VPLS 多宿主环境的根保护
了解 VPLS 多宿主
通过使用通常呈环形的交替链路和路径,许多网络中都内置了冗余。当多个主机连接到客户边缘 (CE) 路由器和提供商边缘 (PE) 路由器以保护虚拟专用 LAN 服务 (VPLS) 时,此技术通常称为 多宿主。
图 1 显示了通过两个 PE 路由器连接到客户边缘路由器和 VPLS 网络的主机。客户边缘路由器也已连接,形成一种环形结构。
- 多宿主的优势
- 多宿主的工作原理是什么?
- VPLS 切换到主优先级之前的多宿主保持时间
- 拓扑更改时 MAC 缓存的 VPLS 多宿主网桥刷新
- 环内网桥的 VPLS 多宿主系统标识符
- 备用网桥的 VPLS 多宿主优先级
多宿主的优势
多宿主 多宿主基本上是让您的计算设备或网络出现在多个网络上。当两个链路都启动时,两个链路都将得到充分利用,从而提高总体吞吐量。如果其中一个链路发生故障,另一个链路仍会传输流量,因此您就有了冗余。
多宿主用于网桥、中继器、范围扩展器、防火墙、代理服务器、网关,以及使用配置为使用网络地址转换 (NAT) 的虚拟机时。
多宿主的工作原理是什么?
如图 1 所示,两台 PE 路由器具有指向 VPLS 网络服务的链路,但不直接相互连接。所有四个边缘路由器都运行启用了根保护的某种类型的生成树协议,只有一个 PE 接口处于转发状态,另一个被阻止。
假设此转发接口通过 PE1。如果 CE1 和 CE2 之间的链路出现故障,则阻塞 PE2 接口必须检测到根保护开关并进入转发状态。CE2 获知的通过 PE1 连接到 VPLS 网络服务的所有 MAC 地址都需要刷新。同样,当 CE1 和 CE2 之间的链路恢复时,PE2 会再次检测根保护开关并再次开始阻塞。现在,CE2 获知的所有通过 PE2 连接的 MAC 地址都需要刷新。所有这些都通过在客户边缘路由器上配置 VPLS 根保护拓扑更改操作来进行控制。
第 2 层环通过两台 PE 路由器连接到多协议链路交换 (MPLS) 基础架构。通过运行启用了根保护选项的生成树协议版本来保护环上的链路中断。
但是,第 3 层的虚拟专用网络 (VPN) 协议并不知道此根保护设置导致的阻塞状态(第 2 层不允许出现环或环路,因为第 2 层协议将无法正常运行)。
多个主机连接到客户边缘路由器(相互连接)以及访问 VPLS 网络云的 PE 路由器。边缘路由器之间的任何单个链路都可能出现故障,而不会影响主机对 VPLS 服务的访问。
VPLS 切换到主优先级之前的多宿主保持时间
在全局级别,每种类型的生成树协议都有一个与之关联的优先级保持时间。这是当第一个核心域出现时,系统等待切换到主要优先级的秒数(范围为 1 到 255 秒)。默认值为 2 秒。这允许出现最大数量的核心域,并且有些域可能比其他域慢。
当第一个核心域出现时,切换到主要优先级之前要保持的默认秒数为 2 秒。
当 VPLS 多宿主第 2 层环中的 MX 系列路由器或 EX 系列交换机运行启用了根保护的生成树协议时,您可以修改拓扑更改时路由器或交换机执行的默认操作。为此,请配置 VPLS 根保护拓扑更改操作。
您可以在层次结构级别(控制全局生成树协议行为)或[edit protocols vstp vlan vlan-id]层次结构级别(控制特定 VLAN)包含[edit protocols (mstp | rstp | vstp)]语句。
VPLS 根拓扑更改操作的配置独立于 VPLS、生成树协议或生成树协议根保护选项。
拓扑更改时 MAC 缓存的 VPLS 多宿主网桥刷新
默认情况下,如果启用了根保护,然后拓扑发生了更改,则网桥不会刷新在其他接口端口被阻止时获知的 MAC 地址的媒体访问控制 (MAC) 地址缓存。
要更改默认行为,可以使用语句 vpls-flush-on-topology-change。
您可以在层次结构级别(控制全局生成树协议行为)或[edit protocols vstp vlan vlan-id]层次结构级别(控制特定 VLAN)包含[edit protocols (mstp | rstp | vstp)]语句。
具体而言,MAC 刷新消息基于系统标识符到使用该语句指定的 system-id IP 地址的映射,从被阻止的 PE 发送到 LDP 对等方。
VPLS 根拓扑更改操作的配置独立于 VPLS、生成树协议或生成树协议根保护选项。
但是,为了在出现链路故障的多宿主环境中保持第 2 层环的正常运行,MX 系列路由器上运行的生成树协议需要以下附加配置:
VPN 协议必须作用于生成树协议对接口的阻止和取消阻止。具体而言,媒体访问控制 (MAC) 刷新消息需要由阻塞 PE 路由器发送到 LDP 对等方,以便刷新在其他接口端口被阻止时获知的 MAC 地址。
