2020版网络MSTP故障排查.docx

MSTP故障排查一、开始MSTP定位故障的思路是按照生成树的工作原理：先确定二层网络MSTP的运行范围，再确定全网根桥及域根的一致性，确认域边界,然后再确定每一台参与MSTP计算的网桥的端口角色是否正确，包括在CIST和MSTI中的端口角色是否正确，最后再确定各类生成树保护机制是否导致了异常端口阻塞，业务VLAN是否贯穿全网，是否存在可能的环路。1、查看生成树状态我司大量的交换机缺省情况下并不开启生成树协议，因此要确认每一台网桥都开启了生成树功能并且生成树协议模式为MSTP命令：displaystp例如：通过命令查看，正确的结果是：<H3C>displaystp,CISTGlobalInfoModeISTPCISTBridge:32768.0023-8939-88b0BridgeTimes：Hello2sHaxAge20sFwDly15sHaxH20WwWW/ZZ通过命令查看，错误的结果是:<H3C>dispStDProtocolStatus：disabledProtocolStd.:IEEE802.IsVersion:32、查看并修改生成树基本配置生成树的基本配置包括四项，所有参与生成树计算的网桥务必保持一致。命令：Displaycurrent-configuration例如：通过命令查看配置：版权所有:杭州华三通信技术有限公司<H3C>displaycurrent-configuration翼Qenable使能生成树#生成树模式为MSTPH3CstpmodemstpMSTP为缺省模式，配置不显示。生成树的网络直径H3Cstpbridge-diameterdiameter不建议进行配置，使用缺省参数7,配置不显示。生成树的时间参数H3Cstptimer不建议进行配置，使用缺省参数，配置不显示。3、查看根桥及域根的一致性，确定域边界查看整个二层网络中相关网桥的总根桥必须为同一个网桥，在同一个域内每个MSTl的域根为同一个网桥。命令：displaystp例如：通过命令查看根桥的结果是:<H3C>displayst,:32768. 0023-8914-3ea9:HelIo 2s MaxAge 20s FwDly 15s MaxHop 20CIST BridgeBridge TimesCISTGlobalInfoModeMSTPCISTRoot/ERPC:0.0023-8939-88b0/20CISTRegRoot/IRPC:32768.0023-8914-3ea9/0<H3C>displaystpinstance2MSTI2GlobalInfoMSTIBridgeID:4096.0023-8914-3ea9MSTIRoptIRPC:0.0023-8927-adf5/20要求所有网桥查询到的总根桥必须一致，同一域内的同一MSTl的域根也需要一致。确定域边界。在域边界联往总根桥的接口状态查询：命令：displaystpinterfaceGigabitEthernet1/0/2<H3C>displaystpinterfaceGigabitENhemet1/0/2CISTPort2(GigabitEthemetl02)FORWARDINGPortProtocol:enabledPortRole:ClSrKDOtPortMSTI1Port2(GigabitEthemetl02)FORIARDING1PortRole:IasterPnrtISTI2Port2(GigabitEthemetl02)FOKWARDINGPortRole:IasterPort<H3C>displaystpinterfaceGabEthernet2/0/2CISTPort91(GigabitEthemet202)JDISCARDTMGPortProtocol：enabledPortRole：CISTAlternatePartISTI1Port91(GigabitEthemet202)DISCARDINGPortRole:AlternatePartISTI2Port91(GigabitEthemet202)LDlSCARDlMGPartRole!AlternatePart4、查看各网桥互联接口配置如果出现网桥总根桥不一致的情况，需要查看根桥不一致的两个相邻网桥互联端口状态及配置：4. 1确认端口STP处于使能状态；命令：displaystpinterface例如：<H3C>displaystpinterfaceGigabitEthernetl./0/1CIST(PortKGigabitEthemetlZO/1)FORWARDINGPortProtocol:enabled4.2 确认端口未处于单通状态；对于域内互联的两个接口，通过显示接口的BPDU收发报文，如果两端口都在发，其中只有一端收到，则说明存在单通现象。对于域间互联的两个接口，通过显示接口的BPDU收发报文，正常情况下应该是一端发,一端收，且发送BPDU的端口应该有学习到的动态MACo如果相连的两端口都在发送BPDU,则说明存在单通现象。<H3C>displayspinterfaceGigabitEthemet1/0/1CISTPortl(GigabitEthemet1/0/1)FORWARDINGBPDUSentTCN:0,Cof:0,RST:0,MST:2199BPDUReceived:2295TCN:0,5nf:0,RST:0,MST:22954.3 确认端口上配置未启用和BPDU相关的过滤功能；命令：H3Cdisplaycurrent-configurationinterfaceGigahitEthemet1/0/14.44.4如果两交换机之间还联有其他二层设备（如IPS,FW,传输设备等），需要确保该二层设备透传BPDU报文；可以在交换机两边对应的端口上启动debug功能，判断收发BPDU报文是否一致。