《H3C端口STPVRRP-双机热备基本.ppt》由会员分享,可在线阅读,更多相关《H3C端口STPVRRP-双机热备基本.ppt(72页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、,端口+STP+VRRP基础知识介绍,第一部分 端口 通过图例的方式复习交换机端口对报文的处理方式,他们对报文的入和出是怎样处理的呢?他们和PVID在实际组网 中又容易出现哪些问题呢? 以下我们将用几个例子来列举出他们之间的关系.,access、trunk、hybrid和PVID,问主机A能PING通主机B吗?,复习知识: trunk,access端口同PVID对报文出入是怎样进行打标记的. 复习目标: 通过复习理解,对实际网络中出现的端口问题能迅速排查.,问:主机B能PING通主机A吗?,复习知识: Hybrid端口当配置为untagged时对报文是怎样处理的.,主机B能ping通主机A吗?
2、,复习知识: Hybrid端口当配置为tagged时对报文是怎样处理的.,交换机端口接收数据帧的处理规则,首先,我们要明白交换机的一点原理: 为了快速高效处理,交换机内部的数据帧一律都带有VLAN标签, 以统一方式处理 . 1. Access端口 (1)收到一个二层帧 (2)判断是否有VLAN标签:没有则转到第3步,有则转到第4步 (3)打上端口的PVID,并进行交换转发 (4)若VLAN标签和PVID一致,转发VLAN帧;否则直接丢弃 2. trunk端口 (1)收到一个二层帧 (2)判断是否有VLAN标签:没有则转到第3步,有则转到第4步 (3)打上端口的PVID,并进行交换转发 (4)判
3、断该trunk端口是否允许该VLAN帧进入:允许则转发,否则直接丢弃 (注意:trunk口允许或不允许VLAN帧,是对进入的帧而言的,对出去的帧没有限制。),3. hybrid端口 (1)收到一个二层帧 (2)判断是否有VLAN标签:没有则转到第3步,有则转到第4步 (3)打上端口的PVID,并进行交换转发 (4)判断该hybrid端口是否允许该VLAN帧进入:允许则转发,否则 直接丢弃 可以看到,trunk口和hybrid口对接收到的数据帧的处理规则是一样的。,交换机端口转发数据帧的处理规则,1. Access端口 (1)将二层帧的VLAN标签剥离,直接发送出去 2. trunk端口 (1)
4、比较端口的PVID和将要发送二层帧的VLAN标签 (2)如果两者相等则转到第3步,否则转到第4步 (3)剥离VLAN标签,再发送 (4)直接发送 3. hybrid端口 (1)用“dis interface”命令,可以查到hybrid端口对哪些VLAN是untag, 哪些VLAN是tag。 以此来判断进入hybrid口的VLAN帧,是属于untag VLAN,还是tag VLAN。 (2)如果属于untag VLAN则转到第3步,如果属于tag VLAN则转到第4步 (3)剥离VLAN标签,再发送 (4)直接发送,第二部分 协议,引入,STP/RSTP/MSTP的作用 在二层网络上形成树状网络
5、拓扑结构,避免环路。 二层网络环路的危害 1.广播风暴(没有三层网络的TTL机制)。 2.MAC地址学习错误。 二层网络的健壮性 STP可以增强网络健壮性,避免单点故障,单链路故障。,STP的基本概念,STP通过阻塞适当的端口来避免环路 如图中,在使能了STP后,SW3的B端口不再转发流量,从而达到修剪冗余链路的目的,一些概念: 根桥/指定桥 指定端口 根端口 根路径开销 端口ID,STP的基本概念,一个根桥 对于一个STP网络,根桥有且只有一个。它是整个网络的逻辑中心,但不一定是物理中心。根据网络拓扑的变化,根桥可能改变。 STP交换机之间通过比较BID(桥ID)来选举根桥。,STP的基本概
