交換機(jī)二層環(huán)路問題分析和處理方法

介紹

以太網(wǎng)鏈路由于各種原因，導(dǎo)致數(shù)據(jù)或協(xié)議報文環(huán)形轉(zhuǎn)發(fā)，導(dǎo)致網(wǎng)絡(luò)形成數(shù)據(jù)風(fēng)暴，最終影響正常業(yè)務(wù)。本文檔僅介紹二層網(wǎng)絡(luò)的常見環(huán)路問題識別和處理。

本指導(dǎo)手冊按照如下思路進(jìn)行二層環(huán)路問題分析和處理：

1、??網(wǎng)絡(luò)業(yè)務(wù)故障，如何觀察確認(rèn)存在二層環(huán)路？

2、??環(huán)路問題發(fā)生后，如何快速破環(huán)恢復(fù)業(yè)務(wù)？

3、??如何排查環(huán)路問題的根本原因，是否已知案例？。

4、??針對問題原因，對網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)膬?yōu)化。

處理二層環(huán)路問題，您首先需要準(zhǔn)備如下：

1、??整網(wǎng)的拓?fù)鋱D，包含設(shè)備名稱、登陸方式、系統(tǒng)MAC。

2、??登陸軟件，記錄全部的操作記錄。

準(zhǔn)備好這些，我們開始二層環(huán)路問題的處理之旅。

網(wǎng)絡(luò)業(yè)務(wù)故障，如何確認(rèn)存在環(huán)路？ ? ?

網(wǎng)絡(luò)業(yè)務(wù)故障后，如發(fā)生二層環(huán)路，通常會存端口流量數(shù)據(jù)風(fēng)暴和反復(fù)大量的MAC漂移現(xiàn)象。因此，在骨干鏈路所在的節(jié)點(diǎn)，通過如下三步操作：

圖1：環(huán)路排查流程圖

可以判斷網(wǎng)絡(luò)是否可能存在二層環(huán)路。

第一步：是否可以通過端口流量發(fā)現(xiàn)數(shù)據(jù)風(fēng)暴？? ?

通過displayinterface brief命令，查看所有接口下的流量，存在環(huán)路的接口上InUti和OutUti兩個計數(shù)會逐步增加：

第一次查詢：

[151]disp interface Ethernet brief | in up

PHY: Physical

*down: administratively down

(l): loopback

(b): BFD down

InUti/OutUti: input utility/output utility

Interface?????????????????PHY?? Auto-Neg Duplex BandwidthInUti OutUti ??Trunk

GigabitEthernet0/0/2???????up??? enable?? full??????100M? 0%? 0.01%???--

GigabitEthernet0/0/16?????? up???enable?? full?????? 1000M 0.56%? 0.56%????1

GigabitEthernet1/0/12?????? up???enable?? full?????? 1000M 0.56%? 0.56%????1

MEth0/0/1???????????????up??? enable?? half??????100M ?0.01%?0.01%? --

最后一次查詢：

[151]disp interface Ethernet brief | in up

PHY: Physical

*down: administratively down

(l): loopback

(b): BFD down

InUti/OutUti: input utility/output utility

Interface?????????????????PHY?? Auto-Neg Duplex BandwidthInUti OutUti ??Trunk

GigabitEthernet0/0/2???????up??? enable?? full??????100M? 0%? 0.01%???--

GigabitEthernet0/0/16?????? up???enable?? full?????? 1000M 76%? 76%????1

GigabitEthernet1/0/12?????? up???enable?? full?????? 1000M 76%? 76%????1

MEth0/0/1??????????????? up??? enable??half??????? 100M 0.01% 0.01%? --

一般情況下，查詢只能看到網(wǎng)絡(luò)的當(dāng)前流量結(jié)果，此時需要和網(wǎng)絡(luò)的正常業(yè)務(wù)流量進(jìn)行比較，業(yè)務(wù)流量的帶寬可以從客戶的網(wǎng)絡(luò)流量監(jiān)控圖獲取。

