EAPS原理.doc

EAPSEAPS提供一种在以太网环中快速的二层环路保护协议。EAPS所提供的功能和STP很类似，但是要比STP更为先进，能够在环路发生故障的时候在1秒钟之内进行收敛，使网络继续正常运行。EAPS是通过在环路上的EAPS Domain进行运行的。在环路中受到保护的Vlan要被配置到环路上的每一个接口上，并且属于这个EAPS Domain。而在环路中有一个节点交换机被配置为Master，其他交换机都属于Transit。环路上Master的一个接口被设置为Master的Primary接口，Master的另一个接口就被配置为Secondary接口。正常情况下，Master交换机会在Secondary接口上阻塞所有这个EAPS Domain内受保护Vlan的数据流量，从而避免形成环路。注意：Transit 交换机和Master交换机一样，都会被配置一个Primary 接口和Secondary接口，但是在Transit交换机上这种Primary/Secondary的差别已经不存在了。如果环路是完整的，Master交换机会在Secondary接口处阻塞受保护Vlan的数据流发送和接收，从而阻止环路情况的发生。如果Master交换机诊测到在环路上有线路断开，它就会打开Secondary接口并允许受保护VLan的数据流发送和接收。如果环路是完整的，Master交换机会在Secondary接口处阻塞受保护Vlan的数据流发送和接收，从而阻止环路情况的发生。如果Master交换机诊测到在环路上有线路断开，它就会打开Secondary接口并允许受保护VLan的数据流发送和接收。1、 EAPS的一些概念：EAPS Domian- 在一个网络中，组成一个单独环路的一些列的交换机或节点设备称之为EAPS Domain。一个EAPS Domain细分为一个Master 交换机，其他都为Transit交换机。在Master和Transit交换机上又有Primary和Secondary接口。EAPS Domain是在一个单独的环中运行的。EDP - Extreme Discovery Protocol。这个协议被用来对邻居Extreme交换机进行信息收集。Extreme交换机使用这个协议来了解网络拓扑信息。Master Node - 是个交换机或称为节点设备，在一个EAPS Domain中被设置为Master。正常情况下它在环路中在Secondary接口阻止所有这个EAPS Domain中受保护Vlan的数据流，以避免环路的产生。Transit Node -是个交换机或称为节点设备，在一个EAPS Domain中没有被设置为Master的交换机。Primary Port - 在Master 交换机上被配置为Primary的接口。而在Transit交换机上和Secondary接口没有什么差别Secondary Port -在Master 交换机上被配置为Secondary的接口。而在Transit交换机上和Primary接口没有什么差别Control Vlan - 这个VLan用来控制EAPS Domain的运行。它负责发送和接收EAPS信息。在一个EAPS Domain中必须要配置一个Control Vlan。Protected Vlan - 在EAPS Domain中传输用户数据的Vlan。这些Vlan属于正常情况下的数据传输的VLan。在一个EAPS Domain中必须至少要有一个Protected Vlan。Common Link - 一条物理的链路。一端连接Controller，另一端连接Partner。这条物理链路上跑有多个EAPS Domain。Controller - 在Common Link一端的交换机或设备，当Common Link断掉了，Controller会阻塞一个端口防治出现更大的环路Partner - 在Common Link的另一端的交换机或设备，并不负责任何的阻塞作用2、 EAPS Domain故障检测和恢复在每一个EAPS Domain中Control Vlan负责进行故障检测和恢复。Protected Vlan负责在EAPS Domain中传输用户的数据Control Vlan会发送和接收EAPS信息包。当环路是完整的情况下，Master交换机从Primary接口发出EAPS信息包并且会在Secondary接口收到这个信息包。Master并不会在Secondary接口把Control Vlan给阻塞掉，因为它要检测环路的完整性。另外需要注意，在Control Vlan内不能配置IP地址，以避免有环路的可能。一个Master交换机通过以下三种方法来诊侧环路是否有故障：l Transit 交换机发送Link-down信息l Ring port Down了l EAPS 检测数据包接收超时3、 Transit 交换机发送Link-down信息当任何的Transit 交换机发现它的环路上的接口的链路丢失，就会立即发送一个“link down”的信息通过control Vlan传送到Master 交换机。当Master交换机接收到“link down”信息会立即宣布“failed“状态，并且打开Secondary接口，允许Protected Vlan在Secondary接口进行数据的接收和发送。然后Master 交换机会刷新它的FDB表同时在Control Vlan内发出刷新FDB表的命令给环路上的所有其他交换机，使那些交换机及时更新FDB表进行正确的二层转发处理。4、 Ring port Down：当Master交换机的在环路上的接口Down掉了，交换机物理底层会立即知道并且立刻进入到“Failed”的状态。如果是Primary接口Down掉，Secondary接口会立即打开，交换机同时刷新FDB表，发送“Link Down”的信息到环上，以使其他交换机采取动作。5、 Polling：正常情况下，Master交换机会在Control Vlan内从Primary接口按照一定的时间间隔（可配置）发送状态检测数据包，如果这个环路是完整的，经过环路后Master就会从Secondary接口收到这个数据包，Master就会重置failtimer，继续进行正常的检测。如果Master的Secondary接口没有在Failtimer过期之前收到状态检测数据包，就会宣称“Failed”，然后执行和上面所述的过程一样，打开Secondary 接口，刷新FDB表，发出“flush FDB”的命令到其他所有的交换机。