网络系统集成实验报告

XX大学MSTP＋VRRP应用技术姓名学号专业班级2013/7/4目录TOC\o"1-5"\h\z\o"CurrentDocument"1技术介绍 2\o"CurrentDocument"1.1 层次化的网络设计架构 2\o"CurrentDocument"1.1.1 核心层 2\o"CurrentDocument"1.1.2 汇聚层 2\o"CurrentDocument"1.1.3 接入层 3\o"CurrentDocument"VRRP协议 3\o"CurrentDocument"1.2.1 概述 31.2.2 协议基本原理 3\o"CurrentDocument"1.2.3 应用举例 4\o"CurrentDocument"MSTP协议 4\o"CurrentDocument"1.3.1 概述 41.3.2 协议基本原理 41.3.3 应用举例 5\o"CurrentDocument"MSTP+VRRP双核心应用方案 6\o"CurrentDocument"应用说明 6常用配置说明 6\o"CurrentDocument"常见问题及解决对策 6VRRP协议监控主路由设备上行链路 6\o"CurrentDocument"VRRP通告定时设备学习 7\o"CurrentDocument"MSTP防止BPDU攻击 7\o"CurrentDocument"1.6 典型故障排查 8同一个备份组出现多个master路由器 81.6.2核心层设备没有开启MSTP协议却收到大量BPDU报文 9双核心拓扑出现广播风暴 9双核心网络持续发生MSTP振荡 9\o"CurrentDocument"其他MSTP可能的故障 9\o"CurrentDocument"1.7配置实例 10教育市场应用 10金融市场应用 14\o"CurrentDocument"2 结束语 211技术介绍1.1层次化的网络设计架构随着计算机技术和通信技术的飞速发展，以太网技术已经普遍应用。能实现高速数据交换的以太网交换机以较高的性价比在市场上得到了广泛的应用。同时，不同性能的交换机产品依据层次化网络设计方案，分别处于接入层(accesslayer),汇聚层(distributionlayer)和核心层(corelayer),共同组成交换网络系统，提供数据交换服务。接入层，汇聚层和核心层是这个层次化网络设计架构的三个组件，如图1所示。□□□口corelayer核心层A□□□口corelayer核心层A匚匚esslayer接凡层distribut-ionlayer-汇聚层图1层次化网络设计架构这种架构的主要优点在于其层次化的结构和组件模块化。在层次化网络设计架构中，每一个层次网络设备的各种容量指标，特性和功能都针对其所在的网络位置和作用进行了优化，稳定性和可用性都得到了加强。同时，模块化网络的组件非常容易复制，重新设计并随时可以进行扩展和更新。在这个过程中，并不需要每次都重新设计整个网络。采用层次化的网络设计架构，用户可以随时中断网络中任意组件的运行，而不会影响到整个网络。这个优点在进行网络升级，网络故障排查，故障隔离和进行网络管理时显得尤为重要。1.1.1核心层核心层也被称为整个网络的主干，用来连接网络中的其他组件，主要目的就是尽可能快的交换数据。核心层交换机一般采用L3路由交换作为基础。核心层主要任务是：连接网络中其他组件；根据设定的访问策略，提供组件到组件的访问；快速交换数据；1.1.2汇聚层汇聚层是处于网络接入层和核心层之间的分界点，汇聚来自接入层节点的网络流量，同时作为网络故障隔离边界，在接入层发生故障时提供隔离点。汇聚层通常采用双L3交换机进行部署，也就是我们平常说的双核心汇聚。双核心汇聚层上的高可用性通过两条等价路径提供，包括从汇聚层到核心层以及从接入层到汇聚层的链路。其中从汇聚层到核心层主要采用L3进行链路备份，从接入层到汇聚层的链路主要采用L2进行链路备份。双链路备份可以在链路或节点发生故障时提供快速收敛。L3路由负载分担技术允许同时利用从汇聚层到核心层的两条上行链路，一般由采用的路由协议保证。汇聚层则使用VRRP协议对终端用户提供缺省的用户网关冗余，网关对用户是透明的，当一个汇聚层节点发生单点故障时，并不会影响终端用户与缺省网关的连接。匚聚层和接入层间的L2链路冗余则通过MSTP协议进行保证。当汇聚层和接入层间的某条物理链路出现故障而无法进行L2交换时，MSTP会自动检测到故障的发生，并立即启用备份物理链路，保证L2交换的畅通。汇聚层的主要任务是：VLAN的聚合；同VLAN内数据的L2交换和VLAN间数据的L3交换；安全策略的应用广播域或多点广播域的定义；介质转换；1.1.3接入层接入层是连接终端用户的网络节点，可以通过安全策略的设置对用户流量做初步的控制。接入层中的交换机以两个上行链路连接汇聚层双核心交换机，采用物理链路冗余的方式保证L2交换。接入层和汇聚层设备通过MSTP协议，共同完成物理链路的冗余备份。接入层的主要任务是：共享的带宽；根据设置的安全策略对用户进行初步的访问控制和流量控制；提供L2服务。比如基于VLAN的用户数据隔离和基于MAC的L2数据帧交换。VRRP协议1.2.1概述在局域网内，终端用户都设置一条相同的以网关为下一跳的缺省路由。主机发往其他网段的报文将通过缺省路由发往网关，再由网关进行转发，从而实现主机与外部网络的通信。当网关发生故障时，本网段内所有以网关为缺省路由的主机与外部网络的通信将中断。为了避免网络中断，可以通过在主机上设置多个网关，但是一般主机只允许设置一个默认网关，此时需要管理员手动添加。这样大大增加了网络管理的复杂度。为了更好的解决上述网络中断的问题，协议开发者提出了VRRP(VirtualRouterRedundancyProtocol，虚拟路由器冗余协议)，一种便于管理的、实现网络一个网关故障时，保证用户快速、不间断、透明地切换到另一个网关的协议。VRRP。VRRP协议具体内容在RFC2338中定义，为业界通用标准。其他厂商的私有协议有类似的做法，比如cisco的私有协议HSRP(HotStandbyRouteProtocol，热备份路由协议)。协议基本原理VRRP中只定义了一种协议报文一VRRP报文，VRRP报文是一类指定目的地址为01-00-5e-00-00-18的组播报文，该报文由主路由设备定时发出来标志其运行正常，同时该报文也用于选举主路由设备。VRRP中定义了协议状态机的三种状态:初始状态(Initialize)、主状态(Master)和备份状态(Backup)。