    1.交换机的初始状态是没有MAC地址表项的数据的,但可以通过学习获得
    2.交换机学习到的MAC地址,是通过ARP请求/应答报文里的源MAC地址学习到的

    四.交换机MAC地址的几种学习情况

    1.交换机的MAC地址表的老化时间是300s
    1.交换机初始状态的MAC地址表没有数据
    2.当交换机的接口,学习到两个不同的MAC地址时,会同时加入MAC地址表项
    3.当学习到MAC地址的接口shudown时,MAC表项会立即,把此接口学习到的MAC地址清除掉,不等待老化时间
    4.当交换机的不同接口,学习到相同的MAC地址时,不会同时加入MAC地址表项中,会交替的加入MAC地址表项中

    五.正常的MAC地址表项

    1.LSW1正常状态的MAC地址表项
    2.LSW2正常状态的MAC地址表项
    3.LSW3正常状态的MAC地址表项

    4.观察LSW1正常状态的MAC地址表项,可以看出,没有PC2MAC地址,
      这是由于PC2回复PC1的数据没有经过LSW1

    六.没有配置STP数据包的流向

    
    1.PC1pingPC2的ARP请求报文经过,交换机接口的问题
         ①.首先PC1发送一个ARP请求报文到LSW2,
           这时LSW2的g0/0/24接口就学习到,PC1MAC地址了 1.因为LSW2不知道PC2MAC地址,所以LSW2会把PC1ARP请求报文泛洪出
           去,这时LSW1LSW3都可以收到PC1ARP请求报文了  
         ③.1.LSW3收到LSW2发送的PC1ARP请求报文,由于LSW3不知道PC2MAC
             地址,LSW3也会把ARP请求报文,泛洪出去
         ③.1.1.LSW3的g0/0/2接口就学习到,PC1MAC地址了 2.2.由于LSW3ARP请求报文泛洪出去,这时LSW1就收到了,从PC1LSW2LSW3ARP请求报文了
         ③.2.1.LSW1的g0/0/3接口就学习到,PC1MAC地址了 3.3.由于LSW1不知道PC2MAC地址,LSW1也会把PC1ARP请求报文泛洪出去
         ③.3.1.这时LSW2的g0/0/1接口就可以学习到,PC1MAC地址了 4.1.LSW1收到来自LSW2PC1ARP请求报文
         ④.1.1.LSW1的g0/0/1接口也就学习到,PC1MAC地址了 5.2.LSW1由于也不知道PC2MAC地址,也会泛洪出去,这时LSW3也会收到
             LSW1发送的PC1ARP请求报文
         ④.2.1.LSW3的g0/0/3接口也就学习到,PC1MAC地址了 6.3.由于LSW3也不知道PC1MAC地址,LSW3也会把PC1ARP请求报文泛洪出去
         ④.3.1.LSW2的g0/0/2接口也就学习到,PC1MAC地址了 7
    2.由于没有配至STP,进而形成了环路,因此,除了,LSW3的g0/0/24接口,学习不到
      PC1MAC地址外,其余的接口都可以学习到PC1MAC地址
    3.PC1pingPC2的ARP应答报文和ARP请求报文是相似的,PC2MAC地址除了,LSW2的
      g0/0/24接口学习不到之外,其余的接口都可以学习到

    七.引起的广播风暴

    1.由于没有配置STP引起的广播风暴
    2.由PC1没有接受到PC2发送的ARP应答报文,PC1会一直发送ARP请求报文

    八.MAC地址表项震荡

    1.由于没有配置STP,引起的MAC地址震荡
    2.接口会,不断地学习到MAC地址

    展开全文
  • 拯救步骤1:查看日志/端口的状态 登录进入交换机后,执行show log,会看到如下的提示: 21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20. 21w6d: %PM-4-ERR_...

    拯救步骤1:查看日志/端口的状态
      
      登录进入交换机后,执行show log,会看到如下的提示:
      21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20.
      21w6d: %PM-4-ERR_DISABLE: loopback error detected on Fa0/20, putting Fa0/20 in err-disable state
      以上信息就明确表示由于检测到第20端口出现了环路,所以将该端口置于了err-disable状态。
      
    查看端口的状态
      
      Switch# show inter fa0/20 status
      Port Name Status Vlan Duplex Speed Type
      Fa0/20 link to databackup err-disabled 562 auto auto 10/100BaseTX
      这条信息更加明确的表示了该端口处于err-disabled状态。
      既然看到了该端口是被置于了错误的状态了,我们就应该有办法将其再恢复成正常的状态。
    拯救步骤2:将端口从错误状态中恢复回来
      
      进入交换机全局配置模式,执行errdisable recovery cause ?,会看到如下信息:
      Switch(config)#errdisable recovery cause ?
       all Enable timer to recover from all causes
       bpduguard Enable timer to recover from BPDU Guard error disable state
       channel-misconfig Enable timer to recover from channel misconfig disable state
       dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state
       dtp-flap Enable timer to recover from dtp-flap error disable state
       gbic-invalid Enable timer to recover from invalid GBIC error disable state
       l2ptguard Enable timer to recover from l2protocol-tunnel error disable state
       link-flap Enable timer to recover from link-flap error disable state
       loopback Enable timer to recover from loopback detected disable state
       pagp-flap Enable timer to recover from pagp-flap error disable state
       psecure-violation Enable timer to recover from psecure violation disable state
       security-violation Enable timer to recover from 802.1x violation disable state
       udld Enable timer to recover from udld error disable state
       unicast-flood Enable timer to recover from unicast flood disable state
       vmps Enable timer to recover from vmps shutdown error disable state
      
      从列出的选项中,我们可以看出,有非常多的原因会引起端口被置于错误状态,由于我们明确的知道这台交换机上

    的端口是由于环路问题而被置于错误状态的,所以就可以直接键入命令:
      
      Switch(config)#errdisable recovery cause loopback
      是啊,就这么简单的一条命令,就把困挠我们很长时间的问题解决了,真的就这么神奇。那么如何验证这条命令是

    生效了呢?
    拯救步骤3:显示被置于错误状态端口的恢复情况
      
      Switch# show errdisable recovery
      ErrDisable Reason Timer Status
      ----------------- --------------
      udld Disabled
      bpduguard Disabled
      security-violatio Disabled
      channel-misconfig Disabled
      vmps Disabled
      pagp-flap Disabled
      dtp-flap Disabled
      link-flap Disabled
      gbic-invalid Disabled
      l2ptguard Disabled
      psecure-violation Disabled
      gbic-invalid Disabled
      dhcp-rate-limit Disabled
      unicast-flood Disabled
      loopback Enabled
      Timer interval: 300 seconds
      Interfaces that will be enabled at the next timeout:
      Interface Errdisable reason Time left(sec)
      --------- ----------------- --------------
      Fa0/8 loopback 276
      Fa0/17 loopback 267
      Fa0/20 loopback 250
      
      从以上显示的信息可以看出,这台交换机有三个端口(Fa0/8、Fa0/17、Fa0/20)会分别在276、267、250秒之后恢

    复为正常的状态,实际情况也是这样,等了几分钟以后,我们找了一台笔记本电脑,分别接到这几个端口上试了一下,

    端口都可以正常工作了。这下总算在不重交换机的情况下,将几个处于“假死”状态的端口“拯救”了回来。
    关于接口处于err-disable的故障排查
    故障症状:
    线路不通,物理指示灯灭或者显示为橙色(不同平台指示灯状态不同)
    show interface 输出显示接口状态:
    FastEthernet0/47 is down, line protocol is down (err-disabled)
    接口状态是err-disable。

    sw1#show interfaces status

    Port Name Status Vlan Duplex Speed Type
    Fa0/47 err-disabled 1 auto auto 10/100BaseTX

