相信大(dà)家都聽過網絡環路這(zhè)個詞吧,網絡環路會(huì)對(duì)企業網絡存在很(hěn)大(dà)的威脅,它會(huì)造成網絡裏的廣播風(fēng)暴,耗盡交換資源,造成交換機癱瘓,最終導緻的就是直接的經濟損失。今天我們就來(lái)聊聊,環路的産生、排查、解決以及如何防範。
什(shén)麽是環路
以太網交換網絡中爲了(le)提高(gāo)網絡可靠性,通常會(huì)采用(yòng)冗餘設備和(hé)冗餘鏈路,然而現(xiàn)網中由于組網調整、配置修改、升級割接等原因,經常會(huì)造成數據或協議(yì)報(bào)文(wén)環形轉發,不可避免的形成環路。如圖所示,三台設備兩兩相連就會(huì)形成環路。當設備未部署環路保護協議(yì)或者組網配置發生變更時(shí),環形組網中就可能(néng)會(huì)産生廣播風(fēng)暴。
環路的危害
二層環路最大(dà)的危害就是會(huì)産生廣播風(fēng)暴,以太網是一個支持廣播的網絡,在沒有環路的環境中,廣播包在網絡中以泛洪的形式被送達到(dào)網絡的每一個角落,以保證每個設備都能(néng)夠接受到(dào)它。在帶寬允許的情況下(xià),每個網橋在接收到(dào)廣播報(bào)文(wén)以後,都會(huì)向除接收端口以外(wài)的其他(tā)所有接口轉發這(zhè)個廣播包,一旦網絡中有環路,這(zhè)種簡單的廣播機制就會(huì)引發災難性後果。
環路中一個廣播報(bào)文(wén)被反複轉發了(le)千萬次,産生了(le)廣播風(fēng)暴并且很(hěn)快(kuài)達到(dào)或接近端口線速,并迅速消耗鏈路帶寬。根據轉發規則,這(zhè)些(xiē)廣播報(bào)文(wén)不僅僅隻是在環路上(shàng)無限轉發,環路設備還會(huì)向其他(tā)端口轉發一份,這(zhè)樣整個網絡中都充斥着大(dà)量重複廣播報(bào)文(wén)。
二層網絡設備處于同一個廣播域下(xià),廣播報(bào)文(wén)在環路中會(huì)反複持續傳送,無限循環,形成廣播風(fēng)暴,引發MAC地址表不穩定等現(xiàn)象描述,進而影響正常業務,導緻用(yòng)戶通信質量較差,甚至通信中斷。
如何判斷環路故障
所有這(zhè)些(xiē)誘發故障的内在因素絕大(dà)多數都有其“外(wài)在異常表現(xiàn)”,具體會(huì)反映在特定網元的告警、日志、流量統計(jì)、端口狀态等信息中。因此故障快(kuài)速定位的關鍵在于,如何有效而快(kuài)速的通過事(shì)發時(shí)間、影響範圍、所做操作(zuò)及故障網絡範圍的網元基本信息的查看(kàn),快(kuài)速發現(xiàn)這(zhè)些(xiē)“外(wài)在異常表現(xiàn)”所在的點,進而鎖定故障網元節點,找出原因分析。
環路故障診斷步驟
判斷網絡中是否存在二層環路,一般可以使用(yòng)查看(kàn)接口帶寬流量、查看(kàn)MAC漂移告警、部署環路檢測、查看(kàn)CPU占用(yòng)率四種方法進行确認。這(zhè)四種方法沒有嚴格的操作(zuò)順序,爲更加準确判斷故障屬性,可以使用(yòng)其中的一種或多種方法來(lái)進行問題定位。
如何快(kuài)速破環
以太網環路會(huì)在短時(shí)間内形成數據風(fēng)暴,當端口的流量達到(dào)帶寬的最大(dà)負荷,會(huì)形成鏈路擁塞,影響網絡業務。因此,在确認現(xiàn)網存在數據環路後,需要第一時(shí)間按照如下(xià)步驟處理(lǐ),盡快(kuài)恢複數據業務。
梳理(lǐ)網絡拓撲并識别環路
環形網絡拓撲一般較爲複雜(zá),可以尋求到(dào)網絡拓撲結構全圖,具體到(dào)網絡的VLAN規劃信息,每台設備名稱、系統MAC、管理(lǐ)IP,本端端口名稱、對(duì)端端口名稱。
完整的拓撲信息是解決環路問題的首要條件,如果沒有拓撲圖,需要從(cóng)發現(xiàn)環路的設備,通過逐跳登錄,記錄設備信息、端口信息和(hé)VLAN信息,手動繪制完整的拓撲。
緊急破環
緊急破環又稱手動破環,當網絡風(fēng)暴嚴重影響正常的業務時(shí),需要使用(yòng)此方法盡快(kuài)恢複業務。
端口退出已成環的VLAN
在已經成環的網絡上(shàng),将其中一個端口退出成環VLAN,屬于影響面最小(xiǎo)的破環方法。
shutdown已經成環的端口
shutdown已經成環的物理(lǐ)端口,也(yě)可以達到(dào)破環的效果。需要注意的是執行此動作(zuò)之前,您需要确保在接口視(shì)圖下(xià)執行命令shutdown關閉接口後,不會(huì)影響正常的數據業務。
拔出成環接口破環
通過拔出成環的端口的連接光纖或網線,也(yě)可以緊急破環。該方法可以使用(yòng)Shutdown端口代替,在設備無法遠程登錄時(shí)可以使用(yòng)。
确認業務已經恢複
通過Ping等操作(zuò)測證網絡通信質量,并觀察現(xiàn)網業務是否已經恢複。環路拓撲存在冗餘鏈路和(hé)配置,因此環路破除後業務一般會(huì)自(zì)行恢複。
網絡加固和(hé)優化
部署适當的破環協議(yì)
如果當前的環路問題是由于物理(lǐ)環路引入,按照網絡規劃合理(lǐ)部署破環協議(yì)。以太網交換機常見的破環協議(yì)爲STP/RSTP/MSTP/VBST、RRPP、SEP、ERPS等。
部署廣播抑制提升網絡健壯性
爲了(le)避免再次成環,成環後再次引入數據風(fēng)暴,建議(yì)在環上(shàng)設備端口下(xià),部署廣播抑制,按照經驗,部署5%的廣播抑制可以很(hěn)好(hǎo)的防止廣播風(fēng)暴,具體抑制的比例值可以按照現(xiàn)網并發廣播流量來(lái)評估确認。
優化網絡設計(jì),提升網絡
複雜(zá)組網可以通過分層控制,建議(yì)合理(lǐ)規劃設計(jì)接入層、彙聚層,通過堆疊、集群等橫向虛拟化技術簡化網絡架構。單層組網内設備數量較多時(shí),建議(yì)按照邏輯組織和(hé)地理(lǐ)分布,劃分不同的域。