如图2所示。TOC\o"1-5"\h\zI I IIIV Y.I+ F + FI I >I IIMas| | Eackup |I l< 1 I+ F + F图2VRRP协议状态转换图VRRP协议采用简单竞选的方法选择master。首先比较同一个VRRP组内的各台路由设备对应接口上设置的VRRP优先级的大小，优先级最大的为主路由设备，它的状态变为master。若路由设备的优先级相同，则比较对应网络接口的主IP地址，主IP地址大的就成为主路由设备，由它提供实际的路由转发服务。主路由设备选出后，其它路由设备作为备份路由设备(状态变为Backup)，并通过主路由设备定时发出的VRRP报文监测主路由设备的状态。当正常工作时，主路由设备会每隔一段时间发送一个VRRP组播报文，称为通告报文，以通知备份路由设备：主路由设备处于正常工作状态。如果组内的备份路由设备在设定的时间段，默认是3个通告周期，一个通告周期为1秒，也就是3秒内没有接收到来自主路由设备的报文，则将自己状态转为Master。当组内有多台状态为Master路由设备时，重复上述的主路由设备竞选过程。通过这样一个过程就会将优先级最大的路由设备选成新的主路由设备，从而实现VRRP的备份功能。1.2.3应用举例图3VRRP应用示例图3中，路由设备R1和R2通过以太网接口fa0/1连接到192.168.10.0/24网段，路由设备R1和R2的fa0/1接口的IP地址分别为192.168.10.2和192.168.10.3,这两个接口都设置了VRRP，协议运行出来的虚拟路由设备IP地址为192.168.10.1,R1的fa0/1接口为master，实际的数据转发由R1承担。当R1接口fa0/1down掉，这时VRRP协议会选择R2的fa0/1接口为master，实际数据转发由R2承担。这个切换过程对终端用户而言是透明的，PC的网关地址仍旧是192.168.10.1。1.3MSTP协议1.3.1概述MSTP(MultipleSpanningTreeProtocol)也称为多生成树协议，在IEEE802.1s中定义。与STP(SpanningTreeProtocol)和RSTP(RapidSpanningTreeProtoco1)相比，MSTP主要引入了“实例(INSTANCE)”的概念。STP/RSTP是基于端口的，而MSTP则是基于实例的。所谓的“实例”是指多个VLAN对应的一个集合，MSTP把一台设备的一个或多个VLAN划分为一个INSTANCE，有着相同INSTANCE配置的设备就组成一个MST域(MSTRegion)，运行独立的生成树(这个内部的生成树称为IST,InternalSpanning-tree)；这个MSTregion组合就相当于一个大的设备整体，与其他MSTRegion再进行生成树算法运算，得出一个整体的生成树，称为CST(CommonSpanningTree)。实例0具有特殊的作用，称为CIST，即公共与内部生成树，其他实例则称为MSTI，即多生成树实例。1.3.2协议基本原理在一个有物理环路的网络环境中，运行MSTP协议的交换机要生成一个稳定的树型拓扑网络需要依靠以下元素：每个交换机拥有的唯一的桥ID(BridgeID),桥ID由桥优先级和MAC地址组合而成；交换机到根桥的路径花费(RootPathCost)，以下简称根路径花费；每个端口ID(PortID)，端口ID由端口优先级和端口号组合而成。交换机之间通过交换BPDU(BridgeProtocolDataUnits，网桥协议数据单元)帧来获得建立最佳树形拓扑结构所需要的信息。BPDU是目的MAC为01-80-C2-00-00-00的组播帧。每个BPDU由以下这些要素组成：RootBridgeID(本交换机所认为的根桥ID)；RootPathCost(本交换机的根路径花费)；BridgeID(本交换机的桥ID)；MessageAge(BPDU报文已存活的时间)；PortID(发送该BPDU报文的端口ID)；(6)Forward-DelayTime、HelloTime、Max-AgeTime三个协议规定的时间参数；(7)其他一些诸如表示发现网络拓扑变化、本端口状态的标志位。当交换机的一个端口收到高优先级的BPDU(更小的BridgeID，更小的RootPathCost等)，就在该端口保存这些信息，同时向所有端口更新并传播这些信息。如果收到比自己低优先级的BPDU，交换机就丢弃该信息。这样的机制就使高优先级的信息在整个网络中传播开，BPDU的交流就有了下面的结果：网络中选择了一台交换机为根桥(RootBridge)；除根桥外的每都有一个根端口(RootPort)，即提供最短路径到RootBridge的端口；每台交换机都计算出了到根桥(RootBridge)的最短路径；每个LAN都有了指派网桥(DesignatedBridge)，位于该LAN与根桥之间的最短路径中。指派网桥和LAN相连的端口称为指派端口(DesignatedPort)；根口和指派端口进入Forwarding状态。Forwarding的端口正常转发业务数据，正常进行源MAC学习；同时选举出根口的替换端口(Alternateport)和DesignatedPort的备份端口(BackupPort)。替换端口是指一旦根端口失效，该端口就立该变为根端口。替换端口是当一台交换机有两个端口都连在同一个LAN上，那么高优先级的端口为DesignatedPort，低优先级的端口为BackupPort；替换端口和备份端口，连同其他不在生成树中的端口进入Discarding状态。Discarding是端口的阻塞状态，阻塞端口除了BPDU报文外，不转发业务数据，不进行源MAC学习。MSTP协议就是利用这种方法来剪切环路。MSTP在计算过程中，端口可能会处于一种学习(Learning)状态，处于学习状态的端口，不转发业务数据，但是会进行源MAC学习，这种端口状态为过渡状态。计算稳定后，处于正常转发业务数据的端口，其状态为Forwarding。MSTP协议根据域(Region)进行STP计算，合理划分域非常重要。域由域名(Name)、修正值(RevisionNumber)、VLAN与实例的映射关系(VLAN—INSTANCE)组成，只有三者都一样的互连设备才认为在同一个域中，并进行相应的STP计算。缺省时，我司设备域名为空，修正值为0,所有VLAN都映射到实例0上。MSTP协议依靠BPDU报文传递信息。