端口+STP+VRRP基础知识及典型组网实例分析.ppt

端口 STP VRRP基础知识介绍 第一部分端口通过图例的方式复习交换机端口对报文的处理方式 他们对报文的入和出是怎样处理的呢 他们和PVID在实际组网中又容易出现哪些问题呢 以下我们将用几个例子来列举出他们之间的关系 access trunk hybrid和PVID 问主机A能PING通主机B吗 复习知识 trunk access端口同PVID对报文出入是怎样进行打标记的 复习目标 通过复习理解 对实际网络中出现的端口问题能迅速排查 问 主机B能PING通主机A吗 复习知识 Hybrid端口当配置为untagged时对报文是怎样处理的 主机B能ping通主机A吗 复习知识 Hybrid端口当配置为tagged时对报文是怎样处理的 交换机端口接收数据帧的处理规则 首先 我们要明白交换机的一点原理 为了快速高效处理 交换机内部的数据帧一律都带有VLAN标签 以统一方式处理 1 Access端口 1 收到一个二层帧 2 判断是否有VLAN标签 没有则转到第3步 有则转到第4步 3 打上端口的PVID 并进行交换转发 4 若VLAN标签和PVID一致 转发VLAN帧 否则直接丢弃2 trunk端口 1 收到一个二层帧 2 判断是否有VLAN标签 没有则转到第3步 有则转到第4步 3 打上端口的PVID 并进行交换转发 4 判断该trunk端口是否允许该VLAN帧进入 允许则转发 否则直接丢弃 注意 trunk口允许或不允许VLAN帧 是对进入的帧而言的 对出去的帧没有限制 3 hybrid端口 1 收到一个二层帧 2 判断是否有VLAN标签 没有则转到第3步 有则转到第4步 3 打上端口的PVID 并进行交换转发 4 判断该hybrid端口是否允许该VLAN帧进入 允许则转发 否则直接丢弃可以看到 trunk口和hybrid口对接收到的数据帧的处理规则是一样的 交换机端口转发数据帧的处理规则 1 Access端口 1 将二层帧的VLAN标签剥离 直接发送出去2 trunk端口 1 比较端口的PVID和将要发送二层帧的VLAN标签 2 如果两者相等则转到第3步 否则转到第4步 3 剥离VLAN标签 再发送 4 直接发送3 hybrid端口 1 用 disinterface 命令 可以查到hybrid端口对哪些VLAN是untag 哪些VLAN是tag 以此来判断进入hybrid口的VLAN帧 是属于untagVLAN 还是tagVLAN 2 如果属于untagVLAN则转到第3步 如果属于tagVLAN则转到第4步 3 剥离VLAN标签 再发送 4 直接发送 第二部分 协议 引入 STP RSTP MSTP的作用在二层网络上形成树状网络拓扑结构 避免环路 二层网络环路的危害1 广播风暴 没有三层网络的TTL机制 2 MAC地址学习错误 二层网络的健壮性STP可以增强网络健壮性 避免单点故障 单链路故障 STP的基本概念 STP通过阻塞适当的端口来避免环路如图中 在使能了STP后 SW3的B端口不再转发流量 从而达到修剪冗余链路的目的 一些概念 根桥 指定桥指定端口根端口根路径开销端口ID STP的基本概念 一个根桥对于一个STP网络 根桥有且只有一个 它是整个网络的逻辑中心 但不一定是物理中心 根据网络拓扑的变化 根桥可能改变 STP交换机之间通过比较BID 桥ID 来选举根桥 STP的基本概念 拥有最小BID的交换机被选举为根桥每个交换机上根路径开销最小的端口将成为根端口 图3 STP的基本概念 三要素的选举从一个初始的有环拓扑生成树状拓扑 总体来说有三个要素 根桥 根端口和指定端口 根桥是全网意义上的 通过交换特殊的协议报文 网络中很快就会对最小的BID达成一致 所谓根端口 是指一个非根桥的STP交换机上离根桥最近的端口 这个端口的选择标准是根路径开销 STP的基本概念 三要素的选举 关于指定端口在每一个运行STP交换机上 根桥除外 端口都有三类 根端口 指定端口 非根非指定端口 根桥上没有根端口 指定端口的概念是针对于某网段 Segment 的 是流量从根桥方向来而从这个端口转发 出去 STP的基本概念 四条比较原则STP选举有4个比较原则 