1. 程式人生 > >STP故障01-STP端口問題

STP故障01-STP端口問題

0.11 rem ngui one 導致 產生 配置信息 功能 fire

STP故障01-STP端口問題

技術分享圖片
如上圖所示,模擬某雲小部分場景:
1、 圖中上面紅框表示Internet(用CE1的loopback1模擬),下面紅框表示客戶設備(用CE1交換機loopback2模擬);
2、 在CE1交換機中存在兩個VRF(test1及test2),test1用於對接Internet及將流量引入防火墻,test2用於對接客戶設備及防火墻控制後的流量(即trust區域流量);
3、 防火墻使用GE1/0/1建立HRP關系,使用三層子接口(GE1/0/0.10、GE1/0/0.20)對接交換機,具體ip地址如圖中所示(所有網段均采用一個C段);

配置信息如下:

1、 防火墻配置:
sysname FW01
#

hrp enable
hrp interface GigabitEthernet1/0/1 remote 1.1.1.3
hrp standby config enable
#
interface GigabitEthernet1/0/0.10
vlan-type dot1q 10
description To_CE1_test1
ip address 10.10.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.10.1.1 active
service-manage ping permit
service-manage ssh permit
#
interface GigabitEthernet1/0/0.20
vlan-type dot1q 20
description To_CE1_test2
ip address 10.11.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.11.1.1 active
service-manage ping permit
service-manage ssh permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 1.1.1.1 active
service-manage ping permit
service-manage ssh permit
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/0.20
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0.10
#
firewall zone name hrp id 4
set priority 95
add interface GigabitEthernet1/0/1
#
security-policy
default action permit
#
ip route-static 10.9.1.0 255.255.255.0 10.10.1.4 description CE1_VRF-test1
ip route-static 10.12.1.0 255.255.255.0 10.11.1.4 description CE1_VRF-test2
防火墻FW-02與FW-01配置類似

2、 交換機配置:
sysname CE1
#
vlan batch 10 20
#
ip -instance test1
ipv4-family
route-distinguisher 10:1
#
ip
-instance test2
ipv4-family
route-distinguisher 20:1
#
interface Vlanif10
description To_FW_untrust
ip binding -instance test1
ip address 10.10.1.4 255.255.255.0
#
interface Vlanif20
description To_FW_trust
ip binding
-instance test2
ip address 10.11.1.4 255.255.255.0
#
interface GE1/0/0
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface GE1/0/1
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface LoopBack1
description Internet
ip binding -instance test1
ip address 10.9.1.1 255.255.255.0
#
interface LoopBack2
description client
ip binding
-instance test2
ip address 10.12.1.1 255.255.255.0
#
ip route-static -instance test1 10.12.1.0 255.255.255.0 10.10.1.1 description FW-untrust
ip route-static
-instance test2 10.9.1.0 255.255.255.0 10.11.1.1 description FW-trunst

現在我們來做個場景模擬,Internet訪問客戶側業務 或者 客戶側訪問Internet業務,在客戶正在訪問的情況下,剛好我們要操作防火墻,會導致防火墻主備切換,那是否會對客戶產生影響?如果有,影響有多大?

1、帶著這個問題,選擇Internet側長ping客戶側設備,然後我們切換防火墻,看是否會掉包;
技術分享圖片

2、我們可以發現掉了兩個包,我們只斷了防火墻連接交換機的端口,HRP互連端口並沒有關閉,那為什麽會掉包,難道是因為會話沒有同步?
技術分享圖片
技術分享圖片

3、可以發現,還是掉了兩個包,這明顯不是防火墻會話原因;數據轉發一定離不開ARP及MAC表,我們可以觀察下防火墻上的ARP表項,看是否是防火墻ARP表問題;
技術分享圖片

通過查看ARP表發現,防火墻連接交換機端口UP後,是經過了1~2秒才學到了交換機10.10.1.4的ARP信息,所以掉包應該是這個原因導致。

延伸:
在上面第1步測試中,用真機CE設備測試,應該是掉5個包;這是為什麽呢?
在CE交換機中,針對STP是有優化的,具體優化如下:
端口使能生成樹協議後,會默認啟動邊緣端口的自動探測功能,當端口在(2 x Hello Timer +1)秒時間內收不到BPDU報文,自動將端口設置為邊緣端口;如果在接口視圖下配置了stp edged-port enable 或 stp edged-port disable、或者在系統視圖下配置stp edged-port default,邊緣端口自動探測功能就不生效了。

我們可以看CE1交換機的GE1/0/0端口信息:
技術分享圖片
技術分享圖片

可以看到,CE1交換機的GE1/0/0端口顯示邊緣端口以開啟,但實際上我們在端口下並未配置邊緣端口,這就是CE交換機邊緣端口的自動探測功能導致的,在經過5S後,GE1/0/0端口還未收到BPDU報文,就認為對端可能是PC,可以將該端口設置為邊緣端口,避免了STP/mstp端口的慢收斂。

STP故障01-STP端口問題