    如果出现了接口状态为err-disable,show interfaces status err-disabled命令能查看触发err-disable的原因。
    下面示例原因为bpduguard,在连接了交换机的端口配置了spanning-tree bpduguard enable。

    sw1#show interfaces status err-disabled
    Port Name Status Reason
    Fa0/47 err-disabled bpduguard
    接口产生err-disable的原因可以由以下的命令来查看,系统缺省的配置是所有列出的原因都能导致接口被置为err-

    disable。

    sw1#show errdisable detect
    ErrDisable Reason Detection status
    ----------------- ----------------
    udld Enabled
    bpduguard Enabled
    security-violatio Enabled
    channel-misconfig Enabled
    psecure-violation Enabled
    dhcp-rate-limit Enabled
    unicast-flood Enabled
    vmps Enabled
    pagp-flap Enabled
    dtp-flap Enabled
    link-flap Enabled
    l2ptguard Enabled
    gbic-invalid Enabled
    loopback Enabled
    dhcp-rate-limit Enabled
    unicast-flood Enabled
    从列表中,我们可以看出常见的原因有udld,bpduguard,link-flap以及loopback等。
    具体由什么原因导致当前接口err-disable可以由show interface status err-disable来查看。

    在接口模式下采用shutdown,no shutdown进行手动的激活。
    在缺省配置下,一旦接口被置为err-disable,IOS将不会试图恢复接口。
    这个可以由show errdisable recovery来查看,timer status下面所有的值都是disable。
    下面的示例中,由于手工配置了bpduguard恢复,所以timer status的值变为Enable。

    sw1#show errdisable recovery
    ErrDisable Reason Timer Status
    ----------------- --------------
    udld Disabled
    bpduguard Enabled
    security-violatio Disabled
    channel-misconfig Disabled
    vmps Disabled
    pagp-flap Disabled
    dtp-flap Disabled
    link-flap Disabled
    l2ptguard Disabled
    psecure-violation Disabled
    gbic-invalid Disabled
    dhcp-rate-limit Disabled
    unicast-flood Disabled
    loopback Disabled
    Timer interval: 300 seconds
    Interfaces that will be enabled at the next timeout:
    Interface Errdisable reason Time left(sec)
    --------- ----------------- --------------
    Fa0/47 bpduguard 217
    配置IOS重新激活errdisable的接口,使用以下命令:

    sw1(config)#errdisable recovery cause bpduguard
    sw1(config)#errdisable recovery cause ?
    all Enable timer to recover from all causes
    bpduguard Enable timer to recover from BPDU Guard error disable state
    channel-misconfig Enable timer to recover from channel misconfig disable state
    dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state
    dtp-flap Enable timer to recover from dtp-flap error disable state
    gbic-invalid Enable timer to recover from invalid GBIC error disable state
    l2ptguard Enable timer to recover from l2protocol-tunnel error disable state
    link-flap Enable timer to recover from link-flap error disable state
    loopback Enable timer to recover from loopback detected disable state
    pagp-flap Enable timer to recover from pagp-flap error disable state
    psecure-violation Enable timer to recover from psecure violation disable state
    security-violation Enable timer to recover from 802.1x violation disable state
    udld Enable timer to recover from udld error disable state
    unicast-flood Enable timer to recover from unicast flood disable state
    vmps Enable timer to recover from vmps shutdown error disable

    配置完上述命令后,IOS在一段时间后试图恢复被置为err-disable的接口,这段时间缺省为300秒。
    但是,如果引起err-disable的源没有根治,在恢复工作后,接口会再次被置为err-disable。
    调整err-disable的超时时间,可以使用以下命令:

    sw1(config)#errdisable recovery interval ?
    <30-86400> timer-interval(sec)
    可以调整在30-86400秒,缺省是300秒。
    如果产生err-disable的原因是udld,下面有一条命令非常管用:

    sw1#udld reset

    No ports are disabled by UDLD.
    同时,接口在被置为err-disable的时候,通常有一系列的日志产生,如下:
    *Mar 15 15:47:19.984: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/47 with BPDU

    Guard enabled. Disabling port.
    sw1#
    *Mar 15 15:47:19.984: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/47, putting Fa0/47 in err-

    disable state
    sw1#
    *Mar 15 15:47:21.996: %LINK-3-UPDOWN: Interface FastEthernet0/47, changed state to down
    收集这些日志也非常管用。
    所以建议配置一个syslog server,收集log信息。

    故障症状:
    线路不通,物理指示灯灭或者显示为橙色(不同平台指示灯状态不同)
    show interface 输出显示接口状态:
    FastEthernet0/47 is down, line protocol is down (err-disabled)
    接口状态是err-disable。
    sw1#show interfaces status
    Port Name Status Vlan Duplex Speed Type
    Fa0/47 err-disabled 1 auto auto 10/100BaseTX
    如果出现了接口状态为err-disable,show interfaces status err-disabled命令能查看触发err-disable的原因。
    下面示例原因为bpduguard,在连接了交换机的端口配置了spanning-tree bpduguard enable。
    sw1#show interfaces status err-disabled[b]
    Port Name [b]Status Reason
    Fa0/47 err-disabled [b]bpduguard[b]
    接口产生err-disable的原因可以由以下的命令来查看,系统缺省的配置是所有列出的原因都能导致接口被置为err-

    disable。
    sw1#show errdisable detect
    ErrDisable Reason Detection status
    ----------------- ----------------
    udld Enabled
    bpduguard Enabled
    security-violatio Enabled
    channel-misconfig Enabled
    psecure-violation Enabled
    dhcp-rate-limit Enabled
    unicast-flood Enabled
    vmps Enabled
    pagp-flap Enabled
    dtp-flap Enabled
    link-flap Enabled
    l2ptguard Enabled
    gbic-invalid Enabled
    loopback Enabled
    dhcp-rate-limit Enabled
    unicast-flood Enabled
    从列表中,我们可以看出常见的原因有udld,bpduguard,link-flap以及loopback等。
    具体由什么原因导致当前接口err-disable可以由show interface status err-disable来查看。
    在接口模式下采用shutdown,no shutdown进行手动的激活。
    在缺省配置下,一旦接口被置为err-disable,IOS将不会试图恢复接口。
    这个可以由show errdisable recovery来查看,timer status下面所有的值都是disable。
    下面的示例中,由于手工配置了bpduguard恢复,所以timer status的值变为Enable。
    sw1#show errdisable recovery
    ErrDisable Reason Timer Status
    ----------------- --------------
    udld Disabled
    bpduguard Enabled
    security-violatio Disabled
    channel-misconfig Disabled
    vmps Disabled
    pagp-flap Disabled
    dtp-flap Disabled
    link-flap Disabled
    l2ptguard Disabled
    psecure-violation Disabled
    gbic-invalid Disabled
    dhcp-rate-limit Disabled
    unicast-flood Disabled
    loopback Disabled
    Timer interval: 300 seconds
    Interfaces that will be enabled at the next timeout:
    Interface Errdisable reason Time left(sec)
    --------- ----------------- --------------
    Fa0/47 bpduguard 217
    配置IOS重新激活errdisable的接口,使用以下命令:
    sw1(config)#errdisable recovery cause bpduguard
    sw1(config)#errdisable recovery cause ?
    all Enable timer to recover from all causes
    bpduguard Enable timer to recover from BPDU Guard error disable state
    channel-misconfig Enable timer to recover from channel misconfig disable state
    dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state
    dtp-flap Enable timer to recover from dtp-flap error disable state
    gbic-invalid Enable timer to recover from invalid GBIC error disable state
    l2ptguard Enable timer to recover from l2protocol-tunnel error disable state
    link-flap Enable timer to recover from link-flap error disable state
    loopback Enable timer to recover from loopback detected disable state
    pagp-flap Enable timer to recover from pagp-flap error disable state
    psecure-violation Enable timer to recover from psecure violation disable state
    security-violation Enable timer to recover from 802.1x violation disable state
    udld Enable timer to recover from udld error disable state
    unicast-flood Enable timer to recover from unicast flood disable state
    vmps Enable timer to recover from vmps shutdown error disable
    配置完上述命令后,IOS在一段时间后试图恢复被置为err-disable的接口,这段时间缺省为300秒。
    但是,如果引起err-disable的源没有根治,在恢复工作后,接口会再次被置为err-disable。
    调整err-disable的超时时间,可以使用以下命令:
    sw1(config)#errdisable recovery interval ?
    <30-86400> timer-interval(sec)
    可以调整在30-86400秒,缺省是300秒。
    如果产生err-disable的原因是udld,下面有一条命令非常管用:
    sw1#udld reset
    No ports are disabled by UDLD.
    同时,接口在被置为err-disable的时候,通常有一系列的日志产生,如下:
    *Mar 15 15:47:19.984: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/47 with BPDU