如果只有一臺設(shè)備的一個端口出入方向流量較大，可能是單端口環(huán)回。

如果只有一臺設(shè)備的兩個端口流量較大，可能是本設(shè)備兩個端口環(huán)回；

如果某端口只有單方向流量，只有出或者只有入，需要重點(diǎn)排查，因為環(huán)路有可能在該端口的上下游設(shè)備。

通常情況下：

如果當(dāng)前網(wǎng)絡(luò)流量遠(yuǎn)大于正常業(yè)務(wù)，可能存在二層環(huán)路。

如果當(dāng)前網(wǎng)絡(luò)流量正常，沒有部署廣播抑制，沒有二層環(huán)路。

如果當(dāng)前網(wǎng)路流量比正常流量稍大，且部署了廣播抑制，需要繼續(xù)后面的第二步和第三步操作。

?第二步：是否可以通過MAC-Flapping檢測漂移？

MAC地址漂移即設(shè)備上一個接口學(xué)習(xí)到的MAC地址在同一VLAN中另一個接口上也學(xué)習(xí)到，后學(xué)習(xí)到的MAC地址表項的覆蓋原來的表項。

導(dǎo)致MAC地址漂移的因為包括網(wǎng)絡(luò)存在環(huán)路、或者非法用戶進(jìn)行網(wǎng)絡(luò)攻擊。

例如下圖，當(dāng)Switch1向兩個方向同時發(fā)報文時，在Switch2上的兩個不同端口都會收到該報文，從而出現(xiàn)MAC地址漂移。當(dāng)Switch2的兩個端口出現(xiàn)了MAC地址漂移時，說明交換機(jī)的兩個端口間可能出現(xiàn)了環(huán)路。

圖2：MAC-Flapping示意圖

MAC地址漂移，交換機(jī)所有形態(tài)和版本均默認(rèn)支持漂移，具體的MAC漂移配置主要是指漂移后是否告警，漂移后是否設(shè)置端口堵塞的功能。

由于框式交換機(jī)和盒式交換機(jī)MAC漂移檢測的命令行和檢測存在差異，我們分別介紹：

1 框式交換機(jī)

V1R2版本，在非S系列單板上支持全局使能的MAC-Flapping檢測功能（全局使能，只支持發(fā)送TRAP）。

在V1R2上，開啟MAC地址漂移檢測：

[Quidway]mac-flappingalarm enable

V1R3及以后的版本，在V1R2版本的基礎(chǔ)上，新增了基于VLAN的MAC地址漂移檢測、檢測到MAC地址漂移后執(zhí)行對應(yīng)的動作策略。

在V1R3及以后的版本上，開啟MAC地址漂移檢測（下面兩個命令均可使用）：

系統(tǒng)視圖下：[Quidway]loop-detect eth-loopalarm-only

VLAN視圖下：[Quidway -vlan1001]loop-detect eth-loop alarm-only

各個版本的告警信息存在一定的差異，樣例如下：

2 盒式交換機(jī)

盒式交換機(jī)（不包括23、27系列）V1R3及以后版本，不支持全局使能的MAC地址漂移檢測，只支持基于VLAN的MAC地址漂移檢測，同時支持檢測到漂移后的發(fā)送TRAP、阻塞端口等動作。

開啟MAC地址漂移檢測：

VLAN視圖下：[Quidway -vlan1001]loop-detecteth-loop alarm-only

各個版本的告警信息存在一定的差異，樣例如下：

第三步：設(shè)備作為三層網(wǎng)關(guān)，是否存在大量ARP報文被CPCAR丟包記錄？

dispclock

2011-11-302032

Wednesday

TimeZone : BJ add 0800

dispcpu-defend? arp-request statistics? slot 3

CPCAR on slot 3

-------------------------------------------------------------------------------

PacketType???????? Pass(Bytes)? Drop(Bytes)??Pass(Packets)???Drop(Packets)

arp-request??????????? 91720644? 61001339156???????? 1348833???????897078517

-------------------------------------------------------------------------------

dispcpu-defend? arp-reply statistics? slot 3

CPCAR on slot 3

-------------------------------------------------------------------------------

PacketType??????? ?Pass(Bytes)?Drop(Bytes)?? Pass(Packets)???Drop(Packets)

