Root-Schutz für VPLS-Multihome-Umgebungen
VPLS-Multihoming verstehen
Redundanz wird in vielen Netzwerken durch die Verwendung alternativer Verbindungen und Pfade eingebaut, die oft die Form von Ringen annehmen. Wenn mehrere Hosts mit Kunden-Edge-Routern (CE) und Provider-Edge-Routern (PE) verbunden sind, um den Virtual Private LAN Service (VPLS) zu sichern, wird diese Technik häufig als Multihoming bezeichnet.
Abbildung 1 zeigt Hosts, die über zwei PE-Router mit CE-Routern und mit einem VPLS-Netzwerk verbunden sind. Die CE-Router sind ebenfalls miteinander verbunden und bilden eine Art Ringstruktur.
- Vorteile von Multihoming
- Wie funktioniert Multihoming?
- VPLS-Multihoming-Haltezeit vor dem Wechsel zur primären Priorität
- VPLS Multihoming Bridge: Leerung des MAC-Cache bei Topologieänderung
- VPLS-Multihoming-System-Identifikatoren für Brücken im Ring
- VPLS-Multihoming-Priorität der Backup-Bridge
Vorteile von Multihoming
Multihoming Multihoming bedeutet im Grunde, dass Ihr Computergerät oder Netzwerk in mehr als einem Netzwerk präsent ist. Wenn beide Links verfügbar sind, sind beide Links voll ausgelastet, was den Gesamtdurchsatz erhöht. Wenn eine der Verbindungen ausfällt, überträgt die andere weiterhin Datenverkehr, sodass Sie Redundanz haben.
Multihoming wird in Netzwerkbrücken, Repeatern, Range Extendern, Firewalls, Proxyservern, Gateways und bei Verwendung einer virtuellen Maschine verwendet, die für die Verwendung von Network Address Translation (NAT) konfiguriert ist.
Wie funktioniert Multihoming?
Die beiden PE-Router verfügen über eigene Verbindungen zu einem VPLS-Netzwerkdienst, wie in Abbildung 1 dargestellt, sind jedoch nicht direkt miteinander verbunden. Alle vier Edge-Router führen eine Art Spanning-Tree-Protokoll mit aktiviertem Root-Schutz aus, und nur eine PE-Schnittstelle befindet sich im Weiterleitungsstatus, die andere wird blockiert.
Angenommen, diese Weiterleitungsschnittstelle erfolgt über PE1. Wenn die Verbindung zwischen CE1 und CE2 fehlschlägt, muss die blockierende PE2-Schnittstelle einen Root-Schutz-Switch erkennen und in den Weiterleitungszustand wechseln. Alle von CE2 gelernten MAC-Adressen, die über PE1 mit dem VPLS-Netzwerkservice verbunden sind, müssen geleert werden. Wenn die Verbindung zwischen CE1 und CE2 wiederhergestellt ist, erkennt PE2 den Root-Schutzschalter erneut und beginnt erneut mit der Blockierung. Jetzt müssen alle MAC-Adressen, die von CE2 gelernt wurden und über PE2 verbunden sind, geleert werden. All dies wird durch die Konfiguration von VPLS-Root-Schutz-Topologieänderungsaktionen auf den CE-Routern gesteuert.
Der Layer-2-Ring stellt über zwei PE-Router eine Verbindung zur MPLS-Infrastruktur (Multiprotocol Link Switching) her. Verbindungsunterbrechungen auf dem Ring werden geschützt, indem eine Version des Spanning-Tree-Protokolls mit aktivierter Option root-protect ausgeführt wird.
Die VPN-Protokolle (Virtual Private Network) auf Layer 3 kennen jedoch nicht den Blockierungsstatus, der sich aus dieser Root-Schutzeinrichtung ergibt (Ringe oder Schleifen sind auf Layer 2 nicht zulässig, da die Layer-2-Protokolle nicht ordnungsgemäß funktionieren).
Mehrere Hosts sind mit CE-Routern verbunden, die sowohl miteinander als auch mit den PE-Routern verbunden sind, die auf die VPLS-Netzwerk-Cloud zugreifen. Jede einzelne Verbindung zwischen den Edge-Routern kann ausfallen, ohne dass der Zugriff der Hosts auf die VPLS-Services beeinträchtigt wird.