此外,如果启用了 VPLS 根保护桥接的活动 PE 路由器丢失 VPLS 连接,则根保护要求网桥切换到其他 PE 路由器以保持连接。生成树协议需要了解 PE 路由器上 VPLS 连接的状态。如果在拓扑更改时未刷新 MAC 地址缓存,则帧可能会发送到错误的设备。
使用 VPLS 根保护,当多宿主第 2 层环 VPLS 环境中的拓扑发生变化时,您可以控制 MX 系列路由器执行的操作。
环内网桥的 VPLS 多宿主系统标识符
当 VPLS 多宿主第 2 层环中的 MX 系列路由器或 EX 系列交换机运行启用了根保护的生成树协议时,您可以修改拓扑更改时路由器或交换机执行的默认操作。为此,请配置 VPLS 根保护拓扑更改操作。
默认情况下,不配置环中网桥的系统标识符。
您可以在层次结构级别(控制全局生成树协议行为)或[edit protocols vstp vlan vlan-id]层次结构级别(控制特定 VLAN)包含[edit protocols (mstp | rstp | vstp)]语句。
VPLS 根拓扑更改操作的配置独立于 VPLS、生成树协议或生成树协议根保护选项。
备用网桥的 VPLS 多宿主优先级
当 VPLS 多宿主第 2 层环中的 MX 系列路由器或 EX 系列交换机运行启用了根保护的生成树协议时,您可以修改拓扑更改时路由器或交换机采取的默认操作。为此,请配置 VPLS 根保护拓扑更改操作。
备份网桥的默认值为 32,768。您可以将备份网桥优先级设置为 0 到 61440 之间的值,增量为 4096。
若要更改默认值,可以使用以下语句 backup-bridge-priority vpls-ring-backup-bridge-priority
您可以在层次结构级别(控制全局生成树协议行为)或[edit protocols vstp vlan vlan-id]层次结构级别(控制特定 VLAN)包含[edit protocols (mstp | rstp | vstp)]语句。
VPLS 根拓扑更改操作的配置独立于 VPLS、生成树协议或生成树协议根保护选项。
了解选择根网桥和指定网桥的网桥优先级
使用网桥优先级可以控制将哪个网桥选为根网桥,还可以控制在初始根网桥发生故障时将哪个网桥选为根网桥。
每个生成树协议实例的根网桥由网桥 ID 确定。网桥 ID 由可配置的网桥优先级和网桥的 MAC 地址组成。具有最低网桥 ID 的网桥被选为根网桥。如果网桥优先级相等或未配置网桥优先级,则 MAC 地址最低的网桥将被选为根网桥。
网桥优先级还可用于确定哪个网桥成为 LAN 网段的指定网桥。如果两个网桥到根网桥的路径开销相同,则网桥 ID 最低的网桥将成为指定的网桥。
网桥优先级只能以 4096 为增量进行设置。
考虑一个示例场景,其中一台双宿主客户边缘 (CE) 路由器连接到另外两台提供商边缘 (PE) 路由器,它们充当 VPLS PE 路由器,在所有这些路由器上都启用了 MSTP,并且客户边缘路由器作为根网桥运行。为路由器上的 VPLS 路由实例配置了集成路由和桥接 (IRB) 接口。在此类网络中,在 VPLS 域中获知的 MAC 地址会在 LSI 或虚拟隧道 (VT) 接口与两个 PE 路由器上的 VPLS 接口之间不断移动。为避免 MAC 地址的连续移动,您必须通过在层次结构级别包含 no-root-port 语句 [edit routing-instances routing-instance-name protocols mstp interface interface-name] 来配置根保护,并通过在 PE 路由器的层次结构级别包含 bridge priority 0 语句 [edit routing-instances routing-instance-name protocols mstp] 来将网桥优先级配置为零。PE 路由器上的此配置是必需的,以防止面向 CE 端的接口成为根网桥。
了解第 2 层交换网络中生成树实例接口的根保护
接口上运行的对等 STP 应用程序使用 BPDU 进行通信。最终,BPDU 的交换决定了哪些接口阻止流量,哪些接口成为根端口和转发流量。
通过此过程选择的根端口有可能被错误选择。在 PC 上运行的用户网桥应用程序也会生成 BPDU,并干扰根端口选择。这时根保护很有用。
生成树协议根保护的优势
根保护允许网络管理员在第 2 层交换网络中手动强制实施根网桥放置。
根保护的工作原理
在接口上启用根保护后,将为该接口上的所有 STP 实例启用根保护。如果网桥在启用了根保护的端口上收到高级 BPDU,则该端口将转换为根阻止的 STP 状态,并且接口将被阻止。这可以防止不应作为根网桥的网桥被选为根网桥。接口只会被阻止接收上级 BPDU 的实例。否则,它将参与生成树拓扑。
在启用根保护且收到的 BPDU 超时的端口上,网桥停止接收高级 BPDU 后,该端口将转换回 STP 指定的端口状态。
