企业内部网路怎么防止网络出现环路?

zz/2024/4/13 15:33:26

企业内部网路怎么防止网络出现环路?学会STP生成树协议就可以解决啦!
 

图片

STP简介 

在二层交换网络中,一旦存在环路就会造成报文在环路内不断循环和增生,产生广播风暴,从而占用所有的有效带宽,使网络变得无法 正常通信。
在这种环境下生成树协议应运而生,生成树协议是一种二层管理协议,它通过有选择性的阻塞网络冗余链路来达到消除网络二层环路的目的,同时具备链路备份功能。
生成树协议和其他协议一样,是随着网络的不断发展而不断更新换代的。最初被广泛应用的是IEEE 802.1D-1998 STP(

Spanning Tree Protocol,生成树协议),随后以它为基础产生了IEEE 802.1w RSTP

(Rapid Spanning Tree Protocol,快速生成树协议)和IEEE 802.1s MSTP(Multiple Spanning Tree Protocol,多生成树协议)。

三种生成树协议的特点比较:

生成树协议特点应用场景
STP
  • 形成一棵无环路的树,解决广播风暴并实现冗余备份。

  • 收敛速度较慢。

      无需区分用户或业务流量,所有VLAN共享一棵生成树。
RSTP
  • 形成一棵无环路的树,解决广播风暴并实现冗余备份。

  • 收敛速度较快。

MSTP
  • 形成一棵无环路的树,解决广播风暴并实现冗余备份。

  • 收敛速度较快。

  • 多棵生成树在VLAN间实现负载均衡,不同VLAN的流量按照不同的路径转发。

      需要区分用户或业务流量,并实现负载分担。不同的VLAN通过不同的生成树转发流量,每棵生成树之间相互独立。

图片

STP实现说明

华为实现说明:

➱STP在交换机所有版本,所有形态都支持。

➱华为交换机默认STP模式是MSTP.需要运行STP或MST模式时,必须要手动配置。

➱华为交换机在STP模式下,使用的端口角色和RSTP是一样的,也就是说支持下面5种端口角色:指定端口、根端口、Alternate端口、Backup端口和边缘端口。

➱华为交换机在STP模式下,支持下面4种保护功能:BPDU保护、Root保护、环路保护和防TC-BPDU攻击保护。

➱版本差异说明:

  • 从V100R006版本开始,华为X7交换机全局默认使能STP功能。

  • V200R001版本及之后版本,开始支持边缘端口属性自动探测功能。即如果端口从未收到过BPDU报文,则边缘端口属性自动生效(端口下不会自动生成stp edged-port enable配置)。

  • V200R001版本及之后版本,如果端口已经配置stp edged-port enable,可以再配置根保护和环路保护,而其他版本会提示Error。

图片


 

图片

图片

其他厂商实现

➱ H3C

  • H3C交换机STP相关命令配置与S系列交换机基本没有差异。

  • H3C交换机默认采用legacy标准来计算路径开销,而S系列交换机默认为dot1t。在与S系列交换机对接时,建议配置相同的计算标准。

  • 某些H3C老形态设备,全局不使能STP或全局使能端口不使能STP时,端口收到BPDU报文后,可以当做普通组播数据报文在VLAN内转发。S系列交换机端口默认会丢弃。

Cisco

Cisco交换机所支持的生成树协议类型分别有:PVST(Per VLAN Spanning Tree)、PVST+(Per VLAN Spanning Tree Plus)、Rapid-PVST+(Rapid Per VLAN Spanning Tree Plus)和MST(Multiple Spanning Tree)。这几种生成树协议的某些BPDU报文采用其私有的报文格式,与IEEE标准的BPDU报文格式不一样。 