在同一个域中的交换机将互相传播和接收不同生成树实例的配置信息，进行本域内STP的计算；不同域的交换机则只是传播和接收CIST的配置信息。MSTP协议利用CIST保证全网无环路，同时利用CIST保持了与STP/RSTP的兼容性。1.3.3应用举例图4MSTP应用举例图4中，设备A、B在VLAN1内，设备C、D在VLAN2内，然后连成环路。设备A和B都在MSTPRegion1内，MSTPRegion1没有环路产生，所以没有链路Discarding，同理MSTPRegion2的情况也是一样的。然后Region1和Region2就分别相当于两个大的设备，这两台，设备"间有环路，因此根据相关配置选择一条链路Discardingo这样，既避免了环路的产生，也能让相同VLAN间的通讯不受影响。1.4MSTP+VRRP双核心应用方案1.4.1应用说明MSTP＋VRRP双核心应用方案，一般应用于对网络可用性要求较高的应用环境，比如中小企业园区网，高校校园网等，医疗，金融行业网络环境中的应用也比较普遍。该应用方案的用户网关采用VRRP协议进行备份，双汇聚设备分别承担部分用户流量，实现负载分担。物理链路使用MSTP协议进行备份。提高网络整体可用性。1.4.2常用配置说明配置VRRP协议时，根据网络规划划分用户网段，每一个网段中用户数一般不要超过254个。对每一个用户网段，双汇聚设备使用VRRP进行网关备份。配置VRRP协议时，最好让双汇聚设备都承担部分网段的用户网关责任，实现负载分担。可以使用分担各50%左右网络流量的比例进行设计。配置VRRP协议时，一般使用默认值配置即可。如果网络特别容易遭受攻击，导致VRRP振荡，可以适当修改VRRP的通告时间间隔(timeradvertise)。比如，默认值是1秒，则VRRP振荡的时间为3秒。如果修改为2秒，那么VRRP振荡的时间就延长为6秒。配置MSTP协议时，域的配置很重要，要域名，域修正值和vlan-instance对应关系都一致才认为是在同一个域中。配置时，一般我们只需要保证双核心设备中vlan-instance的配置一致，域名和域修正值采用默认值即可。配置MSTP协议时，在容易遭受BPDU攻击的网络中，接入层设备直接接用户的端口，可以配置BPDUFILTER，过滤掉BPDU报文。同时配置了BPDUFILTER功能的端口就无需再配置上PORTFAST。因为配置BPDUFILTER功能的端口就是直接forwarding的，直接转发用户数据。配置MSTP协议时，在容易发生链路up/down的端口，比如接用户的端口。则可以在这些端口上配置TcProtection。防止这些端口up/down引发MSTP振荡。配置MSTP协议时，一般将汇聚设备设置为根桥，这通过修改设备的优先级实现。与VRRP协议一起使用时，可以将本设备上VRRP作为用户网关的vlan对应的instance，根桥也设置在这台设备上。这样的话，接入层的用户数据直接二层转发到用户网关上，不需要经过其他设备的中转了。增加了网络稳定性和可靠性。配置MSTP协议时，一般hello时间可以使用默认值，不必修改。如果网络特别容易遭受攻击，导致MSTP振荡，可以适当修改MSTP的hello时间间隔。比如，默认值是1秒，则MSTP振荡的时间为3秒。如果修改为2秒，那么MSTP振荡的时间就延长为6秒。在双核心拓扑中，汇聚层和接入层互连的端口上，都可以配置TPP(TopologyProtectionProtocol拓扑保护协议)。防止设备遭受攻击时，cpu过高导致拓扑振荡。1.5常见问题及解决对策1.5.1VRRP协议监控主路由设备上行链路VRRP协议通过VRRP报文监控VRRP组中主路由设备的活动状况，但是对主设备上行链路发生故障所导致的网络中断故障就无能为力了。在这种情况下，终端用户的网关正常能ping通，但是无法通过网关进行外界通信。如图5所示。INTERNETR3giO/1ip:10.0.0.2Loopback:10.10.10.10R4IpAddress:192.168.10.4IGateway:192.168.10.10INTERNETR3giO/1ip:10.0.0.2Loopback:10.10.10.10R4IpAddress:192.168.10.4IGateway:192.168.10.10R2:Backupfa0/1InterfaceAddresh:192.168.10.3R1:Master障二竺上沖诣ip:10.0.0.1VRID:1fa0/1(jSVirtualAddress:192.168.10.1InterfaceAddress92.168.10.2图5VRRP主路由设备上行链路故障图5中，路由设备R1和R2通过以太网接口fa0/1连接到192.168.10.0/24网段，路由设备R1和R2的fa0/1接口的IP地址分别为192.168.10.2和192.168.10.3，这两个接口都设置了VRRP，协议运行出来的虚拟路由设备IP地址为192.168.10.1,R1的fa0/1接口为master，实际的数据转发由R1承担。R1上行链路通过接口gi0/1和R3的gi0/1口连接。正常时，终端用户的数据流流向PC—>R1—>R3。如果R1和R3间的链路出现故障，但是VRRP仍运行正常，这时PC到网关路由没有问题，但是PC无法访问Internet,业务中断。对这种情况，VRRP协议提供了监控主路由设备上行链路的功能。VRRP直接监控设备中多个三层接口的状态，当某一个三层接口down掉后，该VRRP组VRRP路由器的优先级降低一定的数值，通过优先级的变化从而影响VRRP组中主备状态的切换。在图5实例中，在R1上的VRRP组可以做如下配置：Ruijie(config)#intfa0/1Ruijie(config-if)#VRRP1trackgigabitEthernet0/1200上述的配置表示,R1中参与VRRP组1的接口fa0/1监控gi0/1接口，如果gi0/1接口down掉，则fa0/1接口参与VRRP组1的优先级降低200。假设原先R1的VRRP组1优先级为250，R2的优先级为100，则R1的gi0/1接口down掉后，R1的优先级变为50,VRRP组1重新运算的结果是R2变成master，转发业务流量，而R2到R3的路由正常，这样就保证了业务不被中断。1.5.2VRRP通告定时设备学习VRRP协议一旦启用了定时设备学习功能，如果当前路由设备是VRRP备份路由设备，在设置了定时设备学习功能后，它会从主路由设备的VRRP通告中学习VRRP通告发送间隔，并由此来计算master路由设备失效判断间隔，而不是使用自己本地设置的VRRP通告发送间隔来计算。