命令：debugstppacketinterfaceGigabitEthernet1/0/1verbose例如:<H3C>debugstppacketinterfaceGigabitEthernet1/2/0/18verboseJun1400:02:34:6062013H3C三SP7PKT:-ChassiS=I-Slot=2;Portll4 (Gigabi tEthemetl/2/0/18)Send Hstp-Iegacy Packet(Length：103)00 00 03 02 6c 00 00 00 23 89 1414 80 00 00 23 89 bd al 8a 80 7200 09 00 00 00 0031 38 61 00 00 0040 30 30 32 3300 00 00 00 0000 00 00 00 00 00 d4 b8 38 21 d8 ab00 00 00 ac 3626 de 62 80 003e a9 00 00 00 01 00 Gc 00 0238 39 62 64 6100 00 00 00 0017 7f 50 28 3c 00 23 89 bd al8a000000001400uda4.5如果同一个MSTP域被意外分割成多个域，需要查询MSTPregion配置。命令：IH3Cdisplaycurrent-Configuration#stpregion-configurationregion-nametest同一域内交换机配置region-name必须相同instance1vlan100实例与VIan的映射关系必须相同instance2vlan200activeregion-configuration修改配置后必须重新执行此命令，使修改生效。#如若与友商进行MSTP互通，需要在和友商互联接口上配置摘要侦听功能。命令：stpconfig-digest-snooping5、确认端口角色确认相关网桥上相关端口角色是否正常。对于MSTP来说，同一个端口在不同的MSTl中角色很可能不同。重点是排查出现故障的相关Vlan（不论是断路还是环路）所经过的路径的相关端口在对应的MSTl中角色是否与预期一致。命令：IH3CdisplaystpinterfaceGigabitEthemet20l如下命令中显示，端口2/0/1在ClST中作为根端口，在MSTn中作为根端口，而在MSTl2中作为指定端口。版权所有:杭州华三通信技术有限公司H3CdisplaystpinterfaceGigabitEthernet2/0/1-CISTPort90(GigabitEthernet20l)FORWARDING一PortProtocol:enabledPortRole:CISTRootPort-MSTIlPort90(GigabitEthernet20l)FORWARDINGj-PortRole:RootPortMSTI2Port90(GigabitEthernet20l)FORWARDINGPortRoledesignatedPort6、查看并修改链路开销标准，确认接口工作模式，确定异常阻塞端口6.1查看网桥上StP链路开销标准的配置是否一致，正确选路的前提是全网标准一致。H3C交换机支持dotld、dotlt和IegaCy三种标准。缺省是IegaCy标准，属于H3C公司私有。和友商进行互通时建议使用dotlt标准。命令：displaystp例如：通过命令查看，可以确认本网桥选用的StP链路开销标准。H3CdisplaystpzCISTGlobalCISTBridgeBridgeTimesCISTRoot/ERPCCISTRegRoot/IRPCCISTRootPortIdBPDU-ProtectionBridgeConfig-Digest-SnoopingTCorTCNreceivedTimesincelastTCInfoModeKSTP:32768.0023-8927-adf5:HelIo2sMaxAge20sFwDly15sMaxHop20:0.0023-8939-88b0/20:32768.0023-8914-3ea9/20:128.90:disabled:disabled:47:0daysOh：7m：48sPort90(GigabitEthernet20l)FORWARDINGPortProtocolPortRolePortPriorityPortCost(Legacy)!enabled:CISTRootPort:128:COnfig=auto/Active=20修改StP链路开销标准命令：H3Cstppathcost-standarddotIt6.2查看相关网桥互联接口的工作模式（速度和双工模式），确认工作在预设定状态。命令：displaystp<H3C>disintgi1/0/1GigabitEthernet1/0/1currentstate：UPIPPacketFrameType：PKTFMT_ETHNT_2,HardwareAddress：0023-8939-88d2Description：GigabitEthernet1/0/1Interface1.oopbackisnotsetMediatypeistwistedpair,Porthardwaretypeis1000_BASE_T1OOOIbps-speedJnOde,full-dilexmode6.3查看是否有相关端口处于异常阻塞状态。