  • 当Cisco交换机运行私有的PVST+或Rapid-PVST+生成树协议时,与S系列交换机能否互通,取决于Cisco侧的端口链路类型:
    —— 如果端口链路类型为trunk且退出VLAN 1,与S系列交换机无法实现互通。Cisco侧端口在非VLAN 1中发送其私有的BPDU报文,S系列交换机默认不会处理该报文,当做普通组播数据报文进行转发,可以通过配置l2protocol-tunnel进行透传。S系列盒式交换机通过l2protocol-tunnel透传PVST+报文时,全局需要配置bpdu mac-address 0100-0ccc-cccd。
    —— 如果端口链路类型为trunk而且加入VLAN 1,只可以在VLAN 1中与S系列交换机互通。
    —— 如果端口链路类型为access,可以与S系列交换机互通。

  • 当Cisco交换机运行MST协议时,可以理解为标准的MSTP模式,可以与S系列交换机互通。但是需要注意:在使用MSTP协议的S系列交换机与使用MST的Cisco交换机采用相同的域配置(域名、修订级别、VLAN与实例的映射关系)的情况下,要想实现域内互通,需要在S系列交换机端口配置摘要侦听功能stp config-digest-snoop。这是两者由于采用不同的密钥来生成MSTP的摘要信息,因此端口发送的BPDU报文中的摘要信息不同。由于摘要信息不同,则属于不同的MST域,会进行域间互通。

※   注意一下介绍的STP是狭义的STP,即 IEEE 802.1D-1998 中定义的STP协议。

图片

STP原理

协商原则:

STP协议是根据4个维度进行选举协商的,设备之间通过发送BPDU报文,经过4个维度的比较,最终会阻塞综合能力最差的端口。

选举维度(桥ID,累计根路径开销,发送设备BID,发送端口PID)

维度 定义作用
桥IDBID(Bridge ID),是由16位的桥优先级(Bridge Priority)与桥MAC地址构成。BID桥优先级占据高16位,其余的低48位是MAC地址。确定根桥。桥ID最小的设备会被选举为根桥。
累计根路径开销某端口到根桥累计的路径开销就是所经过的各个桥上的各端口的路径开销累加而成。

选举根端口、指定端口和阻塞端口时使用。

发送设备BID

发送BPDU报文的桥ID。

选举根端口、指定端口和阻塞端口时使用。
发送端口PID

发送BPDU报文的端口ID。

PID由两部分构成的,高4位是端口优先级,低12位是端口号。

只在存在Backup端口时使用。

图片

角色和状态

经过4个维度的比较,最终会协商出端口的角色和状态,确定报文流量的转发路径。STP角色的定义,如图所示:

图片


➱根桥:就是桥ID最小的设备。桥ID是由16位的桥优先级与桥MAC地址构成。BID桥优先级占据高16位,其余的低48位是MAC地址。华为交换机默认桥优先级都是32768。所以在不修改桥优先级时,MAC地址最小的设备就是根桥。

➱指定端口:就是负责转发BPDU报文的端口。根桥上的端口都是指定端口。该端口可以正常转发流量。

图片

➱根端口:就是去往根桥路径开销最小的端口。该端口可以正常转发流量。

图片

➱阻塞端口:就是禁止转发流量的端口。

图片


从上面的官方定义,可以看出:STP协商完成后,端口要么被阻塞,要么正常转发报文。其实在STP进行协商的过程中,是有一些中间状态的。

端口状态目的说明
Forwarding  端口既转发用户流量也处理BPDU报文。只有根端口或指定端口才能进入Forwarding状态。
Learning 设备会根据收到的用户流量构建MAC地址表,但不转发用户流量。  过渡状态,增加Learning状态防止临时环路。 
Listening 确定端口角色,将选举出根桥、根端口和指定端口。 过渡状态。 
Blocking 端口仅仅接收并处理BPDU,不转发用户流量。 阻塞端口的最终状态。 

