交换机二层环路问题处理指南Word文件下载.docx

1、（l）: loopback（b）: BFD downInUti/OutUti: input utility/output utilityInterface PHY Auto-Neg Duplex Bandwidth InUti OutUti TrunkGigabitEthernet0/0/2 up enable full 100M 0% % -GigabitEthernet0/0/16 up enable full 1000M % % 1GigabitEthernet1/0/12 up enable full 1000M % % 1MEth0/0/1 up enable half 100M %

2、 % -最后一次查询：GigabitEthernet0/0/16 up enable full 1000M 76% 76% 1GigabitEthernet1/0/12 up enable full 1000M 76% 76% 1MEth0/0/1 up enable half 100M % % -一般情况下，查询只能看到网络的当前流量结果，此时需要和网络的正常业务流量进行比较，业务流量的带宽可以从客户的网络流量监控图获取。如果只有一台设备的一个端口出入方向流量较大，可能是单端口环回。如果只有一台设备的两个端口流量较大，可能是本设备两个端口环回；如果某端口只有单方向流量，只有出或者只有入，需要

3、重点排查，因为环路有可能在该端口的上下游设备。通常情况下：如果当前网络流量远大于正常业务，可能存在二层环路。如果当前网络流量正常，没有部署广播抑制，没有二层环路。如果当前网路流量比正常流量稍大，且部署了广播抑制，需要继续后面的第二步和第三步操作。2.2 第二步：是否可以通过MAC-Flapping检测漂移MAC地址漂移即设备上一个接口学习到的MAC地址在同一VLAN中另一个接口上也学习到，后学习到的MAC地址表项的覆盖原来的表项。导致MAC地址漂移的因为包括网络存在环路、或者非法用户进行网络攻击。例如下图，当Switch1向两个方向同时发报文时，在Switch2上的两个不同端口都会收到该报文，

4、从而出现MAC地址漂移。当Switch2的两个端口出现了MAC地址漂移时，说明交换机的两个端口间可能出现了环路。图2：MAC-Flapping示意图MAC地址漂移，交换机所有形态和版本均默认支持漂移，具体的MAC漂移配置主要是指漂移后是否告警，漂移后是否设置端口堵塞的功能。由于框式交换机和盒式交换机MAC漂移检测的命令行和检测存在差异，我们分别介绍：2.2.1 框式交换机V1R2版本，在非S系列单板上支持全局使能的MAC-Flapping检测功能（全局使能，只支持发送TRAP）。在V1R2上，开启MAC地址漂移检测：Quidwaymac-flapping alarm enableV1R3及以后

5、的版本，在V1R2版本的基础上，新增了基于VLAN的MAC地址漂移检测、检测到MAC地址漂移后执行对应的动作策略。在V1R3及以后的版本上，开启MAC地址漂移检测（下面两个命令均可使用）：系统视图下：Quidwayloop-detect eth-loop alarm-onlyVLAN视图下：Quidway -vlan1001loop-detect eth-loop alarm-only各个版本的告警信息存在一定的差异，样例如下：版本告警信息V1R1不支持V1R2全局检测L2IF/4/MAC_FLAPPING_ALARM:OID mac-address has flap value . （Bas

6、eTrapSeverity=0, BaseTrapProbableCause=0, BaseTrapEventType=4, L2IfPort=549,entPhysicalIndex=1, MacAdd=0000-0000-002b,vlanid=1001, FormerIfDescName=Ethernet3/0/2,CurrentIfDescName=Ethernet3/0/3,DeviceName=S9306-169）VLAN检测V1R3L2IFPPI/4/MAC_FLAPPING_ALARM:OID mac-address has flap value . （L2IfPort=0,e

7、ntPhysicalIndex=0, BaseTrapSeverity=4, BaseTrapProbableCause=549, BaseTrapEventType=1, MacAdd=00e0-fc00-4447,vlanid=1001, FormerIfDescName=GigabitEthernet6/0/6,CurrentIfDescName=GigabitEthernet6/0/7,DeviceName=L2IFPPI/4/MFLPVLANALARM:OID Loop exist in vlan 1001, for mac-flapping.V1R6OID mac-address