VPLS-Multihoming-Haltezeit vor dem Wechsel zur primären Priorität
Auf globaler Ebene ist jedem Spanning-Tree-Protokolltyp eine Prioritätshaltezeit zugeordnet. Dies ist die Anzahl der Sekunden im Bereich von 1 bis 255 Sekunden, die das System wartet, um zur primären Priorität zu wechseln, wenn die erste Core-Domäne verfügbar ist. Der Standardwert ist 2 Sekunden. Dadurch kann die maximale Anzahl von Core-Domänen angezeigt werden, und einige sind möglicherweise langsamer als andere.
Die standardmäßige Anzahl von Sekunden, die gehalten werden muss, bevor zur primären Priorität gewechselt wird, wenn die erste Core-Domäne verfügbar ist, beträgt 2 Sekunden.
Wenn ein Router der MX-Serie oder ein Switch der EX-Serie in einem VPLS-Multihomed-Layer-2-Ring ein Spanning-Tree-Protokoll mit aktiviertem Root-Schutz ausführt, können Sie die Standardaktionen des Routers oder Switches ändern, wenn sich die Topologie ändert. Konfigurieren Sie dazu die Aktionen zum Ändern der VPLS-Stammschutztopologie.
Sie können die Anweisung auf Hierarchieebene (zur Steuerung des [edit protocols (mstp | rstp | vstp)] Verhaltens des globalen Spanning-Tree-Protokolls) oder auf Hierarchieebene [edit protocols vstp vlan vlan-id] (zur Steuerung eines bestimmten VLANs) einfügen.
Die Aktionen zum Ändern der VPLS-Root-Topologie werden unabhängig von VPLS, dem Spanning-Tree-Protokoll oder der Spanning-Tree-Protokoll-Root-Protect-Option konfiguriert.
VPLS Multihoming Bridge: Leerung des MAC-Cache bei Topologieänderung
Wenn der Root-Schutz aktiviert ist und sich dann die Topologie ändert, leeren die Bridges standardmäßig nicht den MAC-Adresscache (Media Access Control) der MAC-Adressen, die beim Blockieren anderer Schnittstellenports gelernt wurden.
Um das Standardverhalten zu ändern, können Sie die Anweisung vpls-flush-on-topology-change verwenden.
Sie können die Anweisung auf Hierarchieebene (zur Steuerung des [edit protocols (mstp | rstp | vstp)] Verhaltens des globalen Spanning-Tree-Protokolls) oder auf Hierarchieebene [edit protocols vstp vlan vlan-id] (zur Steuerung eines bestimmten VLANs) einfügen.
Insbesondere werden MAC-Flush-Nachrichten vom blockierten PE an LDP-Peers gesendet, basierend auf der Zuordnung der Systemkennung zu IP-Adressen, wie mit der system-id Anweisung angegeben.
Die Aktionen zum Ändern der VPLS-Root-Topologie werden unabhängig von VPLS, dem Spanning-Tree-Protokoll oder der Spanning-Tree-Protokoll-Root-Protect-Option konfiguriert.
Damit der Layer-2-Ring jedoch in einer mehrfach vernetzten Umgebung mit Verbindungsfehlern funktioniert, erfordert das Spanning-Tree-Protokoll, das auf den Routern der MX-Serie ausgeführt wird, die folgende zusätzliche Konfiguration:
Die VPN-Protokolle müssen auf das Blockieren und Entsperren von Schnittstellen durch das Spanning-Tree-Protokoll einwirken. Insbesondere müssen MAC-Leerungsnachrichten (Media Access Control) vom blockierenden PE-Router an LDP-Peers gesendet werden, um die MAC-Adressen zu leeren, die beim Blockieren anderer Schnittstellenports gelernt wurden.
Wenn ein aktiver PE-Router mit aktiviertem VPLS-Root-Schutz-Bridging die VPLS-Konnektivität verliert, erfordert der Root-Schutz, dass die Bridge zum anderen PE-Router wechselt, um die Verbindung aufrechtzuerhalten. Das Spanning-Tree-Protokoll muss den Status der VPLS-Konnektivität auf dem PE-Router kennen. Wenn der MAC-Adresscache nicht geleert wird, wenn sich die Topologie ändert, können Frames an das falsche Gerät gesendet werden.
Mithilfe des VPLS-Root-Schutzes können Sie die Aktionen steuern, die vom Router der MX-Serie ausgeführt werden, wenn sich die Topologie in einer mehrfach vernetzten Layer-2-Ring-VPLS-Umgebung ändert.