图片

报文格式

STP协议报文是通过BPDU报文封装的,目的MAC是组播MAC:01-80-C2-00-00-00,封装格式是IEEE 802.3。
 

图片

图片

BPDU报文处理流程

BPDU报文的分类:
➱配置BPDU报文:根据Flags标记位,分为3类

  • 第一类配置BPDU报文: Flags的TCA和TC位都置为0的配置BPDU报文

  • 第二类配置BPDU报文: Flags的TCA和TC位都置为1的配置BPDU报文

  • 第三类配置BPDU报文:Flags的TCA位置为0,TC位置为1的配置BPDU报文

➱TCN BPDU报文:BPDU Type为0x80的BPDU报文,叫做TCN BPDU报文

BPDU报文的处理流程

图片

图片

BPDU报文格式

➱配置BPDU报文:BPDU Type为0x00的BPDU报文,都叫做配置BPDU报文

  1. 第一类配置BPDU报文: Flags的TCA和TC位都置为0的配置BPDU报文
    该报文用于STP状态的协商和维持。具体报文格式如下:
     

    图片

  2. 第二类配置BPDU报文: Flags的TCA和TC位都置为1的配置BPDU报文
    该报文用于通知下游设备停止发送TCN BPDU报文。具体报文格式如下:
     

    图片

  3. 第三类配置BPDU报文: Flags的TCA位置为0,TC位置为1的配置BPDU报文
    该报文用于通知下游设备删除MAC地址表项。具体报文格式如下:

    图片


     

➱TCN BPDU报文:BPDU Type为0x80的BPDU报文,叫做TCN BPDU报文,用于通知上游设备网络拓扑变更。具体报文格式如下:

图片


使用注意事项

➱盒式交换机需要通过“bpdu enable”使能BPDU报文上送CPU处理的功能,才能使STP报文上送CPU处理,否则STP状态无法收敛。

V100R005及之前版本,在S2700系列设备,检查全局是否配置bpdu enable;其他系列盒式交换机,检查物理端口、Eth-trunk接口下是否配置bpdu enable。

V100R006及后续版本,对应形态设备全局或端口默认使能bpdu enable。

➱Eth-Trunk接口使能STP时,建议修改Eth-Trunk接口的cost值使其小于物理端口的cost值,使其不易协商为备份端口。一是因为Eth-Trunk接口的开销为单个成员接口的开销除以成员接口数量,当成员口状态变化时Eth-trunk接口的cost值会变化;二是cost值越小说明链路质量越高。
➱通过命令“display stp brief”查看端口状态时,只会显示使能STP且UP的端口。

➱可以通过修改路径开销和发送者的BID,选择阻塞指定的端口。

图片

配置举例

组网需求

图片



如图所示,当前网络中SwitchA、SwitchB、SwitchC和SwitchD通过环形组网备份链路。希望通过运行生成树协议阻塞端口,将环形网络结构修剪成无环路的树形网络结构。
 

➱在主链路故障时,对切换到备份链路的时间要求不高,要求配置简单,所以这里使用STP模式。
➱ SwitchA设备的性能较高,希望作为根桥,SwithB为备份根桥。
➱SwtichC和SwitchD设备连接用户,希望阻塞SiwtchC和SwitchD之间的链路。
➱SwitchC和SwitchD连接用户的接口GE0/0/3不要参与STP计算。

图片

配置思路

采用如下的思路配置STP:

1. 配置模式是STP模式。

2. 配置SwitchA为根桥,SwitchB为备份根桥。

3. 统一使用默认路径开销。华为交换机默认的路径开销计算标准使用的是标准的dot1t。GE接口默认路径开销是20000,而Ethernet接口默认路径开销是200000。注意:eNSP模拟器中,STP的路径开销默认是1。

4. SwitchC和SwitchD的GE0/0/3端口去使能STP协议。

5. SwitchA、SwitchB、SwitchC和SwitchD使能STP协议。

图片

操作步骤

步骤1:配置模式为STP模式。

<HUAWEI> system-view

[HUAWEI] sysname SwitchA

[SwitchA] stp mode stp 

<HUAWEI> system-view

[HUAWEI] sysname SwitchB

[SwitchB] stp mode stp 

<HUAWEI> system-view

[HUAWEI] sysname SwitchC

[SwitchC] stp mode stp 

<HUAWEI> system-view

[HUAWEI] sysname SwitchD

[SwitchD] stp mode stp 

步骤2:配置SwitchA为根桥,SwitchB为备份根桥。

[SwitchA] stp root primary   //也可以使用命令stp priority 0 配置优先级为0,和stp root primary的作用是一样的。 