如果端口处在异常阻塞状态，说明网络曾经发生过异常。异常阻塞通常与生成树的几种保护机制相关。以下为根保护机制导致的端口异常阻塞：命令：displaystpinterfaceGigabitEthernet1/0/1H3C-GigabitEtherne11/O/1disstpzintgi1/0/1CISTPortl(GigabitEthernetlZO/1)FORWARDING-一PortProtocolPortRoleProtectionType：enabled：CISTDesignatedPort：RootMSTI1Portl(GigabitEthernetlZOZl)FORWARDINGPortRole!DesignatedPortMSTI2Portl(Gigabi!Ethernet1/0/1)DISCARDINGPortRole!DesignatedPortH3C-GigabitEthernetl0l从端口统计上看，端口在MSTl2中的角色是DeSignatedPort,但出于DlSCARDING状态，属于异常阻塞。再看保护类型属于根保护，初步判断是有更高优先级的网桥连接所致。查看历史告警记录:命令：displayIoghnfferreverse<H3C>displogbufferreverse#APr2614:31:17:5442000H3C三STP1/RGSUP:hwPortlfstiRootGuard:Instance2,sRDOT-Protectionport2.9437184receivedsuperiormessage!%Apr2614:31:17:7142000HXMSTP4三STP.R00T,PR0TECTI0N：InstanceZsROOT-ProtectionPartGigabi!Ethernet1/0/1receiveds<erirBPWJs.从告警记录上看，确实在MSTI2中收到了更高优先级BPDU导致MSTI2中的报文转发状态处于DlSCARDING状态。以下为环路保护导致的端口异常阻塞:H3Cdisplay?jj>interfaceQUitEthcrnct1/0/1CISTPrtl(Gigak：tlOl)FlRWAFXINGPortProtocol:enabledPortRole:CISTDesignatedPortProtectionType:LOOPISTI1Port1(GigabitEthemet1/0/1)FORWARDINGPortRole!DesignatedPortISTI2PortKGlgftbitEthemetl/O/l)DISCARDINCPortRole:Desi<nntedPart告警信息:<H3C>displogbufferreverse#Apr2614:40:37:6412000H3CMSTP/1/LGEXP:hwPortMstILoopGuarded:Instance2,s1.OOP-Protectionport2.9437184didnotreceivemessage1%Apr2614:40:37:8112000H3CMSTP/5/MSTP_BPDU_RECEIVE_EXPIRY:Instance2'sPortGigabitEthernet1/0/1receivednoBPDUwithintheTcvdInfoWhileinterval.Informationoftheportagedout.%Apr2614:40:38:0422000H3CMSTP/6/MSTP.DISCARDING:Instance2,sGigabitEthernet1/0/1hasbeensettodiscardingstate.%Apr2614:40:38:1922000H3CMSTP/4/MSTP_L00P_PR0TECTI0N:Instance2's1.OOP-ProtectionportGigabitEthernet1/0/1failedtoreceiveconfigurationBPDUswwwv*v以下为BPDU保护导致的端口异常DOWN状态:H3CdisplaystpinterfaceGigabitEthnet1/0/2CISTPor12(GigabitEthemet1/0/2)DOWNPortProtocolPortRolePortPriorityPortEdgedBPDU-Protection:enabled：CISTDisabledPart:128:Confi吃enabled/ACtiVe=enabledZenabled告警信息:#APr2912:16:27:2662000H3CMSTP1IVBPDlkh(须Xlg做搜蛔:BPDU-Protectionport2receivedBPDUpacket!%Apr2912:16:27:4062000H3CMSTP2IVBPDU:BPDU-ProtectionportGigabitEthernet1/0/2receivedBPDUpacketI%Apr2912:16:27:5362000H3CIFNET4INKUPDOWN:GigabitEthernet1/0/2:linkstatusisDOWN以下为单端口环路导致的端口异常DISCARDING状态:H3C-GigabiTEthemet1/0/2dispStPintgi1/0/2CISTPort2(GigabitEthemet1/0/2)LDlSCARDINClPortProtocolPortRolePortEdgedProtectionType：enabled：CISTDesigruitcdPort：Config=enabled/Active=disabled:NUrie告警信息:Apr2913:37:54:2272000H3C!ISTP2PDISC:Instance0,sGigabitEthernet1/0/2hasbeensettodiscardingstate!