VPLS-Multihoming-System-Identifikatoren für Brücken im Ring
Wenn ein Router der MX-Serie oder ein Switch der EX-Serie in einem VPLS-Multihomed-Layer-2-Ring ein Spanning-Tree-Protokoll mit aktiviertem Root-Schutz ausführt, können Sie die Standardaktionen des Routers oder Switches ändern, wenn sich die Topologie ändert. Konfigurieren Sie dazu die Aktionen zum Ändern der VPLS-Stammschutztopologie.
Die Systemkennung für Bridges im Ring ist standardmäßig nicht konfiguriert.
Sie können die Anweisung auf Hierarchieebene (zur Steuerung des [edit protocols (mstp | rstp | vstp)] Verhaltens des globalen Spanning-Tree-Protokolls) oder auf Hierarchieebene [edit protocols vstp vlan vlan-id] (zur Steuerung eines bestimmten VLANs) einfügen.
Die Aktionen zum Ändern der VPLS-Root-Topologie werden unabhängig von VPLS, dem Spanning-Tree-Protokoll oder der Spanning-Tree-Protokoll-Root-Protect-Option konfiguriert.
VPLS-Multihoming-Priorität der Backup-Bridge
Wenn auf einem Router der MX-Serie oder einem Switch der EX-Serie in einem VPLS-Multihomed-Layer-2-Ring ein Spanning-Tree-Protokoll mit aktiviertem Root-Schutz ausgeführt wird, können Sie die Standardaktionen des Routers oder Switches ändern, wenn sich die Topologie ändert. Konfigurieren Sie dazu die Aktionen zum Ändern der VPLS-Stammschutztopologie.
Der Standardwert der Backup-Bridge ist 32.768. Sie können die Priorität der Backup-Bridge in Schritten von 4096 auf einen Wert zwischen 0 und 61440 festlegen.
Um den Standardwert zu ändern, können Sie die folgende Anweisung verwenden backup-bridge-priority vpls-ring-backup-bridge-priority
Sie können die Anweisung auf Hierarchieebene (zur Steuerung des [edit protocols (mstp | rstp | vstp)] Verhaltens des globalen Spanning-Tree-Protokolls) oder auf Hierarchieebene [edit protocols vstp vlan vlan-id] (zur Steuerung eines bestimmten VLANs) einfügen.
Die Aktionen zum Ändern der VPLS-Root-Topologie werden unabhängig von VPLS, dem Spanning-Tree-Protokoll oder der Spanning-Tree-Protokoll-Root-Protect-Option konfiguriert.
Grundlegendes zur Bridge-Priorität für die Auswahl von Root Bridge und Designated Bridge
Verwenden Sie die Bridge-Priorität, um zu steuern, welche Bridge als Root-Bridge ausgewählt wird, und auch, um zu steuern, welche Bridge als Root-Bridge ausgewählt wird, wenn die anfängliche Root-Bridge ausfällt.
Die Root-Bridge für jede Spanning-Tree-Protokollinstanz wird durch die Bridge-ID bestimmt. Die Bridge-ID besteht aus einer konfigurierbaren Bridge-Priorität und der MAC-Adresse der Bridge. Die Bridge mit der niedrigsten Bridge-ID wird als Root-Bridge ausgewählt. Wenn die Bridge-Prioritäten gleich sind oder wenn die Bridge-Priorität nicht konfiguriert ist, wird die Bridge mit der niedrigsten MAC-Adresse als Root-Bridge ausgewählt.
Die Bridge-Priorität kann auch verwendet werden, um zu bestimmen, welche Bridge die designierte Bridge für ein LAN-Segment wird. Wenn zwei Bridges die gleichen Pfadkosten zur Root-Bridge haben, wird die Bridge mit der niedrigsten Bridge-ID zur designierten Bridge.
Die Bridge-Priorität kann nur in Schritten von 4096 festgelegt werden.