    Guard enabled. Disabling port.
    sw1#
    *Mar 15 15:47:19.984: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/47, putting Fa0/47 in err-

    disable state
    sw1#
    *Mar 15 15:47:21.996: %LINK-3-UPDOWN: Interface FastEthernet0/47, changed state to down
    收集这些日志也非常管用。
    所以建议配置一个syslog server,收集log信息。
    sw1#show interfaces status Port Name Status Vlan Du... 开启errdisable功能,这样可以使用show

    errdisable来查看引发errdisable的原因是什么,再更加信息内容进行解决。
    你要是想不影响使用的话,先用 no errdisable detect cause loopback 执行一下,将已经死掉的端口,no sh 一下

    如果没问题,肯定是环路了,你可再找时间,对怀疑有问题的switch用拔插法,一个一个拔掉网线去查,当然,有更有

    效的方法,你可查看有问题的 switch的所有rj45和gi口的状态,哪个有errdisable信息哪个就有问题。
    switch#show interfaces status err-disabled
    Port Name Status Reason
    Fa0/22 err-disabled link-flap
    Fa0/37 For office in 100K err-disabled link-flap
    Fa0/41 unknow err-disabled link-flap
    Fa0/42 Training Dc066 err-disabled link-flap
    Fa0/45 Production line VM err-disabled link-flap
    switch#show errdisable detect
    ErrDisable Reason Detection status
    ----------------- ----------------
    pagp-flap Enabled dtp-flap Enabled link-flap Enabled l2ptguard Enabled gbic-invalid Enabled loopback

    Enabled
    switch#show interfaces status err-disabled
    Port Name Status Reason
    Fa0/22 err-disabled link-flap
    Fa0/37 For office in 100K err-disabled link-flap
    Fa0/41 unknow err-disabled link-flap
    Fa0/42 Training Dc066 err-disabled link-flap
    Fa0/45 Production line VM err-disabled link-flap
    switch#sh errdisable flap-values
    ErrDisable Reason Flaps Time (sec) ----------------- ------ ----------
    pagp-flap 3 30 dtp-flap 3 30 link-flap 5 10 ( link-flap 这就是因为链路质量不好导致的) 关闭errdisable

    detectswitch#no errdisable detect cause all
    导致交换机接口出现err-disable的几个常见原因:
    1. EtherChannel misconfiguration
    2. Duplex mismatch
    style="TEXT-INDENT: 2em">3. BPDU port guard
    4. UDLD
    5. Link-flap error
    6. Loopback error
    7. Port security violation
    第一个当F EC两端配置不匹配的时候就会出现err-disable.假设Switch A把FEC模式配置为on,这时Switch A是不

    会发送PAgP包和相连的Switch B去协商FEC的,它假设Switch B已经配置好FEC了。但实事上Swtich B并没有配置FEC,

    当Switch B的这个状态超过1分钟后,Switch A的STP就认为有环路出现,因此也就出现了err-disable.解决办法就是

    把FEC的模式配置为channel-group 1 mode desirable non-silent这个意思是只有当双方的FEC协商成功后才建立

    channel,否则接口还处于正常状态。
    第二个原因就是双工不匹配。一端配置为half-duplex后,他会检测对端是否在传输数据,只有对端停止传输数据

    ,他才会发送类似于ack的包来让链路up,但对端却配置成了full-duplex,他才不管链路是否是空闲的,他只会不停的

    发送让链路up的请求,这样下去,链路状态就变成err- disable了。
    三、第三个原因BPDU,也就是和portfast和BPDU guard有关。如果一个接口配置了portfast,那也就是说这个接

    口应该和一个pc连接,pc是不会发送spanning-tree的BPDU帧的,因此这个口也接收BPDU来生成spanning-tree,管理

    员也是出于好心在同一接口上配置了BPDU guard来防止未知的BPDU帧以增强安全性,但他恰恰不小心把一个交换机接到

    这个同时配置了portfast和BPDU guard接口上,于是这个接口接到了BPDU帧,因为配置了BPDU guard,这个接口自然

    要进入到err-disable状态。解决办法:no spanning-tree portfast bpduguard default,或者直接把portfast关了


    第四个原因是UDLD.UDLD是cisco的私有2层协议,用于检测链路的单向问题。有的时候物理层是up的,但链路层就

    是down,这时候就需要 UDLD去检测链路是否是真的up的。当AB两端都配置好UDLD后,A给B发送一个包含自己port id的

    UDLD帧,B收到后会返回一个UDLD帧,并在其中包含了收到的A的port id,当A接收到这个帧并发现自己的port id也在

    其中后,认为这链路是好的。反之就变成err-disable状态了。假设A配置了UDLD,而B没有配置UDLD:A给B发送一个包

    含自己 port id的帧,B收到后并不知道这个帧是什么,也就不会返回一个包含A的port id的UDLD帧,那么这时候A就认

    为这条链路是一个单向链路,自然也就变成err-disable状态了。
    第五个原因就是链路的抖动,当链路在10秒内反复up、down五次,那么就进入err-disable状态。
    第六个原因就是keepalive loopback.在12.1EA之前,默认情况下交换机会在所有接口都发送keepalive信息,由

    于一些不通交换机协商spanning-tree 可能会有问题,一个接口又收到了自己发出的keepalive,那么这个接口就会变

    成err-disable了。解决办法就是把keepalive关了。或者把ios升到12.2SE.
    最后一个原因,相对简单,就是由于配置了port-security violation shutdown

    _____________________________________
    ++++++++++++++++++++++++++++++++++++
    /**************************************
    ********************************************
    ************************************************
    *****************************************************
    交换机生err-disable的问题

    当出现err-disabled状态后,首先要做的,是找出引起该状态的根源,然后重新启用该端口;如果顺序不一致,将导致该端

    口再次进入err-disabled状态.

