交換機網(wǎng)絡出現(xiàn)環(huán)路狀態(tài)及環(huán)路防范策略

交換機網(wǎng)絡出現(xiàn)環(huán)路狀態(tài)及環(huán)路防范策略

一、當網(wǎng)絡出現(xiàn)環(huán)路時，通常會有以下這些癥狀表現(xiàn)：

網(wǎng)絡性能方面

· 網(wǎng)絡卡頓與延遲：環(huán)路會導致廣播風暴，大量的廣播數(shù)據(jù)包在網(wǎng)絡中不斷循環(huán)傳輸，占據(jù)了大量的網(wǎng)絡帶寬。這使得正常的數(shù)據(jù)傳輸受到嚴重干擾，數(shù)據(jù)包的傳輸延遲明顯增加，用戶在訪問網(wǎng)絡資源時會明顯感覺到卡頓，比如網(wǎng)頁加載緩慢、視頻播放卡頓、文件下載速度極慢等。

· 網(wǎng)絡丟包：由于網(wǎng)絡中充斥著大量的無用廣播數(shù)據(jù)包，交換機等網(wǎng)絡設備的處理能力會達到極限。當設備無法及時處理所有數(shù)據(jù)包時，就會導致部分數(shù)據(jù)包被丟棄。這會影響到依賴可靠數(shù)據(jù)傳輸?shù)膽?，如實時通信、在線游戲等，造成語音通話中斷、游戲畫面卡頓和丟幀等問題。

· 帶寬耗盡：廣播風暴會使網(wǎng)絡帶寬被迅速耗盡。原本可以正常使用的網(wǎng)絡帶寬，因為環(huán)路產(chǎn)生的大量冗余數(shù)據(jù)包而被占用，導致整個網(wǎng)絡幾乎無法為正常業(yè)務提供服務。例如，企業(yè)網(wǎng)絡中原本可以支持多人同時辦公的帶寬，在出現(xiàn)環(huán)路后，員工可能連基本的郵件收發(fā)都變得困難。

網(wǎng)絡設備方面

· 設備發(fā)熱嚴重：網(wǎng)絡設備（如交換機）在處理大量的廣播數(shù)據(jù)包時，會增加其 CPU 和其他硬件組件的工作負荷。長時間的高負荷運行會使設備產(chǎn)生過多的熱量，導致設備發(fā)熱嚴重。如果不及時處理，可能會影響設備的穩(wěn)定性和壽命，甚至導致設備損壞。

· 設備指示燈異常：交換機端口的指示燈通常可以反映端口的工作狀態(tài)。在出現(xiàn)環(huán)路時，受影響端口的指示燈可能會出現(xiàn)快速閃爍、不規(guī)則閃爍或常亮等異常情況。這是因為端口不斷地接收和發(fā)送大量數(shù)據(jù)包，導致指示燈狀態(tài)頻繁變化。

· 設備頻繁重啟：當網(wǎng)絡設備的 CPU 資源被廣播風暴耗盡，設備可能會出現(xiàn)性能崩潰的情況。為了嘗試恢復正常運行，設備可能會自動重啟。但由于環(huán)路問題沒有得到解決，重啟后不久又會再次出現(xiàn)類似的問題，導致設備頻繁重啟。

網(wǎng)絡連接方面

· 部分或全部設備斷網(wǎng)：環(huán)路產(chǎn)生的廣播風暴可能會導致交換機的 MAC 地址表出現(xiàn)混。SW交換機依靠 MAC 地址表來轉發(fā)數(shù)據(jù)包，當 MAC 地址表異常時，交換機可能無法正確地將數(shù)據(jù)包轉發(fā)到目標設備，從而導致部分或全部設備無法正常連接到網(wǎng)絡。

· 網(wǎng)絡拓撲結構異常：在一些支持網(wǎng)絡拓撲自動發(fā)現(xiàn)和顯示的網(wǎng)絡管理系統(tǒng)中，可能會顯示出異常的網(wǎng)絡拓撲結構。例如，原本正常連接的設備之間可能會出現(xiàn)異常的連接關系，或者某些設備顯示為無法正常識別或連接狀態(tài)。

二、交換機防環(huán)路的策略：

1、指定STP根指定匯聚交換機為STP的根交換機；

啟用環(huán)路保護功能（stp bpdu-protection是用來保護邊緣端口的邊緣端口下面是接pc的 所以收不到BPDU包。而如果不小心在該接口下接入了一個交換機 就會接收到BPDU包 而開啟了這個功能之后 你的這個端口檢測到有BPDU包的存在 就會自動把狀態(tài)變?yōu)閐own。如果你網(wǎng)絡中沒有啟用邊緣端口不需要使用這個命令）

端口開啟bpdu enable不論是trunk，還是access口，都可以配置bpdu enable命令。BPDU橋協(xié)議數(shù)據(jù)單元，是STP生成樹協(xié)議中的報文，開啟主要是防環(huán)。通過BPDU來協(xié)商哪個端口處于blocking的狀態(tài)來阻塞數(shù)據(jù)發(fā)出，這樣就可以達到防環(huán)。在每個或者單個端口上開啟；如果接收到任何BPDU，該端口即被屏蔽。