对应的配置命令为在接口模式下配置vrrpgrouptimerslearn，其中参数group为参与的VRRP组。本命令可以实现backup路由设备与Master路由设备的VRRP通告发送定时设备同步。1・5・3MSTP防止BPDU攻击BPDU是一类特殊的报文，设备在收到BPDU报文后，会将该报文送到cpu处理。BPDU报文过多，会引发设备cpu高，挤占链路带宽，使原本应该正常处理的协议没有运行，导致MSTP振荡，路由振荡，影响网络的正常运行。在双核心拓扑中，面对这类BPDU报文攻击，我们可以采用以下几种方法进行预防。我们以图5的拓扑为例，BPDU攻击可以在接入层设备和汇聚层设备上实施。在接入层设备上，由于接入层是连接终端用户，攻击者可以使用攻击工具发送大量的BPDU报文，造成整网的振荡。针对这类型的攻击，我们可以采取如下措施：接入层设备连接用户的端口打开BPDUFILTER功能。端口上开启该功能后，该接口不收发BPDU报文，这样可以直接将用户的攻击报文过滤掉。这是一种最直接的方式，也很简单方便。（2） 接入层设备连接用户的端口打开BPDUGUARD功能。端口上开启该功能后，如果该接口收到BPDU报文，则该接口进入Error-disabled状态。在这个状态，接口被直接关闭。这个功能比（1）在违例规则处理上更严格，设备认为该端口受到攻击，直接将该端口关闭。要将端口恢复成正常状态，可以先接口下取消BPDUGUARD配置，然后在接口下使用命令“errdisablerecovery”恢复该接口的正常使用。（3） 接入层设备全局开启TcProtection功能。攻击者可以发送tc位置1的BPDU报文，这类报文表示网络拓扑发生了变化，设备收到这类BPDU报文会引发清除MAC地址的操作。对汇聚层设备而言，清除MAC地址则会影响三层路由转发，造成路由振荡，三层转发短暂中断。持续的tc报文攻击，会使网络处于一种持续振荡的状态。全局开启TcProtection功能后，接入层设备收到tc报文，不会进行转发，保护了拓扑中其他设备不受干扰，维护了网络的稳定。该功能在软件版本RGOS10.2（2）版本开始获得支持。（4） 接入层设备接用户的端口上开启TcGuard功能。（3）中的TcProtection是全局开启，所有端口都有这个功能。而TcGuard则是配置的接口才不扩散tc报文。因为在实际应用中，接终端用户的端口是不会收到tc报文的，除非受到攻击。另一种情况是设备的某个端口连接到一个透明的网络，且不想接收该网络的tc报文，避免自身的网络振荡。（4） 双核心拓扑中设备,待网络MSTP稳定后，在所有设备上MSTP状态为discarding的端口（Alternateport和backupport）下开启LoopGuard功能。在网络应用中，如果设备收到攻击，导致原先discarding端口在3倍协议周期内（一个周期默认为2s，3倍周期为6s）没有收到根桥发出的BPDU报文，则该discarding端口状态要转化为forwarding状态，这样会产生网络环路或加剧网络环路。Discarding端口上开启了LoopGuard功能后，在上述的攻击情况下，该端口状态会变为BLK状态，仍维持不转发数据流，防止产生网络环路。该端口会往外发BPDU报文，通告网络出现问题。（5） 双核心拓扑中所有互连设备的端口可以开启TPP（TopologyProtectionProtocol,拓扑保护协议）。TPP是一个拓扑稳定保护协议，主要是针对MSTP,VRRP以及其他分布式网络协议可能造成的网络拓扑振荡而设计的。当网络中存在非法攻击时，可能造成网络设备的CPU利用率异常、帧通路堵塞等现象，很容易引起网络拓扑的振荡。TPP主要通过检测本地的异常现象（CPU利用率异常、帧缓冲异常等）和检测邻居设备的异常现象来达到稳定网络拓扑的目的。在双核心应用环境下部署TPP时，相邻网络设备都必须开启TPP。另外，部署TPP时，通常需要通过cputopology-limitxx（xx表示cpu利用率，取值区间为［0,100］）命令配置cpu利用率检测的阀值，当设备的cpu利用率超过该值时，系统会产生拓扑防护通告。我们建议cpu利用率的值设置在一个中等偏上的位置比较合适，比如50-70,这时TPP能够较为准确地对网络情况进行判断。如果该值太低，则可能导致网络拓扑该切换的时候由于TPP的报警而不切换，如果该值太高，则可能系统已经繁忙到无法产生TPP告警，导致TPP功能失效。图5中，我们假设R1为MSTP的根桥，R1，R2，R4互连端口的TPP协议都开启。TPP可以预防以下两种情况：R1因遭受网络攻击造成CPU异常繁忙，从而导致BPDU报文不能正常发送。这时，拓扑防护功能检测到异常后，R1会向邻居设备R2,R4发送异常通告报文，这时，设备R2,R4会根据异常通告信息，保持端口的生成树状态不变，从而防止拓扑振荡。设备R2因遭受大量报文攻击造成CPU异常繁忙，这时造成收发包不正常，检测到异常后，它会向所有的邻居设备发送异常通告。R1收到异常报文后，根据来源，发现异常对其没有影响，不会进一步处理。而下游的二层接入设备R4接收到异常报文后，发现异常会影响其拓扑的计算，因此做进一步的防御处理，保持端口的生成树状态不改变，从而保证网络拓扑保持稳定。1.6典型故障排查1.6.1同一个备份组出现多个master路由器故障现象：在双汇聚设备上通过showVRRPbrief命令，发现对同一个VRRP组，两台汇聚设备都是master路由器。原因分析：这分为两种情况，一种是多个MASTER并存时间很短，这种情况是正常的，一般在3倍的VRRP通告间隔时间内可以恢复，无需进行人工干预。另一种是多个MASTER长时间共存，这很有可能是由于MASTER之间收不到VRRP报文，或者收到的报文不合法造成的。解决办法：先互相在多个MASTER之间互相ping，如果ping不通，则是其他问题。如果能ping通，则通常是配置不同造成的，对于同一个VRRP备份组的配置，配置上应该要保证虚拟IP地址个数，每个虚拟IP地址，通告时间间隔，认证模式一样。1.6・2核心层设备没有开启MSTP协议却收到大量BPDU报文故障现象：核心层设备上没有开启MSTP协议，但是设备showcpu发现利用率比较高，通过CPP看到送cpu报文类型中BPDU报文量很大。原因分析：这分为两种情况，一种是可能收到直连用户的BPDU报文攻击，这种情况一般比较少。