STP故障02-鏡像問題
背景介紹,如上圖所示:
1、 SW1、SW2、SW3運行MSTP,SW1為MSTP的根橋;
2、 FW1上策略全開,在FW1上做鏡像,將GE1/0/1端口入流量鏡像到GE0/0/1端口進行分析;
3、 地址分配如下:SW1與FW1使用三層對接,地址為192.168.1.0/24(交換機為1,防火墻為2),SW2模擬二層交換機,放通SW1與FW1對接使用的VLAN10;SW3與FW1使用192.1682.0/24對接,使用vlan20;
測試及定位過程:
1、 先在SW1及SW3上ping測試FW1防火墻上對接地址,確認三層對接無故障,測試SW1訪問SW3無故障;
2、 通過上面測試可以發現設備之間互訪沒有問題,現在我們在FW1防火墻上配置鏡像後,再測試互通性;
3、 通過上面測試可以發現,SW1無法訪問FW1防火墻地址,問題應該就在SW2和FW1上面,可以通過在SW2與FW1互連的接口上抓包查看;
4、 可以看到有兩臺設備發了STP的BPDU,但是防火墻是不支持STP的,那麽另一臺發送STP的設備是哪臺呢?
5、 可以看到在SW2和FW1互連接口收到了SW3發送的BPDU報文,難道是STP導致SW1訪問FW1地址不通的?
6、 可以看到是SW2連接FW1防火墻的端口變為discarding狀態了,為什麽會有這種情況產生呢?就因為防火墻把SW3的BPDU報文鏡像過來了?
7、 可以看到,SW2收到SW3發送的 認為自己是根橋的BPDU,但 SW2發現SW1發送的才是最優的(優先級為0),那麽他先將自己的端口狀態改為discarding,同時向對端發送更優的BPDU,但是卻一直無法改變對端狀態,所以本地端口狀態就一直是discarding,這也是STP防止臨時環路的一種方法。
STP故障02-鏡像問題