Cisco局域网交换基础_Ch10.doc

Cisco Learning Network China (思科网络学习空间) /community/connections/china本章包括下列主题：利用生成树避免环路；生成树收敛；快速生成树协议；理解多生成树；单向链路检测。第10章实施和调整生成树本书第1章“局域网交换技术基础”讨论了生成树算法的基础理论。本章将详细讨论生成树的复杂问题，其中包括如何利用诸多Cisco专有特性避免网络环路。因为应用和某些网络协议的敏感本质，所以要求网络能够快速收敛。基于上述原因，也就要求STP（Spanning Tree Protocol，生成树协议）能够快速而有效地处理收敛问题。为了能够解决第2层快速收敛和可扩展性问题，先后出现了RSTP（Rapid Spanning Tree Protocol，快速生成树）和MST（Multiple Spanning Tree，多生成树）技术。10.1 利用生成树避免环路STP（IEEE 802.1D标准）具有两个直接的缺点。第一个问题是收敛性。对于第2层网络，它需要经过很长时间才能收敛。根据所发生的故障类型，STP需要经过3050s的时间才能实现网络收敛。另外一个问题就是可能存在环路。如本书其他内容所讨论，环路会给网络带来灾难性的后果。Cisco推出诸多特性（例如PortFast、根防护和环路防护等）来缓解环路故障，本章接下来将展开讨论。10.1.1 PortFastPortFast特性能够跳跃生成树状态的多个阶段，并且能够使得阻塞状态的端口立即进入转发状态。采用PortFast特性的两个原因分别是：首先，正常的生成树状态转换会产生一定的延迟，它会引起启动故障。例如，某个用户正在试图登录主机，但因为端口正在经历生成树的几种状态，所以就会导致用户登录屏幕超时退出。端口大约需要30s才能转换到转发状态。当端口处于转换过程的时候，如果Windows软件试图登录服务器，那么因为主机尚未建立完整的网络连接，所以会导致登录过程失败。对于采用Novell客户端的用户，这种问题就非常普遍。采用PortFast特性的第二个原因是：当主机连接或脱离端口的时候，它不会产生TCN（Topology Change Notification，拓扑变更通告）。这个原因是非常重要的。如果在主机端口禁用PortFast，那么一旦用户重新启动或关闭计算机，交换机就会产生TCN，并且在网桥的根端口上转发，如图10-1所示。图10-1 TCN更新上行指定交换机将向交换机返回TCA（Topology Change Acknowledgment，拓扑变更确认）。这种过程将一直持续到根交换机接收到TCN为止。根交换机将对CAM（content-addressable memory，内容寻址内存）条目进行复位，周期从5min调整为15s（转发延迟）；在重新转换回5min计时器之前，新CAM条目将持续35s（最大寿命20s+转发延迟15s）。通过发送配置BPDU（bridge protocol data unit，桥接协议数据单元），根交换机能够将拓扑和计时器变更通知给所有的交换机。如果交换机端口没有参与生成树，那么上述过程就是不必要的。当用户计算机加入或脱离网桥的时候，生成树不会发生变更。基于上述原因，PortFast配置适合于主机端口。因为交换机参与生成树拓扑，所以交换机间链路不应当启用PortFast特性。如果交换机在启用PortFast的端口上接收到配置BPDU，那么它将使得端口重新经历正常的生成树状态。这种方式有助于避免发生网络环路。例10-1给出如何在主机端口（3/1）上配置PortFast特性。在启用PortFast特性的时候，交换机会弹出警告信息，它会提示工程人员哪些设备不应当启用PortFast特性。例10-1 启用PortFast特性如例10-2所示，通过执行show spantree命令，将能够查看已经启用PortFast特性的接口的全面信息。例10-2 VLAN 3的生成树信息（待续）一、PortFast BPDU防护BPDU防护能够进一步避免发生网络环路。如果端口已经启用PortFast，那么因为这些端口不参与生成树，所以它们不应当接收任何BPDU。基于上述原因，这些端口所接收的任何BPDU都是无效的。在某些情况下，有些人可能会有意无意地在PortFast端口上连接新的交换机，或者将PortFast端口连接到其他交换机。