Маршрутизаторы : Маршрутизаторы агрегации Cisco ASR серии 9000

ASR типичные проблемы серии 9000 с протоколами STP

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает типичные проблемы, с которыми встречаются при интеграции текущего слоя 2 сети (L2) Spanning Tree на коммутаторах Cisco IOS® с Маршрутизатором агрегации (ASR) Cisco, серии 9000 тот Cisco IOS XR выполнения.

Внесенный Брайаном Гарлэндом и Дэвидом Пауэрсом, специалистами службы технической поддержки Cisco.

Проблема - ID VLAN С ПОРТАМИ (PVID) несоответствие

Коммутаторы Cisco IOS, которые работают На Связующее дерево VLAN Плюс (PVST +) блочные порты коммутатора, когда они получают Блок данных протокола моста (BPDU) с insconsistent PVID. Эта проблема происходит, когда устройство между коммутаторами изменяет или преобразовывает IEEE 802.1Q, наклеивает PVST + BPDU.

Когда ASR 9000 предоставляет L2VPN или многоточечный сервис "точка-точка" между коммутаторами, которые выполняют PVST +, и переписывает теги VLAN, эти сообщения системного журнала могли бы отобразиться на коммутаторах на основе Cisco IOS:

%SPANTREE-2-RECV_PVID_ERR: Received BPDU with inconsistent 
peer vlan id 10 on GigabitEthernet0/10 VLAN20.

%SPANTREE-2-BLOCK_PVID_LOCAL: Blocking GigabitEthernet0/10
on VLAN20. Inconsistent local vlan.

Эта проблема происходит из-за метки PVID, которая включена с PVST + BPDU. Эта метка разработана, чтобы обнаружить неверные конфигурации и избежать случайных петель. Но в этом сценарии это заставляет каждый конец быть заблокированным и не позволять трафику проходить.

Например:

Вот является конфигурация для ASR (a9k1) конфигурацией серии 9000:

2vpn
bridge group bg1
bridge-domain bd1
interface TenGigE0/0/0/0.10
!
interface TenGigE0/0/0/1.20

interface TenGigE0/0/0/0.10 l2transport
encapsulation dot1q 10
rewrite ingress tag pop 1 symmetric

interface TenGigE0/0/0/1.20 l2transport
encapsulation dot1q 20
rewrite ingress tag pop 1 symmetric

Решение

Для предотвращения этой проблемы можно заблокировать PVST + BPDU. Если избыточные соединения доступны между коммутаторами, это действие отключает Связующее дерево и может привести к петлям.

Внимание.  : Проявите осмотрительность, когда вы заблокируете BPDU и эффективно отключите Связующее дерево.

Фильтр BPDU на коммутаторах

BPDU заблокированы с функцией фильтра BPDU на коммутаторах. Фильтр BPDU блокирует BPDU в обоих направлениях, который эффективно отключает Связующее дерево на порту. Фильтр BPDU предотвращает входящий и исходящий BPDU. При включении фильтрования BPDU на интерфейсе оно совпадает с при отключении Связующего дерева на нем которое может привести к Петлям связующего дерева.

На switch1 и switch2, включите фильтры BPDU с этой командой:

interface TenGigabitEthernet1/2
spanning-tree bpdufilter enable

Блочный PVST + BPDU на ASR 9000

Этой проблемы избегают при настройке ASR9000 для отбрасывания PVST + BPDU. Это сделано с access-list сервисов Ethernet L2 для запрета пакетов, предназначенных к PVST + MAC-адрес BPDU.

PVST + BPDU для не-VLAN 1 (несобственная) VLAN передан PVST + MAC-адрес (также названный MAC-адресом Протокола общего связующего дерева [SSTP], 0100.0ccc.cccd), и помечен с соответствующим тегом VLAN IEEE 802.1Q.