開啟邊緣端口配置的接口不參與生成樹計算，即可以轉發(fā)BPDU也可以接收BPDU。配置BPDU保護功能后，如果邊緣端口收到了BPDU，交換機將關閉這些端口，同時通知網(wǎng)管系統(tǒng),被關閉的端口只能由網(wǎng)絡管理人員手動恢復。

終端、服務器都不支持STP協(xié)議，如果這些設備和交換機連接，建議在交換機的端口上執(zhí)行命令stp edged-port enable開啟邊緣端口屬性或執(zhí)行命令stp disable去使能STP。

否則，當用戶插拔鏈路連接介質，或先執(zhí)行shutdown，再執(zhí)行undo shutdown，重啟端口后，因對端端口不會發(fā)送STP的協(xié)議報文進行協(xié)商，導致交換機上的端口經(jīng)過2倍的Forward Delay（默認為15秒）時間后才能正常轉發(fā)報文。

或者使用stp disable命令。

stp bpdu-protection

用來保護邊緣端口的邊緣端口下面是接pc的 所以收不到BPDU包 。而如果不小心在該接口下接入了一個交換機就會接收到BPDU包 而開啟了這個功能之后 你的這個端口檢測到有BPDU包的存在 就會自動把狀態(tài)變?yōu)閐own。如果你網(wǎng)絡中沒有啟用邊緣端口不需要使用這個命令。

啟用環(huán)路檢測功能loopback-detection環(huán)回檢測，環(huán)回監(jiān)測會在相應端口發(fā)送檢測包，如果能夠從發(fā)送的端口收到發(fā)送的包，即為端口內存在環(huán)路，對access端口，會刪除mac列表，block端口，對trunk端口會上報，不會禁用端口。因此，環(huán)回監(jiān)測功能只能發(fā)現(xiàn)單一端口的自環(huán)，或者是下級存在外部環(huán)路，例如本端口下級聯(lián)hub，在hub上產(chǎn)生環(huán)路。如果需要檢測和防止多端口的環(huán)路，例如兩端口同時接入一根網(wǎng)線的兩段，則需要開啟stp。

在分別對接入層交換機配置STP和Loopback-detection進行測試后，得出結果：

1.當接入層交換機有兩個端口用網(wǎng)線同時與同一個傻瓜交換機相連形成環(huán)路時：

（1）STP生效，阻塞其中一個端口，網(wǎng)絡正常。

（2）Loopback-detection未生效，該交換機開始廣播風暴，網(wǎng)絡不正常。

2.當接入層交換機有一個端口用網(wǎng)線連著一個傻瓜交換機，傻瓜交換機上有兩個端口用網(wǎng)線對接時：

（1）STP生效。阻塞該接入層交換機端口，其他接口網(wǎng)絡正常，但該交換機無法遠程控制。

（2）Loopback-detection生效，阻塞該接入層交換機端口，并通報trap信息，其他接口網(wǎng)絡正常。

TC-guard gongji防護

啟用防TC-BPDU報文gongji功能后，在單位時間內，MSTP進程處理TC類型BPDU報文的次數(shù)可配置（缺省的單位時間是2秒，缺省的處理次數(shù)是3次。）。如果在單位時間內，MSTP進程在收到TC類型BPDU報文數(shù)量大于配置的閾值，那么MSTP進程只會處理閾值指定的次數(shù)。對于其它超出閾值的TC類型BPDU報文，定時器到期后，MSTP進程只對其統(tǒng)一處理一次。這樣可以避免頻繁的刪除MAC地址表項和ARP表項，從而達到保護交換機的目的。 

當網(wǎng)絡拓撲發(fā)生變化時，交換機會從自己的指定端口向外發(fā)送TCN BPDU報文 接收到TCN BPDU報文的交換機向發(fā)送者發(fā)送TCA報文 根交換機接收到TCN BPDU報文向網(wǎng)絡中發(fā)送TC BPDU 收到TC BPDU的交換機將 MAC地址表老化時間設為15s 就這些 TCA是應答TCN的，只回應發(fā)送TCN的交換機 TC是發(fā)送到整個網(wǎng)絡的。通過查看端口的TC報文計數(shù)，發(fā)現(xiàn)端口收到大量的TC報文，且在不斷增長。觸發(fā)MAC刪除、ARP表項刷新，設備處理大量arp-miss、arp-request和arp-reply報文，導致CPU升高，OSPF Hello報文、VRRP心跳報文不能及時處理，出現(xiàn)震蕩。

stp tc-protection //tc保護

arp topology-change disable

mac-address update arp

當設備收到TC報文后，默認會清掉MAC、老化ARP。當設備上的ARP表項較多時，ARP的重新學習會導致網(wǎng)絡中的ARP報文過多。配置arp topology-change disable、mac-address update arp后，在網(wǎng)絡拓撲變化時，可以根據(jù)MAC地址的出接口變化刷新ARP表項出接口?？梢詼p少大量不必要的ARP表項刷新。

執(zhí)行此命令arp topology-change disable，去使能設備響應TC報文的功能后，當網(wǎng)絡的拓撲發(fā)生變化的時候，系統(tǒng)的ARP表項不再進行老化或者刪除操作，如果未對設備使能“MAC刷新ARP”功能，此時由于設備中保存的ARP表項沒有得到及時刷新，可能導致用戶業(yè)務中斷。蘇州東元信息技術有限公司因此建議執(zhí)行命令mac-address update arp，使能MAC刷新ARP功能。