端口环路检测功能介绍.ppt

端口环路检测功能介绍,神州数码网络有限公司 何 龙 2014年7月,内容分类,Autelan Confidential,端口环路检测简述,随着交换机的发展，用户通过以太网交换机接入网络越来越多。在企业网中，用户通过二层以太网交换机接入网络，他们不仅有上internet的需求，同时内部二层互通的需求也相当迫切。当用户需要二层互通时，报文的转发直接通过MAC寻址，MAC地址学习的正确与否决定着用户之间是否能够正确的互通。在二层交换中，通过MAC地址寻址来进行报文转发。二层设备的MAC地址学习都是通过源MAC地址学习来进行的。即：当端口收到一个未知源MAC地址的报文，会将这个MAC添加到接收端口上，以便后续以该MAC地址为目的的报文能够直接转发，即一次学习，多次转发。,端口环路检测简述,当新来源MAC如果发现该MAC已经学习到了二层设备上，而源端口不一样，会修改原来MAC地址的源端口，也就是将原来的MAC地址移动到新的端口上来。因此当链路上存在环回情况时，最后会发现整个二层网络中的所有的MAC地址都移动到了存在环回的端口上了（大多的情况是MAC地址频繁在不同端口间切换），导致二层网络瘫痪。在网络中进行环路检测非常必要，具有重要的意义。,端口环路检测简述,端口环路检测简述,端口环路检测：为了能够及时发现二层网络中的环路，以避免对整个网络造成严重影响，需要提供一种检测机制，使网络中出现环路时能及时通知用户检查网络连接和配置情况，并能够自动关闭出问题的端口以消除环路，这种机制就是环路检测机制。 当网络中出现环路时，环路检测机制通过发送告警信息（trap）以通知用户，同时还可根据用户事先的配置来选择对出现环路的端口采取的动作。,端口环路检测原理,端口环路检测原理,环路检测原理：通过在设备的端口上发送一种特殊的报文，并检测该报文是否能够从本设备端口送回来，来确定这个端口下游是否存在环回情况。 因为网络是一个随时都有可能存在变动的对象，因此环路检测是一个持续的过程，也就是说，在设备上需要每隔一定时间间隔进行一次检测，来确定各个端口上是否存在环回，以及上次发现存在环回的端口上环回是否已经消失等情况。,端口环路检测报文,端口环路检测报文,环路检测报文的格式：,1、DMAC：01-80-C2-00-00-05(组播)或00-03-0F-00-00-03(单播) 00-03-0F-00-00-03(单播):目前我们的mrpp、cluster以及端口环路检测三个模块所使用的mac地址是通过从vendor文件中取出私有mac池的起始地址，然后根据起始地址进行偏移来确定的，以DCN为例： DCN的私有mac地址池的起始地址为00-03-0f-03-00-00，根据计算规则， Cluster DP mac为00-03-0f-03-00-00 Cluster DR mac为00-03-0f-03-00-01 MRPP mac为00-03-0f-03-00-02 Loopback Detection mac为00-03-0f-03-00-03,端口环路检测报文,01-80-C2-00-00-05(组播)：BF57707 在原先单播报文的基础上增加了组播探测报文，DMAC为01-80-C2-00-00-05 2、SMAC：CPU MAC 环路检测是通过CPU收发报文来进行，因此，CPU对于收到的报文，必须能够识别出是否本设备发送出去的检测报文，检测的标准是对比CPU收到报文的SMAC是否是本交换机的CPU MAC 3、vlan tag： 4字节组成，值得注意的是，后12bit位代表的是vid，但这里的vid值代表的不是环路检测的vlan id。真正代表环路检测的vlan id的字段应该是data字段中的第27-28字节(对于带tag的报文，对应其中的31-32字节),端口环路检测报文,4、type：DC 09 环路检测报文进入交换机时，根据报文的type字段，即DC 09来决定将报文送上CPU。同时判断报文 上送CPU的类型也是根据DC 09判断是否为loopback报文 5、port id 独立模式 7608： 端口5/2 portid： 07 00 00 02 堆叠模式 7608： 端口1/2/6 portid： 0C 00 00 06 堆叠模式 9816： 端口1/6/1:2 portid： 1A 00 00 02 红色字体部分的为逻辑槽位号，后面是具体端口号,端口环路检测报文,端口环路检测报文,端口环路检测的实现,端口环路检测的实现,两种环路形式：单臂环回和双臂环回,单臂环回： 对于单臂环回来说，当在交换机端口上配置了端口环路检测命令之后，这时交换机会按照配置发出源MAC为CPU MAC的探测报文。假设端口S1P1发出探测报文后，当下游有环路时，则报文会被环回来，如果是端口S1P1收到环回的报文后会将报文的源MAC与自己的CPU MAC进行对比，如果对比一致，则证明是该报文是自己发出的。单臂环回的主要应用场景有如下两种：,端口环路检测的实现,在网络部署的过程中，经常出现接口TX-RX自环的问题，比如光纤插错、本接口被高压击坏等情况都可能导致接口TX-RX自环。如下图所示,端口环路检测的实现,另一种情况是Switch连接的外部网络中发生环路，使从接口发出的报文经过外部网络后环回至本接口，如下图：,端口环路检测的实现,而对于双臂环回则是从端口S1P1发出探测报文后，探测报文经过了下游交换机之后从本设备的另一个端口S1P2环回到本交换机,端口环路检测的实现,端口环路检测命令介绍： 1、 loopback-detection interval-time 这个命令用来在全局下设置环路检测的时间间隔,其中为存在环路时的检测时间间隔，单位秒，取值范围5300s。