Stellen Sie sich ein Beispielszenario vor, in dem ein Dual-Homed-Kunden-Edge-Router (CE) mit zwei anderen Provider-Edge-Routern (PE) verbunden ist, die als VPLS-PE-Router fungieren, wobei MSTP auf all diesen Routern aktiviert ist und der CE-Router als Root-Bridge fungiert. Die integrierte Routing- und Bridging-Schnittstelle (IRB) ist für die VPLS-Routing-Instanzen auf den Routern konfiguriert. In einem solchen Netzwerk bewegen sich die MAC-Adressen, die in der VPLS-Domäne gelernt werden, kontinuierlich zwischen den LSI- oder VT-Schnittstellen (Virtual Tunnel) und den VPLS-Schnittstellen auf beiden PE-Routern. Um die kontinuierliche Verschiebung der MAC-Adressen zu vermeiden, müssen Sie den Root-Schutz konfigurieren, indem Sie die no-root-port Anweisung auf Hierarchieebene [edit routing-instances routing-instance-name protocols mstp interface interface-name] einschließen, und die Bridge-Priorität als Null konfigurieren, indem Sie die bridge priority 0 Anweisung auf der [edit routing-instances routing-instance-name protocols mstp] Hierarchieebene auf den PE-Routern einschließen. Diese Konfiguration auf den PE-Routern ist erforderlich, um zu verhindern, dass die CE-seitigen Schnittstellen zur Root-Bridge werden.
Grundlegendes zum Root-Schutz für Spanning-Tree-Instance-Schnittstellen in einem Layer-2-Switched-Netzwerk
Peer-STP-Anwendungen, die auf Schnittstellen ausgeführt werden, verwenden BPDUs für die Kommunikation. Letztendlich bestimmt der Austausch von BPDUs, welche Schnittstellen den Datenverkehr blockieren und welche Schnittstellen zu Root-Ports werden und Datenverkehr weiterleiten.
Ein Root-Port, der durch diesen Prozess ausgewählt wird, hat die Möglichkeit, falsch gewählt zu werden. Eine Benutzer-Bridge-Anwendung, die auf einem PC ausgeführt wird, kann ebenfalls BPDUs generieren und die Auswahl des Root-Ports stören. In diesem Fall ist der Root-Schutz nützlich.
- Vorteile des Spanning Tree Protocol Root-Schutzes
- Funktionsweise des Root-Schutzes
- Wo sollte ich den Root-Schutz aktivieren?
Vorteile des Spanning Tree Protocol Root-Schutzes
Der Root-Schutz ermöglicht es Netzwerkadministratoren, die Platzierung der Root-Bridge in einem Layer-2-Switched-Netzwerk manuell durchzusetzen.
Funktionsweise des Root-Schutzes
Wenn der Root-Schutz auf einer Schnittstelle aktiviert ist, wird er für alle STP-Instanzen auf dieser Schnittstelle aktiviert. Wenn die Bridge überlegene BPDUs an einem Port empfängt, für den der Root-Schutz aktiviert ist, wechselt dieser Port in einen durch Root verhinderten STP-Zustand, und die Schnittstelle wird blockiert. Dadurch wird verhindert, dass eine Bridge, bei der es sich nicht um die Root-Bridge handeln sollte, zur Root-Bridge gewählt wird. Die Schnittstelle wird nur für Instanzen gesperrt, für die sie übergeordnete BPDUs empfängt. Andernfalls nimmt er an der Spanning-Tree-Topologie teil.
Nachdem die Bridge keine übergeordneten BPDUs mehr auf dem Port mit aktiviertem Root-Schutz empfängt und die empfangenen BPDUs eine Zeitüberschreitung aufweisen, wechselt dieser Port zurück in den STP-designierten Portstatus.
Standardmäßig ist der Root-Schutz deaktiviert.
Eine Schnittstelle kann entweder für den Root-Schutz oder den Schleifenschutz konfiguriert werden, aber nicht für beide.
Wo sollte ich den Root-Schutz aktivieren?
Aktivieren Sie den Root-Schutz auf Schnittstellen, die keine BPDUs (Superior Bridge Protocol Data Units) von der Root-Bridge erhalten sollen und nicht als Root-Port ausgewählt werden dürfen.
Schnittstellen, die zu designierten Ports werden, befinden sich in der Regel an einer Verwaltungsgrenze. Wenn die Bridge überlegene STP-BPDUs auf einem Port empfängt, für den der Root-Schutz aktiviert ist, wechselt dieser Port in einen von Root verhinderten STP-Status (Inkonsistenzstatus) und die Schnittstelle wird blockiert. Durch diese Blockierung wird verhindert, dass eine Bridge, die nicht die Root-Bridge sein sollte, zur Root-Bridge gewählt wird. Nachdem die Bridge keine überlegenen STP-BPDUs mehr auf der Schnittstelle mit Root-Schutz empfängt, kehrt die Schnittstelle in einen Überwachungszustand zurück, gefolgt von einem Lernzustand und schließlich wieder in einen Weiterleitungszustand. Die Wiederherstellung des Weiterleitungsstatus erfolgt automatisch.