另一种情况是BPDU报文由汇聚层透传上去。这种情况一般是汇聚层设备连接核心层设备端口没有过滤BPDU报文导致，。解决方法：对于第一种情况，解决方法就是找出攻击源并隔离。对于第二种情况，在汇聚层设备连接核心层设备的端口下配置BPDUFILTER功能可以解决这个问题。双核心拓扑出现广播风暴故障现象：双核心拓扑环境下，原本稳定的网络中出现了环路，网络设备互连的端口计数统计值非常大。原因分析：双核心拓扑环境，我们依靠MSTP协议切换物理环路，保证拓扑正常使用。正常情况下，拓扑应该是稳定，正常的。如果拓扑中出现广播风暴，一般是MSTP出现了问题。解决方法：我们可以依据以下流程检查MSTP协议设置是否正常。检查拓扑中所有设备是否开启MSTP协议。拓扑中所有设备的MSTP设置是否都在同一个域中。域名，域修正值，vlan—instance的映射关系是否正确。检查端口MSTP是否开启，设置是否正确。检查端口是否存在收发BPDU报文超时。这可以通过打开相应的debug开关查看。比如，通过debugmstprx命令，可以查看本机收到BPDU报文的时间，报文是否合法，收到报文的端口等信息。debugmstptx可以查看本机发送BPDU报文的时间，发送报文的端口等信息。双核心网络持续发生MSTP振荡故障现象：双核心拓扑网络环境下，原本应该稳定的网络变得不稳定，设备控制台隔段时间打印topochange:topologyischanged等提示信息，网络中流量不稳定，时断时续。原因分析：这种情况一般是MSTP出现了问题。解决方法：我们可以依据以下流程检查MSTP协议设置是否正常。检查端口MSTP状态是否振荡；检查端口MSTP角色是否振荡；检查设备是否频繁收到tc报文。可以通过debugmstprx命令查看。追溯tc报文的源头并进行消除。其他MSTP可能的故障一般而言，MSTP的故障主要由以下两个方面引起，用户配置的错误和设备没有及时收发BPDU报文导致。下面，就将其他可能出现其他问题的原因和解决方法罗列如下。MSTP配置中vlan和instance配置错误导致设备不能在同一个MSTP域里面，或者不同设备间配置了不同的生成树模式，导致出现了一些和预期不一样的效果。解决方法：核查拓扑中所有设备的MSTP配置，确保MSTP域配置要一致。端口允许的vlan配置，错误导致数据的实际转发效果不符合vlan—instance映射关系的预期效果。比如双核心拓扑下，根据MSTP计算，某个vlan对应的instance在某台接入层设备上联汇聚设备的端口是forwarding的，但是这台接入设备上forwarding的端口并没有配置这个vlan，进而导致数据流不通。解决方法：通过端口cost的设置，人为修改生成树的形状，让端口允许的vlan配置和该端口的转发状态相一致。用户错误地配置了BPDUFILTER导致交换机无法正确地接收和发送BPDU,从而导致拓扑计算异常。解决方法：取消端口下BPDUFILTER的配置，让设备能正常收发BPDU。1.7配置实例下面，我们提供双核心拓扑在市场上的应用配置。教育和金融市场各一个配置案例。1.7.1教育市场应用图6某高校宿舍网网络拓扑图拓扑说明：某高校宿舍网网络采用两台S8606作为双核心，运行VRRP和MSTP。S8606上有10个用户vlan，vlanid为10，20，30・・・..100。对应svi接口运行VRRP协议。VRRP协议设置成对奇数用户vlan(指vlan10，30，50，70，90)，左边的S8606(图6S8606A)为master主路由器，作为用户的网关转发用户数据。对偶数用户vlan(指vlan20，40，60，80，100)，右边的S8606(图6S8606B)为master主路由器，作为用户的网关转发用户数据。Master主路由器的设置通过设置优先级为254实现，backup路由器的优先级采用默认值，100。S8606上MSTP设置3个vlan-instance的对应关系，域名和域修正值采用默认设置。奇数用户vlan对应到instance1，偶数用户vlan对应到instance2。其他vlan对应到instance0Oinstance0和instance1,左边的S8606(图6S8606A)作为根桥，instance2,右边的S8606(图6S8606B)作为根桥。根桥的设置通过设置优先级为4096，备份根桥的优先级设置为8192来实现。接入层设备S21_1上面有用户vlan10，30，50，70，90。在连接用户的端口上启用BPDUFILTER功能，直接过滤BPDU报文，可以有效避免BPDU攻击和防止MSTP信息泄漏，同时端口可以快速Forwarding。通过修改S21_1上链端口的生成树cost为1,让生成树在S21_1的两个端口Forwarding，避免用户vlan10，30，50，70，90不通。拓扑中互连网络设备接口上开启TPP功能，设置cpu利用率阀值为60。在设备cpu利用率超过60时，能保持MSTP和VRRP不发生振荡。具体配置：RG_S8606A#showconfigurecputopology-limit60〃设置cpu利用率阀值为60,推荐值为50〜70左右!spanning-tree//开启stp协议spanning-treemstconfiguration//配置stp的模式为mstpinstance1vlan10,30,50,70,90〃配置instance1对应的vlan，注意mstp域其他两个参数，域名和域修正值这里都没有配置，设备自动采用默认值设置，推荐域名和域修正值无需配置instance2vlan20,40,60,80,100//配置instance2对应的vlan，注意mstp域其他两个参数，域名和域修正值这里都没有配置，设备自动采用默认值设置，推荐域名和域修正值无需配置spanning-treemst0priority4096//通过修改mst的优先级为4096，确定该设备为根桥spanning-treemst1priority4096spanning-treemst2priority8192//通过修改mst的优先级为8192，确定该设备为备份根桥interfaceGigabitEthernet2/1//连接S21_1的接口switchportmodetrunk//设置为trunk端口属性switchporttrunkallowedvlanremove1-9,21-29,31-49,51-69,71-89,91-4093//只允许S21_1上有的用户vlan10，30，50，70，90tp-guardportenable//端口上开启TPP功能，当设备cpu利用率超过60时，会保持拓扑中MSTP和VRRP状态不变，防止拓扑发生振荡descriptionConnect_To_S21_1//设置端口描述信息,该端口是连接到S21_1interfaceVlan10ipaddress172.16.10.251255.255.255.0vrrp10ip172.16.10.254〃配置vrrp组10的虚网关ip地址为：172.16.10.254vrrp10priority254〃配置该接口优先级为254,确定该设备的接口为master。