锐捷MSTP vrrp应用技术教程(含配置).doc

MSTPVRRP技术白皮书MSTPVRRP双核心应用技术白皮书摘要MSTPVRRP双核心应用方案，是提高网络系统可用性的一个比较优秀的解决方案。本文在分析系统可用性的基础上，详细分析了VRRPMSTP双核心应用方案和所采用技术的基本原理，详细分析了如何利用我司产品特性，解决该方案在实际应用中常见的问题，最后给出了该方案在教育和金融市场各一个具体应用案例。关键词 可用性 层次化网络设计架构 双核心 VRRP协议 MSTP协议技术白皮书修订记录日期修订版本修改章节修改描述作者2008/07/151.0目 录摘要1关键词11缩略语52概述52.1系统可用性的提出52.2我们的现状52.3产品支持63技术介绍73.1层次化的网络设计架构73.1.1核心层83.1.2汇聚层83.1.3接入层83.2VRRP协议93.2.1概述93.2.2协议基本原理93.2.3应用举例103.3MSTP协议103.3.1概述103.3.2协议基本原理113.3.3应用举例123.4MSTP+VRRP双核心应用方案123.4.1应用说明123.4.2常用配置说明134锐捷MSTPVRRP双核心应用技术特点134.1配置灵活方便134.2功能完备134.3适用版本144.4注意事项144.5常见问题及解决对策154.5.1VRRP协议监控主路由设备上行链路154.5.2VRRP通告定时设备学习164.5.3MSTP防止BPDU攻击164.6典型故障排查174.6.1同一个备份组出现多个master路由器174.6.2核心层设备没有开启MSTP协议却收到大量BPDU报文184.6.3双核心拓扑出现广播风暴184.6.4双核心网络持续发生MSTP振荡184.6.5其他MSTP可能的故障184.7配置实例194.7.1教育市场应用194.7.2金融市场应用255结束语321 缩略语MTBF（Mean Time Between Failure）：平均正常运行时间MTTR（Mean Time To Repair）： 平均故障恢复时间VLAN（Virtual Local Area Network）： 虚拟局域网VRRP（Virtual Router Redundancy Protocol）： 虚拟路由冗余协议MSTP（Multiple Spanning Tree Protocol）： 多生成树协议BPDU（Bridge Protocol Data Unit）： 网桥协议数据单元2 概述 2.1 系统可用性的提出随着社会生产力的提高和信息化技术的发展，数据通信网络在人们日常生产，生活中占据着越来越重要的地位，由于网络通信中断而造成的各种损失十分巨大。人们日益关注如何提高网络通信系统的可用性。一般而言，可用性（availability）是指系统平均正常运行时间占总运行时间的比例，可用性指标指明了系统为客户提供一定水平服务的能力。涉及到以下两个基本概念：MTBF（Mean Time Between Failure）：系统平均正常运行时间MTTR（Mean Time To Repair）：系统平均恢复时间而可用性 AVAILABILITYMTBF/（MTBF+MTTR）从上面的公式我们可以看出，要提高系统的可用性，我们可以从两个方面入手，提高MTBF，降低MTTR。通过对造成网络通信中断的现象进行归纳和分析，原因可以归为以下几类：u 网络设备硬件故障u 网络设备软件故障u 网络设备链路故障u 网络设备电源故障u 网络设计问题通过上述的分析，提高系统可用性的一般原理就是通过合理的网络设计，网络系统一方面尽量减少硬件或软件故障，另一方面对重要资源作相应备份。一旦检测到故障，系统能迅速将受影响的任务转移到备份资源上以继续提供服务。2.2 我们的现状锐捷网络通过对网络系统可用性的研究，提出一体化的解决方案，从以下四个方面保证了网络系统的高可用性：先进的层次化网络架构设计链路，设备冗余备份路由备份，策略路由，路由负载分担，快速收敛；独立的带内，带外网络管理；设备转发面，管理面，控制面相分离；具体的技术对应如图1所示。平台高可用性管理板热备份，电源备份，风扇备份NFPP框架等站点高可用性VRRP协议，STP/RSTP/MSTP协议，RLDP协议，TPP协议，链路聚合等网络高可用性路由备份，策略路由，路由负载分担，路由快速收敛等先进的层次化网络架构设计图1 网络系统高可用性解决方案锐捷网络在为客户提供完备的高可用性解决方案的同时，综合考虑用户的投资回报，向客户提供了一个基础的网络系统可用性解决方案，即双核心网络分层设计上应用VRRPMSTP方案。本文具体介绍VRRPMSTP双核心应用方案。利用这个方案，客户就可以获得较高可用性的网络服务。同时，在此基础上，客户仍可以根据自己的需要，组合我司其他先进网络技术，进一步提高网络的可用性。2.3 产品支持目前我司所有交换机产品均支持STP/RSTP/MSTP协议，支持分层网络架构设计，支持设备管理。三层交换机均支持VRRP协议，支持路由备份，路由负载分担。