H3C 生成树故障处理汇总

H3C 生成树故障处理汇总

1 什么情况下需要配置生成树边缘端口？

与交换机连接的用户侧设备（如服务器等）无需运行生成树协议。若交换机上与这些设备相连的端口使能了生成树协议，则该端口的物理状态可能频繁震荡，在Up/Down上不停跳转；或生成树拓扑变化时端口角色需要计算，导致该端口一段时间后才能进入转发状态等问题；这对一些需要高链路稳定性或低转发延迟的业务是不可接受的。为了避免上述问题，需要将与用户侧设备连接的端口配置为边缘端口。边缘端口状态变为Up后可以快速进入转发状态，并且不会发送TC报文，也不会对其他运行了生成树协议的网络造成影响。

2 在生成树拓扑中，不同的设备可以配置不同的生成树工作模式吗？

H3C设备在运行生成树协议时，不同的设备间的不同生成树工作模式可以互相兼容。其中：
· MSTP模式可以兼容RSTP模式和STP模式，RSTP模式可以兼容STP模式。
· 对于Access端口，PVST模式在任意VLAN中都能与其他模式互相兼容；对于Trunk端口或Hybrid端口，PVST模式仅在缺省VLAN中能与其他模式互相兼容。
若设备的对端设备为其他产商设备，建议对端设备与H3C设备使用同一种工作模式，以避免因产商差异而出现的不兼容问题。

3 开启生成树协议后，可通过哪些方法维持网络拓扑的稳定？

在使能了生成树协议的网络中，生成树计算后阻塞的部分二层通路，可能导致下行终端获取不到地址或获取地址慢、部分业务流量不通等问题，此时可通过下列方法尝试维护生成树的拓扑稳定，以保障正常的二层通路：
(1) 根桥保护
在一些组网环境中，用户指定的根桥设备因为未进行过根桥保护的相关配置，导致新设备加入组网时，成为新的根桥，引发生成树拓扑重新收敛和网络的震荡。
可通过下列方法避免其他设备的抢根：
· 设备的优先级参与生成树计算，数值越小表示优先级越高，用户可配置stp priority命令，直接将指定的设备优先级设置为0或值较小的优先级，以达到指定设备成为生成树根桥的目的。
· 通过配置stp root primary命令，用户可指定设备为生成树的根桥。需要注意的是，当设备一旦被配置为根桥之后，便不能再修改该设备的优先级。
· 设备被选举为根桥后，开启根保护功能。在接口视图下配置stp root-protection命令后，此接口在所有MSTI上的端口角色只能为指定端口。一旦该端口收到某MSTI优先级更高的BPDU，立即将该MSTI端口设置为侦听状态，不再转发报文（相当于将此端口相连的链路断开）。当在2倍的Forward Delay时间（缺省情况下Forward Delay时间为15秒）内没有收到更优的BPDU时，端口会恢复原来的正常状态。根保护功能，可以避免因错误配置或恶性攻击导致的生成树拓扑不合法的变动。
(2) 配置边缘端口和BPDU保护
对于接入层设备，接入端口一般直接与用户终端（如PC）或文件服务器相连，此时接入端口应被设置为边缘端口以实现这些端口的快速迁移。正常情况下，接入端口不应该与用户终端交互生成树协议的BPDU报文，如果收到BPDU报文可能会引起网络拓扑结构的变化，造成网路震荡。
生成树协议提供了BPDU保护功能来解决这类问题：在全局或接口视图下配置stp bpdu-protection命令后，如果边缘端口收到了BPDU，系统就将这些端口关闭，同时通知用户这些端口已被生成树协议关闭。被关闭的端口在经过一定时间间隔之后将被重新激活，这个时间间隔可通过shutdown-interval命令配置。
(3) 配置环路保护
下游设备依靠不断接收上游设备发送的BPDU来维持根端口和其他阻塞端口的状态。如果出现了链路拥塞或者单项链路故障，这些端口会收不到上游设备的BPDU，此时下游设备会重新选择端口角色，导致下游设备的根端口转变为指定端口，而阻塞端口会迁移到转发状态，导致交换网络中产生环路。
在下游设备的根端口和替换端口上通过stp loop-protection命令配置环路保护功能后，可以抑制上述环路的产生。在开启了环路保护功能的端口上，其所有MSTI的初始状态均为Discarding状态：如果该端口收到了BPDU，这些MSTI可以进行正常的状态迁移；否则，这些MSTI将一直处于Discarding状态以避免环路的产生。
需要注意的是，无需在与用户终端相连的端口上配置环路保护功能，否则该端口会因一直处于Discarding状态而无法正常转发用户报文。
(4) 配置防TC-BPDU攻击保护功能
在遭受到TC-BPDU恶意攻击行为时，设备会频繁地刷新转发地址表项。此类攻击给设备带来了很大负担，随时威胁着网络的稳定性。此时可以开启防TC-BPDU攻击保护功能，以避免频繁地刷新转发地址表项。该功能的描述如下：
· 在系统视图下执行stp tc-protection命令，可以开启防TC-BPDU攻击保护功能。
· 在系统视图下执行stp tc-protection threshold number命令，可以配置在单位时间（固定为十秒）内，设备收到TC-BPDU后立即刷新转发地址表项的最高次数。
· 开启本功能后，如果设备在单位时间（固定为十秒）内收到TC-BPDU的次数大于number次，那么该设备在这段时间之内将只进行number次刷新转发地址表项的操作，而对于超出number次的那些TC-BPDU，设备会在这段时间过后再统一进行一次地址表项刷新的操作。

