預防交換機自環的配置方案

2019-11-04 21:26:56

字體：大中小

來源：轉載

供稿：網友

　　廣播風暴的襲擊，可使一個園區網的部分區域癱瘓。而對于一個層次結構不好的園區網來說，甚至可以使核心交換機不堪負荷而導致整個園區網全部癱瘓。引發廣播風暴的原因可有多種，其中一種可能是由于交換機或集線器的自環引起的問題。所謂"自環"，是指用戶在聯網時有意或無意地將交換機或集線器通過通信介質(如雙絞線)接成環路。它是園區網的網管員輕易碰到或潛在的問題。那么"自環"會引發什么后果呢?先讓我們來看看下面的一個案例。
　　
　　某園區網出現故障，其外部特征是核心交換機不堪負荷致使整個園區網都癱瘓了。當用超級終端登錄到該交換機，經檢查發現某個端口收到大量的廣播包，是單播包的l0萬倍以上，這顯然是碰到了來歷不明的廣播風暴的襲擊，因為只要一禁止該端口，整個園區網就恢復了正常。根據該端口所連接的網段，通過物理手段逐級排查，最后鎖定故障點，是安裝在某公共計算機房里的一臺24口非治理型交換機。再仔細檢查后發現，該交換機上有一條跳線的另一端也插在同一臺交換機上，把它一拿掉，園區網又可回復正常狀態?？梢?，這種交換機的"自環"現象所造成的后果相當嚴重，排查起來也比較麻煩。事后了解到，這條交叉線是用于級聯另一臺交換機的。交換機拿走了，級聯線卻留了下來，最終釀成這起網絡事故。
　　
　　產生廣播風暴的原因：
　　交換機的基本功能相當于一個透明網橋，為了更好地分析"自環"問題的產生氣理，以便得出針對這類問題的解決方案，我們先來簡單地了解一下透明網橋的功能：
　　
　　* 網橋不能修改所轉發的數據幀;
　　* 網橋通過在端口上偵聽數據幀中的源MAC地址來獲得與該端口相連的設備的MAC地址，并建立一張源MAC地址和獲得該地址的端口號的對照表，也稱MAC地址表;
　　* 網橋必須將接收到的廣播幀轉發到除接收端口以外的所有端口;
　　* 網橋必須將接收到MAC目的地址的未知的單點傳送幀轉發到除接收端口以外的所有端口;
　　* 網橋必須過濾掉目的地位于接收端口所在網段上的數據幀，而轉發目的地位于其它端口上的數據幀。
　　
　　假如園區網還只是一個基于第二層的交換式快速以太網絡，全網屬于同一個廣播域，在這樣的局域網上通信，源站必須知道目的站的MAC地址，即使源站有了目的站的ip地址。否則，源站要與目的站通信，就得通過地址解析協議ARP來獲取與該目的IP地址對應的MAC地址。在這里假定源站的ARP表中沒有目的站的MAC地址，那么源站就會建立一個ARP請求幀，并將它發送給局域網中的所有站點。由于ARP請求幀是以廣播方式發送的，該局域網中所有站點都會接收到這個幀，然后傳送給網絡層檢驗。假如某個站點的IP地址和請求幀中的目的IP地址相同，該站點就會作出應答，將其MAC地址以單播方式發送應答幀給源站。一旦源站收到ARP應答幀，就可用目的站的MAC地址更新自己的ARP表，并知道了目的站的MAC的IP地址。
　　需要注重的是，ARP廣播包一般是不能跨越路由器的，只能受限于同一廣播域，即同一IP子網。因此，假如源站與局域網外的(另一1P子網)目的站通信，源站只需獲得網關的MAC地址，然后將分組發往該網關。網關收到相應分組后，再根據目的IP地址來決定路由策略。
　　
　　在進行ARP的過程中，涉及到數據鏈路層上的廣播處理。當交換機與源站和目的站連接時，根據透明網橋的定義，該交換機必須將接收到的廣播幀轉發到除接收端口以外的所有端口。假如該交換機意外自環了，如圖1所示，一有ARP發生，這兩個端口也會同時接收到廣播幀，并會向其它端口轉發。這時，就這兩個端口而言，都會形成兩個方向相反的廣播幀轉發環路，而且這種重復轉發是永無止境地進行下去。
　　
　　　