[SwitchB] stp root secondary  //也可以使用命令stp priority 4096 配置优先级为4096,和stp root secondary的作用是一样的。

步骤3:去使能SwitchB和SwitchC设备GE0/0/3端口的STP功能。

[SwitchC] interface gigabitethernet0/0/3[SwitchC-GigabitEthernet0/0/3] stp disable[SwitchC-GigabitEthernet0/0/3] quit 

[SwitchD] interface gigabitethernet 0/0/3[SwitchD-GigabitEthernet0/0/3] stp disable [SwitchD-GigabitEthernet0/0/3] quit 

步骤4:全局使能STP功能。

华为X7系列交换机默认是使能,该步骤可以省略。

[SwitchA] stp enable 

[SwitchB] stp enable 

[SwitchC] stp enable 

[SwitchD] stp enable 

步骤5:验证配置结果。

 查看STP简要信息,通过STP简要信息可以快速的看出端口的角色和状态。

图片

图片

操作步骤

步骤1:配置模式为STP模式。

<HUAWEI> system-view

[HUAWEI] sysname SwitchA

[SwitchA] stp mode stp 

<HUAWEI> system-view

[HUAWEI] sysname SwitchB

[SwitchB] stp mode stp 

<HUAWEI> system-view

[HUAWEI] sysname SwitchC

[SwitchC] stp mode stp 

<HUAWEI> system-view

[HUAWEI] sysname SwitchD

[SwitchD] stp mode stp 

步骤2:配置SwitchA为根桥,SwitchB为备份根桥。

[SwitchA] stp root primary   //也可以使用命令stp priority 0 配置优先级为0,和stp root primary的作用是一样的。 

[SwitchB] stp root secondary  //也可以使用命令stp priority 4096 配置优先级为4096,和stp root secondary的作用是一样的。

步骤3:去使能SwitchB和SwitchC设备GE0/0/3端口的STP功能。

[SwitchC] interface gigabitethernet0/0/3[SwitchC-GigabitEthernet0/0/3] stp disable[SwitchC-GigabitEthernet0/0/3] quit 

[SwitchD] interface gigabitethernet 0/0/3[SwitchD-GigabitEthernet0/0/3] stp disable [SwitchD-GigabitEthernet0/0/3] quit 

步骤4:全局使能STP功能。

华为X7系列交换机默认是使能,该步骤可以省略。

[SwitchA] stp enable 

[SwitchB] stp enable 

[SwitchC] stp enable 

[SwitchD] stp enable 

步骤5:验证配置结果。

 查看STP简要信息,通过STP简要信息可以快速的看出端口的角色和状态。

图片

图片

配置文件月

SwitchA的配置文件

#

sysname SwitchA

#

stp mode stp

stp instance 0 root primary

#

return

SwitchB的配置文件

#

sysname SwitchB

#

stp mode stp

stp instance 0 root secondary

#  

return  

SwitchC的配置文件

#

sysname SwitchC  

#  

stp mode stp

#  

interface GigabitEthernet0/0/3

 stp disable

#  

return  

SwitchD的配置文件

#

sysname SwitchD

#  

stp mode stp

#  

interface GigabitEthernet0/0/3

 stp disable

#  

return

图片

欢迎关注微信公众号【厦门微思网络】。www.xmws.cn专业IT认证培训19周年
主要课程:思科、华为、红帽、ORACLE、VMware、CISP、PMP等认证培训及考试