8、has flap value. （L2IfPort=0,entPhysicalIndex=0, BaseTrapSeverity=4, BaseTrapProbableCause=549, BaseTrapEventType=1, MacAdd=0025-9e6e-1c55,vlanid=1001, FormerIfDescName=GigabitEthernet2/1/23,CurrentIfDescName=GigabitEthernet2/1/22,DeviceName=OID Loop exists in vlan 1001, for flapping mac-address 0025

9、-9e6e-1c55 between port GE2/1/23 and port GE2/1/22.2.2.2 盒式交换机盒式交换机（不包括23、27系列）V1R3及以后版本，不支持全局使能的MAC地址漂移检测，只支持基于VLAN的MAC地址漂移检测，同时支持检测到漂移后的发送TRAP、阻塞端口等动作。开启MAC地址漂移检测：L2IF/4/MFLPPORTRESUME:OID Loop exist in vlan for（hwMflpVlanId:1001;hwMflpVlanCfgAlarmReason:for flapping mac-address 0000-0000-002b bet

10、ween port GE0/0/24 and port GE0/0/23）OID Loop exists in vlan 1001, for flapping mac-address 0000-0000-002b between port GE0/0/24 and port GE0/0/23.2.3 第三步：设备作为三层网关，是否存在大量ARP报文被CPCAR丢包记录disp clock2011-11-30 20:04:32 WednesdayTime Zone : BJ add 08:00:00disp cpu-defend arp-request statistics slot 3 CPC

11、AR on slot 3-Packet Type Pass（Bytes） Drop（Bytes） Pass（Packets） Drop（Packets）arp-request 156 1348833 7disp cpu-defend arp-reply statistics slot 3arp-reply 0 540 5604025 535 arp-request 940 1348954 5arp-reply 0 540 5604155 5通常情况下，ARP的交互是有序进行，短时间内不会出现超多报文的丢弃。问题一般发生在9300作为汇聚网关场景，出现上述情况后，可能的原因是ARP的广播报文在物

12、理环形的网络中转发，形成协议报文的风暴，当前设备上送CPU，被交换机CPU限速丢弃。2.4 第四步，当前是否可以增加配置环路检测发现环路框式交换机和盒式交换机都支持检测环，框式交换机的环路监测称为Loop Detection；盒式交换机的环回监测称为Loopback Detection。2.4.1 Loop Detection（框式）框式交换机端口配置Loop Detection功能以后，设备会从该端口发送环路检测报文，在端口所属且使能Loop Detection功能的VLAN内进行环路检测，如果设备接收到自己发送的检测报文，网络上存在环路。框式交换机上的环路监测能检测到下面两种情况下的端口环

13、路：1、 设备上端口收到本端口发送的检测报文。2、 设备上端口收到非本端口发送的检测报文。开启了Loop Detection以后，用display loop-detection命令可以查看当前环路检测的状态，用display loop-detection interface命令可以查看具体某一个端口的状态。Quidway display loop-detectionLoop Detection is enable.Detection interval time is 5 seconds.Following vlans enable loop-detection: vlan 556Followi

14、ng ports are blocked for loop:NULLFollowing ports are shutdown for loop:Following ports are nolearning for loop: display loop-detection interface gigabitethernet 1/0/0The port is enable.The ports status list:Status WorkMode Recovery-time EnabledVLAN-Normal Shutdown 200 556告警示例如下：LDT/4/DetectLoop:OID

15、: InterfaceIndex: 12 InterfaceName: Ethernet3/0/1 VlanListLow: VlanListHigh:, The port detected loop! 7 InterfaceName: GigabitEthernet6/0/1 VlanListLow: 1000 VlanListHigh: none, The port detected loop! The port detected loop. （InterfaceIndex: 14 InterfaceName: GigabitEthernet1/0/1 VlanListLow: none）

16、2.4.2 Loopback Detection（盒式）盒式交换机端口配置Loopback Detection功能以后，设备会从该端口发送环路检测报文，一个untagged报文和指定VLAN Tag报文。盒式交换机的Loopback Detection，只能针对设备上端口收到本端口发送的检测报文的环路。开启了Loop Detection以后，用display loop-detection命令可以查看环路检测功能的配置信息和接口状态信息。 display loopback-detectLoopback-detect is enabled in the system view Loopback-d

