vPC 交换机上的生成树 RootGuard 问题

网络工程 思科 转变 生成树 cisco 命令 虚拟主机
2021-07-30 20:57:42

我有下图和两个配电开关背对背连接 vPC

相关的生成树问题是否可以RootGuard在连接接入交换机的两个分布交换机上使用,或者我应该只RootGuardROOT交换机使用?

  • RG - 根保护
  • BG - BPDU 保护

在此处输入图片说明

2个回答

根据评论,我认为您对guard root. guard root在除根交换机之外的所有交换机的下游接口上进行配置基本上,您试图通过防止其他接口成为根接口来保护交换机上的根接口(根交换机没有根接口)。这将保护您已部署的拓扑。portfastbpduguard不需要的接口,guard root因为如果在接口上接收到任何BPDU(上级或不上级),它们将禁用

Cisco 在Spanning Tree Protocol Root Guard Enhancement 中对此进行了解释请注意,在示例中,它告诉您guard root在交换机 C(非根交换机)接口上配置到交换机 D。

本节中的示例演示了恶意根网桥如何导致网络出现问题以及根保护如何提供帮助。

图1中,交换机A和B构成网络的核心,A是VLAN的根桥。交换机C是接入层交换机。B 和 C 之间的链路在 C 端阻塞。箭头显示了 STP BPDU 的流向。

图1

在此处输入图片说明

图 2, 设备 D 开始参与 STP。例如,基于软件的桥接应用程序在客户连接到服务提供商网络的 PC 或其他交换机上启动。如果网桥 D 的优先级为 0 或任何低于根桥优先级的值,设备 D 将被选为本 VLAN 的根桥。如果设备A和B之间的链路为1Gb,A和C以及B和C之间的链路为100Mbps,则D作为root选举导致连接两个核心交换机的千兆以太网链路阻塞。此块会导致该 VLAN 中的所有数据通过 100 Mbps 链路跨接入层流动。如果通过该 VLAN 中的核心的数据流超过此链路可容纳的数量,则会发生某些帧的丢弃。丢帧会导致性能下降或连接中断。

图2

在此处输入图片说明

根保护功能可保护网络免受此类问题的影响。

根保护的配置是基于每个端口的。根保护不允许端口成为 STP 根端口,因此端口始终是 STP 指定的。如果一个更好的 BPDU 到达这个端口,根保护不会考虑 BPDU 并选举一个新的 STP 根。相反,根保护将端口置于根不一致 STP 状态。您必须在不应出现根网桥的所有端口上启用根保护。在某种程度上,您可以在 STP 根所在的网络部分周围配置边界。

图 2 中,在连接到 Switch D 的 Switch C 端口上启用根保护。

在交换机收到上级 BPDU 后图 2 中的交换机 C 会阻塞连接到交换机 D 的端口。根保护将端口置于根不一致 STP 状态。在此状态下,没有流量通过该端口。设备 D 停止发送上级 BPDU 后,该端口将再次解除阻塞。通过STP,端口从侦听状态进入学习状态,最终过渡到转发状态。恢复是自动的;无需人工干预。

根保护阻止端口后出现此消息:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. 
Moved to root-inconsistent state

编辑:

这是另一个 Cisco Root Guard 图,显示了guard root,不是在根交换机上,而是在要防止恶意根交换机的交换机上的位置:

在此处输入图片说明

如果根交换机正在接收高级 BPDU,那么您的拓扑已经受到损害。它不是为了保护根交换机,而是旨在通过保护其他接口免于成为根接口来保护其余交换机免于被误认为不正确的交换机是根交换机。

Root Guard 的存在是为了阻止恶意或配置错误的交换机成为网络中的根网桥,这会导致生成树拓扑结构的中断。通常你的核心交换机应该是根桥。如果较低层的交换机成为 root,不仅会导致 STP 拓扑重新收敛(导致中断),而且还会创建一个以较低容量(硬件和接口带宽)和较少连接交换机为根的低效拓扑. Root Guard 可以配置在任何不应成为根端口的端口上(即它不应面向根或辅助根交换机)。然后该端口只能成为指定端口或阻塞端口。

您可以在核心层和分布层交换机的下行链路(朝向接入层)上配置根保护,但请考虑以下事项:

  • 如果仅在核心交换机上配置了 Root Guard(仅在下行链路上,不在核心到核心链路上配置)并且接入层交换机生成高级 BDPU,则核心交换机将切断到分布交换机的链路。这将断开分布层交换机,断开连接到该分布层交换机的所有接入层交换机。

  • 如果在分布交换机上配置了Root Guard,并且收到相同的上级BPDU,则只会断开单个接入层交换机的连接。

  • 在核心层和分布层上进行配置会增加一层额外的保护,以防您忘记将其添加到分布层交换机的下行链路之一,但在正确配置的网络中,您只需要在分布层上配置根保护层下行链路。

  • 我猜在某种情况下,核心-核心(即根到辅助根)链接可能会被切断。如果在两个核心交换机的下行链路上都配置了 Root Guard,分布层将不会用作通往二级根的路径(Root Guard 会在二级根上将其切断)。如果有任何单宿主交换机/主机直接连接到辅助核心,它们将与网络断开连接,但这种情况不太可能发生。

其它你可能感兴趣的问题
上一篇本机 IPv6 负载平衡 下一篇会话层与传输层