6、念,拥有最小BID的交换机被选举为根桥 每个交换机上根路径开销最小的端口将成为根端口,图3,STP的基本概念,三要素的选举 从一个初始的有环拓扑生成树状拓扑,总体来说有三个要素:根桥、根端口和指定端口。 根桥是全网意义上的。通过交换特殊的协议报文,网络中很快就会对最小的BID达成一致。 所谓根端口,是指一个非根桥的STP交换机上离根桥最近的端口,这个端口的选择标准是根路径开销。,STP的基本概念,三要素的选举 关于指定端口 在每一个运行STP交换机上(根桥除外),端口都有三类:根端口、指定端口、非根非指定端口;根桥上没有根端口。 指定端口的概念是针对于某网段(Segment)的,是流量从根桥方
7、向来而从这个端口转发“出去”。,STP的基本概念,四条比较原则 STP选举有4个比较原则,构成消息优先级向量: 根桥ID,累计根路径开销,发送交换机BID,发送端口PID STP交换机协议采用特殊的协议报文(又称协议数据单元,Bridge Protocol Data Unit)来交互信息,这种特殊的消息称为“配置消息(Configuration Message)”或者一般简称之BPDU。 消息优先级向量就是携带在配置BPDU中的。,STP的基本概念,四条比较原则 配置BPDU中携带本端口的信息,主要信息如下表:,STP的基本概念,最低BID。用来选根桥。 最小的累计根路径开销。用来在非根桥上选
8、择根端口,在根桥上每个端口到根桥的根路径开销都是0。,图4,STP的技术细节,根桥的选择 由于每个桥都认为自己是根桥,所以在每个端口所发出的BPDU中,根桥字段都是用各自的BID填充。 BPDU会按照Hello Time指定的时间间隔来发送,默认的时间为2秒。 当发送BPDU的时候,填充Root BID字段的是“当前我所认为的根桥”的BID。 通过交互,交换机之间比较Root BID,最后可以得出一个最好的BID,达成一致。,STP的技术细节,根端口的选择 每个非根桥STP交换机都要选择一个根端口,根端口对于一个交换机来说有且只有一个。 其本质是“距离根桥最近的端口”,这个最近的衡量是靠累计根
9、路径开销来判定的,STP的技术细节,指定端口的选择 在网段上抑制其他端口(无论是自己的还是其他网桥的)发送BPDU的端口,就是该网段的指定端口。在收敛后,只有指定端口和根端口可以处于转发状态。 在一个网段上拥有指定端口的交换机被称作该网段的指定桥。,STP的技术细节,稳定之后 在拓扑稳定之后,根桥仍然按照Hello Time间隔发出配置BPDU。 其他非根桥交换机仅仅在收到上一级过来的BPDU,才会触发发出BPDU。如果有必要,则根据BPDU里面的信息更新自己相应端口的。,第三部分 VRRP,Vrrp技术,用VRRP实现虚拟路由器,VRRP(Virtual router redundancy
10、protocol, 虚拟路由器冗余协议)提供了局域网上的设备备份机制,VRRP技术,VRRP定义了一种报文:VRRP报文,是组播报文 VRRP定义了三种状态: 初始状态(Initialize) 活动状态(Master) 备份状态(Backup) VRRP报文封装在IP报文上,VRRP原理,从备份组的交换机中选举主交换机: 默认情况下选择优先级最大的为主交换机,其它交换机作为备份交换机 主交换机定期发送VRRP报文 如果备份交换机长时间没有收到主交换机报文,则将自己状态改为Master 若有多台备份交换机,则根据接收的VRRP报文,选举优先级最大的交换机成为新的主交换机,STP/VRRP/OSP
11、F实例分析,学习目标:,1.生成树协议常见问题分析 2.VRRP协议及问题分析 3.典型组网分析,第一部分 生成树协议,问题1:哪个端口将被阻断? 问题2:如果所有的PathCost都相同,哪个端口将被阻断?,复习重点: STP通过BPDU(Bridge Protocol Data Unit)报文来学习网络拓扑结构。 指定端口同可选端口怎么比较.,如何决定BPDU配置消息的优劣,比较RID(Root Bridge ID),确定网络同步。 RID相同,比较Path Cost(到根桥距离),越小越优。 RID/Path Cost相同,比较指定桥的BID (Designated Bridge ID)