    找出问题的根源,以比较常见的做为例子:
    1.以太网信道(EC)的错误配置:
    如果要让EC能够正常工作,参与到EC绑定的端口的配置,必须是一致的,比如处于同一VLAN,trunk模式相同,速率和双工模

    式都匹配等等.如果一端配置了EC,而另一端没有配置EC,STP将关闭配置了EC一方的参与到EC中的端口.并且当PAgP的模

    式是处于on模式的时候,交换机是不会向外发送 PAgP信息去进行协商的(它认为对方是处于EC).这种情况下STP判定出现

    环路问题,因此将端口设置为err-disabled状态.如:
    %SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfiguration
    of Gi2/1

    如下,查看EC信息显示使用的信道组数量为0:
    NUAIKO#show etherchannel summary

    Flags: D - down P - in port-channel
    I - stand-alone s - suspended
    H - Hot-standby (LACP only)
    R - Layer3 S - Layer2
    U - in use f - failed to allocate aggregator

    u - unsuitable for bundling
    Number of channel-groups in use: 0
    Number of aggregators: 0

    EC没有正常工作是由于端口被设置为err-disabled状态:
    NUAIKO#show interfaces gigabitethernet 2/1 status

    Port Name Status Vlan Duplex Speed Type
    Gi2/1 err-disabled 100 full 1000 1000BaseSX

    为找出为何EC没有正常工作,根据错误信息暗示,STP检测到环路.之前提到过,这种情况的发生,是由于一方配置了EC,设

    置PAgP模式为on模式,这种模式和desirable模式正好相反,而另一方没有配置EC.因此,为了解决这种问题的发生,将EC的

    PAgP模式设置为可以主动协商的 desirable模式.,然后再重新启用该端口.如下:
    !
    interface gigabitethernet 2/1
    channel-group 1 mode desirable non-silent
    !

    2.双工模式不匹配:
    双工模式不匹配的问题比较常见,由于速率和双工模式自动协商的故障,常导致这种问题的发生.可以使用show

    interfaces命令查看双方端口的速率和双工模式.后期版本的CDP也能够在将端口处于err-disabled状态之前发出警告日

    志信息.另外, 网卡的不正常设置也将引起双工模式的不匹配.解决办法,如双方不能自动协商,使用duplex命令(CISCO

    IOS和CatOS有所不同)修改双方双工模式使之一致.

    3.BPDU Guard:
    通常启用了快速端口(PortFast)特性的端口用于直接连接端工作站这种不会产生BPDU的末端设备.由于PortFast特性假

    定交换机的端口不会产生物理环路,因此,当在启用了 PortFast和BPDU Guard特性的端口上收到BPDU后,该端口将进入

    err-disabled状态,用于避免潜在环路.

    假如我们将两台6509交换机相连,在其中一台上启用PortFast特性并打开BPDU Guard特性:
    !
    interface gigabitethernet 2/1
    spanning-tree bpduguard enable
    spanning-tree portfast enable
    !

    此时将看到如下日志信息:
    %PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi2/1, putting Gi2/1 in
    err-disable state.

    验证:
    NUAIKO#show interfaces gigabitethernet 2/1 status

    Port Name Status Vlan Duplex Speed Type
    Gi2/1 err-disabled 100 full 1000 1000BaseSX

    像这种情况,不能启用PortFast特性,因此禁用该特性可以解决该问题.

    4.UDLD:
    UDLD 协议允许通过光纤或铜线相连的设备监控线缆的物理配置,并且可以检测是否存在单向链路.如果检测到有单向链路

    ,UDLD将关闭相关端口并发出警告日志信息.单向链路可以引起一系列的问题,最常见的就是STP拓扑环路.注意,为了启用

    UDLD,双方必须都支持该协议,并且要单独在每个端口启用UDLD.如果你只在一方启用了UDLD,同样的会引起端口进入err

    -disabled状态,如:
    %PM-SP-4-ERR_DISABLE: udld error detected on Gi2/1, putting Gi2/1 in
    err-disable state.

    5.链路振荡错误:
    链路振荡(flap)是指短时间内端口不停的处于up/down状态,如果端口在10秒内连续振荡5次,端口将被设置为err-

    disabled状态,如:
    %PM-4-ERR_DISABLE: link-flap error detected on Gi2/1, putting Gi2/1 in
    err-disable state

    可以使用如下命令查看不同的振荡的值:
    NUAIKO#show errdisable flap-values

    ErrDisable Reason Flaps Time (sec)

    pagp-flap 3 30
    dtp-flap 3 30
    link-flap 5 10

    引起链路震荡的常见因素,可能是物理层的问题,比如GBIC的硬件故障等等.因此解决这种问题通常先从物理层入手.

    6.回环(loopback)错误:
    当keepalive 信息从交换机的出站端口被发送出去后,又从该接口收到该信息,就会发生回环错误.交换机默认情况下会

    从所有端口向外发送keepalive信息.但由于 STP没能阻塞某些端口,导致这些信息可能会被转发回去形成逻辑环路.因此

    出现这种情况后,端口将进入err-disabled状态,如:
    %PM-4-ERR_DISABLE: loopback error detected on Gi2/1, putting Gi2/1 in
    err-disable state

    从CISCO IOS 12.2SE之后的版本,keepalive信息将不再从光纤和上行端口发送出去,因此解决这种问题的方案是升级

    CISCO IOS软件版本到12.2SE或后续版本.更多信息可以参见CISCO BUG ID CSCea46385(需要一定权限的CCO).

    7.违反端口安全(Port Security)策略:
    端口安全特性提供了根据MAC地址,动态的对交换机端口进行保护的特性.违反该策略将导致端口进入err-disabled状态.

    端口安全的原理和配置这里就不再赘述,有兴趣的可以去CISCO的Documentation CD里查阅







    show interface status err-disabled



    有可能口子下接的设备有以下的情况,都会进入disable状态

    bpduguard

    arp-inspection

    dhcp-rate-limit

    dtp-flap

    link-flap

    ....



    根据相关信息,就可以设置自动恢复了



    errdisable recovery cause xxx

    errdisable recovery interval 30

    errdisable监测某些值,到一个阈值就自动disable

    err-disable主要用于端口安全,
    基于主机MAC地址允许流量,

    转载于:https://www.cnblogs.com/xinghen1216/p/9066467.html

    展开全文
  • 交换机二层环路问题处理指南[苍松参考]》由会员分享,可在线阅读,更多相关《交换机二层环路问题处理指南[苍松参考](19页珍藏版)》请在人人文库网上搜索。1、目录1介绍32网络业务故障,如何确认存在环路?32.1第一...

    《交换机二层环路问题处理指南[苍松参考]》由会员分享,可在线阅读,更多相关《交换机二层环路问题处理指南[苍松参考](19页珍藏版)》请在人人文库网上搜索。

    1、目录1介绍32网络业务故障,如何确认存在环路?32.1第一步:是否可以通过端口流量发现数据风暴?42.2第二步:是否可以通过MAC-Flapping检测漂移?52.2.1框式交换机52.2.2盒式交换机72.3第三步,是否可以通过环路检测发现环路?82.3.1Loop Detection(框式)92.3.2Loopback Detection(盒式)103环路问题发生后,如何快速破环?113.1第一步:是否理解网络业务并明确拓扑?113.2第二步:是否需要用影响最小的方法破环?113.2.1方法一:端口退出成环VLAN破环113.2.2方法二:shutdown成环端口破环113.2.3方法三:。

    2、通过拔出成环光纤破环113.3第三步:操作后确认业务是否恢复?124环路问题发生后,如何定位问题根因?124.1第一步:是否由于近期施工操作引入环路?124.2第二步:是否由于近期修改配置引入的环路?124.3第三步:是否典型的常见环路问题?134.3.1交换机自环出现环路134.3.2交换机下游设备自环出现环路134.3.3环形组网链路震荡导致环收敛震荡144.3.4环形组网寄存器下发失败无法破环144.3.5链路单通引入RRPP网络单向环154.3.6协议堵塞的端口L2PT(bpdu-tunnel)协议报文成环164.3.7下游设备报文转发异常导致疑似环路174.4第四步:收集信息返回研发。

