Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPLS 多宿主环境根保护

了解 VPLS 多宿主

冗余通过使用备用链路和路径内置到许多网络中,这些链路和路径通常以环的形式出现。当多个主机连接到客户边缘 (CE) 路由器和提供商边缘 (PE) 路由器以保护虚拟专用 LAN 服务 (VPLS) 时,此技术通常称为 多宿主

图 1 显示了通过两个 PE 路由器连接到 CE 路由器和 VPLS 网络的主机。CE 路由器也已连接,形成一种环形结构。

图 1:第 2 层环形和 MPLS 基础架构拓扑结构 Layer 2 Ring and MPLS Infrastructure Topology

多宿主的优势

多宿主多宿主基本上就是在多个网络上为计算设备或网络提供支持。当两条链路都正常运行时,两个链路都将得到充分利用,从而提高了整体吞吐量。如果其中一个链路出现故障,另一个链路仍然承载流量,以便您具有冗余。

多宿主用于网络网桥、中继器、范围扩展器、防火墙、代理服务器、网关以及使用虚拟机时,配置为使用网络地址转换 (NAT)。

多宿主的工作原理是什么?

两个 PE 路由器都有各自的 VPLS 网络服务链路,如 图 1 所示,但彼此没有直接连接。所有四个边缘路由器都运行某种类型的生成树协议且已启用根保护,并且只有一个 PE 接口处于转发状态,另一个则被阻止。

假设此转发接口通过 PE1。如果 CE1 和 CE2 之间的链路发生故障,则阻塞的 PE2 接口必须检测到根保护开关并移动到转发状态。通过 PE1 连接到 VPLS 网络服务的 CE2 学到的所有 MAC 地址都需要齐平。以同样的方式,当 CE1 与 CE2 之间的链路恢复时,PE2 会再次检测根保护交换机,并再次开始阻止。现在,通过 PE2 连接的 CE2 学到的所有 MAC 地址都需要齐平。所有这一切都通过在 CE 路由器上配置 VPLS 根保护拓扑更改操作来控制。

第 2 层环通过两个 PE 路由器连接到多协议链路交换 (MPLS) 基础架构。环上的链路中断通过运行已启用 root 保护选项的生成树协议版本来得到保护。

但是,第 3 层中的虚拟专用网络 (VPN) 协议并不知道由此根保护设置导致的阻止状态(第 2 层不允许环路或环路,因为第 2 层协议无法正常运行)。

多个主机连接到彼此相连的 CE 路由器以及访问 VPLS 网络云的 PE 路由器。边缘路由器之间的任何单个链路都可能出现故障,不会影响主机对 VPLS 服务的访问。

VPLS 多宿主时间切换到主要优先级之前

在全球层面上,每种类型的生成树协议都有与之关联的优先级保留时间。这是第一个核心域出现时系统等待切换到主优先级的秒数(范围为 1 到 255 秒)。默认设置为 2 秒。这使得出现的最大核心域数,有些可能比其他域慢。

当第一个核心域出现时,在切换到主优先级之前要保留的默认秒数为 2 秒。

当 VPLS 多宿主第 2 层环中的 MX 系列路由器或 EX 系列交换机运行已启用 root 保护的生成树协议时,您可以修改路由器或交换机在拓扑更改时采取的默认操作。为此,配置 VPLS 根保护拓扑结构将更改操作。

您可以在 [edit protocols (mstp | rstp | vstp)] 层次结构级别(控制全局生成树协议行为)或 [edit protocols vstp vlan vlan-id] 层次结构级别(用于控制特定 VLAN)中包含语句。

注意:

VPLS 根拓扑更改操作独立于 VPLS、生成树协议或生成树协议 root 保护选项配置。

VPLS 多宿主桥拓扑结构变更上的 MAC 缓存齐平

默认情况下,如果启用了 root 保护,然后拓扑更改,桥接将不会对其他接口端口被阻止时获知的 MAC 地址的媒体访问控制 (MAC) 地址缓存进行冲洗。

要更改默认行为,可以使用语句 vpls-flush-on-topology-change。

您可以在 [edit protocols (mstp | rstp | vstp)] 层次结构级别(控制全局生成树协议行为)或 [edit protocols vstp vlan vlan-id] 层次结构级别(用于控制特定 VLAN)中包含语句。

具体而言,根据系统标识符与使用语句指定的 IP 地址的映射,从阻止的 PE 发送到 LDP 对等方的 system-id MAC 齐平消息。

注意:

VPLS 根拓扑更改操作独立于 VPLS、生成树协议或生成树协议 root 保护选项配置。

但是,要在链路故障的多宿主环境中保持第 2 层环正常运行,MX 系列路由器上运行的生成树协议需要以下附加配置:

VPN 协议必须通过生成树协议来阻止和解除接口的阻塞。具体来说,媒体访问控制 (MAC) 齐平消息需要由阻止 PE 路由器发送至 LDP 对等方,以便在其他接口端口被阻止时学习的 MAC 地址齐平。

此外,如果启用了 VPLS root 保护桥接的活动 PE 路由器失去了 VPLS 连接,则根保护要求桥接交换机切换至其他 PE 路由器以保持连接。生成树协议需要注意 PE 路由器上的 VPLS 连接状态。如果拓扑更改时 MAC 地址缓存未被冲洗,则帧可能会发送到错误的设备。

使用 VPLS root 保护,当多宿主第 2 层环 VPLS 环境中的拓扑发生变化时,您可以控制 MX 系列路由器所采取的操作。

环中网桥的 VPLS 多宿主系统标识符

当 VPLS 多宿主第 2 层环中的 MX 系列路由器或 EX 系列交换机运行已启用 root 保护的生成树协议时,您可以修改路由器或交换机在拓扑更改时采取的默认操作。为此,配置 VPLS 根保护拓扑结构将更改操作。

未默认配置环中桥接的系统标识符。

您可以在 [edit protocols (mstp | rstp | vstp)] 层次结构级别(控制全局生成树协议行为)或 [edit protocols vstp vlan vlan-id] 层次结构级别(用于控制特定 VLAN)中包含语句。

注意:

VPLS 根拓扑更改操作独立于 VPLS、生成树协议或生成树协议 root 保护选项配置。

VPLS 备份网桥的多宿主优先级

当 VPLS 多宿主第 2 层环中的 MX 系列路由器或 EX 系列交换机运行已启用 root 保护的生成树协议时,您可以修改路由器或交换机在拓扑更改时所采取的默认操作。为此,配置 VPLS 根保护拓扑结构将更改操作。

备份网桥的默认值为 32,768。您可将备用桥的优先级设置为值从 0 到 61440,增量为 4096。

要更改默认值,可以使用以下语句 backup-bridge-priority vpls-ring-backup-bridge-priority

您可以在 [edit protocols (mstp | rstp | vstp)] 层次结构级别(控制全局生成树协议行为)或 [edit protocols vstp vlan vlan-id] 层次结构级别(用于控制特定 VLAN)中包含语句。

注意:

VPLS 根拓扑更改操作独立于 VPLS、生成树协议或生成树协议 root 保护选项配置。

了解选用根桥和指定桥的桥优先级

使用桥优先级控制将哪座桥选为根桥,同时控制初始根桥发生故障时选用的根桥。

每个生成树协议实例的根桥由桥接 ID 确定。桥接 ID 由可配置的桥接优先级和桥接的 MAC 地址组成。桥号最低的桥号被选为根桥。如果桥接优先级相等或未配置桥的优先级,则选择 MAC 地址最低的桥接为 root 桥。

桥接优先级也可用于确定哪座桥成为 LAN 段的指定桥接。如果两座桥的根桥的路径成本相同,则桥号最低的桥将成为指定桥接。

桥接优先级只能以 4096 的增量为增量设置。

考虑一个示例,其中双宿主客户边缘 (CE) 路由器连接到另外两个提供商边缘 (PE) 路由器,这些路由器用作 VPLS PE 路由器,所有这些路由器上都启用了 MSTP,并且 CE 路由器作为根桥运行。集成路由和桥接 (IRB) 接口为路由器上的 VPLS 路由实例配置。在此类网络中,在 VPLS 域中学习的 MAC 地址在 LSI 或虚拟隧道 (VT) 接口和 PE 路由器上的 VPLS 接口之间持续移动。为避免 MAC 地址持续移动,您必须通过在[edit routing-instances routing-instance-name protocols mstp interface interface-name]层次结构级别上包括 no-root-port 语句来配置根保护,并通过在 [edit routing-instances routing-instance-name protocols mstp] PE 路由器的层次结构级别上包括bridge priority 0语句,将桥接优先级配置为零。PE 路由器上需要此配置,以防止面向 CE 的接口成为根桥。