6、 恢复操作：即使Master交换机处于Failed状态，也会持续从Primary接口发送状态检测数据包。只要环路是断开的，Fail-perioad总会超时，Master交换机就会一直处于Failed状态。当链路被修复，环路闭合的时候，Master交换机就会从Secondary接口接收到状态检测数据包，交换机就会宣布环路是完整的，进入正常的状态，在Secondary接口阻塞被保护Vlan的数据流，刷新FDB表，并且发出命令“flush fdb”到所有其它交换机。细节考虑：当Transit交换机发现Failt链路又恢复使用的时候和Master交换机诊测到环路又完整的时候，这个有一个时间差，在这个短暂的时间内，Master的Secondary接口一直是打开的，正在进行数据的收发处理，而同时环路是完整的，这可能会引起短暂的环路的可能性。为避免环路的发生，当Transit交换机发现Failed链路又可用的时候，它会执行以下几个步骤：l 当Failed链路恢复时，相应的Transit交换机端口会启用，这时交换机会把那个端口临时处于阻塞状态l 会记录哪个端口处于临时阻塞状态l 设置端口状态为Preforwarding 状态当Master交换机发现环路是完整的时候，它会发送一个“Flush FDB”给所有Transit交换机，当Transit交换机接收到这个消息的时候就会进行以下步骤：l 刷新所保护Vlan的FDB表1. 如果有端口处于Perforwarding状态，就会打开这个端口进行正常的数据转发处理7、 一个交换机存在多个EAPS Domain如下例图：两个环路通过一台S5交换机相互连接起来，形成一个“8”字形的网络结构，这样形成了两个EAPS Domain。每个EAPS Domain都有自己的受保护Vlan，并且有一个Vlan跨越了两个EAPS Domain而且在每个EAPS Domain内都是受保护VLan。在S5上会同时运行两个EAPS的进程。也可以为了充分利用网络带宽资源，EAPS也支持可以在一个单环上跑多个EAPS进程。8、 多个EAPS环共用一条公共链路（Common Links）在上述例子中，交换机S5是一个单点故障。如果S5发生故障，环1和环2就会相互隔离，跨越两个环的Vlan就会相互失去通信。为了使网络有更好的冗余性，需要另外添加一个S10交换机。在S5和S10交换机之间的链路就称之为公共链路（Common Link）。在Common Link两端的交换机必须分别被配一个为Controller另一个被配为Partner。9、 在交换机上配置EAPS创建EAPS Domain，每一个EAPS Domain都有独一无二的名字creat eaps 名字可以有32个字符删除一个EAPS Domaindelete eaps 设定交换机在EAPS Domain中的模式config eaps mode master | transit 在一个EAPS Domain中必须要有一个Master交换机，其他都为Transit交换机配置EAPS的Polling Timersconfig eaps hellotime config eaps failtime 如果环路断掉，配置Master交换机采取的动作config eaps failtime expiry-action open-seconday-port | send-alert 默认的Hello时间是1秒钟。默认的Failtime是3秒钟。使用Failtime 用于Master交换机认为超时的时间注意：设置一个更长Hello时间会使交换机的CPU负担小一些，但并不会影响环路的收敛速度。因为当有环路断开产生的时候，会有Transit交换机及时发现并产生“Link Down”信息，使收敛时间保持在很短暂的时间内。当网络非常繁忙和拥塞的时候，设置一个更长的Failtime时间会使网络保持稳定的状态，不会由于状态检测数据包没有及时传到而发生误操作。配置交换机的Primary和Secondary端口每一个交换机在环上都会有两个端口连接。一个端口必须要被配置为Primary接口，另一个被配置为Secondary。如果环路是完整的，Master交换机会把Secondary接口对于被保护VLan 是“Block”的。如果环路中有中断，Master交换机就会把Secondary接口打开。Config eaps primary | secondary port 配置EAPS的控制VLan在一个EAPS Domain中必须有一个Control Vlan，仅仅发送和接收EAPS Messagesconfig eaps add control vlan 注意：Control Vlan 不能被配置IP地址而且这个VLan只能包含环路接口不允许其它任何端口，端口还要是以Tag形式加入，否则可能会引起环路。当你设置一个Vlan 为Control Vlan，必须还要配置这个VLan为QP8的优先级。配置EAPS 被保护VLan：在一个EAPS Domain中必须要有一个或多个被保护的Vlan（Protected Vlan）。被保护是用户数据传输的VLan。被保护VLan在环路接口上也要打上Tag标记。Config eaps add protect vlan 启用EAPS：对整个交换机启用 enable eaps对整个交换机关闭 diable eaps启用一个EAPS域 enable eaps 关闭一个EAPS域 disable eaps 10、 配置EAPS Shared Ports：在一个多EAPS Domain的网络中在两个节点之间同时承载多个EAPS的物理链路称之为共用链路（Common Link）。Common Link两端的节点都要配置一个Shared端口已确定这个Common Link。而且其中一个节点要被配置为Controller，另一个是Partner。如果Common Link失效，Controller和Partner都会进入“Blocking”状态。但是事实上Partner并不会Blocking任何接口。 Controller会保持一个活动的端口和环路保持连接，这个接口被标为“Active-Open”，而其他接口会处于被阻塞状态。