这里VRRP通告时间没有配置，系统自动采用默认值设置，推荐无需配置VRRP通告时间。以下配置类似!interfaceVlan20ipaddress172.16.20.251255.255.255.0vrrp20ip172.16.20.254//没有配置该接口优先级，系统自动采用默认值100，确定该设备的接口为backup。这里VRRP通告时间没有配置，系统自动采用默认值设置，推荐无需配置VRRP通告时间。以下配置类似!interfaceVlan30ipaddress172.16.30.251255.255.255.0vrrp30ip172.16.30.254vrrp30priority254!interfaceVlan40ipaddress172.16.40.251255.255.255.0vrrp40ip172.16.40.254!interfaceVlan50ipaddress172.16.50.251255.255.255.0vrrp50ip172.16.50.254vrrp50priority254!interfaceVlan60ipaddress172.16.60.251255.255.255.0vrrp60ip172.16.60.254!interfaceVlan70ipaddress172.16.70.251255.255.255.0vrrp70ip172.16.70.254vrrp70priority254!interfaceVlan80ipaddress172.16.80.251255.255.255.0vrrp80ip172.16.80.254!interfaceVlan90ipaddress172.16.90.251255.255.255.0vrrp90ip172.16.90.254vrrp90priority254!interfaceVlan100ipaddress172.16.100.251255.255.255.0vrrp100ip172.16.100.254!endRG_S8606B#showconfigure!cputopology-limit60〃设置cpu利用率阀值为60,推荐值为50〜70左右!spanning-tree//这里的配置和RG_S8606Bl类似，注意的是配置MSTP域的时候，需要保证域名，域修正值，instance—vlan对应关系的配置都一致。在本配置实例中，两台设备的instance—vlan对应关系配置都一样，域名和域修正值都没有配置，系统自动采用默认配置。spanning-treemstconfigurationinstance1vlan10,30,50,70,90instance2vlan20,40,60,80,100!spanning-treemst0priority8192//通过修改mst0优先级为8192，设置对应mst0生成树为备份根桥spanning-treemst1priority8192spanning-treemst2priority4096//通过修改mst2优先级为4096，设置对应mst2生成树为根桥!interfaceGigabitEthernet2/1//连接S21_1的接口switchportmodetrunk//设置为trunk端口属性switchporttrunkallowedvlanremove1-9,21-29,31-49,51-69,71-89,91-4093//只允许S21_1上有的用户vlan10，30，50，70，90tp-guardportenable〃端口上开启TPP功能，当设备cpu利用率超过60时，会保持拓扑中MSTP和VRRP状态不变，防止拓扑发生振荡descriptionConnect_To_S21_1//设置端口描述信息,该端口是连接到S21_1!interfaceVlan10ipaddress172.16.10.252255.255.255.0vrrp10ip172.16.10.254!interfaceVlan20ipaddress172.16.20.252255.255.255.0vrrp20ip172.16.20.254vrrp20priority254!interfaceVlan30ipaddress172.16.30.252255.255.255.0vrrp30ip172.16.30.254!interfaceVlan40ipaddress172.16.40.252255.255.255.0vrrp40ip172.16.40.254vrrp40priority254!interfaceVlan50ipaddress172.16.50.252255.255.255.0vrrp50ip172.16.50.254!interfaceVlan60ipaddress172.16.60.252255.255.255.0vrrp60ip172.16.60.254vrrp60priority254!interfaceVlan70ipaddress172.16.70.252255.255.255.0vrrp70ip172.16.70.254!interfaceVlan80ipaddress172.16.80.252255.255.255.0vrrp80ip172.16.80.254vrrp80priority254!interfaceVlan90ipaddress172.16.90.252255.255.255.0vrrp90ip172.16.90.254!interfaceVlan100ipaddress172.16.100.252255.255.255.0vrrp100ip172.16.100.254vrrp100priority254!EndS21_1#showrunning-config!cputopology-limit60!spanning-tree//配置MSTP注意的是配置MSTP域的时候，需要保证域名，域修正值，instance—vlan对应关系的配置都一致。