默认情况下,根保护处于禁用状态。
可以将接口配置为根保护或环路保护,但不能同时配置两者。
我应该在哪里启用根保护?
对不应从根网桥接收高级网桥协议数据单元 (BPDU) 且不得选为根端口的接口启用根保护。
成为指定端口的接口通常位于管理边界上。如果网桥在启用了根保护的端口上收到高级 STP BPDU,则该端口将转换为根阻止的 STP 状态(不一致状态),接口将被阻止。此阻止可防止不应作为根网桥的网桥被选为根网桥。在网桥停止在具有根保护的接口上接收高级 STP BPDU 后,接口将返回到侦听状态,然后是学习状态,最后返回到转发状态。恢复到转发状态是自动的。
示例:配置 VPLS 根拓扑更改操作
此示例配置 36k 的网桥优先级、44k 的备份网桥优先级、60 秒的优先级保持时间值、IP 地址 10.1.1.1/32 的系统标识符 000203:040506,并将网桥设置为仅在 MSTP 的拓扑更改时刷新 MAC 缓存。
[edit]
protocols {
mstp {
bridge-priority 36k;
backup-bridge-priority 44k;
priority-hold-time 60;
system-id 000203:040506 {
10.1.1.1/32;
}
vpls-flush-on-topology-change;
}
}
这不是一个完整的配置。
为生成树实例接口启用根保护
要为生成树实例接口启用根保护,请执行以下操作:
配置 VPLS 根保护拓扑更改操作以控制单个 VLAN 生成树行为
要配置 VPLS 根保护拓扑更改操作以控制特定 VLAN,请执行以下操作:
示例:配置根保护以在非 ELS EX 系列交换机上的生成树中强制根网桥放置
EX 系列交换机通过生成树协议 (STP)、快速生成树协议 (RSTP) 和多生成树协议 (MSTP) 提供第 2 层环路防护。根保护允许网络管理员手动在网络中强制实施根网桥放置,从而提高 STP、RSTP 和 MSTP 的效率。
此示例介绍如何在 EX 系列交换机上的接口上配置根保护:
要求
此示例使用以下硬件和软件组件:
适用于 EX 系列交换机的 Junos OS 9.1 或更高版本
RSTP 拓扑中的 4 台 EX 系列交换机
在为根保护配置接口之前,请确保您已:
在交换机上运行的 RSTP。
默认情况下,所有 EX 系列交换机均启用 RSTP。
概述和拓扑
在交换机接口上运行的对等 STP 应用程序交换一种特殊类型的帧,称为桥接协议数据单元 (BPDU)。交换机使用 BPDU 传送接口信息,以创建无环路拓扑,最终确定根网桥以及哪些接口阻止或转发生成树中的流量。
但是,通过此过程选择的根端口有可能被错误选择。在 PC 上运行的用户网桥应用程序也会生成 BPDU,并干扰根端口选择。
为防止这种情况发生,请在不应从根网桥接收高级 BPDU 且不应被选为根端口的接口上启用根保护。这些接口通常位于管理边界上,并且是指定的端口。
在接口上启用根保护后:
接口被阻止成为根端口。
将为该接口上的所有 STP 实例启用根保护。
接口只会被阻止接收上级 BPDU 的实例。否则,它将参与生成树拓扑。
可以将接口配置为根保护或环路保护,但不能同时配置两者。
图 2 显示了 4 台 EX 系列交换机。在此示例中,它们针对 RSTP 进行了配置,并创建了无环路拓扑。交换机 1 上的接口 ge-0/0/7 是管理边界上的指定端口。它连接到交换机 4。交换机 3 是根网桥。交换机 1 上的接口 ge-0/0/6 是根端口。
此示例说明如何在接口 ge-0/0/7 上配置根保护,以防止其转换为根端口。
的网络拓扑
表 1 显示了将为根保护配置的组件。
财产 |
设置 |
|---|---|
交换机 1 |
交换机 1 通过接口 ge-0/0/7 连接到交换机 4。 |
交换机 2 |
交换机 2 连接到交换机 1 和交换机 3。接口 ge-0/0/4 是 RSTP 拓扑中的备用端口。 |
交换机 3 |
交换机 3 是根网桥,连接到交换机 1 和交换机 2。 |
交换机 4 |
交换机 4 连接到交换机 1。在接口 ge-0/0/7 上配置根保护后,交换机 4 将发送高级 BPDU,这将在接口 ge-0/0/7 上触发根保护。 |
生成树拓扑包含具有特定角色的端口:
根端口负责将数据转发到根网桥。
备用端口是根端口的备用端口。当根端口出现故障时,备用端口将成为活动的根端口。
指定端口将数据转发到下游网段或设备。
此配置示例使用 RSTP 拓扑。但是,您也可以在 [编辑协议 (mstp | STP)]层次结构级别。
拓扑学
配置
要在接口上配置根保护:
程序
CLI 快速配置
