Routeurs : Routeurs à services d'agrégation de la gamme Cisco ASR 9000

Problèmes courants de gamme 9000 ASR avec des Protocoles Spanning Tree

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit des problèmes courants produits quand vous intégrez vos réseaux en cours de spanning-tree de la couche 2 (L2) sur des Commutateurs de Cisco IOS® avec la gamme 9000 du routeur de services d'agrégation de Cisco (ASR) qui exécutent le Cisco IOS XR.

Contribué par des alimentations de guirlande et de David de Bryan, ingénieurs TAC Cisco.

Incohérence de l'ID DE VLAN de port en problème (PVID)

Commutateurs de Cisco IOS qui exécutent des ports de commutateur de bloc de Per VLAN Spanning Tree Plus (PVST+) quand ils reçoivent un Bridge Protocol Data Unit (BPDU) avec un PVID insconsistent. Ce problème se pose quand un périphérique entre les Commutateurs change ou traduit les balises de 802.1Q d'IEEE sur le PVST+ BPDU.

Quand un ASR 9000 fournit le Point à point de L2VPN ou le service multipoint entre les Commutateurs qui exécutent PVST+ et réécrivent le VLAN l'étiquette, ces messages de Syslog pourraient afficher sur les commutateurs fonctionnants sous Cisco IOS :

%SPANTREE-2-RECV_PVID_ERR: Received BPDU with inconsistent 
peer vlan id 10 on GigabitEthernet0/10 VLAN20.

%SPANTREE-2-BLOCK_PVID_LOCAL: Blocking GigabitEthernet0/10
on VLAN20. Inconsistent local vlan.

Cette question est due à la balise PVID qui est incluse avec le PVST+ BPDU. Cette balise est conçue afin de détecter des mauvaises configurations et éviter les boucles accidentelles. Mais, dans ce scénario, il fait être bloqué et ne pas permettre chaque extrémité au trafic pour passer.

Voici un exemple :

Voici la configuration pour la configuration de la gamme 9000 ASR (a9k1) :

2vpn
bridge group bg1
bridge-domain bd1
interface TenGigE0/0/0/0.10
!
interface TenGigE0/0/0/1.20

interface TenGigE0/0/0/0.10 l2transport
encapsulation dot1q 10
rewrite ingress tag pop 1 symmetric

interface TenGigE0/0/0/1.20 l2transport
encapsulation dot1q 20
rewrite ingress tag pop 1 symmetric

Solution

Afin d'empêcher ce problème, vous pouvez bloquer le PVST+ BPDU. Cette action désactive le spanning-tree, et peut avoir comme conséquence les boucles si les connexions redondantes sont disponibles entre les Commutateurs.

Attention : La précaution d'usage quand vous bloquez des BPDU et désactivent efficacement le spanning-tree.

Filtre BPDU sur des Commutateurs

Les BPDU sont bloqués avec la configuration de filtre BPDU sur les Commutateurs. Le filtre BPDU bloque des BPDU dans les deux directions, qui désactive efficacement le spanning-tree sur le port. Le filtre BPDU empêche le BPDU d'arrivée et sortant. Si vous activez le BPDU filtrant sur une interface, c'est pareil comme si vous désactivez le spanning-tree là-dessus, qui peut avoir comme conséquence les boucles de spanning tree.

Sur switch1 et switch2, filtres de l'enable BPDU avec cette commande :

interface TenGigabitEthernet1/2
spanning-tree bpdufilter enable

Bloc PVST+ BPDU sur ASR 9000

Ce problème est évité si vous configurez l'ASR9000 afin de relâcher le PVST+ BPDU. Ceci est fait avec une liste d'accès des Ethernet-services L2 pour refuser des paquets destinés à l'adresse MAC PVST+ BPDU.

PVST+ BPDU pour le non-VLAN 1 VLAN (non-indigène) sont envoyés à l'adresse MAC PVST+ (également appelée l'adresse MAC partagée de Protocole Spanning Tree [SSTP], 0100.0ccc.cccd), et étiquetés avec une balise correspondante du 802.1Q VLAN d'IEEE.