　　
　　當自環交換機快速地把廣播幀不斷地向其它端口轉發時，形成的廣播風暴在很短的時間內就會導致交換機出現超負荷運轉(如CPU過渡使用、內存耗盡等)，最終耗盡所有帶寬，使網絡連接中斷，嚴重地影響了與該交換機相連的設備間通信。這種廣播岡暴還不斷地沖擊上游交換機，上游交換機的抗廣播風暴能力不強的話，就更加大了受影響的范圍，最終將整個園區網搞垮。
　　
　　對于前面所提到的故障，安裝交換機需要一段時間，等裝好后，源主機中的ARP表早就沒了，也就是說源主機不知目的主機的MAC地址，而且交換機中的MAC地址表又沒建立起來。所以連接在該交換機端口上的主機要與其它主機通信，必然要通過ARP查詢對方網卡的MAC地址，以便進行主機之間的數據幀的傳輸。只要主機一發出ARP廣播幀，故障馬上就會產生。以太網交換機的lOOMbp，端口的轉發速率可達148800bps，當端口帶寬被廣播包占滿時，出現廣播包是單播包的l0萬倍也就不足為怪了。
　　
　　預坊廣播風暴的幾種配置方法
　　自環故障因產生廣播風暴而造成的影響這么大，又如此輕易發生，如何才能縮小這種影響呢?
　　
　　限制廣播包轉發數量
　　我們可以考慮使用兵有控制廣播風暴功能的交換機，這類交換機可對其端口定義廣播門限值，當端口接收的廣播包超過了該值時，該端口便會馬上處于掛起狀態以避免出現循環廣播狀態。
　　
　　提高上聯帶寬冗余
　　我們還可以考慮增大上聯帶寬，提高交換機中繼鏈路之間的吞吐量，實行主機100M接入、交換機10OOM上聯，使鏈路有足夠的帶寬冗余，不至于因這種廣播包的連鎖反應而堵塞上聯鏈路。
　　
　　縮小廣播域，隔離故障組件
　　對于大型的交換型園區網而言，全網屬于一個廣播域，極其輕易引起廣播風暴的問題。我們可以考慮把一個物理上的大網在邏輯上細分為若干個較小的IP子網(VLAN)，以減小廣播域，即使出現了廣播風暴也僅是局限在一個小范圍內，從而大大地抑制了廣播風暴擴散范圍。此外，采用VLAN技術還可實現對故障組件的隔離，例如一臺出故障的設備、廣播密集型的應用，當然還有網間的環路故障。但是，當某個子網中的交換機發生自環，雖然采用了VLAN技術抑制了廣播風暴擴散范圍，但還是會對本子網造成巨大影響。為了對付此種網絡環路問題，性能稍好的交換機都具備生成樹協議(IEEE802.ID)功能，它對穩定網絡運行具有重要作用。
　　
　　下邊我們具體介紹一種利用生成樹協議來預防廣播風暴的方法。
　　用生成樹協議屏蔽網絡環路
　　生成樹協議(IEEE802.ID)的主要功能是為了解決由于冗余備份連接所產生的環路問題，它使用網橋協議數據單元(BPDU)產生一個只有單個根和多個分支的無環路的樹型拓撲(生成樹)。
交換機自環是一種非凡的環路問題，故同樣可以利用生成樹協議來預防這種自環故障對網絡造成的不利影響。這里的BPDU是一個長度為64字節的數據幀，分為通知BPDU(見表1)和配置BPDU(見表2).
　　
　　　

　　
　　通知BPDU主要包含有BPDU類型等域，用于當拓撲發生改變時子網橋通知父網橋;配置BPDU主要包含有BPDU類型、根網橋ID、到根網橋的路徑開銷、發送網橋ID、端口ID等域，用于生成樹的產生和維持過程。下面我們就來簡單分析一下生成樹的產生過程，這個過程共分四個步驟:
　　
　　l.選舉單個網橋作為根網橋;
　　2.在每個網橋上選舉提供到根網橋最短路徑的一個端口(稱為根端口);
　　3.在每個局域網網段上，選舉一個離根網橋最近的網橋(指定網橋)以及該網橋上離根網橋最近的端口(指定端口);
　　4.用局域網上被選舉出來的所有根端口和指定端口產生一個生成樹。
　　當網橋第一次啟動時，它就假定自己是根，在每個端口上發送BPDU。在前3個選舉步驟中都需要基于最好的BPDU進行。為了確定最好的BPDU，網橋按下面的次序檢查:最小的根網橋ID、到根網橋的最小路徑開銷、最小的發送網橋ID、最小的端口ID，值越小它的BPDU就越好。假如網橋在一個端口上收到了一個更好的BPDU，就會停止在那個端口上發送BPDU，表示退出根網橋的選舉。當沒有收到比自己的BPDU更好的BPDU時，其它網橋都退出根網橋的選舉，并一致同意該網橋是這個局域網上的根網橋。假定圖2中的網橋B先啟動并開始發送BPDU，公布自己是根網橋。一段時間后，網橋A啟動并公布自己是根。一旦網橋A的BPDU到達網橋B，網橋B就會同意網橋A是根，因為網橋A的根網橋ID比網橋B的小。
　　　