Beispiel: Konfigurieren von Aktionen zur Änderung der VPLS-Stammtopologie
In diesem Beispiel wird eine Bridge-Priorität von 36 KB, eine Backup-Bridge-Priorität von 44 KB, ein Prioritätshaltezeitwert von 60 Sekunden, eine System-ID von 000203:040506 für die IP-Adresse 10.1.1.1/32 konfiguriert und die Bridge so festgelegt, dass der MAC-Cache bei einer Topologieänderung nur für MSTP geleert wird.
[edit]
protocols {
mstp {
bridge-priority 36k;
backup-bridge-priority 44k;
priority-hold-time 60;
system-id 000203:040506 {
10.1.1.1/32;
}
vpls-flush-on-topology-change;
}
}
Dies ist keine vollständige Konfiguration.
Aktivieren des Root-Schutzes für eine Spanning-Tree-Instance-Schnittstelle
So aktivieren Sie den Root-Schutz für eine Spanning-Tree-Instance-Schnittstelle:
Konfigurieren der VPLS-Root-Schutztopologie-Änderungsaktionen zur Steuerung des individuellen VLAN-Spanning-Tree-Verhaltens
So konfigurieren Sie die Aktionen zum Ändern der VPLS-Root-Schutztopologie zur Steuerung eines bestimmten VLANs:
Beispiel: Konfigurieren des Root-Schutzes zur Erzwingung der Platzierung von Root-Bridges in Spanning Trees auf Switches der EX-Serie, die nicht von ELS stammen
Switches der EX-Serie bieten Layer-2-Schleifenschutz durch Spanning Tree Protocol (STP), Rapid Spanning Tree Protocol (RSTP) und Multiple Spanning Tree Protocol (MSTP). Der Root-Schutz erhöht die Effizienz von STP, RSTP und MSTP, indem er es Netzwerkadministratoren ermöglicht, die Platzierung der Root-Bridge im Netzwerk manuell durchzusetzen.
In diesem Beispiel wird beschrieben, wie der Root-Schutz auf einer Schnittstelle auf einem Switch der EX-Serie konfiguriert wird:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 9.1 oder höher für Switches der EX-Serie
Vier Switches der EX-Serie in einer RSTP-Topologie
Bevor Sie die Schnittstelle für den Root-Schutz konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
RSTP auf den Switches.
Standardmäßig ist RSTP auf allen Switches der EX-Serie aktiviert.
Übersicht und Topologie
Peer-STP-Anwendungen, die auf Switch-Schnittstellen ausgeführt werden, tauschen einen speziellen Frame-Typ aus, der als Bridge Protocol Data Unit (BPDU) bezeichnet wird. Switches kommunizieren Schnittstelleninformationen mithilfe von BPDUs, um eine schleifenfreie Topologie zu schaffen, die letztendlich die Root-Bridge bestimmt und bestimmt, welche Schnittstellen den Datenverkehr im Spanning Tree blockieren oder weiterleiten.
Ein Root-Port, der durch diesen Prozess ausgewählt wird, hat jedoch die Möglichkeit, falsch gewählt zu werden. Eine Benutzer-Bridge-Anwendung, die auf einem PC ausgeführt wird, kann ebenfalls BPDUs generieren und die Auswahl des Root-Ports stören.
Um dies zu verhindern, aktivieren Sie den Root-Schutz auf Schnittstellen, die keine überlegenen BPDUs von der Root-Bridge erhalten und nicht als Root-Port ausgewählt werden sollen. Diese Schnittstellen befinden sich in der Regel an einer administrativen Grenze und sind als Ports ausgewiesen.
Wenn der Root-Schutz auf einer Schnittstelle aktiviert ist:
Die Schnittstelle wird daran gehindert, zum Root-Port zu werden.
Der Root-Schutz ist für alle STP-Instanzen auf dieser Schnittstelle aktiviert.
Die Schnittstelle wird nur für Instanzen gesperrt, für die sie übergeordnete BPDUs empfängt. Andernfalls nimmt er an der Spanning-Tree-Topologie teil.
Eine Schnittstelle kann entweder für den Root-Schutz oder den Schleifenschutz konfiguriert werden, aber nicht für beide.