    3、分析175环路问题解决后,网络是否需要优化?195.1第一步:是否需要部署适当的破环协议?195.2第二步:是否需要提升链路质量和可靠性?195.3第三步:是否需要部署广播抑制提升网络健壮性?195.4第四步:是否需要部署QoS保证协议报文优先转发?196结束语191 介绍以太网链路由于各种原因,导致数据或协议报文环形转发,导致网络形成数据风暴,最终影响正常业务。本文档仅介绍二层网络的常见环路问题识别和处理。本指导手册按照如下思路进行二层环路问题分析和处理:1、 网络业务故障,如何观察确认存在二层环路?2、 环路问题发生后,如何快速破环恢复业务?3、 如何排查环路问题的根本原因,是否已知案例?。

    4、。4、 针对问题原因,对网络进行适当的优化。处理二层环路问题,您首先需要准备如下:1、 整网的拓扑图,包含设备名称、登陆方式、系统MAC。2、 登陆软件,记录全部的操作记录。准备好这些,我们开始二层环路问题的处理之旅。2 网络业务故障,如何确认存在环路?网络业务故障后,如发生二层环路,通常会存端口流量数据风暴和反复大量的MAC漂移现象。因此,在骨干链路所在的节点,通过如下三步操作:图1:环路排查流程图可以判断网络是否可能存在二层环路。2.1 第一步:是否可以通过端口流量发现数据风暴?通过display interface brief命令,查看所有接口下的流量,存在环路的接口上InUti和Out。

    5、Uti两个计数会逐步增加:第一次查询:151disp interface Ethernet brief | in up PHY: Physical*down: administratively down(l): loopback(b): BFD downInUti/OutUti: input utility/output utilityInterface PHY Auto-Neg Duplex Bandwidth InUti OutUti TrunkGigabitEthernet0/0/2 up enable full 100M 0% 0.01% -GigabitEthernet0/0/16 。

    6、up enable full 1000M 0.56% 0.56% 1GigabitEthernet1/0/12 up enable full 1000M 0.56% 0.56% 1MEth0/0/1 up enable half 100M 0.01% 0.01% -最后一次查询:151disp interface Ethernet brief | in up PHY: Physical*down: administratively down(l): loopback(b): BFD downInUti/OutUti: input utility/output utilityInterface 。

    7、PHY Auto-Neg Duplex Bandwidth InUti OutUti TrunkGigabitEthernet0/0/2 up enable full 100M 0% 0.01% -GigabitEthernet0/0/16 up enable full 1000M 76% 76% 1GigabitEthernet1/0/12 up enable full 1000M 76% 76% 1MEth0/0/1 up enable half 100M 0.01% 0.01% -一般情况下,查询只能看到网络的当前流量结果,此时需要和网络的正常业务流量进行比较,业务流量的带宽可以从客户的。

    8、网络流量监控图获取。如果只有一台设备的一个端口出入方向流量较大,可能是单端口环回。如果只有一台设备的两个端口流量较大,可能是本设备两个端口环回;如果某端口只有单方向流量,只有出或者只有入,需要重点排查,因为环路有可能在该端口的上下游设备。通常情况下:如果当前网络流量远大于正常业务,可能存在二层环路。如果当前网络流量正常,没有部署广播抑制,没有二层环路。如果当前网路流量比正常流量稍大,且部署了广播抑制,需要继续后面的第二步和第三步操作。2.2 第二步:是否可以通过MAC-Flapping检测漂移?MAC地址漂移即设备上一个接口学习到的MAC地址在同一VLAN中另一个接口上也学习到,后学习到的MA。

    9、C地址表项的覆盖原来的表项。导致MAC地址漂移的因为包括网络存在环路、或者非法用户进行网络攻击。例如下图,当Switch1向两个方向同时发报文时,在Switch2上的两个不同端口都会收到该报文,从而出现MAC地址漂移。当Switch2的两个端口出现了MAC地址漂移时,说明交换机的两个端口间可能出现了环路。图2:MAC-Flapping示意图MAC地址漂移,交换机所有形态和版本均默认支持漂移,具体的MAC漂移配置主要是指漂移后是否告警,漂移后是否设置端口堵塞的功能。由于框式交换机和盒式交换机MAC漂移检测的命令行和检测存在差异,我们分别介绍:2.2.1 框式交换机V1R2版本,在非S系列单板上支。

    10、持全局使能的MAC-Flapping检测功能(全局使能,只支持发送TRAP)。在V1R2上,开启MAC地址漂移检测:Quidwaymac-flapping alarm enableV1R3及以后的版本,在V1R2版本的基础上,新增了基于VLAN的MAC地址漂移检测、检测到MAC地址漂移后执行对应的动作策略。在V1R3及以后的版本上,开启MAC地址漂移检测(下面两个命令均可使用):系统视图下:Quidwayloop-detect eth-loop alarm-onlyVLAN视图下:Quidway -vlan1001loop-detect eth-loop alarm-only各个版本的告警信息。

    11、存在一定的差异,样例如下:版本告警信息V1R1不支持V1R2全局检测L2IF/4/MAC_FLAPPING_ALARM:OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.12The mac-address has flap value . (BaseTrapSeverity=0, BaseTrapProbableCause=0, BaseTrapEventType=4, L2IfPort=549,entPhysicalIndex=1, MacAdd=0000-0000-002b,vlanid=1001, FormerIfDescName=Ethernet3/0/2,Curr。

    12、entIfDescName=Ethernet3/0/3,DeviceName=S9306-169)VLAN检测不支持V1R3全局检测L2IFPPI/4/MAC_FLAPPING_ALARM:OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.12The mac-address has flap value . (L2IfPort=0,entPhysicalIndex=0, BaseTrapSeverity=4, BaseTrapProbableCause=549, BaseTrapEventType=1, MacAdd=00e0-fc00-4447,vlanid=1001, 。

    13、FormerIfDescName=GigabitEthernet6/0/6,CurrentIfDescName=GigabitEthernet6/0/7,DeviceName=9306-222.159)VLAN检测L2IFPPI/4/MFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 Loop exist in vlan 1001, for mac-flapping.V1R6全局检测L2IFPPI/4/MAC_FLAPPING_ALARM:OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.12The mac-address has。

    14、 flap value. (L2IfPort=0,entPhysicalIndex=0, BaseTrapSeverity=4, BaseTrapProbableCause=549, BaseTrapEventType=1, MacAdd=0025-9e6e-1c55,vlanid=1001, FormerIfDescName=GigabitEthernet2/1/23,CurrentIfDescName=GigabitEthernet2/1/22,DeviceName=9303-222.157)VLAN检测L2IFPPI/4/MFLPVLANALARM:OID 1.3.6.1.4.1.201。

    15、1.5.25.160.3.7 Loop exists in vlan 1001, for flapping mac-address 0025-9e6e-1c55 between port GE2/1/23 and port GE2/1/22.2.2.2 盒式交换机盒式交换机(不包括23、27系列)V1R3及以后版本,不支持全局使能的MAC地址漂移检测,只支持基于VLAN的MAC地址漂移检测,同时支持检测到漂移后的发送TRAP、阻塞端口等动作。开启MAC地址漂移检测:VLAN视图下:Quidway -vlan1001loop-detect eth-loop alarm-only各个版本的告警信息。