S57系列，S76系列，S86系列交换机还支持策略路由，路由快速收敛。S86系列交换机还支持电源备份，风扇备份，管理板热备份，NFPP框架等一系列高可用性技术。3 技术介绍3.1 层次化的网络设计架构随着计算机技术和通信技术的飞速发展，以太网技术已经普遍应用。能实现高速数据交换的以太网交换机以较高的性价比在市场上得到了广泛的应用。同时，不同性能的交换机产品依据层次化网络设计方案，分别处于接入层（access layer），汇聚层（distribution layer）和核心层（core layer），共同组成交换网络系统，提供数据交换服务。接入层，汇聚层和核心层是这个层次化网络设计架构的三个组件，如图2所示。这种架构的主要优点在于其层次化的结构和组件模块化。在层次化网络设计架构中，每一个层次网络设备的各种容量指标，特性和功能都针对其所在的网络位置和作用进行了优化，稳定性和可用性都得到了加强。同时，模块化网络的组件非常容易复制，重新设计并随时可以进行扩展和更新。在这个过程中，并不需要每次都重新设计整个网络。采用层次化的网络设计架构，用户可以随时中断网络中任意组件的运行，而不会影响到整个网络。这个优点在进行网络升级，网络故障排查，故障隔离和进行网络管理时显得尤为重要。3.1.1 核心层核心层也被称为整个网络的主干，用来连接网络中的其他组件，主要目的就是尽可能快的交换数据。核心层交换机一般采用L3路由交换作为基础。核心层主要任务是：u 连接网络中其他组件；u 根据设定的访问策略，提供组件到组件的访问；u 快速交换数据；我司S76，S86系列交换机可以工作在这个层次。3.1.2 汇聚层汇聚层是处于网络接入层和核心层之间的分界点，汇聚来自接入层节点的网络流量，同时作为网络故障隔离边界，在接入层发生故障时提供隔离点。汇聚层通常采用双L3交换机进行部署，也就是我们平常说的双核心汇聚。双核心汇聚层上的高可用性通过两条等价路径提供，包括从汇聚层到核心层以及从接入层到汇聚层的链路。其中从汇聚层到核心层主要采用L3进行链路备份，从接入层到汇聚层的链路主要采用L2进行链路备份。双链路备份可以在链路或节点发生故障时提供快速收敛。L3路由负载分担技术允许同时利用从汇聚层到核心层的两条上行链路，一般由采用的路由协议保证。汇聚层则使用VRRP协议对终端用户提供缺省的用户网关冗余，网关对用户是透明的，当一个汇聚层节点发生单点故障时，并不会影响终端用户与缺省网关的连接。汇聚层和接入层间的L2链路冗余则通过MSTP协议进行保证。当汇聚层和接入层间的某条物理链路出现故障而无法进行L2交换时，MSTP会自动检测到故障的发生，并立即启用备份物理链路，保证L2交换的畅通。汇聚层的主要任务是：u VLAN的聚合；u 同VLAN内数据的L2交换和VLAN间数据的L3交换；u 安全策略的应用u 广播域或多点广播域的定义；u 介质转换；我司S37系列，S57系列，S76系列，S86系列交换机均可以工作在这个层次。S37，S57系列交换机一般用于用户数=1000的较大型网络环境。3.1.3 接入层接入层是连接终端用户的网络节点，可以通过安全策略的设置对用户流量做初步的控制。接入层中的交换机以两个上行链路连接汇聚层双核心交换机，采用物理链路冗余的方式保证L2交换。接入层和汇聚层设备通过MSTP协议，共同完成物理链路的冗余备份。接入层的主要任务是：u 共享的带宽；u 根据设置的安全策略对用户进行初步的访问控制和流量控制；u 提供L2服务。比如基于VLAN的用户数据隔离和基于MAC的L2数据帧交换。我司交换机产品S20系列，S21系列，S23系列，S26系列，S29系列都可以工作在这个层次。3.2 VRRP协议3.2.1 概述在局域网内，终端用户都设置一条相同的以网关为下一跳的缺省路由。主机发往其他网段的报文将通过缺省路由发往网关，再由网关进行转发，从而实现主机与外部网络的通信。当网关发生故障时，本网段内所有以网关为缺省路由的主机与外部网络的通信将中断。为了避免网络中断，可以通过在主机上设置多个网关，但是一般主机只允许设置一个默认网关，此时需要管理员手动添加。这样大大增加了网络管理的复杂度。为了更好的解决上述网络中断的问题，协议开发者提出了VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议），一种便于管理的、实现网络一个网关故障时，保证用户快速、不间断、透明地切换到另一个网关的协议。VRRP。VRRP协议具体内容在RFC 2338中定义，为业界通用标准。其他厂商的私有协议有类似的做法，比如 cisco 的私有协议 HSRP(Hot Standby Route Protocol，热备份路由协议) 。3.2.2 协议基本原理VRRP中只定义了一种协议报文VRRP报文，VRRP报文是一类指定目的地址为01-00-5e-00-00-18的组播报文，该报文由主路由设备定时发出来标志其运行正常，同时该报文也用于选举主路由设备。