Cette liste de contrôle d'accès (ACL) peut être utilisée afin de bloquer le PVST+ BPDU :

ethernet-services access-list l2acl
10 deny any host 0100.0ccc.cccd  
 20 permit any any

Appliquez-vous l'ACL à l'interface configurée comme l2transport :

interface TenGigE0/0/0/0.10 l2transport
encapsulation dot1q 10
rewrite ingress tag pop 1 symmetric
ethernet-services access-group l2acl ingress

interface TenGigE0/0/0/1.20 l2transport
encapsulation dot1q 20
rewrite ingress tag pop 1 symmetric
ethernet-services access-group l2acl ingress

Problème - Les ports de commutateur s'agitent entre le blocage et la transmission quand vous utilisez de plusieurs types de Protocoles Spanning Tree (STPs) par un ASR 9000

L'ASR9000 ne fait pas le spanning-tree par défaut comme la plupart des commutateurs de Cisco IOS. Dans le modèle du circuit virtuel d'Ethernets (EVC), un BPDU est un simplement autre paquet de multidiffusion L2. Un problème courant produit est des incohérences de spanning-tree dues aux plusieurs types de STPs qui fonctionnent à travers un domaine de passerelle ASR 9000. Ceci apparaît de quelques différentes manières.

Considérez cette topologie simple :

Assumez le protocole MSTP (Multiple Spanning Tree Protocol) des passages switch1 et switch2 les passages PVST+. Si a9k1 n'exécute aucune forme de spanning-tree, alors switch1 voit ceci comme port de borne. Switch1 retombe au mode PVST pour l'exemple 0 (CST0) de spanning-tree VLAN pas en commun. Si c'est la conception désirée, vous devriez être au courant de l'interaction MST et PVST comme décrit dans compréhension du livre blanc de Protocol de Multiple Spanning Tree (802.1s).

Supposez maintenant que vous exécutez MST sur switch1 et sur l'interface a9k1 qui va à switch1, mais vous exécutez toujours PVST+ sur switch2. Le PVST+ BPDU traverse le domaine de passerelle et arrive à switch1. Switch1 voit alors MST BPDU d'a9k1 et le PVST+ BPDU de switch2, qui fait aller constamment le spanning-tree sur le port switch1 du blocage au blocage et aux résultats dans la perte du trafic.

Switch1 signale ces Syslog :

%SPANTREE-SP-2-PVSTSIM_FAIL: Superior PVST BPDU received on VLAN 2 port Gi2/13,
claiming root 2:000b.45b7.1100. Invoking root guard to block the port
%SPANTREE-SP-2-ROOTGUARD_BLOCK: Root guard blocking port GigabitEthernet2/13
on MST1.
%SPANTREE-SP-2-ROOTGUARD_UNBLOCK: Root guard unblocking port GigabitEthernet2/13
on MST0.
%SPANTREE-SP-2-PVSTSIM_FAIL: Superior PVST BPDU received on VLAN 2 port Gi2/13,
claiming root 2:000b.45b7.1100. Invoking root guard to block the port
%SPANTREE-SP-2-ROOTGUARD_BLOCK: Root guard blocking port GigabitEthernet2/13
on MST1.

La sortie de commande de show spanning-tree interface prouve que la sortie change constamment sur le périphérique du Cisco IOS switch1 :

show spanning-tree interface gig 2/13
Mst Instance Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- -------
MST0 Desg BKN*20000 128.269 P2p Bound(PVST) *ROOT_Inc
MST1 Desg BKN*20000 128.269 P2p Bound(PVST) *ROOT_Inc
MST2 Desg BKN*20000 128.269 P2p Bound(PVST) *ROOT_Inc

show spanning-tree interface gig 2/13
Mst Instance Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- ---------
MST0 Desg FWD 20000 128.269 P2p
MST1 Desg FWD 20000 128.269 P2p
MST2 Desg FWD 20000 128.269 P2p

Solution

 Il y a trois options de considérer afin d'empêcher ce problème.

  • Configurez MST sur switch2, et activez MST sur les interfaces a9k1 à switch1 et à switch2.
  • Employez une liste d'accès de services Ethernet sur a9k1 afin de relâcher le PVST+ BPDU sur le d'entrée de switch2 ou sur le de sortie à switch1.
  • Exécutez-vous par passerelle d'Access de spanning-tree VLAN (PVSTAG) sur l'interface a9k1 vers switch2. Ceci fait consommer l'a9k1 le PVST+ BPDU de switch2.