    16、存在一定的差异,样例如下:版本告警信息V1R3L2IF/4/MFLPPORTRESUME:OID 1.3.6.1.4.1.2011.5.25.160.3.7 Loop exist in vlan for(hwMflpVlanId:1001;hwMflpVlanCfgAlarmReason:for flapping mac-address 0000-0000-002b between port GE0/0/24 and port GE0/0/23)V1R3L2IFPPI/4/MFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 Loop exists i。

    17、n vlan 1001, for flapping mac-address 0000-0000-002b between port GE0/0/24 and port GE0/0/23.V1R6L2IFPPI/4/MFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 Loop exists in vlan 1001, for flapping mac-address 0000-0000-002b between port GE0/0/24 and port GE0/0/23.2.3 第三步:设备作为三层网关,是否存在大量ARP报文被CPCAR丢包记录?。

    18、disp clock2011-11-30 20:04:32 WednesdayTime Zone : BJ add 08:00:00disp cpu-defend arp-request statistics slot 3 CPCAR on slot 3-Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)arp-request 91720644 61001339156 1348833 897078517-disp cpu-defend arp-reply statistics slot 3CPCAR on slot 3。

    19、-Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)arp-reply 381073700 46925484540 5604025 690080655-disp clock2011-11-30 20:04:35 WednesdayTime Zone : BJ add 08:00:00disp cpu-defend arp-request statistics slot 3 CPCAR on slot 3-Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Pac。

    20、kets)arp-request 91728872 61001759940 1348954 897084705-disp cpu-defend arp-reply statistics slot 3CPCAR on slot 3-Packet Type Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)arp-reply 381082540 46925484540 5604155 690080655-通常情况下,ARP的交互是有序进行,短时间内不会出现超多报文的丢弃。问题一般发生在9300作为汇聚网关场景,出现上述情况后,可能的原因是ARP的。

    21、广播报文在物理环形的网络中转发,形成协议报文的风暴,当前设备上送CPU,被交换机CPU限速丢弃。2.4 第四步,当前是否可以增加配置环路检测发现环路?框式交换机和盒式交换机都支持检测环,框式交换机的环路监测称为Loop Detection;盒式交换机的环回监测称为Loopback Detection。2.4.1 Loop Detection(框式)框式交换机端口配置Loop Detection功能以后,设备会从该端口发送环路检测报文,在端口所属且使能Loop Detection功能的VLAN内进行环路检测,如果设备接收到自己发送的检测报文,网络上存在环路。框式交换机上的环路监测能检测到下面两种。

    22、情况下的端口环路:1、 设备上端口收到本端口发送的检测报文。2、 设备上端口收到非本端口发送的检测报文。开启了Loop Detection以后,用display loop-detection命令可以查看当前环路检测的状态,用display loop-detection interface命令可以查看具体某一个端口的状态。display loop-detectionLoop Detection is enable.Detection interval time is 5 seconds.Following vlans enable loop-detection:vlan 556Following。

    23、 ports are blocked for loop:NULLFollowing ports are shutdown for loop:NULLFollowing ports are nolearning for loop:NULLdisplay loop-detection interface gigabitethernet 1/0/0The port is enable.The ports status list:Status WorkMode Recovery-time EnabledVLAN-Normal Shutdown 200 556告警示例如下:版本告警信息V1R2LDT/4。

    24、/DetectLoop:OID: 1.3.6.1.4.1.2011.5.25.174.3.1 InterfaceIndex: 12 InterfaceName: Ethernet3/0/1 VlanListLow: VlanListHigh:, The port detected loop!V1R3LDT/4/DetectLoop:OID: 1.3.6.1.4.1.2011.5.25.174.3.1 InterfaceIndex: 7 InterfaceName: GigabitEthernet6/0/1 VlanListLow: 1000 VlanListHigh: none, The po。

    25、rt detected loop!V1R6LDT/4/DetectLoop:OID: 1.3.6.1.4.1.2011.5.25.174.3.1 The port detected loop. (InterfaceIndex: 14 InterfaceName: GigabitEthernet1/0/1 VlanListLow: 1000 VlanListHigh: none)2.4.2 Loopback Detection(盒式)盒式交换机端口配置Loopback Detection功能以后,设备会从该端口发送环路检测报文,一个untagged报文和指定VLAN Tag报文。盒式交换机的Lo。

    26、opback Detection,只能针对设备上端口收到本端口发送的检测报文的环路。开启了Loop Detection以后,用display loop-detection命令可以查看环路检测功能的配置信息和接口状态信息。display loopback-detectLoopback-detect is enabled in the system view Loopback-detect interval: 30 Loopback-deteck sending-packet interval: 5 Interface ProtocolID RecoverTime Action Status -G。

    27、igabitEthernet0/0/2 602 30 block NORMAL盒式交换机告警示例如下:版本告警信息V1R3LDT/4/Porttrap:OID 1.3.6.1.4.1.2011.5.25.174.3.3Loopback does exist on interface(27)GigabitEthernet0/0/22 ( VLAN 1000 ) , loopback detect status: 2.(1:normal; 2:block; 3:shutdown; 4:trap; 5:nolearn)V1R6LDT/4/Porttrap:OID 1.3.6.1.4.1.2011.5。

    28、.25.174.3.3Loopback does exist on interface(27)GigabitEthernet0/0/22 ( VLAN 1000 ) , loopback detect status: 2.(1:normal; 2:block; 3:shutdown; 4:trap; 5:nolearn)3 环路问题发生后,如何快速破环?以太网的环路,会在短时间内形成数据风暴,当端口的流量达到带宽的最大负荷,会形成链路拥塞,影响网络业务。因此,在确认网络发生数据环路后,请按照如下步骤处理:3.1 第一步:是否理解网络业务并明确拓扑?环形网络拓扑一般较为复杂,可以向客户寻求网络拓。

    29、扑结构全图,具体到网络的VLAN规划信息,每台设备名称、系统MAC、管理IP,本端端口名称、对端端口名称。完整的拓扑信息是解决环路问题的首要条件,如果没有拓扑图,需要从发现环路的设备,通过逐跳登陆,记录设备信息、端口信息和VLAN信息,手动绘制完整的拓扑。3.2 第二步:是否需要用影响最小的方法破环?紧急破环又称手动破环,当网络风暴严重影响正常的业务时,需要在尽快恢复业务。可以通过如下三个方法紧急破环:(注意紧急破环不要影响远程telnet路径所在的设备、端口和VLAN,避免无法登陆。)3.2.1 方法一:端口退出成环VLAN破环将成环的网络上,其中一个端口退出成环VLAN,属于影响面最小的方。

    30、法。端口命令行备注Accessundo default vlan可能影响下游业务。Trunkundo port trunk allow-pass vlan id无Hybridundo hybrid vlan id不区分tagged和untagged备注:需要注意不要shutdown远程telnet路径所在的端口,避免无法远程登陆。3.2.2 方法二:shutdown成环端口破环Shutdown成环的物理端口,也可以达到破环的效果。此时,需要保证shutdown的端口两端在全部VLAN内能够通信。3.2.3 方法三:通过拔出成环光纤破环通过拔出成环的光纤,可以紧急破环。备注:该方法可以使用shu。

    31、tdown端口代替,只有在设备无法登陆时才使用。3.3 第三步:操作后确认业务是否恢复?通过ping等测证网络通信质量,并和客户一起观察现网业务是否已经恢复。环路拓扑存在冗余链路和配置,环路破除后业务会自行恢复,特殊情况在此不一概而论。4 环路问题发生后,如何定位问题根因?4.1 第一步:是否由于近期施工操作引入环路?如果环路问题是由于近期施工操作引入,可以和施工方确认,了解施工的过程,特别是新增线路连接的细节,结合拓扑结构,确认后排出物理环路。4.2 第二步:是否由于近期修改配置引入的环路?常见的容易配置引入环路的命令行如下:特性命令行成环原因应对方案接口管理Undo shutdown端口进。