spanning-treemstconfigurationinstance1vlan10,30,50,70,90instance2vlan20,40,60,80,100interfaceFastEthernet0/1//连接S8606A的接口switchportmodetrunk//设置为trunk端口属性switchporttrunkallowedvlanremove1-9,21-29,31-49,51-69,71-89,91-4093//只允许S21_1上有的用户vlan10，30，50，70，90spanning-treemst1cost1//通过修改端口生成树的cost,让本机存在的vlan对应的生成树在本机端口Forwarding,避免用户vlan不通tp-guardportenable〃端口上开启TPP功能，当设备cpu利用率超过60时，会保持拓扑中MSTP和VRRP状态不变,防止拓扑发生振荡descriptionConnect_To_S8606A//设置端口描述信息,该端口是连接到S8606A!interfaceFastEthernet0/2//连接S8606B的接口switchportmodetrunk//设置为trunk端口属性switchporttrunkallowedvlanremove1-9,21-29,31-49,51-69,71-89,91-4093//只允许S21_1上有的用户vlan10，30，50，70，90spanning-treemst1cost1//通过修改端口生成树的cost，让本机存在的vlan对应的生成树在本机端口Forwarding，避免用户vlan不通tp-guardportenable〃端口上开启TPP功能，当设备cpu利用率超过60时，会保持拓扑中MSTP和VRRP状态不变，防止拓扑发生振荡descriptionConnect_To_S8606B//设置端口描述信息,该端口是连接到S8606B!interfaceFastEthernet0/3〃以下端口为直连用户端口，端口上都配置上BPDUFILTER功能，这样该端口不收发BPDU报文，可以有效避免BPDU攻击和防止MSTP信息泄漏，同时端口可以快速Forwarding。推荐直连用户的端口都配置上BPDUFILTER功能。spanning-treebpdufilterenable!interfaceFastEthernet0/3tp-guardportenablespanning-treebpdufilterenable!End1.7.2金融市场应用□atalyst3550-12G3、15.1618.20.22.26RG_S8606RG_S8606qd-dl-s2Cisco6509QD-S1Cisco6509QD-S2□atalyst3550-12G3、15.1618.20.22.26RG_S8606RG_S8606qd-dl-s2Cisco6509QD-S1Cisco6509QD-S2qd-dl-s1RG-S2150GICatalyst2950Ty~y~ICatalyst2950Tj~y~00RG-S2150Gj23.24、25.27.28图7某银行网络拓扑图拓扑说明：(1)生成树：用户vlan为300—400,800—900。vlan300-400为instance1,根桥在qd-dl-sl上，vlan800-900为instance2,根桥在qd-dl-s2上，instance0的根桥在qd-dl-s2上。域名为“qddl”域修正值(revision)为“1”(2)VRRP:vlan300-400的svi的master在qd-dl-s1上,vlan800-900的svi的master在qd-dl-s2上。Master的产生通过两种方法：一种通过设置接口的IP地址和VRRP组的网关IP地址一致，在这种情况下，设置成和VRRP组的网关IP地址相同的接口IP地址优先级为最高255,自动成为master,比如VRRP组26就是这种情况。另一种是通过设置接口优先级，高优先级选举为master,比如VRRP组31就是这种情况。同时将VRRP通告时间设置为10秒。具体配置qd-dl-s1#shrunspanning-tree//开启生成树spanning-treemstconfiguration//配置生成树的模式为MSTPinstance1vlan300-400//配置vlan—instance的对应关系instance2vlan800-900nameqddl//配置域名revision1〃配置域修正值为1。注意在域名，域修正值，vlan—instance对应关系都要配置一致。!spanning-treemst0priority8192//通过设置mst0优先级为8192，设置该设备为备份根桥spanning-treemst1priority4096//通过设置mst1优先级为4096，设置该设备为根桥spanning-treemst2priority8192//通过设置mst2优先级为8192，设置该设备为备份根桥!interfaceVlan326descriptionshengchanxitongjiankong-yewuipaddress48.2.63.1255.255.255.0vrrp26ip48.2.63.1//实接口的ip地址和vrrp组26虚ip地址配置成一样，则该接口拥有最高优先级255，直接成为master主路由器vrrp26timer10〃修改VRRP的通告时间间隔为10秒，这样VRRP发生振荡时间拉长到30秒。!interfaceVlan331descriptiondl-yw-vlan1ipaddress48.0.44.250255.255.255.0vrrp31ip48.0.44.254vrrp31priority150〃通过设置接口优先级为150,竞选成为master主路由器(对端设备qd-dl-s2接口优先级为120,竞选为backup路由器)vrrp31timer10!interfaceVlan332descriptiondl-yw-vlan2ipaddress48.0.45.250255.255.255.0vrrp32ip