Этот Список контроля доступа (ACL) может использоваться для блокирования PVST + BPDU:

ethernet-services access-list l2acl
10 deny any host 0100.0ccc.cccd  
 20 permit any any

Примените ACL к интерфейсу, настроенному как l2transport:

interface TenGigE0/0/0/0.10 l2transport
encapsulation dot1q 10
rewrite ingress tag pop 1 symmetric
ethernet-services access-group l2acl ingress

interface TenGigE0/0/0/1.20 l2transport
encapsulation dot1q 20
rewrite ingress tag pop 1 symmetric
ethernet-services access-group l2acl ingress

Проблема - Порты коммутатора колеблются между блокированием и передачей при использовании множественых видов Протоколов STP (STPs) через ASR 9000

ASR9000 не делает Связующего дерева по умолчанию как большинство коммутаторов Cisco IOS. В модели Виртуального канала Ethernet (EVC) BPDU является просто другим пакетом групповой адресации L2. Общая проблема, с которой встречаются, является несоответствиями Связующего дерева из-за множественых видов STPs, которые натыкаются на домен моста ASR 9000. Это появляется несколькими другими способами.

Рассмотрите эту простую топологию:

Предположите, что switch1 выполняет Множественное связующее дерево (MST) и PVST выполнений switch2 +. Если a9k1 не выполняет формы Связующего дерева, то switch1 рассматривает это как граничный порт. Switch1 переключается на режим PVST для VLAN не в общем Экземпляре связующего дерева 0 (CST0). Если это - требуемый дизайн, необходимо быть знакомы с MST и взаимодействием PVST, как описано в Понимающем Множественном Протоколе STP (802.1s) Описание технологических решений.

Теперь предположите выполнение MST на switch1 и на интерфейсе a9k1, который переходит к switch1, но вы все еще выполняете PVST + на switch2. PVST + BPDU проходят через домен моста и достигают switch1. Switch1 тогда видит и MST BPDU от a9k1 и PVST + BPDU от switch2, который заставляет Связующее дерево на switch1 порту постоянно идти от блокирования до не блокирования и результатов в потере трафика.

Switch1 сообщает об этих системных журналах:

%SPANTREE-SP-2-PVSTSIM_FAIL: Superior PVST BPDU received on VLAN 2 port Gi2/13,
claiming root 2:000b.45b7.1100. Invoking root guard to block the port
%SPANTREE-SP-2-ROOTGUARD_BLOCK: Root guard blocking port GigabitEthernet2/13
on MST1.
%SPANTREE-SP-2-ROOTGUARD_UNBLOCK: Root guard unblocking port GigabitEthernet2/13
on MST0.
%SPANTREE-SP-2-PVSTSIM_FAIL: Superior PVST BPDU received on VLAN 2 port Gi2/13,
claiming root 2:000b.45b7.1100. Invoking root guard to block the port
%SPANTREE-SP-2-ROOTGUARD_BLOCK: Root guard blocking port GigabitEthernet2/13
on MST1.

Выходные данные команды show spanning-tree interface показывают, что выходные данные постоянно изменяются на switch1 устройстве Cisco IOS:

show spanning-tree interface gig 2/13
Mst Instance Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- -------
MST0 Desg BKN*20000 128.269 P2p Bound(PVST) *ROOT_Inc
MST1 Desg BKN*20000 128.269 P2p Bound(PVST) *ROOT_Inc
MST2 Desg BKN*20000 128.269 P2p Bound(PVST) *ROOT_Inc

show spanning-tree interface gig 2/13
Mst Instance Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- ---------
MST0 Desg FWD 20000 128.269 P2p
MST1 Desg FWD 20000 128.269 P2p
MST2 Desg FWD 20000 128.269 P2p

Решение

 Существует три опции для рассмотрения для предотвращения этой проблемы.