VRRP中定义了协议状态机的三种状态：初始状态（Initialize）、主状态（Master）和备份状态（Backup）。如图3所示。图3 VRRP协议状态转换图VRRP协议采用简单竞选的方法选择master。首先比较同一个VRRP组内的各台路由设备对应接口上设置的VRRP优先级的大小，优先级最大的为主路由设备，它的状态变为master。若路由设备的优先级相同，则比较对应网络接口的主IP地址，主IP地址大的就成为主路由设备，由它提供实际的路由转发服务。主路由设备选出后，其它路由设备作为备份路由设备(状态变为Backup)，并通过主路由设备定时发出的VRRP报文监测主路由设备的状态。当正常工作时，主路由设备会每隔一段时间发送一个VRRP组播报文，称为通告报文，以通知备份路由设备：主路由设备处于正常工作状态。如果组内的备份路由设备在设定的时间段，默认是3个通告周期，一个通告周期为1秒，也就是3秒内没有接收到来自主路由设备的报文，则将自己状态转为Master。当组内有多台状态为Master路由设备时，重复上述的主路由设备竞选过程。通过这样一个过程就会将优先级最大的路由设备选成新的主路由设备，从而实现VRRP的备份功能。3.2.3 应用举例图4 VRRP应用示例图4中，路由设备R1和R2通过以太网接口fa 0/1 连接到192.168.10.0/24网段，路由设备R1和R2的fa 0/1接口的IP地址分别为192.168.10.2和192.168.10.3，这两个接口都设置了VRRP，协议运行出来的虚拟路由设备IP地址为192.168.10.1，R1的fa 0/1接口为master，实际的数据转发由R1承担。当R1接口fa 0/1 down掉，这时VRRP协议会选择R2的fa 0/1接口为master，实际数据转发由R2承担。这个切换过程对终端用户而言是透明的，PC的网关地址仍旧是192.168.10.1。3.3 MSTP协议3.3.1 概述MSTP（Multiple Spanning Tree Protocol）也称为多生成树协议，在IEEE802.1s中定义。与STP（Spanning Tree Protocol）和RSTP（Rapid Spanning Tree Protocol）相比，MSTP主要引入了“实例（INSTANCE）”的概念。STP/RSTP是基于端口的，而MSTP则是基于实例的。所谓的“实例”是指多个VLAN对应的一个集合，MSTP把一台设备的一个或多个VLAN划分为一个INSTANCE，有着相同INSTANCE配置的设备就组成一个MST域（MST Region），运行独立的生成树（这个内部的生成树称为IST，Internal Spanning-tree）；这个MST region组合就相当于一个大的设备整体，与其他MST Region再进行生成树算法运算，得出一个整体的生成树，称为CST（Common Spanning Tree）。实例0具有特殊的作用，称为CIST，即公共与内部生成树，其他实例则称为MSTI，即多生成树实例。3.3.2 协议基本原理在一个有物理环路的网络环境中，运行MSTP协议的交换机要生成一个稳定的树型拓扑网络需要依靠以下元素：（1）每个交换机拥有的唯一的桥ID（Bridge ID），桥ID由桥优先级和MAC地址组合而成；（2）交换机到根桥的路径花费（Root Path Cost），以下简称根路径花费;（3）每个端口ID（Port ID），端口ID由端口优先级和端口号组合而成。交换机之间通过交换BPDU（Bridge Protocol Data Units，网桥协议数据单元）帧来获得建立最佳树形拓扑结构所需要的信息。BPDU是目的MAC为01-80-C2-00-00-00的组播帧。每个BPDU由以下这些要素组成：（1）Root Bridge ID（本交换机所认为的根桥ID）；（2）Root Path Cost（本交换机的根路径花费）；（3）Bridge ID（本交换机的桥ID）；（4）Message Age（BPDU报文已存活的时间）；（5）Port ID（发送该BPDU报文的端口ID）；（6）Forward-Delay Time、Hello Time、Max-Age Time 三个协议规定的时间参数；（7）其他一些诸如表示发现网络拓扑变化、本端口状态的标志位。当交换机的一个端口收到高优先级的BPDU（更小的Bridge ID，更小的Root Path Cost等），就在该端口保存这些信息，同时向所有端口更新并传播这些信息。如果收到比自己低优先级的BPDU，交换机就丢弃该信息。这样的机制就使高优先级的信息在整个网络中传播开，BPDU的交流就有了下面的结果：（1）网络中选择了一台交换机为根桥（Root Bridge）；（2）除根桥外的每都有一个根端口（Root Port），即提供最短路径到Root Bridge的端口；（3）每台交换机都计算出了到根桥（Root Bridge）的最短路径；（4）每个LAN都有了指派网桥（Designated Bridge），位于该LAN与根桥之间的最短路径中。