Vier Switches der EX-Serie sind in Abbildung 2 dargestellt. In diesem Beispiel werden sie für RSTP konfiguriert und erstellen eine schleifenfreie Topologie. Die Schnittstelle ge-0/0/7 auf Switch 1 ist ein designierter Port an einer Verwaltungsgrenze. Er stellt eine Verbindung zu Switch 4 her. Switch 3 ist die Root-Bridge. Die Schnittstelle ge-0/0/6 auf Switch 1 ist der Root-Port.
Dieses Beispiel zeigt, wie der Root-Schutz auf der Schnittstelle ge-0/0/7 konfiguriert wird, um zu verhindern, dass sie zum Root-Port wird.
Tabelle 1 zeigt die Komponenten, die für den Root-Schutz konfiguriert werden.
Eigentum |
Einstellungen |
|---|---|
Schalter 1 |
Switch 1 ist über die Schnittstelle ge-0/0/7 mit Switch 4 verbunden. |
Schalter 2 |
Switch 2 ist mit Switch 1 und Switch 3 verbunden. Die Schnittstelle ge-0/0/4 ist der alternative Port in der RSTP-Topologie. |
Schalter 3 |
Switch 3 ist die Root-Bridge und mit Switch 1 und Switch 2 verbunden. |
Schalter 4 |
Switch 4 ist mit Switch 1 verbunden. Nachdem der Root-Schutz auf der Schnittstelle ge-0/0/7 konfiguriert wurde, sendet Switch 4 überlegene BPDUs, die den Root-Schutz auf der Schnittstelle ge-0/0/7 auslösen. |
Eine Spanning Tree-Topologie enthält Ports, die bestimmte Rollen haben:
Der Root-Port ist für die Weiterleitung von Daten an die Root-Bridge zuständig.
Der alternative Port ist ein Standby-Port für den Root-Port. Wenn ein Root-Port ausfällt, wird der alternative Port zum aktiven Root-Port.
Der festgelegte Port leitet Daten an das nachgeschaltete Netzwerksegment oder -gerät weiter.
In diesem Konfigurationsbeispiel wird eine RSTP-Topologie verwendet. Sie können den Root-Schutz für STP- oder MSTP-Topologien aber auch unter [Protokolle bearbeiten (mstp | GfbV)] Hierarchieebene.
Topologie
Konfiguration
So konfigurieren Sie den Root-Schutz auf einer Schnittstelle:
Verfahren
CLI-Schnellkonfiguration
Um den Root-Schutz auf der Schnittstelle ge-0/0/7 schnell zu konfigurieren, kopieren Sie den folgenden Befehl und fügen Sie ihn in das Fenster des Switch-Terminals ein:
[edit]
set protocols rstp interface ge-0/0/7 no-root-port
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Root-Schutz:
Schnittstelle ge-0/0/7 konfigurieren:
[edit protocols rstp] user@switch# set interface ge-0/0/7 no-root-port
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration protocols rstp
interface ge-0/0/7.0 {
no-root-port;
}
Verifizierung
So bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert:
- Anzeigen des Schnittstellenstatus vor dem Auslösen des Root-Schutzes
- Überprüfen, ob der Root-Schutz auf der Schnittstelle funktioniert
Anzeigen des Schnittstellenstatus vor dem Auslösen des Root-Schutzes
Zweck
Bestätigen Sie den Schnittstellenstatus, bevor der Root-Schutz auf der Schnittstelle ge-0/0/7 ausgelöst wird.
Aktion
Verwenden Sie den Befehl operational mode:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0.0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1.0 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2.0 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3.0 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4.0 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5.0 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6.0 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7.0 128:520 128:520 32768.0019e2503f00 20000 FWD DESG
[output truncated]
Bedeutung
Die Ausgabe des Befehls show spanning-tree interface operational mode zeigt, dass ge-0/0/7.0 ein designierter Port in einem Weiterleitungszustand ist.
Überprüfen, ob der Root-Schutz auf der Schnittstelle funktioniert
Zweck
Auf Switch 4 findet eine Konfigurationsänderung statt. Eine kleinere Bridge-Priorität auf dem Switch 4 führt dazu, dass er überlegene BPDUs an die Schnittstelle ge-0/0/7 sendet. Der Empfang von überlegenen BPDUs auf der Schnittstelle ge-0/0/7 löst den Root-Schutz aus. Stellen Sie sicher, dass der Root-Schutz auf der Schnittstelle ge-0/0/7 funktioniert.