当Common Link重新恢复正常，Controller会从“Blocking”状态进入到“Preforwarding”状态；它会继续临时保持那些“Blocked”的端口以防止形成临时的环路状态。11、 Steady State稳定的状态是指Common Link是正常的，Controller和Partner处在一个“Ready”的状态。EAPS已经收敛完成，EAPS Master阻塞它的Secondary端口，Controller的所有接口都处于“forwarding”，处于“Ready”状态。l EAPS1包括S1,S3,S4,S5和S2l EAPS2包括S1,S6,S7,S8和S2l EAPS3包括S1,S9,S10,S11和S2l S1上有端口P1,P2,P3和P4l S2上有端口P5,P6,P7和P8l S5,S8,S11是各自EAPS Domain的Masterl S3,S4,S6,S7,S10是各自EAPS Domain内的Transitl S1和S2运行EAPSV2l S1是Controllerl S2是Partnerl 在S1上P1是shared portl 在S2上P5是shared port当Common Link失败了，Controller和Partner会执行以下几个步骤阻止更大环路的形成如图：例如有一个数据VLan跨越了3个EAPS Domain，Controller会保持一个端口是开启的，而其他端口被阻塞掉。在S1上P2是“Active-Open”，P3和P4是“Blocked”。当Common Link恢复作用了，Controller就会进入到Preforwarding状态。当Controller注意到Master交换机已经收敛完成，就会把其他“Blocked”的端口打开。创建和删除Shared port creat eaps shared-port Delete eaps shared-port 一个交换机最多可以有两个Shared port 设定shared-port 的模式：在Common Link的一端交换机必须要被设置为Controller，另一端必须被配置为Partner。Config eaps shared-port mode 注意：Master交换机的Secondary接口不能被设置为Shared-port 。如果Master交换机的Primary接口被设置为Shared-port ，在配置Controller之前必须先要配置Partner。配置Shared-port 的Link ID在EAPS Domain中的每一个Common Link必须要有一个独一无二Link ID。Controller和Partner共同连接的一个Common Link的Shared-port 要有一个相应的Link ID。Config eaps shared-port link-id EAPS Shared-port 的配置规则：l 在一条Common Link链路两边的Shared-port 必须要和Common Link的Link ID一致,l 每一条Common Link必须要有独一无二的 Link ID。l 在一条Common Link两边的交换机一个是Controller，另一边必须是Partnerl 每个交换机上最多能有两个Shared-portl 一个交换机最多是一个Controllerl 在Mater上的Secondary接口不能被配置为Shared-port例如：在一个核心环中，有两台6808和一台4808，注意4808如果要运行EAPS协议必须是FULL-License软件。需要在核心环上创建一个EAPS Domain，并且这个EAPS Domain包含两个Vlan，其中一个Vlan是做控制EAPS Domian的作用，也就是Control Vlan，这个Vlan需要设置一个QP8的高优先级，不能设置任何的IPaddress，并且只能把这个环上的端口加入到这个Vlan内。另一个VLan是用户数据传输Vlan，也就是Protected Vlan。iSpirit6808-A核心交换机作为EAPS-1的主控交换机：creat vlan EAPS1-Pro config vlan EAPS1-Pro tag 10config vlan EAPS1-Pro add port 1:1,1:2 tagconfig vlan EAPS1-Pro ipaddress 192.168.1.1/24creat vlan EAPS1-Conconfig vlan EAPS1-Con tag 20config vlan EAPS1-Con add port 1:1,1:2 tagconfig vlan EAPS1-Con qosprofile QP8creat EAPS EAPS-1configure eaps EAPS-1 mode Masterconfigure eaps EAPS-1 primary port 1:2configure eaps EAPS-1 secondary port 1:1configure eaps EAPS-1 add control vlan EAPS1-Conconfigure eaps EAPS-1 add protect vlan EAPS1-Proenable eapsenable eaps EAPS-1iSpirit6808-B核心交换机EAPS-1：creat vlan EAPS1-Pro config vlan EAPS1-Pro tag 10config vlan EAPS1-Pro add port 1:1,1:2 tagconfig vlan EAPS1-Pro ipaddress 192.168.1.3/24creat vlan EAPS1-Conconfig vlan EAPS1-Con tag 20config vlan EAPS1-Con add port 1:1,1:2 tagconfig vlan EAPS1-Con qosprofile QP8creat EAPS EAPS-1configure eaps EAPS-1 mode Masterconfigure eaps EAPS-1 primary port 1:2configure eaps EAPS-1 secondary port 1:1configure eaps EAPS-1 add control vlan EAPS1-Conconf