12、,越小越优。 RID/Path Cost/DBID相同,比较指定端口的ID (Designated Port ID),越小越优。,如何确定根桥,根桥BID(网桥ID)最小的网桥定为根桥。 BID网桥的优先级+网桥MAC。 网桥的优先级为可配置,缺省值为32768。 在缺省情况下,根桥将由MAC地址最小的网桥担任。,STP协议简介,常用概念 根桥(Root Bridge)桥ID最小的网桥。其中桥ID是由网桥的优先级和网桥的MAC组成。 根端口(Root Port)这个端口到达根桥的路径是该端口所在网桥到达根桥的最佳路径。全网中只有根桥是没有根端口的。 指定端口(Designated Port)每
13、一个网段选择到根桥最近的网桥作为指定网桥,该网桥到这一网段的端口为指定端口。 可选端口(Alternate Port)既不是 指定端口,也不是根端口的端口。,确定网桥端口角色,BPDU报文中总是携带网桥到根桥的最优值。 通过BPDU配置消息来决定端口的角色: 根端口:网桥各个端口中到根桥最近的端口。 指定端口:网桥的端口发送的BPDU配置消息较接收的BPDU配置消息更优,则端口为指定端口。 可选端口:网桥的端口发送的BPDU配置消息较接收的BPDU配置消息更差,则端口为可选端口。,请问这样的组网STP会生效?,复习重点: 1.STP通过BPDU(Bridge Protocol Data Uni
14、t)报文来学习网络拓扑结构。 2.BPDU报文的目标MAC地址为:01-80-C2-00-00-00.,请问这样的组网会有什么问题?,复习重点: 1.只在端口关闭STP功能,BPDU报文将会被丢弃. 2.没有运行STP协议的网桥将把BPDU报文当作普通业务报文转发。 3.我们的交换机就算配置三层地址,但是大家也要记住它只是被加入了 VLAN-Interface里,它的二层特性并未改变.一样可以将BPDU报文发送.,SpeedLink type802.1D cost802.1t cost 10MbpsHalf Duplex1002,000,000 Full Duplex951,999,999 A
15、ggregated link901,000,000 100MbpsHalf Duplex19200,000 Full Duplex18199,999 Aggregated Link15100,000 1000MbpsFull Duplex420,000 Aggregated Link310,000,复习重点: 很多时候我们经常会遇到H3C交换机同其它友商交换机STP选路错误的问题, 问题常常是因为各个厂商的PATH COST标准不同.,第二部分 VRRP协议,VRRP的技术细节,虚拟路由器的VRID(virtual router identifier) 用来标识虚拟路由器,取值范围1-255,
16、虚拟路由器的MAC地址 00-00-5e-00-02-xx xx为vrid值,虚拟路由器的IP Address 虚拟路由器使用的ip地址,虚拟路由器的priority 用来标识运行VRRP协议路由器对应VRID的优先级 取值范围0-255 1-254是备份路由器可以配置的范围 缺省值为100,Internet,VRID 1:Priority 110:Virtual IP fe80:1,Master,Backup,IP address fe80:2,IP address fe80:3,VRID 1:Priority 100:Virtual IP fe80:1,图例一,图例二,复习重点: 1.VR
17、RP在什么情况下会进行主备切换. 2. VRRP与静态路由配合时容易忽略的地方.,典型组网分析,政府机关、集团公司总部等对网络可用性很高的单位往往采用双机热备份 方案来组网,2层交换机的2条千兆链路分别上行到主备85,主备85应 用VRRP为用户PC提供虚拟网关,应用STP来切断冗余链路组成的环路。,综合组网应用,Quidview 网络管理平台,双机热备份组网常用的组网图:,双机组网的特点: 在单机树型组网中,在网络设备受到病毒等恶意攻击时,一般表现为网络 访问速度变慢或很慢. 但是在双机热备份组网中,由于存在物理环路,设备在受到攻击时很容易 造成STP的BPDU丢失从而使得STP计算错误,不