指派网桥和LAN相连的端口称为指派端口（Designated Port）；（5）根口和指派端口进入Forwarding状态。Forwarding的端口正常转发业务数据，正常进行源MAC学习；（6）同时选举出根口的替换端口（Alternate port）和Designated Port的备份端口（Backup Port）。替换端口是指一旦根端口失效，该端口就立该变为根端口。替换端口是当一台交换机有两个端口都连在同一个LAN上，那么高优先级的端口为Designated Port，低优先级的端口为Backup Port；（7）替换端口和备份端口，连同其他不在生成树中的端口进入Discarding状态。Discarding是端口的阻塞状态，阻塞端口除了BPDU报文外，不转发业务数据，不进行源MAC学习。MSTP协议就是利用这种方法来剪切环路。MSTP在计算过程中，端口可能会处于一种学习（Learning）状态，处于学习状态的端口，不转发业务数据，但是会进行源MAC学习，这种端口状态为过渡状态。计算稳定后，处于正常转发业务数据的端口，其状态为Forwarding。MSTP协议根据域（Region）进行STP计算，合理划分域非常重要。域由域名（Name）、修正值（Revision Number）、VLAN与实例的映射关系（VLANINSTANCE）组成，只有三者都一样的互连设备才认为在同一个域中，并进行相应的STP计算。缺省时，我司设备域名为空，修正值为0，所有VLAN都映射到实例0上。MSTP协议依靠BPDU报文传递信息。在同一个域中的交换机将互相传播和接收不同生成树实例的配置信息，进行本域内STP的计算；不同域的交换机则只是传播和接收CIST的配置信息。MSTP协议利用CIST保证全网无环路，同时利用CIST保持了与STP/RSTP的兼容性。3.3.3 应用举例图5 MSTP应用举例图5中，设备A、B在VLAN1内，设备C、D在VLAN2内，然后连成环路。设备A和B都在MSTP Region 1内，MSTP Region 1没有环路产生，所以没有链路Discarding，同理MSTP Region 2的情况也是一样的。然后Region 1和Region 2就分别相当于两个大的设备，这两台设备间有环路，因此根据相关配置选择一条链路Discarding。这样，既避免了环路的产生，也能让相同VLAN间的通讯不受影响。3.4 MSTP+VRRP双核心应用方案3.4.1 应用说明MSTPVRRP双核心应用方案，一般应用于对网络可用性要求较高的应用环境，比如中小企业园区网，高校校园网等，医疗，金融行业网络环境中的应用也比较普遍。该应用方案的用户网关采用VRRP协议进行备份，双汇聚设备分别承担部分用户流量，实现负载分担。物理链路使用MSTP协议进行备份。提高网络整体可用性。3.4.2 常用配置说明1 配置VRRP协议时，根据网络规划划分用户网段，每一个网段中用户数一般不要超过254个。对每一个用户网段，双汇聚设备使用VRRP进行网关备份。2 配置VRRP协议时，最好让双汇聚设备都承担部分网段的用户网关责任，实现负载分担。可以使用分担各50左右网络流量的比例进行设计。3 配置VRRP协议时，一般使用默认值配置即可。如果网络特别容易遭受攻击，导致VRRP振荡，可以适当修改VRRP的通告时间间隔（timer advertise）。比如，默认值是1秒，则VRRP振荡的时间为3秒。如果修改为2秒，那么VRRP振荡的时间就延长为6秒。4 配置MSTP协议时，域的配置很重要，要域名，域修正值和vlaninstance对应关系都一致才认为是在同一个域中。配置时，一般我们只需要保证双核心设备中vlaninstance的配置一致，域名和域修正值采用默认值即可。5 配置MSTP协议时，在容易遭受BPDU攻击的网络中，接入层设备直接接用户的端口，可以配置BPDU FILTER，过滤掉BPDU报文。同时配置了BPDU FILTER功能的端口就无需再配置上PORT FAST。因为配置BPDU FILTER功能的端口就是直接forwarding的，直接转发用户数据。6 配置MSTP协议时，在容易发生链路up/down的端口，比如接用户的端口。则可以在这些端口上配置Tc Protection。防止这些端口up/down引发MSTP振荡。7 配置MSTP协议时，一般将汇聚设备设置为根桥，这通过修改设备的优先级实现。与VRRP协议一起使用时，可以将本设备上VRRP作为用户网关的vlan对应的instance，根桥也设置在这台设备上。这样的话，接入层的用户数据直接二层转发到用户网关上，不需要经过其他设备的中转了。增加了网络稳定性和可靠性。8 配置MSTP协议时，一般hello时间可以使用默认值，不必修改。如果网络特别容易遭受攻击，导致MSTP振荡，可以适当修改MSTP的hello时间间隔。比如，默认值是1秒，则MSTP振荡的时间为3秒。如果修改为2秒，那么MSTP振荡的时间就延长为6秒。