%Apr2913:37:54:3682000H3CDRVDB/4/LOGInfo：1.popbackdoesexistonportGigabitEthernet1/0/2vlan1,pleasecheckit7、检查业务Vlan是否贯穿全网（仅指该业务Vlan需要覆盖到的网桥）查看出现故障的业务Vlarb进行端到端的全部路径的查询。其中，在MSTP域内需要根据对应的MSTl进行路径查询。需要确认：7.1转发路径上每一个端口（网桥互连端口）上正确配置了相应的业务VIan；命令：H3CdisplayinterfaceGigabitEthernet1/0/1H3Cdisintgi1/0/1GigabitEthernet1/0/1currentstate:UPPVID:1type：autoPortlink-type:trunkVLANpassing:1(defaultyl),100110VLANpermitted：1(defaultvla),100-110Trunkportencapsulation:IEEE802.Iq7.2转发路径上每一个端口（网桥互连端口）上正确学习到了相关MAC,且多次查看MAC是否频繁迁移；命令：H3Cdisplaymac-addressxxxx-xxxx-xxxxHSCjdisplaymac-address0000-0000-0021IACADDRVLANIDSTATEPORTINDEXAGINGTIIE(s)0000-0000-0021100LEARNEDGigabitEthernet1/0/2AfiING1IACaddress(es)found-一H3Cdisplaymac-address0000-0000-0021IACADDRVLANIDSTATEPORTINDEXAGINGTIKB(s)0000-0000-0021100LEARNEDGigabitEthernet1/0/1前I因如果存在频繁的业务MAC飘移，则很可能存在环路问题。需要进行环路的追踪。追踪的原则是判断业务MAC正常情况下应该从哪个端口收到，那么从其他的端口收到则可能是环路的端口。通常用display看到的端就是发生环路的端口。7.3查看转发路径上每一个端口（网桥互连端口）上的流量统计情况，重点关注端口收发报文占用带宽的百分比，组播和广播流量大小；命令：H3CdisplayinterfaceGigahitEthemet1/0/1H3CdisplayinterfaceQigabitEthe1/0/1GigabitEthemetI/0/1currentstate：UPPortpriority：0Peakvalueofinput:108553678bytes/sec,at2000-04-2907:15:01Peakvalueofoutput:108553647bytes/sec,at2000-04-2907:15:011.ast300secondsinput：822376packets/sec108553662bytes/sec100U1.ast300secondsoutput：822375packets/sec108553630bytes/sec100%Input(total)：45373&361pZtckets959892409109bytes0unicastst453604531broadcasts.131834aulticastsInput(normal):453736365packets,59892409109bytes0unicasts,453604531broadcasts,131834multicastsInput:0inputerrors,0runts,0giants,0throttles0CRC,0frame,0overruns,0aborts0ignored,0parityerrorsOutput(total):453585222packets,59873409459bytes0urucast%453579906broadcasts,5326wlticast0pausesOutput(normal)：453585232packets,59873409459bytes0unicasts,453579906broadcasts,5326multicasts,0pausesOutput：0outputerrors,0underruns,0bufferfailures0aborts,0deferred.0collisions,0latecollisions从端口统计数据看出，如果端口收发数据的百分比超过90%,并且广播和组播数据占据绝大部分比例时，很可能存在环路。需要追踪此类端口，来判断环路路径。判断方式是在环路路径上的端口收发的广播/组播数据量都很大，未在环路路径上的端口仅发方向的广播/组播流量大STP状态是否正常？总根域根是否一致？域边界是否正确？端口角色是否正常？业务Vlan贯穿全网检查业务Vlan是否贯穿全网，查看并修正可能产生的环路。