构成消息优先级向量 根桥ID 累计根路径开销 发送交换机BID 发送端口PID STP交换机协议采用特殊的协议报文 又称协议数据单元 BridgeProtocolDataUnit 来交互信息 这种特殊的消息称为 配置消息 ConfigurationMessage 或者一般简称之BPDU 消息优先级向量就是携带在配置BPDU中的 STP的基本概念 四条比较原则配置BPDU中携带本端口的信息 主要信息如下表 STP的基本概念 最低BID 用来选根桥 最小的累计根路径开销 用来在非根桥上选择根端口 在根桥上每个端口到根桥的根路径开销都是0 图4 STP的技术细节 根桥的选择由于每个桥都认为自己是根桥 所以在每个端口所发出的BPDU中 根桥字段都是用各自的BID填充 BPDU会按照HelloTime指定的时间间隔来发送 默认的时间为2秒 当发送BPDU的时候 填充RootBID字段的是 当前我所认为的根桥 的BID 通过交互 交换机之间比较RootBID 最后可以得出一个最好的BID 达成一致 STP的技术细节 根端口的选择每个非根桥STP交换机都要选择一个根端口 根端口对于一个交换机来说有且只有一个 其本质是 距离根桥最近的端口 这个最近的衡量是靠累计根路径开销来判定的 STP的技术细节 指定端口的选择在网段上抑制其他端口 无论是自己的还是其他网桥的 发送BPDU的端口 就是该网段的指定端口 在收敛后 只有指定端口和根端口可以处于转发状态 在一个网段上拥有指定端口的交换机被称作该网段的指定桥 STP的技术细节 稳定之后在拓扑稳定之后 根桥仍然按照HelloTime间隔发出配置BPDU 其他非根桥交换机仅仅在收到上一级过来的BPDU 才会触发发出BPDU 如果有必要 则根据BPDU里面的信息更新自己相应端口的 第三部分VRRP Vrrp技术 用VRRP实现虚拟路由器 VRRP Virtualrouterredundancyprotocol 虚拟路由器冗余协议 提供了局域网上的设备备份机制 VRRP技术 VRRP定义了一种报文 VRRP报文 是组播报文VRRP定义了三种状态 初始状态 Initialize 活动状态 Master 备份状态 Backup VRRP报文封装在IP报文上 VRRP原理 从备份组的交换机中选举主交换机 默认情况下选择优先级最大的为主交换机 其它交换机作为备份交换机主交换机定期发送VRRP报文如果备份交换机长时间没有收到主交换机报文 则将自己状态改为Master若有多台备份交换机 则根据接收的VRRP报文 选举优先级最大的交换机成为新的主交换机 STP VRRP OSPF实例分析 学习目标 1 生成树协议常见问题分析2 VRRP协议及问题分析3 典型组网分析 第一部分生成树协议 问题1 哪个端口将被阻断 问题2 如果所有的PathCost都相同 哪个端口将被阻断 复习重点 STP通过BPDU BridgeProtocolDataUnit 报文来学习网络拓扑结构 指定端口同可选端口怎么比较 如何决定BPDU配置消息的优劣 比较RID RootBridgeID 确定网络同步 RID相同 比较PathCost 到根桥距离 越小越优 RID PathCost相同 比较指定桥的BID DesignatedBridgeID 越小越优 RID PathCost DBID相同 比较指定端口的ID DesignatedPortID 越小越优 如何确定根桥 根桥 BID 网桥ID 最小的网桥定为根桥 BID 网桥的优先级 网桥MAC 网桥的优先级为可配置 缺省值为32768 在缺省情况下 根桥将由MAC地址最小的网桥担任 STP协议简介 常用概念根桥 RootBridge 桥ID最小的网桥 其中桥ID是由网桥的优先级和网桥的MAC组成 根端口 RootPort 这个端口到达根桥的路径是该端口所在网桥到达根桥的最佳路径 全网中只有根桥是没有根端口的 指定端口 DesignatedPort 每一个网段选择到根桥最近的网桥作为指定网桥 该网桥到这一网段的端口为指定端口 可选端口 AlternatePort 既不是指定端口 也不是根端口的端口 确定网桥端口角色 BPDU报文中总是携带网桥到根桥的最优值 