Aktion
Verwenden Sie den Befehl operational mode:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0.0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1.0 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2.0 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3.0 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4.0 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5.0 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6.0 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7.0 128:520 128:520 32768.0019e2503f00 20000 BLK DIS (Root—Incon)
[output truncated]
Bedeutung
Der Betriebsmodusbefehl show spanning-tree interface zeigt, dass die Schnittstelle ge-0/0/7.0 in einen inkonsistenten Root-Zustand übergegangen ist. Der inkonsistente Root-Status führt dazu, dass die Schnittstelle blockiert, alle empfangenen BPDUs verworfen werden und die Schnittstelle nicht als Kandidat für den Root-Port verwendet wird. Wenn die Root-Bridge keine überlegenen STP-BPDUs mehr von der Schnittstelle empfängt, wird die Schnittstelle wiederhergestellt und kehrt in einen Weiterleitungszustand über. Die Wiederherstellung erfolgt automatisch.
Beispiel: Konfigurieren des Root-Schutzes zur Erzwingung der Platzierung von Root-Bridges in Spanning Trees auf Switches der EX-Serie mit ELS
In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Switches der EX-Serie bieten Layer-2-Schleifenschutz durch Spanning Tree Protocol (STP), Rapid Spanning Tree Protocol (RSTP) und Multiple Spanning Tree Protocol (MSTP). Der Root-Schutz erhöht die Effizienz von STP, RSTP und MSTP, indem er es Netzwerkadministratoren ermöglicht, die Platzierung der Root-Bridge im Netzwerk manuell durchzusetzen.
In diesem Beispiel wird beschrieben, wie der Root-Schutz auf einer Schnittstelle auf einem Switch der EX-Serie konfiguriert wird:
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Junos OS Version 13.2X50-D10 oder höher oder höher für Switches der EX-Serie
Vier Switches der EX-Serie in einer RSTP-Topologie
Bevor Sie die Schnittstelle für den Root-Schutz konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
RSTP auf den Switches.
Standardmäßig ist RSTP auf allen Switches der EX-Serie aktiviert.
Übersicht und Topologie
Peer-STP-Anwendungen, die auf Switch-Schnittstellen ausgeführt werden, tauschen einen speziellen Frame-Typ aus, der als Bridge Protocol Data Unit (BPDU) bezeichnet wird. Switches kommunizieren Schnittstelleninformationen mithilfe von BPDUs, um eine schleifenfreie Topologie zu schaffen, die letztendlich die Root-Bridge bestimmt und bestimmt, welche Schnittstellen den Datenverkehr im Spanning Tree blockieren oder weiterleiten.
Ein Root-Port, der durch diesen Prozess ausgewählt wird, hat jedoch die Möglichkeit, falsch gewählt zu werden. Eine Benutzer-Bridge-Anwendung, die auf einem PC ausgeführt wird, kann ebenfalls BPDUs generieren und die Auswahl des Root-Ports stören.
Um dies zu verhindern, aktivieren Sie den Root-Schutz auf Schnittstellen, die keine übergeordneten BPDUs von der Root-Bridge erhalten und nicht als Root-Port ausgewählt werden dürfen. Diese Schnittstellen befinden sich in der Regel an einer administrativen Grenze und sind als Ports ausgewiesen.
Wenn der Root-Schutz auf einer Schnittstelle aktiviert ist:
Die Schnittstelle wird daran gehindert, zum Root-Port zu werden.
Der Root-Schutz ist für alle STP-Instanzen auf dieser Schnittstelle aktiviert.
Die Schnittstelle wird nur für Instanzen gesperrt, für die sie übergeordnete BPDUs empfängt. Andernfalls nimmt er an der Spanning-Tree-Topologie teil.
Eine Schnittstelle kann entweder für den Root-Schutz oder den Schleifenschutz konfiguriert werden, aber nicht für beide.
Vier Switches der EX-Serie sind in Abbildung 3 dargestellt. In diesem Beispiel werden sie für RSTP konfiguriert und erstellen eine schleifenfreie Topologie. Die Schnittstelle ge-0/0/7 auf Switch 1 ist ein designierter Port an einer Verwaltungsgrenze. Er stellt eine Verbindung zu Switch 4 her. Switch 3 ist die Root-Bridge. Die Schnittstelle ge-0/0/6 auf Switch 1 ist der Root-Port.