48.0.45.254vrrp32priority150vrrp32timer10!interfaceVlan333descriptiondl-yw-vlan3ipaddress48.0.46.250255.255.255.0vrrp33ip48.0.46.254vrrp33priority150vrrp33timer10!interfaceVlan334descriptiondl-yw-vlan4ipaddress48.0.47.250255.255.255.0vrrp34ip48.0.47.254vrrp34priority150vrrp34timer10!interfaceVlan335descriptionnamedl-yw-vlan5ipaddress48.0.48.250255.255.255.0vrrp35ip48.0.48.254vrrp35priority150vrrp35timer10!interfaceVlan336descriptionnamedl-yw-vlan6ipaddress48.0.49.250255.255.255.0vrrp36ip48.0.49.254vrrp36priority150vrrp36timer10!interfaceVlan337descriptionnamedl-yw-vlan7ipaddress48.0.50.250255.255.255.0vrrp37ip48.0.50.254vrrp37priority150vrrp37timer10!interfaceVlan338descriptionnamedl-yw-vlan8ipaddress48.0.51.250255.255.255.0vrrp38ip48.0.51.254vrrp38priority150vrrp38timer10!interfaceVlan400descriptionguojiyewubu-yewuipaddress10.106.8.1255.255.255.0vrrp200ip10.106.8.1vrrp200timer10interfaceVlan831descriptiondl-gl-vlan1ipaddress48.0.172.250255.255.255.0vrrp131ip48.0.172.254vrrp131priority120vrrp131timer10!interfaceVlan832descriptiondl-gl-vlan2ipaddress48.0.173.250255.255.255.0vrrp132ip48.0.173.254vrrp132priority120vrrp132timer10!interfaceVlan833descriptiondl-gl-vlan3ipaddress48.0.174.250255.255.255.0vrrp133ip48.0.174.254vrrp133priority120vrrp133timer10!interfaceVlan834descriptiondl-gl-vlan4ipaddress48.0.175.250255.255.255.0vrrp134ip48.0.175.254vrrp134priority120vrrp134timer10!interfaceVlan835descriptionnamedl-gl-vlan5ipaddress48.0.176.250255.255.255.0vrrp135ip48.0.176.254vrrp135priority120vrrp135timer10!interfaceVlan836descriptionnamedl-gl-vlan6ipaddress48.0.177.250255.255.255.0vrrp136ip48.0.177.254vrrp136priority120vrrp136timer10!interfaceVlan837descriptionnamedl-gl-vlan7ipaddress48.0.178.250255.255.255.0vrrp137ip48.0.178.254vrrp137priority120vrrp137timer10interfaceVlan838descriptionnamedl-gl-vlan8ipaddress48.0.179.250255.255.255.0vrrp138ip48.0.179.254vrrp138priority120vrrp138timer10!interfaceVlan899descriptionPBXipaddress48.0.151.250255.255.255.0vrrp99ip48.0.151.254vrrp99priority120vrrp99timer10!!endqd-dl-s2#shrunspanning-tree//开启生成树协议spanning-treemstconfiguration//配置生成树模式为MSTPinstance1vlan300-400//配置vlan－instance的对应关系instance2vlan800-900nameqddl//配置域名revision1〃配置域修正值为1。注意在域名，域修正值，vlan—instance对应关系都要配置一致。!spanning-treemst0priority4096 //通过设置 mst0 优先级为 4096，设置该设备为根桥spanning-treemst1priority8192 //通过设置 mst1 优先级为 8192，设置该设备为备份根桥spanning-treemst2priority4096 //通过设置 mst2 优先级为 4096，设置该设备为根桥!interfaceVlan326descriptionshengchanxitongjiankong-yewuipaddress48.2.63.2255.255.255.0vrrp26ip48.2.63.1//由于对端设备qd-dl-s1接口ip地址配置成跟vrrp组26虚ip地址一致，因此对端接口直接成为master主路由器，自己变成backup路由器vrrp26timer10〃同一个接口下的VRRP通告时间要配置成一样!interfaceVlan331descriptiondl-yw-vlan1ipaddress48.0.44.251255.255.255.0vrrp31ip48.0.44.254vrrp31priority12