通过BPDU配置消息来决定端口的角色 根端口 网桥各个端口中到根桥最近的端口 指定端口 网桥的端口发送的BPDU配置消息较接收的BPDU配置消息更优 则端口为指定端口 可选端口 网桥的端口发送的BPDU配置消息较接收的BPDU配置消息更差 则端口为可选端口 请问这样的组网STP会生效 复习重点 1 STP通过BPDU BridgeProtocolDataUnit 报文来学习网络拓扑结构 2 BPDU报文的目标MAC地址为 01 80 C2 00 00 00 请问这样的组网会有什么问题 复习重点 1 只在端口关闭STP功能 BPDU报文将会被丢弃 2 没有运行STP协议的网桥将把BPDU报文当作普通业务报文转发 3 我们的交换机就算配置三层地址 但是大家也要记住它只是被加入了VLAN Interface里 它的二层特性并未改变 一样可以将BPDU报文发送 SpeedLinktype802 1Dcost802 1tcost10MbpsHalfDuplex1002 000 000FullDuplex951 999 999Aggregatedlink901 000 000100MbpsHalfDuplex19200 000FullDuplex18199 999AggregatedLink15100 0001000MbpsFullDuplex420 000AggregatedLink310 000 复习重点 很多时候我们经常会遇到H3C交换机同其它友商交换机STP选路错误的问题 问题常常是因为各个厂商的PATHCOST标准不同 第二部分VRRP协议 VRRP的技术细节 虚拟路由器的VRID virtualrouteridentifier 用来标识虚拟路由器 取值范围1 255 虚拟路由器的MAC地址00 00 5e 00 02 xxxx为vrid值 虚拟路由器的IPAddress虚拟路由器使用的ip地址 虚拟路由器的priority用来标识运行VRRP协议路由器对应VRID的优先级取值范围0 2551 254是备份路由器可以配置的范围缺省值为100 Internet VRID1 Priority110 VirtualIPfe80 1 Master Backup IPaddressfe80 2 IPaddressfe80 3 VRID1 Priority100 VirtualIPfe80 1 图例一 图例二 复习重点 1 VRRP在什么情况下会进行主备切换 2 VRRP与静态路由配合时容易忽略的地方 典型组网分析 政府机关 集团公司总部等对网络可用性很高的单位往往采用双机热备份方案来组网 2层交换机的2条千兆链路分别上行到主备85 主备85应用VRRP为用户PC提供虚拟网关 应用STP来切断冗余链路组成的环路 综合组网应用 Quidview网络管理平台 双机热备份组网常用的组网图 双机组网的特点 在单机树型组网中 在网络设备受到病毒等恶意攻击时 一般表现为网络访问速度变慢或很慢 但是在双机热备份组网中 由于存在物理环路 设备在受到攻击时很容易造成STP的BPDU丢失从而使得STP计算错误 不能正确切断物理环路 引发广播风暴 另外2 3层交换机长时间受到巨量广播报文冲击 有时转发芯片会失效 就是在广播风暴消失后也不能正常转发数据包 必须手工复位交换机 因此 双机组网相比单机组网显得脆弱些 跟交换机本身稳定性反而关系不是太大 其它厂商的交换机一样如此 所以 针对双机组网 必须严格按照下面描述的步骤进行配置 提高网络的整体稳定性 业务VLAN和虚接口地址的配置 在接口上配置允许通过的VLAN时 这里着重要说明的是千万不要对端口配置trunkpermitvlanall或trunkpermitvlan2to200之类 必须老老实实的一个一个指定允许通过的VLAN 也千万不要配置GVRP 切记 切记 容易产生8字环 VRRP配置ping网关往往是诊断网络故障的第一步 所以在VRRP配置前 必须在全局模式下先配置vrrpping enable 因为这个命令在配置VRRP后就不能再配置了 主备85之间每一组VRRP都会以advertise配置的时间间隔发送报文 默认值是1秒钟 如果有多个VRRP组 