默认情况下，如果PortFast端口接收到BPDU报文，那么就会使端口进入阻塞状态，随后会使端口经历正常的生成树过程，并且会关闭PortFast特性。PortFast端口接收到BPDU时，BPDU防护特性会完全禁用该端口。如果希望使端口脱离“err-disabled”状态，那么就必须通过手工配置进行干预。BPDU防护是一种全局命令，它能够影响所有启用PortFast特性的端口，如例10-3所示。例10-3 启用BPDU防护例10-4举例说明正在接收BPDU报文的PortFast BPDU防护端口。例10-4 PortFast BPDU防护端口的BPDU流量二、PortFast BPDU过滤BPDU过滤是一种全局命令，它能够防止交换机通过PortFast端口发送BPDU报文，如例10-5所示。如本章先前内容所述，如果PortFast端口接收到BPDU，就会导致该端口经历正常的生成树状态。但利用BPDU过滤，下行PortFast端口就应该永远也不会看到BPDU报文。BPDU是能够防止网络环路的一种安全方法。例10-5 启用BPDU过滤如图10-2所示，交换机2不会从连接交换机3的PortFast端口发送BPDU。它仍然从交换机3接收BPDU。为了避免出现生成树问题，交换机3就应当启用BPDU过滤。图10-2 BPDU过滤注意：图10-2反映了一种不好的网络设计，该图用于说明Cisco交换机能够使用BPDU过滤。10.1.2 根防护通过使用根防护，将允许连接到PortFast端口的设备能够参与生成树，但不允许它成为根交换机。例10-6概述如何配置根防护。例10-6 启用根防护注意：根防护与环路防护不兼容，本章稍后将介绍环路防护。如果PortFast端口接收到上级BPDU，那么端口状态将转变为“不一致根”状态。如例10-7所示，交换机2在端口1/1接收到VLAN 2的上级BPDU。每个端口都启用根防护特性，并且它将影响经过该端口的所有VLAN。例10-7 VLAN 2的生成树（待续）如果交换机2的端口1/1停止接收上级BPDU，那么它将把端口转换到转发状态，如例10-8所示。这是个动态过程。例10-8 因为新增根而导致端口状态转换10.1.3 环路防护通过单向链路检测，环路防护特性能够避免出现生成树环路。通过采用单向链路，链路伙伴一侧的端口能够工作在“up”状态并发送数据。与此同时，链路伙伴的另外一侧也能够正常地工作。如例10-9所示，通过在参与生成树的端口上启用环路防护，能够提供第2层冗余。当交换机的根端口或阻塞端口停止接收BPDU时，它将把端口转换到“不一致环路”状态。如果发生上述情况，它们会失去通道化（channeling）所带来的冗余性，并且也不是人们所期望的结果。例10-9 启用环路防护图10-3 环路防护如图10-3所示，交换机2不能从交换机3接收BPDU。通过启用环路防护，交换机2的阻塞端口能够转换到“不一致环路”状态。如果交换机3收发器的发送部分或交换机2收发器的接收部分发生故障，就会产生单向链路。无论是哪种情况，环路防护都会通过变更端口状态来保护网络。如果没有启用环路防护，那么交换机2将把阻塞端口转换为转发状态。如果端口状态发生上述变更，那么就会产生逆时针方向的单向环路。环路防护不需要人工干预。如果交换机从端口3/5重新接收到BPDU，那么交换机将把该端口转换回阻塞状态。10.2 生成树收敛生成树收敛问题已经成为网络管理员需要解决的挑战之一。根据第2层网络规模的不同，生成树收敛问题可能非常复杂。实际上，与传统STP方法相比，RSTP的主要卖点之一就是它具有更好的收敛能力。如本书第1章所述，Cisco交换机能够支持用于调整特定生成树计数器的多种命令。本章将深入讨论这些命令。此外，为了加快第2层网络的收敛速度，Cisco交换机还支持其他一些特性，如BackboneFast和UplinkFast等。10.2.1 生成树计时器生成树收敛是非常复杂的问题。我们建议应当尽可能保持第2层网络的简单性。通过采用生成树默认计时器所进行的大量测试、网络设计认证和安装等工作，我们建议保留计时器的默认值。生成树支持多种计时器，主要包括如下三种：Hello时间Hello时间是根发送两个配置BPDU之间的时间，Hello时间的默认值是2s。 set spantree hello interval vlan转发延迟转发延迟是监听状态和学习状态的时间间隔，它不是监听和学习状态的时间之和，转发延迟的默认值为15s。 