了解第 2 层交换网络中生成树实例接口的根保护

在接口上运行的对等 STP 应用程序使用 BPDU 进行通信。最终,BPDU 交换将确定哪些接口会阻止流量,哪些接口将成为根端口并转发信息流。

通过这一进程选出的根端口有可能被错误选举。在 PC 上运行的用户桥接应用程序也可生成 BPDU,并干扰根端口选择。当 root 保护有用时,就要这样做了。

生成树协议根保护的优势

Root 保护允许网络管理员手动在第 2 层交换网络中实施根桥放置。

根保护的工作原理

当接口上启用 root 保护时,为该接口上的所有 STP 实例启用。如果桥接在已启用 root 保护的端口上接收高级 BPDU,则该端口将过渡到 root 阻止的 STP 状态,并且接口被阻止。这会防止不应作为根桥的桥被选为根桥。只有在接收卓越的 BPDU 的情况下,接口才会被阻止。否则,它参与生成树拓扑。

桥接停止在端口上接收具有 root 保护功能且已收到的 BPDU 超时的端口后,该端口将返回到 STP 指定的端口状态。

默认情况下,root 保护已禁用。

注意:

接口可配置为 root 保护或环路保护,但不能同时用于两者。

我应在哪里启用根保护?

在不应从根桥接收高级桥接协议数据单元 (BPDU) 且不得选择为 root 端口的接口上启用 root 保护。

成为指定端口的接口通常位于管理边界上。如果桥接在启用 root 保护的端口上接收高级 STP BPDU,则该端口将过渡到 root 阻止的 STP 状态(不一致状态),并且接口被阻止。这种阻塞会妨碍不应成为根桥的桥被选中根桥。桥接停止在具有根保护的接口上接收高级 STP BPDU 后,接口返回到侦听状态,然后返回学习状态,最终返回到转发状态。恢复回转发状态是自动的。

示例:配置 VPLS 根拓扑更改操作

此示例配置了 36k 的桥接优先级、44k 的备份桥架优先级、优先级保持时间值 60 秒、000203的系统标识符:IP 地址 10.1.1.1/32 的040506,然后设置桥接,以便仅针对 MSTP 的拓扑更改冲洗 MAC 缓存。

注意:

这不是一个完整的配置。

为生成树实例接口启用根保护

要为生成树实例接口启用 root 保护:

  1. 启用生成树协议配置:

  2. 启用生成树实例接口配置:

  3. 在接口上启用 root 保护:
  4. 验证生成树实例接口的 root 保护配置:
    注意:

    这不是一个完整的配置。

配置 VPLS 根保护拓扑结构更改控制单个 VLAN 生成树行为的操作

要配置 VPLS 根保护拓扑结构,请更改控制特定 VLAN 的操作:

  1. 启用生成树协议 VLAN 配置:
  2. (可选)使用 MPLS 基础架构更改 VPLS 多宿主第 2 层环中备份网桥的优先级:
  3. (可选)在第一个核心域出现时,在切换到主要优先级之前更改保留时间:
  4. 配置环中网桥的系统标识符:

    配置 system-id-value 的格式 nnnnnn为 :,nnnnnn 其中 n = 任何数字从 09

    每个 bridge-host-ip-address 都是带有 /32 掩码的有效主机 IP 地址。

    注意:

    系统标识符或主机 IP 地址没有默认值。

  5. 生成树拓扑结构发生变化时,配置网桥以对 MAC 地址缓存(当其他接口端口被阻止时获知的 MAC 地址缓存)进行冲洗:
  6. 验证 VPLS 根保护拓扑的配置更改操作以控制特定 VLAN:

示例:配置根保护以在非 ELS EX 系列交换机上的生成树中实施根桥放置

EX 系列交换机通过生成树协议 (STP)、快速生成树协议 (RSTP) 和多生成树协议 (MSTP) 提供第 2 层环路防御。Root 保护允许网络管理员在网络中手动实施 root 网桥放置,从而提高 STP、RSTP 和 MSTP 的效率。

此示例介绍如何在 EX 系列交换机上的接口上配置 root 保护:

要求

此示例使用以下硬件和软件组件:

  • EX 系列交换机的 Junos OS 9.1 或更高版本

  • RSTP 拓扑中的四台 EX 系列交换机

在为 root 保护配置接口之前,请确保您已:

  • 在交换机上运行的 RSTP。

注意:

默认情况下,所有 EX 系列交换机上都启用了 RSTP。

概述和拓扑

在交换机接口上运行的对等 STP 应用程序交换一种称为桥接协议数据单元 (BPDU) 的特殊帧类型。交换机使用 BPDU 通信接口信息,以创建无环路拓扑,最终确定根桥以及哪些接口阻止或转发生成树中的流量。

然而,通过这一进程选出的根端口有可能被错误选举。在 PC 上运行的用户桥接应用程序也可生成 BPDU,并干扰根端口选择。

为防止这种情况发生,在不应从根桥接收卓越 BPDU 且不应被选为 root 端口的接口上启用 root 保护。这些接口通常位于管理边界上,是指定端口。

当接口上启用 root 保护时:

  • 接口被阻止成为根端口。

  • 为该接口上的所有 STP 实例启用根保护。

  • 只有在接收卓越的 BPDU 的情况下,接口才会被阻止。否则,它参与生成树拓扑。

谨慎:

接口可配置为 root 保护或环路保护,但不能同时用于两者。

图 2 中显示四个 EX 系列交换机。在此示例中,它们配置为 RSTP 并创建无环路拓扑。交换机 1 上的接口 ge-0/0/7 是管理边界上的指定端口。它连接到交换机 4。交换机 3 是根桥。交换机 1 上的接口 ge-0/0/6 是根端口。

此示例说明如何在接口 ge-0/0/7 上配置 root 保护,以防止其转换为 root 端口。

图 2:用于根保护 Network Topology for Root Protection的网络拓扑

表 1 显示了将配置为 root 保护的组件。

表 1:用于在 EX 系列交换机上配置根保护的拓扑组件

财产

设置

交换机 1

交换机 1 通过接口 ge-0/0/7 连接到交换机 4。

交换机 2

交换机 2 连接到交换机 1 和交换机 3。接口 ge-0/0/4 是 RSTP 拓扑结构中的备用端口。

交换机 3

交换机 3 是根桥,连接到交换机 1 和交换机 2。

交换机 4

交换机 4 连接到交换机 1。在接口 ge-0/0/7 上配置 root 保护后,交换机 4 将发送高级 BPDU,以触发接口 ge-0/0/7 上的 root 保护。

生成树拓扑包含具有特定角色的端口:

  • root 端口负责将数据转发至根桥。

  • 备用端口是根端口的备用端口。当 root 端口关闭时,备用端口将成为活动根端口。

  • 指定端口将数据转发至下游网段或设备。

此配置示例使用 RSTP 拓扑。但是,您还可以在 [编辑协议mstp |) 上为 STP 或 MSTP 拓扑配置根保护 stp)]层次结构级别。

拓扑

配置

要在接口上配置 root 保护:

程序

CLI 快速配置

要在接口 ge-0/0/7 上快速配置根保护,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

要配置根保护:

  1. 配置接口 ge-0/0/7

结果

检查配置结果:

验证

要确认配置是否正常工作:

在触发 root 保护之前显示接口状态

目的

在接口 ge-0/0/7 上触发 root 保护之前,请确认接口状态。

行动

使用操作模式命令:

意义

操作模式命令 show spanning-tree interface 的输出显示 ge-0/0/7.0 是处于转发状态的指定端口。

验证 Root 保护是否在接口上工作

目的

交换机 4 上发生配置更改。交换机 4 上的较小桥接优先级会导致其将卓越的 BPDU 发送至接口 ge-0/0/7。在接口 ge-0/0/7 上接收卓越的 BPDU 将触发根保护。验证 root 保护是否在接口 ge-0/0/7 上运行。

行动

使用操作模式命令:

意义

操作模式命令 显示生成树接口 显示接口 ge-0/0/7.0 已过渡到 root 不一致状态。root 不一致的状态会使接口块成为接口块,丢弃接收到的任何 BPDU,并阻止接口成为 root 端口的候选项。当根桥不再从接口接收到卓越的 STP BPDU 时,接口将恢复并返回到转发状态。恢复是自动的。

示例:配置根保护以在带有 ELS 的 EX 系列交换机上的生成树中实施根桥放置

注意:

此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI

EX 系列交换机通过生成树协议 (STP)、快速生成树协议 (RSTP) 和多生成树协议 (MSTP) 提供第 2 层环路防御。Root 保护允许网络管理员在网络中手动实施 root 网桥放置,从而提高 STP、RSTP 和 MSTP 的效率。