9 在双核心拓扑中，汇聚层和接入层互连的端口上，都可以配置TPP (Topology Protection Protocol，拓扑保护协议)。防止设备遭受攻击时，cpu过高导致拓扑振荡。4 锐捷MSTPVRRP双核心应用技术特点4.1 配置灵活方便我司交换机产品都支持MSTP协议，三层交换机都支持MSTP和VRRP协议。VRRP和MSTP协议用户界面CLI命令设计简单方便，这样使用户无需对相关专业知识有很深认识的情况下，也能完成配置。4.2 功能完备我司实现的VRRP和MSTP协议，完全兼容VRRP协议标准RFC2338，MSTP协议标准802.1s。在双核心的网络拓扑基础上，MSTP协议保证了物理链路的备份，VRRP协议保证了终端用户应用网关的备份。同时，MSTP和VRRP的协同配置，可以使接入层到汇聚层的数据流量实现负载分担，减轻单台汇聚设备的压力，使网络更加稳定和可靠。4.3 适用版本VRRP协议：软件版本：RGOS软件版本都支持。交换机系列：L3交换机全部支持，包括S37系列，S57系列，S76系列，S86系列。MSTP协议：软件版本：RGOS软件版本都支持。交换机系列：交换机全部支持。4.4 注意事项1 在配置VRRP的时候，处于同一个VRRP组中的VRRP路由器，VRRP组的通告发送间隔（timer advertise）必须配置成一样的参数。在实际使用中，我们一般采用默认值设置，默认值为1秒。如果环境有可能产生收帧延迟导致VRRP振荡，也可以适当延长通告发送间隔，比如设置成2秒。这样就将VRRP振荡时间扩大到6秒，减小VRRP振荡的发生。2 如果VRRP组配置比较多，比如某个双核心应用环境中有30个左右的VRRP组，且都配置为其中一台设备为主路由器设备。那么在通告定时器超时的时候，主路由器设备要同时发出30个VRRP通告报文，备份路由器设备的cpu则要同时接收30个VRRP通告报文。为了避免同一个时刻大量收发VRRP报文造成对cpu的冲击，可以建议修改不同VRRP组的通告发送间隔，比如50VRRP组的通告发送间隔设置成1秒，50设置成2秒。3 VRRP监控主路由设备上行链路的接口功能，被监控的只能是三层可路由的逻辑接口，比如Routed Port，SVI等接口。4 参与同一个VRRP组的接口，VRRP master选举工作模式应该设置成一样，要么都为抢占模式，要么都设置为非抢占模式。不一致的话会出现主路由设备故展恢复后无法回切，无法进行路由备份的情况。建议都设置成抢占模式，默认也是工作在这个模式下。5 VRRP支持VRRP组的密码验证。密码模式分为明文密码验证模式和无密码验证模式。注意明文密码验证模式并不能保证VRRP组的安全性，因为攻击者可以从截获的VRRP报文中获取明文验证码并直接伪造，密码验证模式只是用来防止或提示错误的VRRP配置。建议设置VRRP组的时候使用无密码验证模式，默认也是工作在这个模式下。6 配置MSTP协议时，域的配置很重要，要域名，域修正值和vlaninstance对应关系都一致才认为是在同一个域中。配置时，一般我们只需要保证双核心设备中vlaninstance的配置一致，域名和域修正值采用默认值即可。7 Tc Guard功能需要谨慎使用，配置不当会造成网络通讯中断。Tc Guard的主要功能是当一个端口收到tc报文的时候，如果端口上配置了Tc Guard，则该端口将屏蔽掉该端口接收或者是自己产生的TC报文，使得tc报文不会扩散到其它端口。该功能用于防止tc位置1的BPDU攻击。如果确认在某些端口，比如接用户的端口，容易收到这类攻击，则可以在该端口上配置Tc Guard功能。全局配置会使设备不转发，不扩散tc位置1的BPDU报文，这样有时会使合法的报文被过滤，从而造成网络故障。一般不推荐全局配置Tc Guard。该功能在软件版本RGOS10.2（2）版本开始获得支持。8 BPDU FILTER功能会直接过滤BPDU报文，并且使配置了BPDU FILTER功能的端口直接forwarding。双核心拓扑中，汇聚层上一般在接核心层的端口上开启这个功能，避免BPDU报文进入核心层，造成环路。接入层一般在接用户的端口上开启这个功能，过滤用户可能的BPDU攻击，防止拓扑MSTP信息泄漏，并让用户端口直接forwarding。4.5 常见问题及解决对策4.5.1 VRRP协议监控主路由设备上行链路VRRP协议通过VRRP报文监控VRRP组中主路由设备的活动状况，但是对主设备上行链路发生故障所导致的网络中断故障就无能为力了。在这种情况下，终端用户的网关正常能ping通，但是无法通过网关进行外界通信。如图6所示。图6中，路由设备R1和R2通过以太网接口fa 0/1 连接到192.168.10.0/24网段，路由设备R1和R2的fa 0/1接口的IP地址分别为192.168.10.2和192.168.10.3，这两个接口都设置了VRRP，协议运行出来的虚拟路由设备IP地址为192.168.10.1，R1的fa 0/1接口为master，实际的数据转发由R1承担。R1上行链路通过接口gi 0/1和R3的gi0/1口连接。