Problemas comuns do 9000 Series ASR com Spanning Tree Protocol
Índice
Introdução
Este original descreve os problemas comuns encontrados quando você integra sua camada atual 2 (L2) que mede - redes de árvore no Switches do ® do Cisco IOS com 9000 Series do roteador dos serviços da agregação de Cisco (ASR) que executa o Cisco IOS XR.
Inconsistência identificação da porta do problema VLAN (PVID)
Switches do Cisco IOS que é executado pelo Spanning Tree de VLAN mais portas de switch do bloco (PVST+) quando receberem uma unidade de dados de protocolo de bridge (PDU) com um PVID insconsistent. Este problema ocorre quando um dispositivo entre o Switches muda ou traduz as etiquetas do IEEE 802.1Q no PVST+ BPDU.
Quando um ASR 9000 proporciona o serviço ponto a ponto ou multiponto L2VPN entre o Switches que executa o PVST+ e reescreve as etiquetas VLAN, estes mensagens do syslog puderam indicar nos switch baseado em IOS Cisco:
%SPANTREE-2-RECV_PVID_ERR: Received BPDU with inconsistent
peer vlan id 10 on GigabitEthernet0/10 VLAN20.
%SPANTREE-2-BLOCK_PVID_LOCAL: Blocking GigabitEthernet0/10
on VLAN20. Inconsistent local vlan.
Esta edição é devido à etiqueta PVID que é incluída com o PVST+ BPDU. Esta etiqueta é projetada a fim detectar misconfigurations e evitar laços acidentais. Mas, nesta encenação, faz com cada extremidade seja obstruída e não permita que o tráfego passe.
Aqui está um exemplo:
Está aqui a configuração para a configuração do 9000 Series ASR (a9k1):
2vpn
bridge group bg1
bridge-domain bd1
interface TenGigE0/0/0/0.10
!
interface TenGigE0/0/0/1.20
interface TenGigE0/0/0/0.10 l2transport
encapsulation dot1q 10
rewrite ingress tag pop 1 symmetric
interface TenGigE0/0/0/1.20 l2transport
encapsulation dot1q 20
rewrite ingress tag pop 1 symmetric
Solução
A fim impedir este problema, você pode obstruir o PVST+ BPDU. Esta ação desabilita a medida - árvore, e pode conduzir aos laços se as conexões de redundância estão disponíveis entre o Switches.
O BPDU filtra no Switches
Os BPDU são obstruídos com a característica do filtro BPDU no Switches. O filtro BPDU obstrui BPDU nos ambos sentidos, que desabilita eficazmente a medida - árvore na porta. O filtro BPDU impede o BPDU de entrada e de partida. Se você permite o BPDU que filtra em uma relação, é a mesma como se você desabilita a medida - árvore nela, que pode conduzir aos loop de Spanning Tree.
Em switch1 e em switch2, permita filtros BPDU com este comando:
interface TenGigabitEthernet1/2
spanning-tree bpdufilter enable
Obstrua PVST+ BPDU em ASR 9000
Este problema é evitado se você configura o ASR9000 a fim deixar cair o PVST+ BPDU. Isto é feito com uma lista de acesso dos Ethernet-serviços L2 para negar os pacotes destinados ao MAC address PVST+ BPDU.
O PVST+ BPDU para o NON-VLAN 1 VLAN (NON-nativo) é enviado ao MAC address PVST+ (igualmente chamado o MAC address compartilhado do [SSTP] do Spanning Tree Protocol, 0100.0ccc.cccd), e etiquetado com uma etiqueta correspondente do IEEE 802.1Q VLAN.