此示例介绍如何在 EX 系列交换机上的接口上配置 root 保护:

要求

此示例使用以下软件和硬件组件:

  • EX 系列交换机的 Junos OS 13.2X50-D10 或更高版本

  • RSTP 拓扑中的四台 EX 系列交换机

在为 root 保护配置接口之前,请确保您已:

  • 在交换机上运行的 RSTP。

注意:

默认情况下,所有 EX 系列交换机上都启用了 RSTP。

概述和拓扑

在交换机接口上运行的对等 STP 应用程序交换一种称为桥接协议数据单元 (BPDU) 的特殊帧类型。交换机使用 BPDU 通信接口信息,以创建无环路拓扑,最终确定根桥以及哪些接口阻止或转发生成树中的流量。

然而,通过这一进程选出的根端口有可能被错误选举。在 PC 上运行的用户桥接应用程序也可生成 BPDU,并干扰根端口选择。

为防止这种情况发生,请在接口上启用 root 保护,因为接口不能从根桥接收卓越的 BPDU,也不得被选为根端口。这些接口通常位于管理边界上,是指定端口。

当接口上启用 root 保护时:

  • 接口被阻止成为根端口。

  • 为该接口上的所有 STP 实例启用根保护。

  • 只有在接收卓越的 BPDU 的情况下,接口才会被阻止。否则,它参与生成树拓扑。

谨慎:

接口可配置为 root 保护或环路保护,但不能同时用于两者。

图 3 中显示四个 EX 系列交换机。在此示例中,它们配置为 RSTP 并创建无环路拓扑。交换机 1 上的接口ge-0/0/7是管理边界上的指定端口。它连接到交换机 4。交换机 3 是根桥。交换机 1 上的接口ge-0/0/6是根端口。

此示例说明如何在接口 ge-0/0/7 上配置 root 保护,以防止其转换为 root 端口。

图 3:用于根保护 Network Topology for Root Protection的网络拓扑

表 2 显示了将配置为 root 保护的组件。

表 2:用于在 EX 系列交换机上配置根保护的拓扑组件

财产

设置

交换机 1

交换机 1 通过接口 ge-0/0/7连接到交换机 4。

交换机 2

交换机 2 连接到交换机 1 和交换机 3。接口 ge-0/0/4 是 RSTP 拓扑结构中的备用端口。

交换机 3

交换机 3 是根桥,连接到交换机 1 和交换机 2。

交换机 4

交换机 4 连接到交换机 1。在接口 ge-0/0/7上配置 root 保护后,交换机 4 将发送高级 BPDU,以触发接口 ge-0/0/7上的 root 保护。

生成树拓扑包含具有特定角色的端口:

  • root 端口负责将数据转发至根桥。

  • 备用端口是根端口的备用端口。当 root 端口关闭时,备用端口将成为活动根端口。

  • 指定端口将数据转发至下游网段或设备。

此配置示例使用 RSTP 拓扑。但是,您还可以在 [edit protocols mstp ] 层次结构级别为 STP 或 MSTP 拓扑配置根保护。

拓扑

配置

要在接口上配置 root 保护:

程序

CLI 快速配置

要在接口 ge-0/0/7上快速配置 root 保护,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

要配置根保护:

  1. 配置接口 ge-0/0/7

结果

检查配置结果:

验证

要确认配置是否正常工作:

在触发 root 保护之前显示接口状态

目的

在接口 ge-0/0/7上触发 root 保护之前,请确认接口状态。

行动

使用操作模式命令:

意义

操作模式命令 show spanning-tree interface 的输出显示,这是 ge-0/0/7 处于转发状态的指定端口。

验证 Root 保护是否在接口上工作

目的

交换机 4 上发生配置更改。交换机 4 上的较小桥接优先级会导致其将卓越的 BPDU 发送至接口 ge-0/0/7。接口 ge-0/0/7 上收到高级 BPDU 将触发根保护。验证 root 保护是否在接口 ge-0/0/7上运行。

行动

使用操作模式命令:

意义

操作模式命令 show spanning-tree interface 显示接口 ge-0/0/7 已转换为 root 不一致状态。root 不一致的状态会使接口块成为接口块,丢弃接收到的任何 BPDU,并阻止接口成为 root 端口的候选项。当根桥不再从接口接收到卓越的 STP BPDU 时,接口将恢复并返回到转发状态。恢复是自动的。