18、能正确切断物理环路,引 发广播风暴。另外2、3层交换机长时间受到巨量广播报文冲击,有时转发 芯片会失效,就是在广播风暴消失后也不能正常转发数据包,必须手工复位 交换机。因此,双机组网相比单机组网显得脆弱些,跟交换机本身稳定性反 而关系不是太大,其它厂商的交换机一样如此。所以,针对双机组网,必须 严格按照下面描述的步骤进行配置,提高网络的整体稳定性。,业务VLAN和虚接口地址的配置: 在接口上配置允许通过的VLAN 时,这里着重要说明的是千万不要对端口配 置trunk permit vlan all或trunk permit vlan 2 to 200之类,必须老老实实的一 个一个指定允许通过的
19、VLAN,也千万不要配置GVRP。切记,切记! 容易产生8字环!,VRRP配置 ping网关往往是诊断网络故障的第一步,所以在VRRP配置前,必须在全局模式 下先配置vrrp ping-enable,因为这个命令在配置VRRP后就不能再配置了。 主备85之间每一组VRRP都会以advertise配置的时间间隔发送报文,默认值是1 秒钟,如果有多个VRRP组,每秒同一时刻就会有较多的VRRP报文上CPU,为 了避免这种情况,可以将VRRP组分为4组,每组分别以则数时间间隔(2、3 、5、7秒)配置advertise,这样就可以使得VRRP报文分散上CPU。 VRRP通过priority来配置主备
20、,主备配置必须与STP的配置相一致,否则会 使得数据多经过1个交换机加重网络负荷。,STP的配置 主用85配置为STP的根,备用85配置为STP的备用根,一般不用设置STP的 模式,可以运行在默认的模式下。2层交换机强烈建议启用STP协议,只要直接启 用STP,不用进行其它STP配置。,按照前面VRRP和STP的配置,主备85是热备份方式,正常情况下备用85无任 何业务,只能在网络发生故障如主用85当机或2层交换机连接主用85的光纤 DOWN时,业务才会全部或部分切换到备用85。 有用户提出要进行主备85之间的负荷分担,如果2层交换机全部或部分支持MSTP, 负荷分担是完全可以实现的,只要配置
21、MSTP的几个实例,将不同的VLAN划分到 不同的实例中,配置不同的实例有不同的根,并相应配置VRRP的主用,这样不同 的实例走不同的85,起到负荷分担的作用. 但是在实际应用中,局域网的流量并不大,采用双机更多的是出于可靠性的考虑, 配置负荷分担并不能提高网络的性能,反而增加了配置的复杂性,潜在的也降低了 网络的稳定性,毕竟越是复杂稳定性越难以保证,所以一般情况下不建议配置主备 85之间的负荷分担。,VRRP+STP的配置,强制双工和速率的配置: 电接口的自协商功能稳定一些,一般采用自协商就可以了. 光接口由于光模块的兼容性稍差、某些线路光衰比较大等原因,有些端 口自协商会不成功,需要设置为
22、强制双工和强制速率。,防病毒ACL的配置 病毒攻击产生大量的报文冲击设备,造成网络振荡和设备故障, 所以必须在所有交换机配置防病毒ACL规则对病毒报文进行过虑如: acl name anti-virus advanced rule 42 deny tcp destination-port eq 135 rule 43 deny tcp destination-port eq 137 rule 44 deny tcp destination-port eq 138 rule 45 deny tcp destination-port eq 139 rule 46 deny tcp destinat
23、ion-port eq 593 rule 47 deny tcp destination-port eq 445 rule 48 deny tcp destination-port eq 4444 rule 49 deny udp destination-port eq netbios-ns rule 50 deny udp destination-port eq 445 rule 51 deny udp destination-port eq 1434 rule 52 deny udp destination-port eq 4444 rule 53 deny tcp destination
