cisco stp相关配置
这里不去介绍相关知识了,网上一搜一大堆。写这篇博客只是为了记录下解决我单位混乱二层网络管理无从下手的一些心得。
交换机配置一向不是我的强项,这次调整stp完全出于无奈,我们单位的网络期初是从1台借用的二层交换机开始的,逐步的添加扩展直到今天位于3个机房、13台交换机的规模、9个网段,由于我懒,加上随意配ip习惯,导致了这种局面,要起三层必须等于是要把网络这层全部铲了从起炉灶,伤不起啊,前车之鉴啊,各位规划网络初期就一定要注意啊!
我们这个大二层从划分来讲主要就是3大块,1,中心机房 2,电信机房 3,办公室。
故事(事故)是这样开始的,由于单位搬了新大楼,而新大楼的网络全部使用的是h3c产品,我们在14楼使用的是我们单位独立的网络,但是平时也有其他一些楼层需要用我们的网段跑些业务,所以在14楼我们在我们网络的cisco交换机与大楼本身网络的h3c交换机之间做了互通并在大楼网络里面起了个我们的vlan,这样就能利用大楼的网络方便的将某些端口划到分到我们的vlan里面就能使用我们的出口和网络了。但是问题出现了,在楼道里cisco和h3c互联接线的那刻,大楼网络从楼道的h3c交换机开始一直瘫倒核心。后来把我们楼道里面那台cisco的stp关了才算了事。cisco的stp是只能针对vlan关的,像我们那种傻瓜用法的等于要关掉整个交换机的stp,这很不爽。调整双方stp协议对接也很不现实,大楼网络不会为了我们一个小网络去做调整。所以我只能想其他办法了。
网上看了几天资料了解了,看完才知道,原来二层网络也是需要管理维护的。
1.根桥(root bridge)
二层网络首先要确定一个根桥(root bridge),虽然什么都不配交换机之间也能自己协商出来一个,但是有些情况下那往往不是你所希望的,而且随着后期交换机的加入还会发生变化。
如何确定根桥(root bridge):
3750#show spanning-tree
VLAN0010
Spanning tree enabled protocol ieee
Root ID Priority 24577
Address 04c5.a488.c400
Cost 4
Port 3 (GigabitEthernet1/0/3)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32778 (priority 32768 sys-id-ext 10)
Address 04c5.a488.c400
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Gi1/0/3 Root FWD 4 128.3 P2p
Gi1/0/4 Desg FWD 19 128.4 P2p
沿着这个返回端口在途径的交换机上面重复 show spanning-tree 直到出现
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 24577
Address 04c5.a488.c400
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 24577 (priority 24576 sys-id-ext 1)
Address 04c5.a488.c400
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
这就是你二层网络的 根桥(root bridge)。
2.如何手工指定根桥(root bridge)
3750#conf t
3750(config)#spanning-tree vlan 1 root primary
3.根保护(Root Guard)
根保护(Root Guard)的作用是防止指定端口下级网络环境中出现根桥(root bridge),虽然你通过手工可以指定根桥(root bridge)但是他的优先级(Priority)是固定为24577的(数值越低优先级越高),一旦下级网络中有手工指定的优先级更高的交换机出现那么它就会占据根桥(root bridge)。这时候就需要配置根保护(Root Guard)防止这种情况。
3750#conf t
3750(config)#interface gigabitEthernet1/0/26
3750(config-if)#spanning-tree bpduguard enable
端口配置了根保护(Root Guard)后,一旦接收到优先级比现有根更高的BPDU包这个端口就会被转为Block状态,直到不再接受到BPDU包或者优先级高的BPDU包。
3.BPDU过滤(BPDU Filtering)
BPDU过滤(BPDU Filtering)顾名思义,过滤BPDU。端口接受到任何的BPDU包一律到此为止,不在往端口上转发。一般配合PortFast用于连接主机的端口。
3750#conf t
3750(config)#interface gigabitEthernet1/0/26
3750(config-if)#spanning-tree bpdufilter enable
一旦端口启用BPDU过滤(BPDU Filtering)要注意不能出现环路,不然就真的瘫了。而且BPDU过滤(BPDU Filtering)优先级比根保护(Root Guard)高所以同时启用2个功能的话根保护(Root Guard)是不起作用的。
至于上面我单位遇到的问题,我测试了一下在手工指定根桥(root bridge)后再在14楼cisco上于h3c互联的端口启用BPDU过滤(BPDU Filtering),同时关闭h3c相应端口的stp后在打开cisco交换机的stp,网络就正常了。