正常时，终端用户的数据流流向PCR1R3。如果R1和R3间的链路出现故障，但是VRRP仍运行正常，这时PC到网关路由没有问题，但是PC无法访问Internet，业务中断。对这种情况，我司的VRRP协议提供了监控主路由设备上行链路的功能。VRRP直接监控设备中多个三层接口的状态，当某一个三层接口down掉后，该VRRP组VRRP路由器的优先级降低一定的数值，通过优先级的变化从而影响VRRP组中主备状态的切换。在图6实例中，在R1上的VRRP组可以做如下配置：Ruijie (config)#int fa 0/1Ruijie (config-if)#VRRP 1 track gigabitEthernet 0/1 200上述的配置表示，R1中参与VRRP组1的接口fa 0/1监控gi0/1接口，如果gi0/1接口down掉，则fa0/1接口参与VRRP组1的优先级降低200。假设原先R1的VRRP组1优先级为250，R2的优先级为100，则R1的gi0/1接口down掉后，R1的优先级变为50，VRRP组1重新运算的结果是R2变成master，转发业务流量，而R2到R3的路由正常，这样就保证了业务不被中断。4.5.2 VRRP通告定时设备学习VRRP协议一旦启用了定时设备学习功能，如果当前路由设备是VRRP备份路由设备，在设置了定时设备学习功能后，它会从主路由设备的VRRP通告中学习VRRP通告发送间隔，并由此来计算master路由设备失效判断间隔，而不是使用自己本地设置的VRRP通告发送间隔来计算。对应的配置命令为在接口模式下配置vrrp group timers learn，其中参数group为参与的VRRP组。本命令可以实现backup路由设备与Master路由设备的VRRP通告发送定时设备同步。4.5.3 MSTP防止BPDU攻击BPDU是一类特殊的报文，我司设备在收到BPDU报文后，会将该报文送到cpu处理。BPDU报文过多，会引发设备cpu高，挤占链路带宽，使原本应该正常处理的协议没有运行，导致MSTP振荡，路由振荡，影响网络的正常运行。在双核心拓扑中，面对这类BPDU报文攻击，我们可以采用以下几种方法进行预防。我们以图6的拓扑为例，BPDU攻击可以在接入层设备和汇聚层设备上实施。在接入层设备上，由于接入层是连接终端用户，攻击者可以使用攻击工具发送大量的BPDU报文，造成整网的振荡。针对这类型的攻击，我们可以采取如下措施：（1）接入层设备连接用户的端口打开BPDU FILTER功能。端口上开启该功能后，该接口不收发BPDU报文，这样可以直接将用户的攻击报文过滤掉。这是一种最直接的方式，也很简单方便。（2）接入层设备连接用户的端口打开BPDU GUARD功能。端口上开启该功能后，如果该接口收到BPDU报文，则该接口进入Error-disabled 状态。在这个状态，接口被直接关闭。这个功能比（1）在违例规则处理上更严格，设备认为该端口受到攻击，直接将该端口关闭。要将端口恢复成正常状态，可以先接口下取消BPDU GUARD配置，然后在接口下使用命令“errdisable recovery”恢复该接口的正常使用。（3）接入层设备全局开启Tc Protection功能。攻击者可以发送tc位置1的BPDU报文，这类报文表示网络拓扑发生了变化，设备收到这类BPDU报文会引发清除MAC地址的操作。对汇聚层设备而言，清除MAC地址则会影响三层路由转发，造成路由振荡，三层转发短暂中断。持续的tc报文攻击，会使网络处于一种持续振荡的状态。全局开启Tc Protection功能后，接入层设备收到tc报文，不会进行转发，保护了拓扑中其他设备不受干扰，维护了网络的稳定。该功能在软件版本RGOS10.2(2)版本开始获得支持。（4）接入层设备接用户的端口上开启Tc Guard功能。（3）中的Tc Protection是全局开启，所有端口都有这个功能。而Tc Guard则是配置的接口才不扩散tc报文。因为在实际应用中，接终端用户的端口是不会收到tc报文的，除非受到攻击。另一种情况是设备的某个端口连接到一个透明的网络，且不想接收该网络的tc报文，避免自身的网络振荡。该功能在软件版本RGOS10.2(2)版本开始获得支持。（4）双核心拓扑中设备，待网络MSTP稳定后，在所有设备上MSTP状态为discarding的端口（Alternate port和backup port）下开启Loop Guard功能。在网络应用中，如果设备收到攻击，导致原先discarding端口在3倍协议周期内（一个周期默认为2s，3倍周期为6s）没有收到根桥发出的BPDU报文，则该discarding端口状态要转化为forwarding状态，这样会产生网络环路或加剧网络环路。Discarding端口上开启了Loop Guard功能后，在上述的攻击情况下，该端口状态会变为BLK状态，仍维持不转发数据流，防止产生网络环路。该端口会往外发BPDU报文，通告网络出现问题。