S3700, S5700, S6700, S7700, S7900, S9700系列交换机 典型配置案例
环路检测典型配置
配置通过Loop Detection检测设备下挂网络环路示例
Loop Detection简介
网络中的环路会导致设备对广播、组播以及未知单播等报文进行重复发送,造成网络资源浪费甚至网络瘫痪。为了能够及时发现二层网络中的环路,避免对整个网络造成严重影响,需要提供一种检测技术,使网络中出现环路时能及时通知用户检查网络连接和配置情况,并能够将出问题的接口置于某种受控状态。
Loop Detection正是这样的检测技术。它通过从接口周期性发送检测报文,检查该报文是否返回本设备(不要求收、发接口为同一接口),进而判断该接口、设备所在网络或设备下挂网络是否存在环路。
如果发现检测报文从发出去的接口接收到,则认为该接口发生自环或该接口下挂的网络中存在环路。
如果发现检测报文被本设备上的其他接口接收到,则认为该接口或设备所在的网络中存在环路。
在发现环路后,环路检测能向网管发送告警和记录日志,并能根据用户事先的配置对接口进行处理(默认关闭接口),从而使接口处于受控状态,减小环路对本设备乃至整个网络的影响。Loop Detection检测到环路时的处理动作有如下五种:
Trap:上报告警和记录日志。当检测到环路时,设备向网管上报告警并记录日志,但对接口不做任何处理。
Block:阻塞接口。当检测到环路时,设备将该接口阻塞,不能转发除BPDU报文外的报文。
No learning:接口不再进行MAC地址学习。当检测到环路时,该接口不再进行MAC地址学习。
Shutdown:关闭接口。当检测到环路时,设备关闭该接口。
Quitvlan:退出VLAN。当检测到环路时,当前接口退出出现环路的VLAN。
接口受控后仍继续发送检测报文,当设备在恢复时间内没有收到受控接口发出的检测报文,则认为受控接口下的环路已经消除,将接口恢复为正常状态。
Loop Detection仅为单节点环路检测技术,不具备网络级的破除环路功能(ERPS、RRPP、SEP、Smart Link、STP/RSTP/MSTP/VBST等环网技术具备)。
配置注意事项
本例仅适用于框式交换机的所有版本。
V200R008C00版本及之前版本,Loop Detection不支持对动态VLAN进行环路检测。
Loop Detection和Loopback Detection不能同时配置。
Loop Detection需要发送大量检测报文来进行环路检测,这将会耗费一定的系统资源,请在不需要环路检测时及时关闭此功能。
当在多个接口上存在多个VLAN的外部环路时,受安全策略及CPU处理能力的限制,Loop Detection的检测性能会降低(涉及的VLAN和接口越多,性能越差,特别是在集群的备框设备上)。此时建议用户手工破除环路。
Loop Detection与ERPS、RRPP、SEP、Smart Link、STP/RSTP/MSTP/VBST等环网功能冲突,使能了Loop Detection功能的VLAN所在的接口不要再配置这些环网功能;反过来,全局使能Loop Detection功能后,因缺省每个接口的Loop Detection功能都是使能的,如果某接口需要配置上述环网功能,则需要去使能该接口的Loop Detection功能。
Loop Detection只发Tagged检测报文,因此只能基于VLAN进行环路检测,支持检测的VLAN数为4094个。
当设备的网络侧接口发生环路时,接口如果配置为Block或Shutdown动作,会导致设备上的业务全部中断。因此不建议在网络侧接口部署Loop Detection功能。
Loop Detection的Quitvlan动作与其他采用动态退出VLAN的功能(如GVRP、HVRP以及MAC漂移检测联动接口退出VLAN等)冲突,不能同时配置。
Loop Detection阻塞接口时不能阻塞GVRP协议报文。为确保GVRP正常运行并防止GVRP协议成环,建议不要在Loop Detection的阻塞接口上使能GVRP功能。
组网需求
如图3-107所示,某企业新建分支网络接入到汇聚交换机Switch,该新建分支网络所属VLAN范围为10~20。新建网络可能因连接或配置错误而产生环路,进而影响到Switch及其上行网络的通信。
用户希望能在Switch上及时检测到新建分支网络中的环路,防止环路对Switch及其上行网络的冲击。
图3-107 配置通过Loop Detection检测设备下挂网络环路示例组网图
配置思路
由于新建分支网络属于VLAN 10~20,需要检测的VLAN数大于8,因此需要在Switch上配置Loop Detection功能来检测该网络是否存在环路。可采用如下思路配置Loop Detection功能:
在Switch的接口GE1/0/1上使能Loop Detection功能,并配置对指定VLAN进行环路检测,实现对下行网络环路的检测。
配置Loop Detection处理动作,实现Switch在检测到环路后能及时关闭接口以防止环路影响Switch及其上行网络的通信。
新建网络中的交换设备上需要配置接口的链路类型为Trunk或Hybrid,并允许相应的VLAN通过,以保证新建网络内以及新建网络与Switch间的二层互通。
操作步骤
使能全局的Loop Detection功能
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] loop-detection enable //使能全局的Loop Detection功能
使能VLAN的Loop Detection功能
[Switch] vlan batch 10 to 20 [Switch] loop-detection enable vlan 10 to 20 //配置设备对VLAN10到VLAN20下的所有接口进行环路检测
配置Loop Detection检测报文的发送周期
[Switch] loop-detection interval-time 10 //配置Loop Detection检测报文的发送周期为10s
配置Loop Detection处理动作
# 打开Loop Detection告警开关。
[Switch] snmp-agent trap enable feature-name ldttrap //打开Loop Detection的告警开关,使设备具有发送Loop Detection Trap报文的功能
# 配置Loop Detection处理动作为Shutdown。
[Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type hybrid //V200R005C00及以后版本交换机接口的缺省链路类型不是Hybrid类型,用户可根据需要执行命令port link-type hybrid配置接口的链路类型为Hybrid [Switch-GigabitEthernet1/0/1] stp disable //去使能接口的STP功能 [Switch-GigabitEthernet1/0/1] port hybrid tagged vlan 10 to 20 [Switch-GigabitEthernet1/0/1] loop-detection mode port-shutdown //配置Loop Detection检测到环路时对接口GE1/0/1的处理动作为Shutdown [Switch-GigabitEthernet1/0/1] quit
检查配置结果
# 配置完成后,执行命令display loop-detection,查看设备上全局环路检测运行情况。
[Switch] display loop-detection Loop Detection is enabled. Detection interval time is 10 seconds. Following VLANs enable loop-detection: VLAN 10 to 20 Following ports are blocked for loop: NULL Following ports are shutdown for loop: GigabitEthernet1/0/1 Include Vlans: 10 Following ports are nolearning for loop: NULL Following ports are trapped for loop: NULL Following ports are quitvlan for loop: NULL
# 查看GE1/0/1接口的环路检测运行情况。