为不存在环路时的检测时间间隔，单位秒，取值范围130s。默认情况下为5s，为3s。 2、 loopback-detection specified-vlan 该命令用来打开端口环路检测功能并指定检测的vlan，no命令为关闭通过该端口的环路检测功能或者指定的VLAN中的环路检测功能,端口环路检测的实现,3、 loopback-detection control shutdown | block | learning 该命令用来在端口下设置环路检测的受控功能，默认情况下是关闭端口的环路检测功能的。其中，shutdown采用shutdown的受控方式，即发现端口环路后将该端口down掉；block采用block的受控方式，即发现环路以后block该端口，只允许bpdu和环路检测报文通过。learning是禁止端口的学习MAC地址功能的受控方式，不转发流量，并删除端口MAC地址。 目前，我们的交换机在6.2patch以后的版本中已不支持learning受控方式。 4、 loopback-detection control-recovery timeout 该命令用来设置端口检测到环路，进入到受控状态后的恢复时间，0为不恢复状态，而交换机默认为不恢复。通常建议将此命令与shutdown受控方式一同使用。,端口环路检测的实现,5、 debug loopback-detection 当打开端口环回检测debug后，报文的发送和接收以及状态变化应有debug信息，例如： Switch#debug loopback-detection %Jan 01 03:29:18 2006 Send loopback detection probe packet:dev Ethernet1/0/10, vlan id 1 %Jan 01 03:29:18 2006 Send loopback detection probe packet:dev Ethernet1/0/10, vlan id 2 6、 loopback-detection trap enable 该命令用来开启和关闭端口环路检测时trap信息的发送，当配置了此命令时，交换机会发送trap信息给网管，开启了debug loopback-detection后可以观察到如下打印信息： loopback-detection specified-vlan 1 %Jan 01 21:14:47 2006 Ethernet1/1 trap send about loop! no loopback-detection specified-vlan 1 %Jan 01 21:15:24 2006 Ethernet1/1 trap send about free loop!,端口环路检测的实现,7、 show loopback-detection interface 该命令用来查看所有端口的环路检测状态和检测结果： helong-3950(config)#show loopback-detection Loopback Detection Global Information Transmit Interval : 10s(loopback mode), 3s(no loopback mode) Control Recover Time : 0 Loopback Detection Port Information PortName Loopback Detection Control Mode Is Controlled Happen times Ethernet1/1 Disable Shutdown No 39 Ethernet1/2 Disable Block No 0 8、 loopback-detection send packet number 该命令在售后BUG57707中新增，可以在全局或端口下配置一个周期探测报文发送的个数，默认一个周期发送1个探测报文。,端口环路检测优缺点,端口环路检测优缺点,技术特色： 可单独配置，不依赖其他协议 主要用于检测端口TX-RX自环、下挂hub成环以及下挂网络成环。 支持和其他环网协议配置在同一个端口 应用限制： 1、需要通过发送检测报文，如果检测大量端口和VLAN较多，会增加系统CPU的负担 2、对下挂网络环路的检测，不建议使用QinQ场景，包括dot1q tunnel端口和Selective QinQ 3、对于下挂网络环路的检测，检测时间较长,端口环路检测优缺点,实例分析： 如果本端口开启环路检测，不再转发我司设备发出的环路检测报文（需要加开关命令，默认关闭此功能） 在开启环路检测的端口上配置 mac access-group 1100： MAC-A 是本机的mac，00-03-0f-03-00-03是环路检测报文的目的mac access-list 1100 permit host-source-mac MAC-A host-destination-mac 00-03-0f-03-00-03 access-list 1100 deny any-source-mac host-destination-mac 00-03-0f-03-00-03,端口环路检测在华为,端口环路检测在华为,1、 LBDT：LoopBack Detect（环回检测）功能可以检测设备的接口是否发生外部环回 目的MAC（分全F和组播地址两种） Type为LBDT的报文类型0x9998 端口使能方式，全局使能开关的作用是将所有端口批量使能LBDT，不影响端口单独使能 端口默认为使能，可以通过命令行去使能,端口环路检测在华为,2、 LDT：Loop