    32、入转发引入环路。关闭端口或者部署破环协议STPBpdu enable盒式交换机端口下需要使能bpdu enable命令才能接收并处理STP报文。配置命令(V1R6及以后版本已默认使能)框式交换机端口下需要去使能该命令,交换机才不会透传STP报文。删除命令bpdu bridge enable使能该命令会导致STP报文透传,无法上送处理。删除命令bpdu-tunnel stp bridge role provider使能该命令会导致STP无法处理报文。删除命令RRPPRrpp enable全局不配置rrpp enable,无法计算堵塞端口破环。配置命令SmartLinkSmartlink enab。

    33、leSmartLink组模式下不使能该命令,无法计算堵塞端口。配置命令4.3 第三步:是否典型的常见环路问题?4.3.1 交换机自环出现环路图3:设备自环出现环路前置条件:交换机未配置STP和LDT问题现象:端口出方向和入方向流量持续增加。问题原因:端口自环或者链路环回。处理方法:1、首先在端口下去使能loopback internal。2、设备由于链路引入环路有两种:一种是单端口收发环回。第二种是设备上两个端口环路。此类环路造成的原因是光纤或者网线误接,需要拆除连线。4.3.2 交换机下游设备自环出现环路图4:下游设备自环出现环路前置条件:设备未部署STP和LDT,本设备未环回。问题现象:端。

    34、口入方向和出方向流量持续增大,环回链路在下游。问题原因:下游链路环回或者自环。处理方法:1、首先逐跳向下游寻找环路的链路。1、然后在端口下去使能loopback internal。2、设备由于链路引入环路有两种:一种是单端口收发环回。第二种是设备上两个端口环路。此类环路造成的原因是光纤或者网线误接,需要拆除连线。4.3.3 环形组网链路震荡导致环收敛震荡图5:环路堵塞端口存在振荡前置条件:设备部署STP、RRPP、SEP或者SMLK等破环协议。问题现象:环路一段时间收敛正常,一段时间收敛失败,或者持续震荡。问题原因:网络上链路存在震荡,导致环网协议报文转发失败,反复超时震荡。如:1、链路存在错。

    35、包,协议报文被丢弃。2、未知单播抑制、不合理的qos等配置丢弃协议报文。处理方法:1、 如因为错包丢弃,建议更换问题网线、光纤或者光模块。2、 如因为被抑制丢包,建议修改单播抑制和不合理的Qos配置。3、 观察当前网络带宽,确认是否是网络流量拥塞,导致协议报文丢失,超时放开堵塞端口导致临时环路,此类问题需要进行网络优化。4.3.4 环形组网寄存器下发失败无法破环图6:环形网络无法破环前置条件:物理环路,协议已经破环。问题现象:网络数据风暴问题原因:软件计算堵塞端口正确,但是芯片下发失败。处理方法:此类问题极其少见,可以通过shutdown、undo shutdown期望的堵塞端口,观察协议是否。

    36、收敛成功。4.3.5 链路单通引入RRPP网络单向环图7:链路单通造成的RRPP环前置条件:RRPP组网问题现象:RRPP堵塞端口超时放开问题原因:RRPP心跳检测方向,链路单通。处理方法:解决单通链路问题。该问题有两个规避方法:1、链路自协商,链路质量较差的情况下,链路单通无法协商UP,无单通问题。2、通过在链路上部署DLDP检测协议,检测到链路单通后,会完全shutdown两侧的端口,解决单向环环路问题。4.3.6 协议堵塞的端口L2PT(bpdu-tunnel)协议报文成环图8:已经破环的网络协议报文成环前置条件:二层网络环路收敛正常,堵塞端口状态下发正常问题现象:disp l2prot。

    37、ocol-tunnel statistics查看到报文增加很快,软转发成环。问题原因:由于堵塞端口软件转发L2PT(bpdu-tunnel)协议报文,未判断端口是否堵塞,从堵塞端口发送L2PT报文,引起的L2PT报文成环,处理方法:R6以前版本需要加载最新的补丁解决问题。V1R6C00SPC900解决该问题。4.3.7 下游设备报文转发异常导致疑似环路图9:报文转发异常导致环路前置条件:二层网络环路收敛正常,堵塞端口状态下发正常问题现象:在LSW3形成频繁的MAC-Flapping,出现疑似环路问题。问题原因:二层网络的边缘设备,由于个别厂家实现差异,对于无法处理的报文,会反弹转发,常见的设备。

    38、有机顶盒等。处理方法:由于报文反弹,此类问题需要更换边缘设备解决。4.4 第四步:收集信息返回研发分析如果问题还没有解决,那么问题可能是由于交换机的软件或者硬件故障导致环路,您需要收集信息返回研发进行分析。相对其他单台设备问题,环路问题涉及多台设备或者整网。相关信息参考价值、收集方法以及细节要求如下表。序号环路相关是否必选?信息价值?如何收集?信息是否达标?1全网拓扑图是有利于研发理解网络业务,确认组网拓扑。向客户收集或者执行绘制,需要明确到。设备名称、设备和接口MAC、端口连接信息、VLAN规划2登陆方式建议有利于研发远程登陆设备,查看设备运行状况,远程登陆分析。向客户收集或者自行整理表格。。

    39、需要有设备名称、IP地址、用户明和密码,网络内的角色。3初步结论建议呈现一线分析进展,重点怀疑的方向。据实提供。怀疑的模块,怀疑的证据,初步的验证记录。4全部配置是有利于研发熟悉全网配置,实验室镜像环境复现。登陆设备逐台收集。全部配置。5操作记录是有利于研发分析问题是否和操作步骤时序、命令行配置、特性组合应用等相关。登陆设备时,采用登陆软件记录。文件名明确操作起始时间。6日志信息建议有利于研发分析是否由于其他未知原因导致问题。ftp或者tftp获取文件覆盖问题发生前后各24小时,截止收集时间。7诊断日志建议有利于研发分析是否由于其他未知原因导致问题。ftp或者tftp获取文件覆盖问题发生前后各。

    40、24小时,截止收集时间。8STP计算历史记录(可选,当时能使)STP问题必选协议重要记录,分析协议计算过程。命令行逐台收集。隐藏模式Disp stp history,每一台设备都要收集。9display diagnostic-information(可选,收集时间大概3分钟/台)条件允许情况下,补充收集整机级的诊断信息,便于研发排除未知的原因和问题。命令行逐台收集每台设备,完整的信息。5 环路问题解决后,网络是否需要优化?5.1 第一步:是否需要部署适当的破环协议?如果当前的环路问题是由于物理环路引入,且没有配置破环协议,请按照网络规划合理部署破环协议。以太网交换机常见的破环协议为STP/RS。

    41、TP/MSTP、RRPP、SEP等,具体应用请查询配置手册。5.2 第二步:是否需要提升链路质量和可靠性?如果当前环路问题是由于物理链路质量不可靠,存在协议报文拥塞丢失导致超时临时环路,请检查链路,并更换光纤光模块。如果当前问题因为带宽不足导致协议报文被丢弃,需要扩充带宽或者使用聚合链路,提升链路可靠性。5.3 第三步:是否需要部署广播抑制提升网络健壮性?为了避免再次成环,成环后再次引入数据风暴,建议在环上设备端口下,部署广播抑制,按照经验,部署5%的广播抑制可以很好的防止广播风暴,具体抑制的比例值可以按照客户并发网络广播流量来评估确认。5.4 第四步:是否需要部署QoS保证协议报文优先转发?如果当前环路问题是由于网络拥塞导致协议报文,需要部署Qos,报文协议报文高优先级转发。5.5 第五步:是否需要优化网络设计,提升网络?复杂组网可以通过分层控制,建议合理规划设计接入层、汇聚层。单层组网内设备数量较多时,建议按照逻辑组织和地理分布,划分不同的域。6 结束语该文档可以指导简单的环路排查,复杂问题还是需要协调各方联合定位解决。关于本文档的建议和想法,请不吝赐教,邮件反馈给我们,谢谢。19deps4。