http://www.ngui.cc/zz/1545172.html

相关文章

STP生成树协议切割网络环路

一、适用场景 在一个复杂的网络中&#xff0c;网络规划者由于冗余备份的需要&#xff0c;一般都倾向于在设备之间部署多条物理链路&#xff0c;其中一条作主用链路&#xff0c;其他链路作备份。这样就难免会形成环形网络&#xff0c;若网络中存在环路&#xff0c;可能会引起广…

bpduguard使用在接着虚拟机的服务器上,避免网络环路:STP和VMware vSwitch

STP是一个古老的协议&#xff0c;把它从故纸堆里扒出来是因为对理解现而今的数据中心网络的防环还是有一定帮忙的。在VMware环境中&#xff0c;VM连接的网络是虚拟的&#xff0c;是否会有环路吗&#xff1f;STP(Spanning Tree Protocol)是生成树协议的英文缩写。该协议可应用于…

公寓宽带服务器无响应,利用RLDP协议解决网络环路故障

在接入网络中&#xff0c;终端用户水平参差不齐&#xff0c;特别是在学生公寓中私接乱拉的情况比较普遍&#xff0c;很容易产生环路&#xff0c;造成局部网络瘫痪。虽然通过生成树协议能够解决部分环路的问题&#xff0c;但是受设备功能等其他方面制约&#xff0c;依然存在一些…

OVS:网络环路 广播风暴解决方案

OVS独立工作&#xff0c;不连接SDN控制器 出现环路&#xff0c;解决方案&#xff1a;虚拟交换机与物理交换机构成二层环路&#xff08;比如虚拟交换机包含两块网卡&#xff0c;而这两块网卡都连接到物理交换机上&#xff0c;就是一个环路&#xff09;&#xff0c;一旦有广播报文…

快速解决局域网网络环路问题

在规模较大的局域网网络中&#xff0c;时常会遇到网络通道被严重堵塞的现象&#xff0c;造成这种故障现象的原因有很多&#xff0c;例如网络遭遇病毒***、网络设备发生硬件损坏、网络端口出现传输瓶颈等。不过&#xff0c;从网络堵塞现象发生的统计概率来看&#xff0c;网络中发…

【网络-实验】恐怖的网络环路

相信每一位初学网络的读者&#xff0c;在学习生成树协议时&#xff0c;心中都会有个疑惑&#xff0c;网络环路时啥样的呢&#xff1f;如何发生的?危害多大呢&#xff1f; 网络拓补 操作步骤 关闭生成树 目前交换机基本上都默认开启了生成树功能用于一定程度上应对网络环路&a…

网络环路原理及其影响

在这个拓扑图中&#xff0c;交换机就成了一个单点故障&#xff0c;如果交换机坏了&#xff0c;此时的几个模块之间都无法进行正常的工作&#xff0c;客户机不能访问服务器&#xff0c;不能连接 internet&#xff0c;不能访问打印机&#xff0c;反之都一样。所谓单点故障&#x…

交换机 网络环路

问题描述 同一个Cisco交换机交换机连接5台服务器&#xff0c;突然两台服务器网络断掉&#xff0c;其余3台服务器正常&#xff0c;从另外一台服务器从另一网段ssh进去&#xff1a; 排查问题&#xff0c;发现服务器配置正常&#xff0c;但是无法ping通网关 解决方法 这种情况很…

网络环路检测定位技术的发展过程

在从事多年的IT运维外包服务过程中&#xff0c;曾经遇到过无数次网络环路&#xff0c;它会引起网络里的广播风暴&#xff0c;耗尽交换资源&#xff0c;轻则某个部门断网&#xff0c;重则整个组织的网络瘫痪。 其中遇到最多的产生的网络环路的原因基本是以下两种情况&am…

内网环路怎么解决_记录一次局域网突发网络环路处理过程——全是血泪

这是自己做网络应急的一次过程描述&#xff1a;问题症状&#xff1a;1、网络内突然出现时断时续&#xff0c;丢包比较严重&#xff0c;无法操作业务2、PING网段虚地址比如62及两个实际地址60、61&#xff0c;时断时续3、核心交换机S1上到其他网络影响不大&#xff0c;问题主要集…