24、-port eq 1022 rule 54 deny tcp destination-port eq 1023 rule 55 deny tcp destination-port eq 5554 rule 56 deny udp destination-port eq 6666 rule 57 deny tcp destination-port eq 9996,交换网络排查步骤: 1.通过命令来查看STP状态 (display stp brief),在正常情况下应该有一个端口被 DISCARDING 掉.如果所有的端口都处于FORWARDING ,说明网络中 已经存在了环路. 2. 对一个形成
25、环路的每一个端口,使用display stp interface命令查看 BPDU收发报文数是否在增长 .如果BPDU报文的收有增长,一般情况下 网络几分钟后可以恢复正常.如果BPDU报文收发无正常,则很难自愈,应该 立即关闭备的交换机,让业务恢复正常.3.网络正常后,可以查看各端口的流量和广播流量,如果某些端口广播流量 特别大,基本可以确定下挂的PC被病毒感染,可以通过端口镜像抓包来确 认;,STP配置保护功能及单端口环路监测介绍,边缘端口,边缘端口是指:不直接与任何设备连接,也不通过端口所连接的网络间接与任何设备相连的端口。 用户如果将某个端口指定为边缘端口,那么当该端口由堵塞状态向转发状
26、态迁移时,这个端口可以实现快速迁移,而无需等待延迟时间。 配置命令:Sysname-Ethernet1/1/1 stp edged-port enable 千万小心:删除边缘的端口命令! Sysname-Ethernet1/1/1undo stp edged-port,BPDU保护功能产生背景,当边缘端口接收到配置消息(BPDU报文)时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑的震荡。这些端口正常情况下应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击设备,就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。,STP-Edged Port,BPDU保护功
27、能处理流程,交换机上启动了BPDU保护功能以后,如果边缘端口收到了配置消息,系统就将这些端口关闭,同时通知网管这些端口被STP关闭。被关闭的边缘端口只能由网络管理人员恢复。 配置命令:Sysname stp bpdu-protection,STP-Edged Port,Root保护功能产生背景,由于维护人员的错误配置(例如网桥优先级修改)或网络中的恶意攻击,合法根桥有可能会收到优先级更高的配置消息,这样当前根桥会失去根桥的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞。Root保护功能可以防止这种情况的发生。,Root保护功
28、能处理流程,对于设置了Root保护功能的端口,其在所有实例上的端口角色只能保持为指定端口。一旦这种端口上收到了优先级高的配置消息,即其将被选择为非指定端口时,这些端口的状态将被设置为Discarding状态,不再转发报文(相当于将与此端口相连的链路断开)。当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。 配置命令:Sysname-Ethernet1/1/1 stp root-protection,指定主备根桥,用户也可以通过设备提供的命令来指定当前设备为根桥。 配置命令:Sysname stp instance instance-id root primary bridg
29、e-diameter bridgenum hello-time centi-seconds ,指定主备根桥(续),设置当前设备为根桥或者备份根桥之后,用户不能再修改设备的优先级。 当前设备在各棵生成树实例中的角色互相独立,它可以作为一棵生成树实例的根桥或备份根桥,同时也可以作为其他生成树实例的根桥或备份根桥;在同一棵生成树实例中,同一台设备不能既作为根桥,又作为备份根桥。 当根桥出现故障或被关机时,备份根桥可以取代根桥成为指定生成树实例的根桥;但是此时如果用户设置了新的根桥,则备份根桥将不会成为根桥。如果用户为一棵生成树实例配置了多个备份根桥,当根桥失效时,MSTP将选择MAC地址最小的那个备