    展开全文
  • 目录学习记录一、交换机相关二、网络环路的产生三、网络环路的影响四、如何避免网络环路五、二层环路的直观异常情况 一、交换机相关   总的来说,交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络...
  • 文章目录环路引起的问题广播风暴MAC地址表震荡实验证明STP(Spanning Tree Protocol)生成树协议STP中一些重要概念Root(根桥、根交换机)端口角色BPDU计时器STP选举过程(生成树形成过程)根桥的选举根端口的选举...
  • 交换机的广播风暴

    千次阅读 2014-06-17 19:58:11
    1、交换机的定义:交换机是一种基于MAC(网卡的硬件地址)识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换...
  • 在一个网络中存在环路则会产生广播风暴和MAC地址震荡: 广播风暴: 如果交换机从接收到了一个广播帧,或者是一个目的MAC地址未知的单播帧,则会将这个帧向除源端口之外的所有其他端口转发。如果交换网络中有环路,则...
  •  1、交换机的定义:交换机是一种基于MAC(网卡的硬件地址)识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换...
  • 由于V3平台交换机每端口没有设置各自的MAC地址,因此BPDU源MAC都是使用上述固定的特殊MAC作为源MAC地址的。但S3600/5600系列交换机最新版本支持在系统视图下使用port-mac命令进行定义。 对于固定源MAC地址,H3C...
  • 2、MAC地址接口优先级配置步骤

    千次阅读 多人点赞 2021-02-24 09:55:25
    2、交换机G0/0/2口和G0/0/3口会收到同一个MAC地址,MAC地址表会出现震荡 3、配置MAC地址优先级,让MAC地址优先级高的接口先学习到MAC地址 4、MAC地址优先级较低的端口,只有等优先级较高的端口down,才可以学习到MAC...
  • 交换机生成树协议(STP)

    千次阅读 2020-07-29 20:04:22
    为了提高网络可靠性,交换网络中通常会使用冗余链路,然而,冗余链路会给交换网络带来环路风险,并且导致广播风暴以及MAC地址表不稳定等问题,进而影响到用户的通信质量。 STP可以在提高可靠性的同时又避免环路带来...
  • MAC地址表

    千次阅读 2021-03-13 10:29:52
    MAC地址表记录了相连设备的MAC地址、接口号以及所属的VLAN ID之间的对应关系,是VLAN内数据转发的决策表,是决定交换机转发行为的标准,交换机就是根据这张表负责将数据帧传输到指定的主机上的。   MAC表一般...
  • 前面在学习交换机原理的时候遗留了一个环路避免的问题,在此之前我们先来了解一下现在的企业局域网络架构。 计算机网络经过几十年的发展,一般现在的企业网络基本都采用了三层的网络架构:核心层,汇聚层,接入层。...
  • 二层环路与三层环路有什么不同

    千次阅读 2020-08-23 10:40:26
    二层环路的影响:核心是因为二层交换机收到未知的数据后会进行泛洪,如果出现自环就会持续大量地泛洪形成广播风暴,mac地址震荡,最后导致设备内存耗尽,网络瘫痪 三层环路的影响:因为有了ip头部的ttl字段的作用,...
  • Mac地址表、STP与RSTP原理

    千次阅读 2020-02-07 09:14:36
    Mac地址:交换机转发二层帧的数据库 结构:VLAN+来源+Mac地址+接口 表建立:交换机会把数据帧进入接口的源Mac记录,一个接口可以记录多个Mac。 表老化:表项中的每个记录计时器舒心都有计时器(300s),计数器...
  • 交换机特性的简单介绍

    千次阅读 2020-02-14 11:00:40
    目录: 交换机的简单介绍 企业网络的高级解决方案 ... MAC地址学习 数据帧转发 防环路 交换机的转发原理 VLAN的简单介绍 1.端口类型:用于识别VLAN帧,每种端口类型均可配置一个缺省VL...
  • A-1华为堆叠 iStack,全称Intelligent Stack,智能堆叠,适用于S2700、S3700、S5700和S6700中低端交换机。 根据连接介质的不同堆叠方式可以分为:堆叠卡堆叠和业务口堆叠。 堆叠卡堆叠 堆叠卡堆叠又可以分为以下...
  • 交换机在接收到TC-BPDU报文后,会执行MAC地址表项和ARP表项的删除操作,如果有人伪造TC-BPDU报文恶意***交换机交换机短时间内会收到很多TC-BPDU报文,频繁的删除操作会给交换机造成很大的负担,给网络的稳定性带来...
  • 交换机巡检中的dis命令

    千次阅读 2019-05-18 10:19:00
    如果设备拓扑变化次数递增,则可以确定网络存在震荡。 □合格 □不合格 □不涉及 TC/TCN报文收发计数 执行 display stp tc-bpdu statistics 命令。 查看实例端口的TC/TCN报文收发计数。...
  • 2.2.2环路会引起的问题 2.2.3STP的作用 2.2.4BPDU报文 2.2.5生成树算法的步骤 三、如何选择根网桥 四、如何选择根端口 五、如何选择指定端口 一、前言 为了更加了解交换机的技术,那么今天我们将交换机...
  • 基于MAC地址的安全配置与管理

    万次阅读 2018-04-17 10:16:50
    在二层交换网络中,是通过依靠保存在交换机中的MAC地址表来进行寻址的,这时如果控制交换机中存储的MAC地址表就可以控制一些非法设备的接入,让其他设备不能与他进行通信。在华为S系列交换机中,为了实现这个目的...
  • 10. 以太网交换机的生成树协议STP10.1 课后练习11. 虚拟局域网11.1 虚拟局域网VLAN概述11.1.1 课后练习11.2 虚拟局域网VLAN的实现机制11.2.1 IEEE 802.1Q帧11.2.2 交换机的端口类型11.2.3 课后练习 10. 以太网交换机...
  •     由交换机连接而成的以太网,可能会因为链路故障等原因造成无法通信的情况。     比如A和B间的链路发生了故障,则主机H1就不能和主机H2、H3通信了。     但如果在B和C之间添加一条冗余线路,那么...
  • 一、交换机的行为 交换机的行为无非分为接收数据、发送数据;任何流量在一个交换机内部转发时必须携带标签;PC接收到的流量必须为正常流量,不识别携带标签的流量。 接收数据 流量进入一个接口时,先看该流量是否...
  • 华为交换机STP的配置

    万次阅读 2015-12-08 21:24:56
    也就是说如果交换机之间用一条链路互连,那么一旦一条链路出了问题,将会导致整个网络的瘫痪,为了防止这种情况,交换机之间用多条链路互连,当一条链路故障时,还可以通过其他链路发送数据帧(是不是和电路交换/...
  • 在局域网中,为了实现冗余,往往会有如图所示的拓扑,在这种拓扑中,会产生环路,二层环路往往是由于物理拓扑出现了环路,如3台交换机三角形连接,二层环路的出现会产生两个问题:广播风暴和mac地址表震荡: ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 563
精华内容 225
关键字:

交换机环路mac震荡