arp-reply???????????? 381073700? 46925484540???????? 5604025???????690080655

-------------------------------------------------------------------------------

dispclock

2011-11-302035

Wednesday

TimeZone : BJ add 0800

dispcpu-defend? arp-request statistics? slot 3

CPCAR on slot 3

-------------------------------------------------------------------------------

PacketType???????? Pass(Bytes)? Drop(Bytes)??Pass(Packets)???Drop(Packets)

arp-request??????????? 91728872? 61001759940???????? 1348954???????897084705

-------------------------------------------------------------------------------

dispcpu-defend? arp-reply statistics? slot 3

CPCAR on slot 3

-------------------------------------------------------------------------------

PacketType???????? Pass(Bytes)? Drop(Bytes)??Pass(Packets)?? Drop(Packets)

arp-reply???????????? 381082540? 46925484540???????? 5604155???????690080655

-------------------------------------------------------------------------------

通常情況下，ARP的交互是有序進(jìn)行，短時間內(nèi)不會出現(xiàn)超多報文的丟棄。

問題一般發(fā)生在9300作為匯聚網(wǎng)關(guān)場景，出現(xiàn)上述情況后，可能的原因是ARP的廣播報文在物理環(huán)形的網(wǎng)絡(luò)中轉(zhuǎn)發(fā)，形成協(xié)議報文的風(fēng)暴，當(dāng)前設(shè)備上送CPU，被交換機(jī)CPU限速丟棄。

第四步，當(dāng)前是否可以增加配置環(huán)路檢測發(fā)現(xiàn)環(huán)路？

框式交換機(jī)和盒式交換機(jī)都支持檢測環(huán)，框式交換機(jī)的環(huán)路監(jiān)測稱為Loop Detection；盒式交換機(jī)的環(huán)回監(jiān)測稱為Loopback Detection。

1 Loop Detection(框式)

框式交換機(jī)端口配置LoopDetection功能以后，設(shè)備會從該端口發(fā)送環(huán)路檢測報文，在端口所屬且使能Loop Detection功能的VLAN內(nèi)進(jìn)行環(huán)路檢測，如果設(shè)備接收到自己發(fā)送的檢測報文，網(wǎng)絡(luò)上存在環(huán)路。

框式交換機(jī)上的環(huán)路監(jiān)測能檢測到下面兩種情況下的端口環(huán)路：

1、??設(shè)備上端口收到本端口發(fā)送的檢測報文。

2、??設(shè)備上端口收到非本端口發(fā)送的檢測報文。

開啟了LoopDetection以后，用display loop-detection命令可以查看當(dāng)前環(huán)路檢測的狀態(tài)，用display loop-detection interface命令可以查看具體某一個端口的狀態(tài)。

display loop-detection

LoopDetection is enable.

Detectioninterval time is 5 seconds.

Followingvlans enable loop-detection:

vlan?556

Followingports are blocked for loop:

NULL

Followingports are shutdown for loop:

NULL

Followingports are nolearning for loop:

NULL

display loop-detection interface gigabitethernet 1/0/0

The portis enable.

Theport's status list:

Status????????????? WorkMode ???????????Recovery-time?????? EnabledVLAN

-----------------------------------------------------------------------

Normal????????????? Shutdown??????????? 200???????????????? 556

告警示例如下：

2 Loopback Detection(盒式)

盒式交換機(jī)端口配置LoopbackDetection功能以后，設(shè)備會從該端口發(fā)送環(huán)路檢測報文，一個untagged報文和指定VLAN Tag報文。盒式交換機(jī)的Loopback Detection，只能針對設(shè)備上端口收到本端口發(fā)送的檢測報文的環(huán)路。

開啟了LoopDetection以后，用display loop-detection命令可以查看環(huán)路檢測功能的配置信息和接口狀態(tài)信息。

display loopback-detect

Loopback-detectis enabled in the system view

Loopback-detectinterval: 30??????????????

Loopback-detecksending-packet interval:? 5

Interface??????????????? ProtocolID? RecoverTime???Action??? Status

--------------------------------------------------------------------------------

GigabitEthernet0/0/2???? 602????????? 30??????????? block???? NORMAL

盒式交換機(jī)告警示例如下：

編輯：黃飛

?