（5）双核心拓扑中所有互连设备的端口可以开启TPP(Topology Protection Protocol，拓扑保护协议)。TPP是一个拓扑稳定保护协议，主要是针对MSTP，VRRP以及其他分布式网络协议可能造成的网络拓扑振荡而设计的。当网络中存在非法攻击时，可能造成网络设备的CPU利用率异常、帧通路堵塞等现象，很容易引起网络拓扑的振荡。TPP主要通过检测本地的异常现象（CPU利用率异常、帧缓冲异常等）和检测邻居设备的异常现象来达到稳定网络拓扑的目的。在双核心应用环境下部署TPP时，相邻网络设备都必须开启TPP。另外，部署TPP时，通常需要通过cpu topology-limit xx（xx表示cpu利用率，取值区间为0，100）命令配置cpu利用率检测的阀值，当设备的cpu利用率超过该值时，系统会产生拓扑防护通告。我们建议cpu利用率的值设置在一个中等偏上的位置比较合适，比如50-70,这时TPP能够较为准确地对网络情况进行判断。如果该值太低，则可能导致网络拓扑该切换的时候由于TPP的报警而不切换，如果该值太高，则可能系统已经繁忙到无法产生TPP告警，导致TPP功能失效。图6中，我们假设R1为MSTP的根桥，R1，R2，R4互连端口的TPP协议都开启。TPP可以预防以下两种情况：aR1因遭受网络攻击造成CPU异常繁忙，从而导致BPDU报文不能正常发送。这时，拓扑防护功能检测到异常后，R1会向邻居设备R2，R4发送异常通告报文，这时，设备R2，R4会根据异常通告信息，保持端口的生成树状态不变，从而防止拓扑振荡。b设备R2因遭受大量报文攻击造成CPU异常繁忙，这时造成收发包不正常，检测到异常后，它会向所有的邻居设备发送异常通告。R1收到异常报文后，根据来源，发现异常对其没有影响，不会进一步处理。而下游的二层接入设备R4接收到异常报文后，发现异常会影响其拓扑的计算，因此做进一步的防御处理，保持端口的生成树状态不改变，从而保证网络拓扑保持稳定。4.6 典型故障排查4.6.1 同一个备份组出现多个master路由器故障现象：在双汇聚设备上通过show VRRP brief命令，发现对同一个VRRP组，两台汇聚设备都是master路由器。原因分析：这分为两种情况，一种是多个MASTER并存时间很短，这种情况是正常的，一般在3倍的VRRP通告间隔时间内可以恢复，无需进行人工干预。另一种是多个MASTER长时间共存，这很有可能是由于MASTER之间收不到VRRP报文，或者收到的报文不合法造成的。解决办法：先互相在多个MASTER之间互相ping，如果ping不通，则是其他问题。如果能ping通，则通常是配置不同造成的，对于同一个VRRP备份组的配置，配置上应该要保证虚拟IP地址个数，每个虚拟IP地址，通告时间间隔，认证模式一样。4.6.2 核心层设备没有开启MSTP协议却收到大量BPDU报文故障现象：核心层设备上没有开启MSTP协议，但是设备show cpu发现利用率比较高，通过CPP看到送cpu报文类型中BPDU报文量很大。原因分析：这分为两种情况，一种是可能收到直连用户的BPDU报文攻击，这种情况一般比较少。另一种情况是BPDU报文由汇聚层透传上去。这种情况一般是汇聚层设备连接核心层设备端口没有过滤BPDU报文导致，。解决方法：对于第一种情况，解决方法就是找出攻击源并隔离。对于第二种情况，在汇聚层设备连接核心层设备的端口下配置BPDU FILTER功能可以解决这个问题。4.6.3 双核心拓扑出现广播风暴故障现象：双核心拓扑环境下，原本稳定的网络中出现了环路，网络设备互连的端口计数统计值非常大。原因分析：双核心拓扑环境，我们依靠MSTP协议切换物理环路，保证拓扑正常使用。正常情况下，拓扑应该是稳定，正常的。如果拓扑中出现广播风暴，一般是MSTP出现了问题。解决方法：我们可以依据以下流程检查MSTP协议设置是否正常。（1） 检查拓扑中所有设备是否开启MSTP协议。（2） 拓扑中所有设备的MSTP设置是否都在同一个域中。域名，域修正值，vlaninstance的映射关系是否正确。（3） 检查端口MSTP是否开启，设置是否正确。（4） 检查端口是否存在收发BPDU报文超时。这可以通过打开相应的debug 开关查看。比如，通过debug mstp rx 命令，可以查看本机收到BPDU报文的时间，报文是否合法，收到报文的端口等信息。debug mstp tx可以查看本机发送BPDU报文的时间，发送报文的端口等信息。4.6.4 双核心网络持续发生MSTP振荡故障现象：双核心拓扑网络环境下，原本应该稳定的网络变得不稳定，设备控制台隔段时间打印topochange:topologyischanged等提示信息，网络中流量不稳定，时断时续。原因分析：这种情况一般是MSTP出现了问题。解决方法：我们可以依据以下流程检查MSTP协议设置是否正常。（1） 检查端口MSTP状态是否振荡；（2） 检查端口MSTP角色是否振荡；（3） 检查设备是否频繁收到tc报文。可以通过debug mstp rx命令查看。追溯tc报文的源头并进行消除。