Este Access Control List (ACL) pode ser usado a fim obstruir o PVST+ BPDU:
ethernet-services access-list l2acl
10 deny any host 0100.0ccc.cccd
20 permit any any
Aplique o ACL à relação configurada como l2transport:
interface TenGigE0/0/0/0.10 l2transport
encapsulation dot1q 10
rewrite ingress tag pop 1 symmetric
ethernet-services access-group l2acl ingress
interface TenGigE0/0/0/1.20 l2transport
encapsulation dot1q 20
rewrite ingress tag pop 1 symmetric
ethernet-services access-group l2acl ingress
Problema - Flap das portas de switch entre a obstrução e a transmissão quando você usar tipos múltiplos dos Spanning Tree Protocol (STP) com um ASR 9000
O ASR9000 não faz a medida - árvore à revelia como a maioria de Switches do Cisco IOS. No modelo dos circuitos virtuais dos Ethernet (EVC), um BPDU é um simplesmente outro pacote de transmissão múltipla L2. Um problema comum encontrado está medindo - as inconsistências da árvore devido aos tipos múltiplos de STP que são executado através de um domínio de Bridge ASR 9000. Isto aparece em algumas maneiras diferentes.
Considere esta topologia simples:
Supõe o Spanning Tree Múltipla (MST) das corridas switch1 e switch2 as corridas PVST+. Se a9k1 não executa nenhum formulário da medida - a árvore, a seguir switch1 veem esta como uma porta de limite. Switch1 cai de volta ao modo PVST para VLAN não na instância de Spanning Tree comum 0 (CST0). Se este é o projeto desejado, você deve ser familiar com a interação MST e PVST como descrito compreender no White Paper do protocolo multiple spanning-tree (802.1s).
Supõe agora que você executa o MST em switch1 e na relação a9k1 que vai a switch1, mas você ainda executa o PVST+ em switch2. O PVST+ BPDU passa através do domínio de Bridge e chega em switch1. Switch1 vê então MST BPDU de a9k1 e o PVST+ BPDU de switch2, que causa a medida - árvore na porta switch1 a ir constantemente da obstrução à obstrução e aos resultados na perda de tráfego.
Switch1 relata estes Syslog:
%SPANTREE-SP-2-PVSTSIM_FAIL: Superior PVST BPDU received on VLAN 2 port Gi2/13,
claiming root 2:000b.45b7.1100. Invoking root guard to block the port
%SPANTREE-SP-2-ROOTGUARD_BLOCK: Root guard blocking port GigabitEthernet2/13
on MST1.
%SPANTREE-SP-2-ROOTGUARD_UNBLOCK: Root guard unblocking port GigabitEthernet2/13
on MST0.
%SPANTREE-SP-2-PVSTSIM_FAIL: Superior PVST BPDU received on VLAN 2 port Gi2/13,
claiming root 2:000b.45b7.1100. Invoking root guard to block the port
%SPANTREE-SP-2-ROOTGUARD_BLOCK: Root guard blocking port GigabitEthernet2/13
on MST1.
A saída do comando show spanning-tree interface mostra que a saída muda constantemente no dispositivo IOS Cisco switch1:
show spanning-tree interface gig 2/13
Mst Instance Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- -------
MST0 Desg BKN*20000 128.269 P2p Bound(PVST) *ROOT_Inc
MST1 Desg BKN*20000 128.269 P2p Bound(PVST) *ROOT_Inc
MST2 Desg BKN*20000 128.269 P2p Bound(PVST) *ROOT_Inc
show spanning-tree interface gig 2/13
Mst Instance Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- ---------
MST0 Desg FWD 20000 128.269 P2p
MST1 Desg FWD 20000 128.269 P2p
MST2 Desg FWD 20000 128.269 P2p
Solução
Há três opções a considerar a fim impedir este problema.
- Configurar o MST em switch2, e permita o MST nas relações a9k1 a switch1 e a switch2.
- Use uma lista de acesso dos Ethernet-serviços em a9k1 a fim deixar cair o PVST+ BPDU no ingresso de switch2 ou na saída a switch1.