set spantree fwddelay delay vlan最大寿命最大寿命是交换机保存配置BPDU的时间长度。在发生间接故障的时候，最大寿命计时器能够承担重要的角色，最大寿命的默认值为20s。 set spantree maxage agingtime vlan网络直径能够决定上述参数配置的灵活性。通常情况下，Hello时间和转发延迟保持默认值。在某些情况下，还要修改最大寿命计时器。图10-4给出发生间接链路故障后端口从阻塞状态转换到转发状态的时间。下列步骤概述最大寿命计时器的工作过程：第1步交换机1和交换机3之间的连接发生故障；第2步交换机3向交换机2产生次级配置BPDU；第3步在20s（最大寿命计时器）内，交换机2将忽略来自交换机3的这些BPDU；第4步在最大寿命计时器到期之后，交换机2将把端口从阻塞状态转换到转发状态，这个过程需要额外的30s时间；第5步交换机2将来自根（交换机1）的配置BPDU转发给交换机2；第6步交换机2停止发送次级BPDU，网络已经处于收敛状态。从生成树的观点来看，收敛后的网络如图10-5所示。网络收敛过程需要50s时间：最大寿命（20s）+监听状态（15s）+学习状态（15s）。这类故障又称为间接故障。如果交换机2的根端口受到破坏，那么收敛时间将是30s。阻塞端口将立即转换到学习状态，这类故障又称为直接故障。 图10-4 最大寿命 图10-5 生成树收敛最大寿命计时器由两个要素所组成：第一个要素是两台主机之间的交换机直径，通常，两台主机之间不应当超过7台交换机，它也是最多丢失3个配置BPDU的基本要求：直径=（丢失的BPDU+1）*Hello时间）+（延迟*（直径-1） =（3+1）*2）+（1*（7-1）=14s第二个要素是最大寿命高估值。每台交换机都将最大寿命字段增加1s，并且将其作为BPDU穿过交换机的时间。这个1s是被交换机夸张的结果。实际上，交换机能够远在1s之内就可以转发BPDU：最大寿命高估值=（直径-1）*延迟 =（7-1）*1=6s最后，这两部分数值汇总成为最大寿命计时器的默认值（20s）：最大寿命=直径+最大寿命高估值=14+6=20s例如，如果两台主机的直径是3台网桥或交换机，那么最大寿命就是12（10+2）s：直径=（3+1）*2）+（1*（3-1）=10s最大寿命高估值=（3-1）*1=2s10.2.2 BackboneFast图10-6 BackboneFastBackboneFast特性能够对最大寿命计时器进行优化处理，如图10-6所示。换而言之，BackboneFast能够消除与最大寿命计时器相关的20s（它用于间接故障）。通过首先检测间接故障，BackboneFast能够实现上述目标。交换机的阻塞端口接收到次级BPDU时，它就触发间接故障。BackboneFast的第二个组成部分将验证这种故障。交换机通过RLQ（Root Link Query，根链路查询）完成上述过程。为了查出根的位置，交换机需要向上行交换机发送RLQ请求。在查找到根的位置之后，交换机将使最大寿命计时器到期，并且使端口从阻塞状态转换到监听状态。下列步骤概述BackboneFast的工作过程：第1步交换机1和交换机3之间的连接发生故障；第2步交换机3向交换机2产生次级配置BPDU；第3步在接收到次级BPDU之后，交换机2将向上行交换机发送RLQ；第4步交换机1将向交换机2发回RLQ响应，表明交换机1是根；第5步交换机2知道自己仍然存在到根的路径，它就可以安全地转换阻塞端口；第6步交换机2将端口从阻塞状态转换到监听状态，它将把配置BPDU转发给交换机3；第7步在30s之后，交换机3就可以重新收敛。这与直接故障的收敛时间是相同的。BackboneFast是一种全局命令，在配置BackboneFast特性时，要求网络中的所有交换机都必须启用该特性，如例10-10所示。BackboneFast特性不会影响直接故障的收敛时间。例10-10 启用BackboneFast特性10.2.3 UplinkFastUplinkFast是有助于解决收敛问题的另外一种特性。为了能够启用UplinkFast特性，要求接入交换机和上行交换机之间必须存在冗余的物理链路，如图10-7所示。其中一条链路用于流量转发，而另外一条链路用于备份功能。当转发链路发生故障时，备份链路将开始工作并转发流量。通过上述过程，收敛时间能够降低到23s。为了帮助建立新链路的CAM表，交换机将记录所有与故障链路相关的MAC地址，并且将以150pps的速度进行宣告，它所采用的