Problème - Les ports de spanning tree ont bloqué en raison de la détection d'une auto-boucle

Quand un commutateur reçoit un spanning-tree BPDU qu'il a envoyé en fonction à la même interface, il bloque ce VLAN dû à une auto-boucle. C'est un problème courant qui se pose quand un commutateur avec un port de joncteur réseau est connecté à un routeur ASR 9000 qui fournit les services L2 multipoints, et l'ASR 9000 ne réécrit pas des balises VLAN sur les interfaces de l2transport dans le même domaine de passerelle.

Considérez la même topologie représentée simple précédemment. Mais maintenant, pour une raison de conception sur l'a9k1, VLAN multiples que provenu la même interface de joncteur réseau de commutateur sont fusionnés ensemble dans un domaine de passerelle.

Voici la configuration a9k1 :

l2vpn
bridge group bg1
bridge-domain bd1
interface GigabitEthernet0/1/0/31.2
!
interface GigabitEthernet0/1/0/31.3
!
interface GigabitEthernet0/1/0/31.4
!
interface GigabitEthernet0/1/0/32.2
!
interface GigabitEthernet0/1/0/32.3
!
interface GigabitEthernet0/1/0/32.4

interface GigabitEthernet0/1/0/31.2 l2transport
encapsulation dot1q 2
!
interface GigabitEthernet0/1/0/31.3 l2transport
encapsulation dot1q 3
!
interface GigabitEthernet0/1/0/31.4 l2transport
encapsulation dot1q 4

Ceci jette un pont sur VLAN 2 à 4 ensemble dans un domaine de passerelle sur l'a9k1.

Le modèle ASR 9000 EVC ne réécrit aucune balise ou saute par défaut. Le PVST+ BPDU pour VLAN2 entre sur la yole 0/1/0/31.2 d'interface et est expédié soutient sur la yole 0/1/0/31.3 et la yole 0/1/0/31.4. Puisque la configuration n'est pas une réécriture d'action de bruit d'entrée, le BPDU retourne sans changement. Le commutateur voit ceci pendant qu'il obtient son propre dos BPDU, et des blocs ce VLAN dû à une auto-boucle.

La commande de show spanning-tree interface affiche le VLAN bloqué :

6504-A#show spanning-tree interface gig 2/13


Vlan Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- --------
VLAN0002 Desg BLK 4 128.269 self-looped P2p
VLAN0003 Desg BLK 4 128.269 self-looped P2p
VLAN0004 Desg BLK 4 128.269 self-looped P2p

Solution

Cette question est éliminée par l'utilisation de la commande stricte de sortie-filtre d'Ethernets sur les interfaces de l2transport ASR 9000.

Ce n'est pas une conception recommandée. Cependant, si c'est vraiment la conception désirée, puis vous pouvez employer cette solution afin d'empêcher le commutateur de recevoir le BPDU qu'il a renvoyé dans la même interface.

Vous pouvez utiliser la commande stricte de sortie-filtre d'Ethernets sur les interfaces du l2transport a9k1 ou globalement. Voici l'exemple de lui sous l'interface :

interface GigabitEthernet0/1/0/31.2 l2transport
encapsulation dot1q 2
ethernet egress-filter strict
!
interface GigabitEthernet0/1/0/31.3 l2transport
encapsulation dot1q 3
ethernet egress-filter strict
!
interface GigabitEthernet0/1/0/31.4 l2transport
encapsulation dot1q 4
ethernet egress-filter strict

Les Ethernets stricts de sortie de commandes enables strictes de sortie-filtre d'Ethernets circulent le point (EFP) filtrant sur l'interface. Seulement des paquets qui passent le filtre EFP d'entrée sur l'interface sont transmis hors de cette interface. D'autres paquets sont lâchés au filtre de sortie. Ceci signifie que si le paquet que les de sortie n'apparie pas l'étiquette de l'encapsulation dot1q configurait sur l'interface, alors il n'est pas envoyé.

Informations connexes



Document ID: 116514