4.6.5 其他MSTP可能的故障一般而言，MSTP的故障主要由以下两个方面引起，用户配置的错误和设备没有及时收发BPDU报文导致。下面，就将其他可能出现其他问题的原因和解决方法罗列如下。（1）MSTP配置中vlan和instance配置错误导致设备不能在同一个MSTP域里面，或者不同设备间配置了不同的生成树模式，导致出现了一些和预期不一样的效果。解决方法：核查拓扑中所有设备的MSTP配置，确保MSTP 域配置要一致。（2）端口允许的vlan配置，错误导致数据的实际转发效果不符合vlaninstance映射关系的预期效果。比如双核心拓扑下，根据MSTP计算，某个vlan对应的instance在某台接入层设备上联汇聚设备的端口是forwarding的，但是这台接入设备上forwarding的端口并没有配置这个vlan，进而导致数据流不通。解决方法：通过端口cost的设置，人为修改生成树的形状，让端口允许的vlan配置和该端口的转发状态相一致。（3）用户错误地配置了BPDU FILTER导致交换机无法正确地接收和发送BPDU，从而导致拓扑计算异常。解决方法：取消端口下BPDU FILTER的配置，让设备能正常收发BPDU。4.7 配置实例下面，我们提供双核心拓扑在市场上的应用配置。教育和金融市场各一个配置案例。4.7.1 教育市场应用图7 某高校宿舍网网络拓扑图拓扑说明：（1） 某高校宿舍网网络采用两台S8606作为双核心，运行VRRP和MSTP。（2） S8606上有10个用户vlan，vlan id为10，20，30.100。对应svi接口运行VRRP协议。VRRP协议设置成对奇数用户vlan（指vlan 10，30，50，70，90），左边的S8606（即图7中的S8606A）为master主路由器，作为用户的网关转发用户数据。对偶数用户vlan（指vlan 20，40，60，80，100），右边的S8606（即图7中的S8606B）为master主路由器，作为用户的网关转发用户数据。Master主路由器的设置通过设置优先级为254实现，backup路由器的优先级采用默认值，100。（3） S8606上MSTP设置3个vlaninstance的对应关系，域名和域修正值采用默认设置。奇数用户vlan对应到instance 1，偶数用户vlan对应到instance 2。其他vlan对应到instance 0。instance 0和instance 1，左边的S8606（即图7中的S8606A）作为根桥，instance 2，右边的S8606（即图7中的S8606B）作为根桥。根桥的设置通过设置优先级为4096，备份根桥的优先级设置为8192来实现。（4） 接入层设备S21_1上面有用户vlan 10，30，50，70，90。在连接用户的端口上启用BPDU FILTER功能，直接过滤BPDU报文，可以有效避免BPDU攻击和防止MSTP信息泄漏，同时端口可以快速Forwarding。通过修改S21_1上链端口的生成树cost为1，让生成树在S21_1的两个端口Forwarding，避免用户vlan 10，30，50，70，90不通。（5） 拓扑中互连网络设备接口上开启TPP功能，设置cpu利用率阀值为60。在设备cpu利用率超过60时，能保持MSTP和VRRP不发生振荡。具体配置：RG_S8606A#show configure cpu topology-limit 60 /设置cpu利用率阀值为60，推荐值为5070左右! spanning-tree /开启stp协议 spanning-tree mst configuration /配置stp的模式为mstp instance 1 vlan 10,30,50,70,90 /配置instance 1对应的vlan，注意mstp域其他两个参数，域名和域修正值这里都没有配置，设备自动采用默认值设置，推荐域名和域修正值无需配置 instance 2 vlan 20,40,60,80,100 /配置instance 2对应的vlan，注意mstp域其他两个参数，域名和域修正值这里都没有配置，设备自动采用默认值设置，推荐域名和域修正值无需配置! spanning-tree mst 0 priority 4096 /通过修改mst的优先级为4096，确定该设备为根桥 spanning-tree mst 1 priority 4096 spanning-tree mst 2 priority 8192 /通过修改mst的优先级为8192，确定该设备为备份根桥interface GigabitEthernet 2/1 /连接S21_1的接口 switchport mode trunk /设置为trunk端口属性 switchport trunk allowed vlan remove 1-9,21-29,31-49,51-69,71-89,91-4093 /只允许S21_1上有的用户vlan10，30，50，70，90 tp-guard port enable /端口上开启TPP功能，