资源网站快速优化排名,WordPress做分类信息,校园门户网站建设项目技术支持,煤棚网架多少钱一平方下午好#xff0c;我的网工朋友
我们常说#xff0c;人要学会避免错误#xff0c;尤其是对在职场生活的打工人来说#xff0c;更是如此。
学生时代#xff0c;我们通过错题本收集错误#xff0c;提高刷题正确率和分数#xff0c;但到了职场#xff0c;因为没有量化的…下午好我的网工朋友
我们常说人要学会避免错误尤其是对在职场生活的打工人来说更是如此。
学生时代我们通过错题本收集错误提高刷题正确率和分数但到了职场因为没有量化的分数标准很多人就已经遗忘了这个操作。
但其实总结和复盘在工作中依然十分重要。
老杨总之前发过一篇关于网工错误的总结是错误提示方向的不知道你是否看过
《网工5年至今搞不懂这些错误提示》
今天我想给你分享的就是关于另一方向的“错误总结”是关于STP生成树的“错题本”并给出了详细解法欢迎收藏一波。 今日文章阅读福利《 华为网络交换机设备巡检手册 网工必备》 作为总结和方法论依托怎么能少得了这份能让你的工作事半功倍的资料私信我发送暗号“手册”前20名私信的小友即可获得此份巡检文档 01 什么是生成树协议
IEEE 802.1D生成树协议(STP)由Radia Pearlman在1985年发明当时他还供职于数字设备公司(DEC)。
STP是一种第2层协议在网桥之间运行旨在帮助建立无环路(loop-free)的网络拓扑结构。
网桥协议数据单元(BPDU)是以太网交换机(实际上就是多端口网桥)之间发送的数据包负责搭建根网桥(root bridge)、计算通向根的最佳路径以及阻止形成环路的任何端口。
因而生成的树(根在顶端)覆盖局域网中的所有网桥生成树这个名称由此得来。
生成树在以默认的配置设置防止环路方面很有效。因而许多人忘了调整任何参数仅仅接受默认设置了事。
这导致好多人忽视了网络设计中的STP多年后许多企业组织惊讶地发现存储的网络问题居然与生成树有关。
有许多方法可以优化STP但是如果STP没有配置好那么网络无法得益于这些新的功能特性。 02 在生成树里网工最常见的9种错误 这张图显示了通常错误配置的生成树环境表明了本文探讨的许多常见错误。 01 没有配置根网桥
许多企业组织对生成树习以为常仅仅接受默认的配置设置了事。
这使得网络环境中的所有交换机都使用32678这一默认的根网桥优先级值。
如果所有交换机都有同一个根网桥优先级那么MAC地址最低的那只交换机将被建立为根网桥。
许多网络并没有配置成单只交换机有一个较低的根网桥优先级这会迫使那只核心交换机被建立为任何或所有虚拟局域网(VLAN)的STP根。
在这种情况下MAC地址偏低的小型接入层交换机就有可能是STP根。这种情况势必会增加一些性能开销导致会聚时间较长(由于根网桥重新建立)。
如上图所示作为STP根的交换机实际上是核心交换机2因为它拥有的MAC地址恰好低于核心交换机1。
一条最佳实践就是为“主”(核心)交换机配置较低的STP优先级那样一只交换机将是根网桥其他任何核心交换机会有高一点的优先级值。
万一主核心网桥失效它们就会自动接过重任。万一出现网桥故障在交换机上配置“不同层次”的STP优先级将查明哪只交换机应该是根网桥。
这样一来STP网络运行起来就更具有确定性了。
在核心思科交换机上你应该用这个命令配置主根交换机
Core-Sw1(config)# spanning-tree vlan 1-4096 root primary
在核心思科交换机上你应该用这个命令配置次根交换机
Core-Sw2(config)# spanning-tree vlan 1-4096 root secondary
这两个命令的最终效果会将主交换机端口的网桥优先级设为8192将次交换机的根网桥优先级设为16384。 02 使用IEEE 802.1D而未使用Rapid-STP
典型的IEEE 802.1D协议有下列默认计时器15秒用于侦听15秒用于学习20秒用于最长生存时间超时。
生成树中的所有交换机都应该认同这些计时器不鼓励你修改这些计时器。
这些较旧的计时器对一二十年前的网络来说也许够用了而如今这些30秒至50秒的会聚时间实在太慢了。
如今许多交换机能够支持快速生成树协议(IEEE 802.1w)可是很少有网络管理员启用该功能。快速生成树协议(RSTP)大大缩短了会聚时间其秘诀在于使用端口角色使用通过指定端口在网桥之间发送消息这种方法计算备用路径以及使用更快速的计时器。