In diesem Beispiel wird gezeigt, wie der Root-Schutz auf der Schnittstelle ge-0/0/7 konfiguriert wird, um zu verhindern, dass er zum Root-Port wird.
Tabelle 2 zeigt die Komponenten, die für den Root-Schutz konfiguriert werden.
Eigentum |
Einstellungen |
|---|---|
Schalter 1 |
Switch 1 ist über eine Schnittstelle |
Schalter 2 |
Switch 2 ist mit Switch 1 und Switch 3 verbunden. Schnittstelle |
Schalter 3 |
Switch 3 ist die Root-Bridge und mit Switch 1 und Switch 2 verbunden. |
Schalter 4 |
Switch 4 ist mit Switch 1 verbunden. Nachdem der Root-Schutz auf der Schnittstelle |
Eine Spanning Tree-Topologie enthält Ports, die bestimmte Rollen haben:
Der Root-Port ist für die Weiterleitung von Daten an die Root-Bridge zuständig.
Der alternative Port ist ein Standby-Port für den Root-Port. Wenn ein Root-Port ausfällt, wird der alternative Port zum aktiven Root-Port.
Der festgelegte Port leitet Daten an das nachgeschaltete Netzwerksegment oder -gerät weiter.
In diesem Konfigurationsbeispiel wird eine RSTP-Topologie verwendet. Sie können den Root-Schutz für STP- oder MSTP-Topologien jedoch auch auf der Hierarchieebene [edit protocols mstp ] konfigurieren.
Topologie
Konfiguration
So konfigurieren Sie den Root-Schutz auf einer Schnittstelle:
Verfahren
CLI-Schnellkonfiguration
Um den Root-Schutz auf der Schnittstelle ge-0/0/7schnell zu konfigurieren, kopieren Sie den folgenden Befehl und fügen Sie ihn in das Fenster des Switch-Terminals ein:
[edit]
set protocols rstp interface ge-0/0/7 no-root-port
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Root-Schutz:
Schnittstelle
ge-0/0/7konfigurieren :[edit protocols rstp] user@switch# set interface ge-0/0/7 no-root-port
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration protocols rstp
interface ge-0/0/7 {
no-root-port;
}
Verifizierung
So bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert:
- Anzeigen des Schnittstellenstatus vor dem Auslösen des Root-Schutzes
- Überprüfen, ob der Root-Schutz auf der Schnittstelle funktioniert
Anzeigen des Schnittstellenstatus vor dem Auslösen des Root-Schutzes
Zweck
Bevor der Root-Schutz auf der Schnittstelle ge-0/0/7ausgelöst wird, bestätigen Sie den Schnittstellenstatus.
Aktion
Verwenden Sie den Befehl operational mode:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7 128:520 128:520 32768.0019e2503f00 20000 FWD DESG
[output truncated]
Bedeutung
Die Ausgabe des Befehls show spanning-tree interface operational mode zeigt, dass ge-0/0/7 es sich um einen designierten Port in einem Weiterleitungsstatus handelt.
Überprüfen, ob der Root-Schutz auf der Schnittstelle funktioniert
Zweck
Auf Switch 4 findet eine Konfigurationsänderung statt. Eine kleinere Bridge-Priorität auf dem Switch 4 führt dazu, dass er überlegene BPDUs an die Schnittstelle ge-0/0/7sendet. Der Empfang von überlegenen BPDUs auf der Schnittstelle ge-0/0/7 löst den Root-Schutz aus. Stellen Sie sicher, dass der Root-Schutz auf der Schnittstelle ge-0/0/7ausgeführt wird.
Aktion
Verwenden Sie den Befehl operational mode:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7 128:520 128:520 32768.0019e2503f00 20000 BLK DIS (Root—Incon)
[output truncated]
Bedeutung
Der Befehl show spanning-tree interface operational mode zeigt an, dass die Schnittstelle ge-0/0/7 in einen inkonsistenten Root-Zustand übergegangen ist. Der inkonsistente Root-Status führt dazu, dass die Schnittstelle blockiert, alle empfangenen BPDUs verworfen werden und die Schnittstelle nicht als Kandidat für den Root-Port verwendet wird. Wenn die Root-Bridge keine überlegenen STP-BPDUs mehr von der Schnittstelle empfängt, wird die Schnittstelle wiederhergestellt und kehrt in einen Weiterleitungszustand über. Die Wiederherstellung erfolgt automatisch.