  • Настройте MST на switch2 и включите MST на интерфейсах a9k1 и к switch1 и к switch2.
  • Используйте access-list Сервисов Ethernet на a9k1 для отбрасывания PVST + BPDU или на входе от switch2 или на выходе к switch1.
  • Выполните На шлюз доступа связующего дерева VLAN (PVSTAG) на интерфейсе a9k1 к switch2. Это заставляет a9k1 использовать PVST + BPDU от switch2.

Проблема - порты Связующего дерева заблокировались из-за обнаружения самопетли

Когда коммутатор получает BPDU Связующего дерева, который он передал на том же интерфейсе, он блокирует ту VLAN из-за самопетли. Это - типичная проблема, которая происходит, когда коммутатор с магистральным портом связан с маршрутизатором ASR 9000, который предоставляет многоточечные сервисы L2, и ASR 9000 не переписывает теги VLAN на интерфейсах l2transport в том же домене моста.

Считайте ту же простую топологию показанной ранее. Но теперь, для дизайна обосновывают на a9k1, несколько интерфейсов VLAN, которые прибывают из того же интерфейса магистрали коммутатора, объединены вместе в одном домене моста.

Вот a9k1 конфигурация:

l2vpn
bridge group bg1
bridge-domain bd1
interface GigabitEthernet0/1/0/31.2
!
interface GigabitEthernet0/1/0/31.3
!
interface GigabitEthernet0/1/0/31.4
!
interface GigabitEthernet0/1/0/32.2
!
interface GigabitEthernet0/1/0/32.3
!
interface GigabitEthernet0/1/0/32.4

interface GigabitEthernet0/1/0/31.2 l2transport
encapsulation dot1q 2
!
interface GigabitEthernet0/1/0/31.3 l2transport
encapsulation dot1q 3
!
interface GigabitEthernet0/1/0/31.4 l2transport
encapsulation dot1q 4

Это соединяет VLAN 2 до 4 вместе в одном домене моста на a9k1.

Модель ASR 9000 EVC не переписывает меток или популярности по умолчанию. PVST + BPDU для VLAN2 входит на интерфейсном концерте 0/1/0/31.2 и передан, отступают на концерте 0/1/0/31.3 и концерте 0/1/0/31.4. Так как конфигурация не является перезаписью входного действия популярности, BPDU возвращается неизменный. Коммутатор видит это, поскольку он возвращает свой собственный BPDU и блоки что VLAN из-за самопетли.

Команда show spanning-tree interface показывает заблокированную VLAN:

6504-A#show spanning-tree interface gig 2/13


Vlan Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- --------
VLAN0002 Desg BLK 4 128.269 self-looped P2p
VLAN0003 Desg BLK 4 128.269 self-looped P2p
VLAN0004 Desg BLK 4 128.269 self-looped P2p

Решение

Эта проблема устранена посредством использования выходного фильтра ethernet строгая команда на интерфейсах ASR 9000 l2transport.

Это не рекомендуемый дизайн. Однако, если это - действительно требуемый дизайн, то можно использовать это решение, чтобы препятствовать тому, чтобы коммутатор получил BPDU, который это передало обратно в том же интерфейсе.

Можно использовать выходной фильтр ethernet строгая команда на интерфейсах a9k1 l2transport или глобально. Вот пример его под интерфейсом:

interface GigabitEthernet0/1/0/31.2 l2transport
encapsulation dot1q 2
ethernet egress-filter strict
!
interface GigabitEthernet0/1/0/31.3 l2transport
encapsulation dot1q 3
ethernet egress-filter strict
!
interface GigabitEthernet0/1/0/31.4 l2transport
encapsulation dot1q 4
ethernet egress-filter strict

Выходной фильтр ethernet строгая команда включает строгое выходное фильтрование Точки потока Ethernet (EFP) на интерфейсе. Только пакеты, которые передают входной фильтр EFP интерфейсу, переданы из этого интерфейса. Другие пакеты отброшены в выходном фильтре. Это означает что, если пакет, что выходы не совпадают с меткой encapsulation dot1q, настроенной на интерфейсе, тогда это не отослано.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.