　　圖2有兩個網橋的簡單網絡
　　在確定了根網橋之后，每個非根網橋就要確定一個離根網橋最近的端口作為根端口。網橋使用開銷的概念來判定到根的遠近，它是一個到根網橋的所有鏈路開銷值的總和。假定網橋A和網橋B之間的連接鏈路均相同(例如100Mbps)，而作為根網橋的網橋A在發送BPDU時，公布到根的開銷為0。當網橋B在兩個端口上分別收到來自根網橋的這些消息時，均加上相同的鏈路開銷(例如19)，即認為到根網橋是一樣近的。考慮到是同一個網橋上的兩個端口，故選舉出最小的端口憶的端口為根端口。非根網橋比較兩個端口上的BPDU，具有最好BPDU的那個端口被確定為根端口。
　　
　　在橋接網絡中的每個網段都有一個指定網橋，以及在指定網橋上的一個指定端口，其目的是確保只有一個端口為該網段處理流量，從而避免環路。在網橋A和網橋B之間的網段1上有兩個網橋端口，一個在網橋A上，一個在網橋B上。兩個網橋端口都同意網橋A是根，所以網橋A上的端口1是指定端口，同時網橋A也是這個鏈路的指定網橋。在網橋A和網橋B之間的網段2，網橋A上的端口再次獲勝成為指定端口?？梢姡W橋就是指定網橋，一般來說，它的每個活動端口都是指定端口。
　　
　　利用以上過程選舉出來的所有根端口和指定端口所形成的邏輯樹是沒有環路的，數據流量只在該樹上流動。這些端口承擔著轉發流量的工作，其它端口則阻塞流量。圖3顯示了例子中的生成樹收斂的最后結果。注重網橋B上的端口2是阻塞流量的，這樣就打破了環路。
　　
　　一旦形成了這個邏輯樹，BPDU流量仍會不斷發出。根網橋定期從它的所有活動端口發送BPDU到其下游網橋的根端口，這些網橋在它們的指定端口冉往其下游網橋的根端口發送BPDLJ，如此發送下去，直至碰到阻塞端口為止。根端口和阻塞端口只接收 "配置BPDU"而不發送 "配置BPDU"。當拓撲發生改變時，這些端口很可能就收不到"配置BPDU"，或端口從阻塞狀態進入轉發狀態，或端口從轉發狀態進入阻塞狀態，相關網橋就會通過其根端口逐級上傳"通知BPDU"，讓根網橋知道拓撲發生了改變，需要刷新生成樹。網橋通過定期發送和接收RPDLJ，維持著生成樹在邏輯上的一致性。
　　
　　

　
　　
　　假如網橋A上的兩個端口之間存在物理回路連接，如圖4所示，根據以上的討論，網橋A仍是根網橋，它的端口1和端口2分別會收到對方的BPDU。因為在較大端口號的端口上收到了一個更好的BPDU，所以它停止再發送BPDU并轉為阻塞端口，而較小端口號的端口則被選舉為指定端口。在這里我們看到了一個有自環的網橋，但在生成樹協議的作用下，已經不會產生廣播風暴了。
　　
　　[[The No.6 Picture.]]
　　
　　交換機開啟了生成樹協議后，假如出現端口之間的物理環路，則只有一個端口是指定端口，另一個端口被置于阻塞狀態。處于阻塞狀態的端口不能發送或接收數據幀，從而避免了自環所帶來的問題。
　　中、高端交換機一般都會支持生成樹協議。但要注重的是，交換機對生成樹協議的默認狀態可能是關閉的，這一點往往是許多網絡工程師和網管員所疏忽的。為了避免交換機的自環問題，必須開啟交換機的生成樹協議。生成樹協議可以徹底解決交換機自環帶來的問顴，但是性能不高的低端交換機或集線器不具備生成樹協議的功能，也可能不具備其它能抑制廣播風暴的功能。碰到這種情況時，網絡治理員的自身素質就非常重要。
　　
　　其實，再好的設備還得由人來使用，最直接的交換機自環故障預防措施就是了解這些網絡連接設備的工作原理，保證其正確的連接。

上一篇：重慶長豐數據視頻融合VPN方案

下一篇：思科企業網絡解決方案（圖）