4 设备频繁收到TC报文时该如何操作？

设备收到TC报文后会进行如下两个操作：
(1) TC报文所在的实例触发MAC地址删除及重新学习。
在MAC地址删除重新学习过程中，会产生未知单播流量导致网络中流量泛洪。
(2) TC报文所在的实例触发ARP探测。
ARP探测会导致ARP广播报文在网络中泛洪，增加设备负担。
如果设备频繁收到TC报文，就会频繁进行如上两种操作，会对网络中的设备产生冲击，因此要尽量避免这种情况。一般可按照如下步骤进行排查解决：
(1) 确定网络中频繁产生TC报文的设备。
分析设备日志信息，确定是哪个端口频繁收到TC报文。确定端口后，进一步排查与该端口对接设备的日志信息，继续分析是该设备产生的还是其下一级设备产生的TC报文。采用逐级排查的方式确认是哪台设备产生的TC报文。
注意
PVST模式下端口收到TC报文后，默认不打印日志信息。可通过配置stp log enable tc命令配置在PVST模式下设备检测或接收到TC报文时打印日志信息功能。
(2) 确定设备频繁产生TC报文的原因。
设备开启生成树协议的情况下，如果端口UP/DOWN，则会产生TC报文。即如果存在端口频繁UP/DOWN的情况，便会频繁产生TC报文。
(3) 消除TC报文。
如果设备上存在端口频繁UP/DOWN，则分析定位端口UP/DOWN的原因并解决，即可消除设备频繁产生TC报文的情况。
如果暂时无法排查出频繁产生TC报文的原因或无法解决端口UP/DOWN问题，可以按照如下方式进行临时规避：
(1) 如果该端口对接的是终端设备，可配置端口为边缘端口（通过stp edged-port命令配置）。端口配置为边缘端口后，该端口UP/DOWN时，不再产生TC报文。
(2) 如果该端口对接的是非终端设备，可通过如下两种方式进行临时规避：
¡ 开启TC-BPDU传播限制功能（通过stp tc-restriction命令开启，缺省情况下处于关闭状态）。当开启了端口的TC-BPDU传播限制功能之后，该端口将不再向其它端口传播TC-BPDU，也不删除本机的转发地址表项。
¡ 开启防TC-BPDU攻击保护功能（通过stp tc-protection命令开启，缺省情况下处于开启状态），并通过配置收到TC-BPDU后立即刷新转发地址表项的最高次数来控制刷新频率（通过stp tc-protection threshold命令配置，缺省情况为在单位时间（固定为十秒）内，设备收到TC-BPDU后立即刷新转发地址表项的最高次数为6）。

5 开启生成树协议后，如何避免对其他网络造成不良影响？

与其他网络相连的边缘设备开启生成树功能后，会通过相连的端口发送BPDU报文至外部，引发其他网络重新计算生成树，造成网络震荡。此时通过配置BPDU过滤功能，可以使端口不再发送BPDU报文，以免对其他网络造成不良影响。请客户按以下配置步骤开启边缘端口的BPDU过滤功能。

(1) 进入系统视图。

system-view

(2) 进入接口视图。

interface interface-type interface-number

(3) 配置端口的BPDU过滤功能。

stp port bpdu-filter { disable | enable }