- Seja executado pelo gateway de acesso do Spanning Tree de VLAN (PVSTAG) na relação a9k1 para switch2. Isto faz com que o a9k1 consuma o PVST+ BPDU de switch2.
Problema - As portas de Spanning Tree obstruíram devido à detecção de um auto-laço
Quando um interruptor recebe uma medida - a árvore BPDU que enviou sobre à mesma relação, obstrui esse VLAN devido a um auto-laço. Este é um problema comum que ocorra quando um interruptor com uma porta de tronco é conectado a um 9000 Router ASR que proporcione os serviços L2 multipontos, e o ASR 9000 não reescreve etiquetas VLAN nas relações l2transport no mesmo domínio de Bridge.
Considere a mesma topologia simples mostrada previamente. Mas agora, para uma razão do projeto no a9k1, os vlan múltiplos que vêm da mesma interface de tronco do interruptor são fundidos junto em um domínio de Bridge.
Está aqui a configuração a9k1:
l2vpn
bridge group bg1
bridge-domain bd1
interface GigabitEthernet0/1/0/31.2
!
interface GigabitEthernet0/1/0/31.3
!
interface GigabitEthernet0/1/0/31.4
!
interface GigabitEthernet0/1/0/32.2
!
interface GigabitEthernet0/1/0/32.3
!
interface GigabitEthernet0/1/0/32.4
interface GigabitEthernet0/1/0/31.2 l2transport
encapsulation dot1q 2
!
interface GigabitEthernet0/1/0/31.3 l2transport
encapsulation dot1q 3
!
interface GigabitEthernet0/1/0/31.4 l2transport
encapsulation dot1q 4
Isto constrói uma ponte sobre VLAN 2 a 4 junto em um domínio de Bridge no a9k1.
O modelo ASR 9000 EVC não reescreve nenhuma etiquetas nem estala à revelia. O PVST+ BPDU para o VLAN2 vem dentro na atuação 0/1/0/31.2 da relação e é enviado para trás para fora na atuação 0/1/0/31.3 e na atuação 0/1/0/31.4. Desde que a configuração não é uma reescrita da ação do PNF do ingresso, o BPDU retorna inalterado. O interruptor considera este como recebe de volta seu próprio BPDU, e blocos esse VLAN devido a um auto-laço.
O comando show spanning-tree interface mostra o VLAN obstruído:
6504-A#show spanning-tree interface gig 2/13
Vlan Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- --------
VLAN0002 Desg BLK 4 128.269 self-looped P2p
VLAN0003 Desg BLK 4 128.269 self-looped P2p
VLAN0004 Desg BLK 4 128.269 self-looped P2p
Solução
Esta edição é eliminada com o uso do comando restrito do saída-filtro dos Ethernet nas relações ASR 9000 l2transport.
Este não é um projeto recomendado. Contudo, se este é verdadeiramente o projeto desejado, a seguir você pode usar esta solução a fim impedir que o interruptor receba o BPDU que enviou para trás na mesma relação.
Você pode usar o comando restrito do saída-filtro dos Ethernet nas relações a9k1 l2transport ou globalmente. Está aqui o exemplo dele sob a relação:
interface GigabitEthernet0/1/0/31.2 l2transport
encapsulation dot1q 2
ethernet egress-filter strict
!
interface GigabitEthernet0/1/0/31.3 l2transport
encapsulation dot1q 3
ethernet egress-filter strict
!
interface GigabitEthernet0/1/0/31.4 l2transport
encapsulation dot1q 4
ethernet egress-filter strict
O comando restrito do saída-filtro dos Ethernet permite Ethernet restritos da saída flui o ponto (EFP) que filtra na relação. Somente os pacotes que passam o filtro EFP do ingresso na relação são transmitidos fora desta relação. Outros pacotes são deixados cair no filtro da saída. Isto significa que se o pacote que as saídas não combinam a etiqueta do dot1q do encapsulamento configurou na relação, a seguir não é mandado.
Informações Relacionadas
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)