每秒同一时刻就会有较多的VRRP报文上CPU 为了避免这种情况 可以将VRRP组分为4组 每组分别以则数时间间隔 2 3 5 7秒 配置advertise 这样就可以使得VRRP报文分散上CPU VRRP通过priority来配置主备 主备配置必须与STP的配置相一致 否则会使得数据多经过1个交换机加重网络负荷 STP的配置主用85配置为STP的根 备用85配置为STP的备用根 一般不用设置STP的模式 可以运行在默认的模式下 2层交换机强烈建议启用STP协议 只要直接启用STP 不用进行其它STP配置 按照前面VRRP和STP的配置 主备85是热备份方式 正常情况下备用85无任何业务 只能在网络发生故障如主用85当机或2层交换机连接主用85的光纤DOWN时 业务才会全部或部分切换到备用85 有用户提出要进行主备85之间的负荷分担 如果2层交换机全部或部分支持MSTP 负荷分担是完全可以实现的 只要配置MSTP的几个实例 将不同的VLAN划分到不同的实例中 配置不同的实例有不同的根 并相应配置VRRP的主用 这样不同的实例走不同的85 起到负荷分担的作用 但是在实际应用中 局域网的流量并不大 采用双机更多的是出于可靠性的考虑 配置负荷分担并不能提高网络的性能 反而增加了配置的复杂性 潜在的也降低了网络的稳定性 毕竟越是复杂稳定性越难以保证 所以一般情况下不建议配置主备85之间的负荷分担 VRRP STP的配置 强制双工和速率的配置 电接口的自协商功能稳定一些 一般采用自协商就可以了 光接口由于光模块的兼容性稍差 某些线路光衰比较大等原因 有些端口自协商会不成功 需要设置为强制双工和强制速率 防病毒ACL的配置病毒攻击产生大量的报文冲击设备 造成网络振荡和设备故障 所以必须在所有交换机配置防病毒ACL规则对病毒报文进行过虑如 aclnameanti virusadvancedrule42denytcpdestination porteq135rule43denytcpdestination porteq137rule44denytcpdestination porteq138rule45denytcpdestination porteq139rule46denytcpdestination porteq593rule47denytcpdestination porteq445rule48denytcpdestination porteq4444rule49denyudpdestination porteqnetbios nsrule50denyudpdestination porteq445rule51denyudpdestination porteq1434rule52denyudpdestination porteq4444rule53denytcpdestination porteq1022rule54denytcpdestination porteq1023rule55denytcpdestination porteq5554rule56denyudpdestination porteq6666rule57denytcpdestination porteq9996 交换网络排查步骤 1 通过命令来查看STP状态 displaystpbrief 在正常情况下应该有一个端口被DISCARDING掉 如果所有的端口都处于FORWARDING 说明网络中已经存在了环路 2 对一个形成环路的每一个端口 使用displaystpinterface命令查看BPDU收发报文数是否在增长 如果BPDU报文的收有增长 一般情况下网络几分钟后可以恢复正常 如果BPDU报文收发无正常 则很难自愈 应该立即关闭备的交换机 让业务恢复正常 3 网络正常后 可以查看各端口的流量和广播流量 如果某些端口广播流量特别大 基本可以确定下挂的PC被病毒感染 可以通过端口镜像抓包来确认 STP配置保护功能及单端口环路监测介绍 边缘端口 边缘端口是指 不直接与任何设备连接 也不通过端口所连接的网络间接与任何设备相连的端口 用户如果将某个端口指定为边缘端口 那么当该端口由堵塞状态向转发状态迁移时 这个端口可以实现快速迁移 而无需等待延迟时间 配置命令 