30、份根桥作为根桥。,Root保护和指定主备根桥的区别,配置Root保护功能与指定主备根桥的作用一样码?,环路保护功能产生背景,依靠不断接收上游设备发送的BPDU报文,设备可以维持根端口和其他阻塞端口的状态。但是由于链路拥塞或者单向链路故障,这些端口会收不到上游设备的BPDU报文,此时下游设备会重新选择端口角色,收不到BPDU报文的下游设备根端口会转变为指定端口,而阻塞端口会迁移到转发状态,从而交换网络中会产生环路。环路保护功能会抑制这种环路的产生。,环路保护功能处理流程,对于配置了环路保护的端口,如果发生链路拥塞或者单向链路故障,接收不到上游设备发送的BPDU报文,环路保护生效,则根端口的角色变
31、为指定端口,端口的状态为Discarding状态;阻塞端口同样也变为指定端口,端口状态为Discarding状态,不转发报文,从而不会在网络中形成环路。 配置命令:Sysname-Ethernet1/1/1 stp loop-protection,环路保护功能流程演示,根端口,指定端口,阻塞端口,forwarding,指定端口,环路保护生效端口discarding,BPDU,指定端口,防止TC-BPDU报文攻击的保护功能,设备在接收到TC-BPDU报文后,会执行MAC地址表项和ARP表项的删除操作。在有人伪造TC-BPDU报文恶意攻击设备时,设备短时间内会收到很多的TC-BPDU报文,频繁的删
32、除操作给设备带来很大负担,给网络的稳定带来很大隐患。 防止TC-BPDU报文攻击的保护功能使能后,设备在收到TC-BPDU报文后的一定时间内(一般为10秒),只进行一次删除操作,同时监控该时间段内是否收到TC-BPDU报文。如果在该时间段内收到了TC-BPDU报文,则设备在该时间超时后再进行一次删除操作。这样可以避免频繁的删除MAC地址表项和ARP表项。 配置命令:Sysname stp tc-protection enable,注意事项,BPDU保护、Root保护、环路保护这三种保护功能的支持情况与设备的型号有关,请以设备的实际情况为准。 不同的交换机、不同的版本对TC-Protection
33、缺省是否打开不一致。 其它保护功能缺省均未打开。 在对一个端口进行配置的时候,在环路保护功能、Root保护功能或者边缘端口设置三个配置中,同一时刻只能有一个配置生效。,单端口环路检测产生背景,边缘交换机下接桥设备,桥的两个端口可能因为种种原因形成环路,造成从该交换机口出去的报文又从该端口收到形成环路。对于交换机来说,该环路是在交换机的一个端口上产生,标准STP无法解决该问题。,交换机,二层交换设备,接口人为环路或设备内部自环,单端口环路检测功能介绍,开启端口环回监测功能定时(缺省30S)监测各个端口是否被外部环回。如果发现某端口被环回,交换机会将该端口处于受控工作状态,删除该端口对应的MAC地
34、址转发表项,并向终端上报Trap信息。但是端口的物理状态仍然为UP。配置命令: Sysname-Ethernet1/1/1 loopback-detection enable,交换机,二层交换设备,接口被人为环路或设备内部自环,单端口环路检测报文,单端口环路检测功能介绍(续一),存在问题: 边缘交换机的上行口会检测到其它分支上有环路存在,系统将上行端口受控,这样内网PC均无法访问Internet。,交换机1,交换机2,三层交换机,二层交换设备,PC,单端口环路检测功能介绍(续二),解决办法: 目前低端交换机作为边缘交换机使用时缺省打开单端口环路检测功能。但是,必须手动关闭上行端口检测功能或关闭受控。 配置命令: Sysname-Ethernet1/1/1 undo loopback-detection enable 或: Sysname-Ethernet1/1/1 undo loopback-detection control enable,H3C技术有限公司 www.huawei-,Q&A,