17、etect interval: 30 Loopback-deteck sending-packet interval: 5 Interface ProtocolID RecoverTime Action Status -GigabitEthernet0/0/2 602 30 block NORMAL盒式交换机告警示例如下：LDT/4/Porttrap:OID does exist on interface（27）GigabitEthernet0/0/22 （ VLAN 1000 ） , loopback detect status: 2.（1:normal; 2:block; 3:shutdo

18、wn; 4:trap; 5:nolearn）3 环路问题发生后，如何快速破环以太网的环路，会在短时间内形成数据风暴，当端口的流量达到带宽的最大负荷，会形成链路拥塞，影响网络业务。因此，在确认网络发生数据环路后，请按照如下步骤处理：3.1 第一步：是否理解网络业务并明确拓扑环形网络拓扑一般较为复杂，可以向客户寻求网络拓扑结构全图，具体到网络的VLAN规划信息，每台设备名称、系统MAC、管理IP，本端端口名称、对端端口名称。完整的拓扑信息是解决环路问题的首要条件，如果没有拓扑图，需要从发现环路的设备，通过逐跳登陆，记录设备信息、端口信息和VLAN信息，手动绘制完整的拓扑。 3.2 第二步：是否需要

19、用影响最小的方法破环紧急破环又称手动破环，当网络风暴严重影响正常的业务时，需要在尽快恢复业务。可以通过如下三个方法紧急破环：（注意紧急破环不要影响远程telnet路径所在的设备、端口和VLAN，避免无法登陆。3.2.1 方法一：端口退出成环VLAN破环将成环的网络上，其中一个端口退出成环VLAN，属于影响面最小的方法。端口命令行备注Accessundo default vlan可能影响下游业务。Trunkundo port trunk allow-pass vlan id无Hybridundo hybrid vlan id不区分tagged和untagged备注：需要注意不要shutdown远

20、程telnet路径所在的端口，避免无法远程登陆。3.2.2 方法二：shutdown成环端口破环Shutdown成环的物理端口，也可以达到破环的效果。此时，需要保证shutdown的端口两端在全部VLAN内能够通信。3.2.3 方法三：通过拔出成环光纤破环通过拔出成环的光纤，可以紧急破环。该方法可以使用shutdown端口代替，只有在设备无法登陆时才使用。3.3 第三步：操作后确认业务是否恢复通过ping等测证网络通信质量，并和客户一起观察现网业务是否已经恢复。环路拓扑存在冗余链路和配置，环路破除后业务会自行恢复，特殊情况在此不一概而论。4 环路问题发生后，如何定位问题根因4.1 第一步：是否

21、由于近期施工操作引入环路如果环路问题是由于近期施工操作引入，可以和施工方确认，了解施工的过程，特别是新增线路连接的细节，结合拓扑结构，确认后排出物理环路。4.2 第二步：是否由于近期修改配置引入的环路常见的容易配置引入环路的命令行如下：特性成环原因应对方案接口管理Undo shutdown端口进入转发引入环路。关闭端口或者部署破环协议STPBpdu enable盒式交换机端口下需要使能bpdu enable命令才能接收并处理STP报文。配置命令（V1R6及以后版本已默认使能）框式交换机端口下需要去使能该命令，交换机才不会透传STP报文。删除命令bpdu bridge enable使能该命令会导

22、致STP报文透传，无法上送处理。bpdu-tunnel stp bridge role provider使能该命令会导致STP无法处理报文。RRPPRrpp enable全局不配置rrpp enable，无法计算堵塞端口破环。配置命令SmartLinkSmartlink enableSmartLink组模式下不使能该命令，无法计算堵塞端口。4.3 第三步：是否典型的常见环路问题4.3.1 交换机自环出现环路图3：设备自环出现环路前置条件：交换机未配置STP和LDT问题现象：端口出方向和入方向流量持续增加。问题原因：端口自环或者链路环回。处理方法：1、首先在端口下去使能loopback internal。2、设备由于链路引入环路有两种：一种是单端口收发环回。第二种是设备上两个端口环路。 此类环路造成的原因是光纤或者网线误接，需