要在接口 ge-0/0/7 上快速配置根保护,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit]
set protocols rstp interface ge-0/0/7 no-root-port
分步过程
要配置根保护,请执行以下操作:
配置接口 ge-0/0/7:
[edit protocols rstp] user@switch# set interface ge-0/0/7 no-root-port
结果
检查配置结果:
user@switch> show configuration protocols rstp
interface ge-0/0/7.0 {
no-root-port;
}
验证
要确认配置工作正常,请执行以下操作:
在触发根保护之前显示接口状态
目的
在接口 ge-0/0/7 上触发根保护之前,请确认接口状态。
行动
使用操作模式命令:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0.0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1.0 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2.0 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3.0 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4.0 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5.0 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6.0 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7.0 128:520 128:520 32768.0019e2503f00 20000 FWD DESG
[output truncated]
意义
操作模式命令 show spanning-tree interface 的输出显示 ge-0/0/7.0 是处于转发状态的指定端口。
验证根保护是否在接口上工作
目的
交换机 4 上的配置发生了更改。交换机 4 上较小的网桥优先级会导致它向接口 ge-0/0/7 发送卓越的 BPDU。在接口 ge-0/0/7 上接收高级 BPDU 将触发根保护。验证根保护是否在接口 ge-0/0/7 上运行。
行动
使用操作模式命令:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0.0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1.0 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2.0 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3.0 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4.0 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5.0 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6.0 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7.0 128:520 128:520 32768.0019e2503f00 20000 BLK DIS (Root—Incon)
[output truncated]
意义
操作模式命令 显示生成树接口 显示接口 ge-0/0/7.0 已转换为根不一致状态。根不一致状态会使接口阻塞,丢弃任何收到的 BPDU,并阻止接口成为根端口的候选项。当根网桥不再从接口接收高级 STP BPDU 时,接口将恢复并转换回转发状态。恢复是自动的。
示例:配置根保护以在采用 ELS 的 EX 系列交换机上的生成树中强制根网桥放置
此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI。
EX 系列交换机通过生成树协议 (STP)、快速生成树协议 (RSTP) 和多生成树协议 (MSTP) 提供第 2 层环路防护。根保护允许网络管理员手动在网络中强制实施根网桥放置,从而提高 STP、RSTP 和 MSTP 的效率。
此示例介绍如何在 EX 系列交换机上的接口上配置根保护:
要求
此示例使用以下软件和硬件组件:
适用于 EX 系列交换机的 Junos OS 版本 13.2X50-D10 或更高版本或更高版本
RSTP 拓扑中的 4 台 EX 系列交换机
在为根保护配置接口之前,请确保您已:
在交换机上运行的 RSTP。
默认情况下,所有 EX 系列交换机均启用 RSTP。
概述和拓扑
在交换机接口上运行的对等 STP 应用程序交换一种特殊类型的帧,称为桥接协议数据单元 (BPDU)。交换机使用 BPDU 传送接口信息,以创建无环路拓扑,最终确定根网桥以及哪些接口阻止或转发生成树中的流量。
但是,通过此过程选择的根端口有可能被错误选择。在 PC 上运行的用户网桥应用程序也会生成 BPDU,并干扰根端口选择。
为防止这种情况发生,请在不得从根网桥接收高级 BPDU 且不得被选为根端口的接口上启用根保护。这些接口通常位于管理边界上,并且是指定的端口。
在接口上启用根保护后:
接口被阻止成为根端口。
将为该接口上的所有 STP 实例启用根保护。
接口只会被阻止接收上级 BPDU 的实例。否则,它将参与生成树拓扑。
可以将接口配置为根保护或环路保护,但不能同时配置两者。
图 3 显示了 4 台 EX 系列交换机。在此示例中,它们针对 RSTP 进行了配置,并创建了无环路拓扑。交换机 1 上的接口ge-0/0/7是管理边界上的指定端口。它连接到交换机 4。交换机 3 是根网桥。交换机 1 上的接口ge-0/0/6是根端口。
此示例说明如何在接口 ge-0/0/7 上配置根保护,以防止其转换为根端口。
的网络拓扑
表 2 显示了将为根保护配置的组件。
财产 |
设置 |
|---|---|
交换机 1 |
交换机 1 通过接口 |
交换机 2 |
交换机 2 连接到交换机 1 和交换机 3。接口 |
交换机 3 |
交换机 3 是根网桥,连接到交换机 1 和交换机 2。 |
交换机 4 |
交换机 4 连接到交换机 1。在接口 |
生成树拓扑包含具有特定角色的端口:
根端口负责将数据转发到根网桥。
备用端口是根端口的备用端口。当根端口出现故障时,备用端口将成为活动的根端口。
指定端口将数据转发到下游网段或设备。
此配置示例使用 RSTP 拓扑。但是,您也可以在 [ ] 层次结构级别为 STPedit protocols mstp 或 MSTP 拓扑配置根保护。
拓扑学
配置
要在接口上配置根保护:
程序
CLI 快速配置
要在接口 ge-0/0/7上快速配置 root 保护,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit]
set protocols rstp interface ge-0/0/7 no-root-port
分步过程
要配置根保护,请执行以下操作:
配置接口
ge-0/0/7:[edit protocols rstp] user@switch# set interface ge-0/0/7 no-root-port
结果
检查配置结果:
user@switch> show configuration protocols rstp
interface ge-0/0/7 {
no-root-port;
}
验证
要确认配置工作正常,请执行以下操作:
在触发根保护之前显示接口状态
目的
在接口 ge-0/0/7上触发根保护之前,请确认接口状态。
行动
使用操作模式命令:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7 128:520 128:520 32768.0019e2503f00 20000 FWD DESG
[output truncated]
意义
操作模式命令 show spanning-tree interface 的输出显示,该 ge-0/0/7 端口处于转发状态。
验证根保护是否在接口上工作
目的
交换机 4 上的配置发生了更改。交换机 4 上较小的网桥优先级会导致它向接口 ge-0/0/7发送上级 BPDU。在接口 ge-0/0/7 上接收高级 BPDU 将触发根保护。验证根保护是否在接口 ge-0/0/7上运行。
行动
使用操作模式命令:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7 128:520 128:520 32768.0019e2503f00 20000 BLK DIS (Root—Incon)
[output truncated]
意义
操作模式命令 show spanning-tree interface 显示接口 ge-0/0/7 已转换为根不一致状态。根不一致状态会使接口阻塞,丢弃任何收到的 BPDU,并阻止接口成为根端口的候选项。当根网桥不再从接口接收高级 STP BPDU 时,接口将恢复并转换回转发状态。恢复是自动的。