因而如果可以使用RSTP企业组织应该尽量使用。如果贵企业仍拥有无法使用RSTP的交换机也别担心针对通向老式STP交换机的那些接口RSTP交换机会切回到传统的802.1D操作方式。 03 阻塞的上行链路
生成树的任务就是防止环路形成。
为此它学习了解通向根的次最优路径让这些不太理想的链路处于阻塞模式。
如果交换机之间有多条并行路径那么其中一条路径将被选择进入阻塞模式防止两只交换机之间出现环路。这样一来拥有多条上行链路只适用于主链路故障切换而不是为这条路径提供更高的带宽。
在上图中你可以看到交换机D的这种情况。
通向交换机2的链路是通向根网桥的最优路径而通向交换机1的次最优路径处于STP阻塞状态。
因此只有一条链路的带宽可供上行通信使用。
我们希望能够利用这两条上行链路来转发流量、增加带宽那样我们可以使用某种链路聚合技术比如端口信道/以太网信道(LACP (IEEE 802.3ad)PAgP)或者某种多机箱端口信道(MC-LAG IEEE 802.3AX/AY)或者使用拥有虚拟端口信道(vPC)的思科Nexus交换机。
另一种选择就是使用可堆叠交换机并配置每个上行链路端口连接至堆叠交换机中的不同交换机。
由于堆叠交换机可以配置成它就是一只交换机那样可以使用端口信道;从生成树的角度来看可以将两条链路当成一条链路这两条链路都可以用来转发流量。
其他选择能够取得同样这个效果比如思科的6500虚拟交换系统(VSS)。 04 超过STP的最大规模
我们都生活在这样的城市缺少统一协调的城市规划道路总是拥挤不堪、无法顺畅通行。同样网络常常像白杨树那样生长。
网络当中出现新增的设备但是网络很少重新设计架构除非购置了一套全新的网络。
随着新的交换机添加到局域网环境中生成树不断随之变化。
一些大型网络环境支持的应用程序依赖整个网络上的第2层连接这类网络环境应该意识到这种生长。
要是网络拓扑超过STP的最大规格这些企业会遇到问题。802.1D规范建议生成树的网桥跳数(bridge hop)不超过7段。
如果有许多“雏菊链式”交换机很可能出现这种情况。参阅上图就会发现连一种简单的网络拓扑也会超过生成树的这一最大规模。
像医院和大学校园这些组织的网络拥有庞大的局域网环境跨整个网络延伸单一的VLAN。
它们应该认识到其生成树的规模。这些组织应该将局域网交换环境的情况记入文档并且寻找过于频繁的拓扑变更通知(TCN)从而定期检查生成树的规模。 05 VTP域
企业组织面临的困难常常牵涉VLAN隧道协议(VTP)以及它与STP有怎样的关系。
VTP这种机制可以帮助在单一局域网交换环境中建立和维护VLAN。
VTP服务器可以建立新的VLAN然后自动为VTP客户机配置那些新的VLAN。
随后那些VTP客户端交换机上的端口被分配到这个新的VLAN。
VTP有助于让VLAN编号在局域网交换环境中保持一致性。很早以来就存在与VTP有关的问题许多人建议将VTP配置成透明模式。
一些企业组织抽时间来配置VTP域并配置VTP服务器和客户机。一些企业组织还在所有交换机上使用同一个VTP域名即便在所有地方都是如此。
如果使用第2层城域以太网服务并将其配置成802.1Q干线这就会开始引起问题。
上图描述了这个问题。该例子中的交换机都有同样的VTP域名。
数据中心与灾难恢复站点之间的连接使用了802.1Q干线但是只允许三个VLAN接入这条干线。
因此灾难恢复站点的交换机了解所有的VLAN使用生成树来确定城域以太网链路是VLAN 10、20和30通向根的路径。
然而灾难恢复站点的交换机认为它是该干线上未使用的其他VLAN的STP根。
这可能会引起问题因为现在环境有两只交换机认为自己是VLAN 40、50和60的STP根。
使用VTP的企业应该慎重使用知道哪些交换机是VTP服务器或客户机使用VTP密码删除不再提供服务的交换机上的配置和VTP信息并且在不需要VTP的场合下考虑禁用VTP。 06 STP与HSRP不一致
许多企业组织拥有冗余核心交换机它们还为所连接局域网上的计算机充当第3层默认网关。
像HSRP、VRRP、GLBP及其他这些首跳冗余协议为只配置一个单一默认网关IP地址的主机提供了默认网关冗余机制。
如果HSRP活动默认网关不是为该VLAN充当STP根的同一只第2层/第3层交换机问题就会随之而来。
上图表示交换机1是HSRP活动路由器但它不是任何VLAN的STP根。
交换机2是STP根但它配置成HSRP备用路由器。这就形成了非最佳流量路径可能会导致核心交换机间的干线上出现更严重的拥塞状况。
