1,問題描述
R國S銀行區域總部生產網備數據中心項目,建設區域總部生產網的容災業務平面。正常情況下,不承載數據流量,在主數據機房中心出現問題時,接續轉發流量,保證業務不間斷運行。
2016年1月28日,某區域總部主備數據中心間LAN網絡出現VBST震盪,Shutdown思科接口手動破環後網絡及業務恢復。
2,處理過程
1、 在DMZ-S5710-1查看日誌,發現DMZ-S5710-1和DMZ-S5710-2設備上Pvst vlan 30內端口故障期間同時和周邊設備進行協商。
2、 原因可能是VLAN30內長期收不到根橋(LAN-C6509-1)PVST Hello報文所致。DMZ-S5710-1和DMZ-S5710-2認為VLAN30內根橋丟失,重新協商,VLAN30內端口STP狀態不斷切換狀態。
Jan 28 2016 15:18:33+03:00 DMZ-S5710-1 %%01VBST/4/PORTFORWARD(l)[8]:In VBST vlan 30, VBST set port GE0/0/22 state as forwarding.
Jan 28 2016 15:18:33+03:00 DMZ-S5710-1 %%01VBST/4/PORTLEARNING(l)[9]: In VBST vlan 30, VBST set port GE0/0/22 state as learning.
Jan 28 2016 15:18:32+03:00 DMZ-S5710-1 %%01VBST/4/PORTDISCARD(l)[10]:In VBST vlan 30, VBST set port GE0/0/4 state as discarding.
Jan 28 2016 15:18:32+03:00 DMZ-S5710-1 %%01VBST/4/PORTFORWARD(l)[11]:In VBST vlan 30, VBST set port GE0/0/24 state as forwarding.
Jan 28 2016 15:18:32+03:00 DMZ-S5710-1 %%01VBST/4/PORTLEARNING(l)[12]:In VBST vlan 30, VBST set port GE0/0/24 state as learning.
3、 流量環路分析:
初步判斷故障期間,LAN-C6509-1和DMZ-C3750-1之間的STP報文被丟失,LAN-C6509-2和DMZ-C3750-2之間的STP報文也被丟失,導致兩端都被計算成DESI角色。
VBST認為LAN-C6509-1和DMZ-C3750-1、LAN-C6509-2和DMZ-C3750-2之間的鏈路邏輯上是斷開的,實際上物理上仍然有連接,因此VBST計算錯誤,導致網絡實際上存在流量環路。
MAC漂移日誌如下:
C3750-1日誌:
Jan 28 15:19:25.428 MSK: %SW_MATM-4-MACFLAP_NOTIF: Host 0e01.e08b.df74 in vlan 30 is flapping between port Gi1/0/2 and port Gi1/0/22
Jan 28 15:19:40.561 MSK: %SW_MATM-4-MACFLAP_NOTIF: Host 0e01.e08b.df74 in vlan 30 is flapping between port Gi1/0/2 and port Gi1/0/22
C3750-2日誌:
Jan 28 15:28:32.573 MSK: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.5e00.011e in vlan 30 is flapping between port Gi1/0/3 and port Gi1/0/24
Jan 28 15:28:40.861 MSK: %SW_MATM-4-MACFLAP_NOTIF: Host 0e01.e08b.df74 in vlan 30 is flapping between port Gi1/0/3 and port Gi1/0/24
S5710-1 mac漂移記錄:
-------------------------------------------------------------------------------
Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum
-------------------------------------------------------------------------------
S:2016-01-28 15:29:00 30 0e01-e08b-df74 GE0/0/22 GE0/0/2 17399
E:2016-01-28 15:36:33
S6700-1 mac漂移記錄:
------------------------------------------------------------------------------
Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum
-------------------------------------------------------------------------------
S:2016-01-28 15:19:55 30 845b-1241-2321 XGE0/0/35 XGE0/0/48 2586
E:2016-01-28 15:36:43
故障期間,思科與華為設備均出現MAC漂移記錄,顯然網絡中出現環路。
4、 環路移除分析:
業務切換到Huawei設備後,環路仍一直存在,直到Shutdown LAN-C6509-01和LAN-C6509-02端口後,環路破除。端口Shutdown時間和所有MAC漂移結束時間一致。
3,根因
最終確認為BlueCoat Shaper錯誤配置造成通過其鏈路帶寬驟減,進而丟棄STP協議報文導致。
4,解決方案
恢復BlueCoat Shaper正確配置,能正常透傳STP協議報文。
5,建議與總結
1、 二層環路故障,可考慮手工破環先恢復業務。
2、 理論與實踐證明VBST可與PVST+成功對接。
3、 網絡中BlueCoat Shaper等應用設備可能出現丟棄協議報文導致業務故障的情況。
閱讀更多 王海軍老師 的文章