Sysname Ethernet1 1 1 stpedged portenable千万小心 删除边缘的端口命令 Sysname Ethernet1 1 1 undostpedged port BPDU保护功能产生背景 当边缘端口接收到配置消息 BPDU报文 时系统会自动将这些端口设置为非边缘端口 重新计算生成树 引起网络拓扑的震荡 这些端口正常情况下应该不会收到生成树协议的配置消息 如果有人伪造配置消息恶意攻击设备 就会引起网络震荡 BPDU保护功能可以防止这种网络攻击 STP EdgedPort BPDU保护功能处理流程 交换机上启动了BPDU保护功能以后 如果边缘端口收到了配置消息 系统就将这些端口关闭 同时通知网管这些端口被STP关闭 被关闭的边缘端口只能由网络管理人员恢复 配置命令 Sysname stpbpdu protection STP EdgedPort Root保护功能产生背景 由于维护人员的错误配置 例如网桥优先级修改 或网络中的恶意攻击 合法根桥有可能会收到优先级更高的配置消息 这样当前根桥会失去根桥的地位 引起网络拓扑结构的错误变动 这种不合法的变动 会导致原来应该通过高速链路的流量被牵引到低速链路上 导致网络拥塞 Root保护功能可以防止这种情况的发生 Root保护功能处理流程 对于设置了Root保护功能的端口 其在所有实例上的端口角色只能保持为指定端口 一旦这种端口上收到了优先级高的配置消息 即其将被选择为非指定端口时 这些端口的状态将被设置为Discarding状态 不再转发报文 相当于将与此端口相连的链路断开 当在足够长的时间内没有收到更优的配置消息时 端口会恢复原来的正常状态 配置命令 Sysname Ethernet1 1 1 stproot protection 指定主备根桥 用户也可以通过设备提供的命令来指定当前设备为根桥 配置命令 Sysname stp instanceinstance id rootprimary bridge diameterbridgenum hello timecenti seconds 指定主备根桥 续 设置当前设备为根桥或者备份根桥之后 用户不能再修改设备的优先级 当前设备在各棵生成树实例中的角色互相独立 它可以作为一棵生成树实例的根桥或备份根桥 同时也可以作为其他生成树实例的根桥或备份根桥 在同一棵生成树实例中 同一台设备不能既作为根桥 又作为备份根桥 当根桥出现故障或被关机时 备份根桥可以取代根桥成为指定生成树实例的根桥 但是此时如果用户设置了新的根桥 则备份根桥将不会成为根桥 如果用户为一棵生成树实例配置了多个备份根桥 当根桥失效时 MSTP将选择MAC地址最小的那个备份根桥作为根桥 Root保护和指定主备根桥的区别 配置Root保护功能与指定主备根桥的作用一样码 环路保护功能产生背景 依靠不断接收上游设备发送的BPDU报文 设备可以维持根端口和其他阻塞端口的状态 但是由于链路拥塞或者单向链路故障 这些端口会收不到上游设备的BPDU报文 此时下游设备会重新选择端口角色 收不到BPDU报文的下游设备根端口会转变为指定端口 而阻塞端口会迁移到转发状态 从而交换网络中会产生环路 环路保护功能会抑制这种环路的产生 环路保护功能处理流程 对于配置了环路保护的端口 如果发生链路拥塞或者单向链路故障 接收不到上游设备发送的BPDU报文 环路保护生效 则根端口的角色变为指定端口 端口的状态为Discarding状态 阻塞端口同样也变为指定端口 端口状态为Discarding状态 不转发报文 从而不会在网络中形成环路 配置命令 Sysname Ethernet1 1 1 stploop protection 环路保护功能流程演示 根端口 指定端口 阻塞端口 forwarding 指定端口 环路保护生效端口discarding BPDU 指定端口 防止TC BPDU报文攻击的保护功能 设备在接收到TC BPDU报文后 会执行MAC地址表项和ARP表项的删除操作 在有人伪造TC BPDU报文恶意攻击设备时 设备短时间内会收到很多的TC BPDU报文 频繁的删除操作给设备带来很大负担 给网络的稳定带来很大隐患 防止TC BPDU报文攻击