使用首跳冗余协议的企业应该确保活动默认网关与STP根相一致。 07 没有控制STP
由于那么多的企业组织只是接受交换机厂商在生成树方面的默认设置它们并没有最优化控制STP。
企业可能没有配置生成树以防止无意中添加的未授权交换机形成环路。
许多企业使用思科的PortFast接口设置帮助为连接到我们知道不运行STP的计算机的端口迅速调出交换机端口。激活端口之前让端口连接至等待侦听和学习状态的计算机毫无意义。
结合使用PortFast和BPDU-Guard是最佳实践那样如果通过该接口收到BPDU它可以防御性地关闭端口。
激活这项功能的思科IOS全局命令如下
Core-Sw1(config)# spanning-tree portfast edge bpduguard
激活这项功能的思科IOS接口配置命令如下
Core-Sw1(config-if)# spanning-tree bpduguard enable
如果交换机已配置好了任何端口信道那么配置以太网信道保护机制(EtherChannel guard)是个好主意。
激活这项功能的思科IOS全局命令如下
Core-Sw1(config)# spanning-tree etherchannel guard misconfig
企业还应该在连接至服务器的所有接入交换机端口上使用根保护机制(Root Guard)。
激活这项功能的思科IOS接口配置命令如下
Core-Sw1(config-if)# spanning-tree guard root
有时候刀片服务器嵌入了以太网交换机这类服务器也应该考虑到STP设计和配置当中。应该将这些交换机的配置与其他任何STP设备一视同仁其配置应该补充网络环境中的其他交换机。 08 不一致的生成树度量指标
在过去生成树使用16位值作为网桥使用的链路成本以计算通向根的最短路径。若使用这些较老的16位度量指标10Mbps链路的成本为1001Gbps链路的成本为4。
然而这些度量指标已跟不上链路速度的需要现在有了32位长路径成本。若使用较新的32位度量指标1Gbps链路的成本为2000010Gbps链路的成本为2000而100Gbps链路的成本为200。
想在思科交换机上启用长路径成本只要输入这个全局配置命令
Core-Sw1(config)# spanning-tree pathcost method long
如果网络里面既有使用16位路径成本值的交换机又有使用32位路径成本值的交换机就会出现问题。因此配置方面做到一致很重要力求让你的所有网络设备都使用32位长路径成本这一较新的度量指标。 09 禁用生成树
我们偶尔会碰到这种网络生成树协议故意被禁用,也许是网络管理员觉得不需要STP因为网络没有任何的线缆环路。
也许是网络管理员觉得禁用STP可以缩短第3层会聚时间。
然而我本人亲眼目睹过这一幕有人擅自添加了一条线缆后STP被禁用的网络出现了全面瘫痪。这导致了“致命的特大数据包风暴”原因是数据包在环路中不断转发。
不像第3层环路IP数据包的TTL值会减小直至为零随后数据包被丢弃第2层环路则允许数据包不断转发而不减小TTL。
让STP处于启用状态是个最佳实践即便可能不需要它。其道理在于这是一种成本低廉的保险机制可以防止环路。在现代交换机上运行STP并不会带来任何明显的开销。
每秒只有几个配置BPDU并不会大大增加带宽使用量。STP瘫痪的风险实在太高了。因此禁用了STP的企业应该重新启用它。 03 其他常见问题
企业在局域网交换机方面还会常犯另外几个配置错误。
许多企业使用VLAN编号1这给思科交换机的安全带来了一些影响。
如果VLAN 1用作思科交换机上的“原生VLAN”问题也会出现。
思科交换机上的其他常见问题与网络管理员没有标记原生VLAN有关。还有无数的交换机间链路没有经过配置以限制干线上允许VLAN。
我们在评估网络状况时经常会在客户的网络中遇到这些问题。
有时候上述九大问题会全部集中出现在一个环境中。
如果企业组织纠正这些生成树问题可以改善应用程序性能、缩短会聚时间、提高弹性以及减少网络停运时间。
建议每位网工都应该好好阅读本篇文章确定本企业的设备有没有存在这些错误。
审查网络、查找这几类问题并且主动采取措施来解决这些问题这很重要。
STP方面的这些改进有望提升网络的稳定性、性能、弹性以及会聚速度。 整理老杨丨10年资深网络工程师更多网工提升干货请关注公众号网络工程师俱乐部
