Introducción
Este documento describe las posibles interrupciones de red debido al límite de instancias de VLAN en los switches Catalyst heredados de bajo nivel y su prevención.
Prerequisites
Requirements
Cisco recomienda que conozca los conceptos básicos de switching, junto con una comprensión del protocolo de árbol de extensión (STP) y sus funciones en los switches Cisco Catalyst.
Componentes Utilizados
La información de este documento se basa en switches Cisco Catalyst, principalmente en dispositivos antiguos de gama baja, y se puede aplicar a todas las versiones, sin estar limitado a ninguna versión específica de software o hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
La fiabilidad de la infraestructura de red es fundamental para las operaciones organizativas, y la gestión de las limitaciones del hardware de red es clave para garantizar una estabilidad continua. Los switches Catalyst heredados de gama baja, que son un elemento básico en muchos entornos de red antiguos, a menudo se enfrentan a una limitación que puede dar lugar a problemas significativos como el límite de instancia de VLAN. Este límite pertenece al número de instancias STP que un switch puede soportar simultáneamente. Cuando una organización alcanza el límite de instancia de VLAN en estos switches, no puede habilitar STP para VLAN adicionales, lo que plantea un riesgo de bucles de red y posibles interrupciones.
Comprensión de VLAN Instance Limit
Cada VLAN en un switch que requiere STP para la prevención de loops cuenta como una instancia independiente. Los switches heredados y de gama baja tienen límites estrictos en el número de instancias STP simultáneas que pueden manejar. Una vez que se alcanza el máximo, cualquier VLAN adicional funciona sin los mecanismos de seguridad STP, dejando la red vulnerable a loops que pueden resultar en tormentas de difusión y interrupciones generalizadas.
Un ejemplo de un switch Cisco Catalyst 3850 que funciona con más VLAN de las que admite:
Switch#show run | i span
spanning-tree mode rapid-pvst
spanning-tree loopguard default
spanning-tree extend system-id
no spanning-tree vlan 43,125,402,404,406,409,412,414-415,418-420,422-424,426 < ----- STP disabled on these Vlans
no spanning-tree vlan 427,430
spanning-tree vlan 1-1005 priority 40960
El switch funciona con el número máximo de instancias de árbol de extensión admitidas.
Switch#show spannig-tree summary totals
Name Blocking Listening Learning Forwarding STP Active
---------------------- -------- --------- -------- ---------- ----------
128 vlans < ----- 29 0 0 1481 1510
Switch#show spanning-tree instances
MAX STP instances supported is 128 < -----
Riesgos de exceder el límite de instancias de VLAN
Si se excede el límite de instancia de VLAN en un switch, normalmente no se activa una interrupción inmediata. En lugar de ello, crea un riesgo latente que puede manifestarse de forma inesperada, a menudo durante los momentos de reconfiguración de la red o cuando una nueva conexión crea un loop de forma inadvertida. Sin STP para detectar y bloquear estos loops, un solo paso en falso puede derivar en una interrupción significativa de la red.
Síntomas frecuentes
1. MAC - Flaps:
%MAC_MOVE-SW1-4-NOTIF: Host xxxx.xxxx.xxxx in vlan <> is flapping between port (1) and port (2)
%MAC_MOVE-SW1-4-NOTIF: Host yyyy.yyyy.yyyy in vlan <> is flapping between port port (1) and port (2)
%MAC_MOVE-SW1-4-NOTIF: Host zzzz.zzzz.zzzz in vlan <> is flapping between port (1) and port (2)
2. Notificaciones de cambio de topología:
VLAN0999 is executing the rstp compatible Spanning Tree protocol
Number of topology changes 72413 last change occurred 0o:00:05 ago
from TenGigabitEthernet1/1/1
VLAN0608 is executing the rstp compatible Spanning Tree protocol
Number of topology changes 1106 last change occurred 00:07:53 ago
from TenGigabitEthernet1/1/1
VLAN0301 is executing the rstp compatible Spanning Tree protocol
Number of topology changes 25824 last change occurred 00:03:13 ago
from Port-channel21
3. Uso elevado de la CPU debido a interrupciones/entrada ARP/procesos STP:
CPU utilization for five seconds: 99%/5%; one minute: 98%; five minutes: 97%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
11 48417100 4048595 11957 28.47% 27.55% 27.15% 0 ARP Input < ----- High CPU due to ARP Input
130 2296685 1887488 1216 21.19% 20.49% 20.01% 0 Spanning Tree
205 12387701 1054338 11749 8.91% 9.02% 9.10% 0 Hulc LED Process
88 3036802 283172 10723 6.71% 6.98% 6.85% 0 IP Input
44 867032 754781 1148 4.27% 4.45% 4.35% 0 Interrupts
Técnicas de prevención y mitigación
Los administradores de red pueden emplear varias estrategias para mitigar el riesgo asociado con el límite de instancia de VLAN en switches Catalyst heredados de gama baja:
- Consolidar VLAN: reduzca el número de VLAN que utilizan STP combinando o resegmentando el tráfico de red donde sea posible.
- Implementación de MSTP: Pase de PVST+ o Rapid-PVST+ a protocolo de árbol de extensión múltiple (MSTP) para agrupar VLAN en menos instancias de STP.
- Optimizar la participación de STP: Inhabilite el STP en las VLAN donde los riesgos de loop son bajos o en los segmentos de la red donde existen mecanismos alternativos de prevención de loop.
- Actualizar la infraestructura de red: sustituya los switches antiguos de gama baja por hardware moderno capaz de admitir un mayor número de instancias STP.
- Rediseño de la red: reevalúe el diseño de la red para optimizar los flujos de tráfico, reducir el número de VLAN necesarias y alinearse mejor con las capacidades del hardware existente.
Conclusión
Alcanzar el límite de instancias de VLAN en switches heredados de gama baja es una bomba de tiempo que puede provocar interrupciones de la red si no se resuelve. La gestión proactiva de la red, incluidas las actualizaciones de hardware y los ajustes de diseño de red estratégicos, es esencial para mitigar este riesgo y garantizar la resistencia de la infraestructura de red frente a la tecnología obsoleta.