1,問題描述
組網描述:A/B/C/D四臺5700EI交換機接入客戶的網絡用於透傳PVST+等二層協議報文,四臺設備分別有一個接口連接思科交換機。A設備和C設備為一個Tunnel,配置“port default vlan 1557”在vlan1557中透傳;B設備和D設備為一個Tunnel配置“port default vlan 1558”在vlan1558中透傳。詳細組網圖如下:
問題描述:1.當接入B、D交換機後發現A設備的CPU也會上升,當shutdown B交換機的0/0/2後A設備的CPU利用率也會降到之前的水平;2.當接入B、D交換機後A、C tunnel的友商設備PVST+會震盪;
2,處理過程
1. 查看四臺交換機的全局配置以及連接友商設備的物理接口配置:
#
l2protocol-tunnel lacp group-mac 0100-5e00-0015
l2protocol-tunnel lldp group-mac 0100-5e00-0017
l2protocol-tunnel vtp group-mac 0100-5e00-0016
l2protocol-tunnel cdp group-mac 0100-0ccd-cdd0
l2protocol-tunnel udld group-mac 0100-5e00-0013
l2protocol-tunnel pvst+ group-mac 0100-0ccd-cdd0
#
bpdu mac-address 0100-0ccc-cccd
#
interface GigabitEthernet0/0/1
port link-type dot1q-tunnel
port default vlan 1557 //A、C tunnel配置透傳vlan1557;B、C tuennl配置透傳vlan1558;
stp disable
l2protocol-tunnel hgmp stp lacp eoam3ah lldp gmrp gvrp vtp cdp dtp enable
l2protocol-tunnel udld pagp pvst+ sstp enable
undo ntdp enable
2. 二層協議透傳的原理是在將報文協議報文上送到CPU進行替換目的MAC將之變成組播報文進行轉發,在tunnel的終點處再將目的MAC替換成協議報文應有的MAC地址;
3. 不同的tunnel應該配置不同的全局替換MAC,否則中間設備也會將透傳的報文抓到CPU進行軟轉發,因為這種場景沒有辦法判斷該設備是不是tunnel的終點,如果處理報文過多會導致CPU升高。該組網環境中不同的tunnel配置相同替換MAC,所以從B設備過來已經替換過目的MAC的協議報文達到A設備也會被抓到CPU進行處理,加入透傳VLAN1558的接口只有0/0/2 和0/0/3且都沒有配置二層透傳,所以報文會進行軟轉發,進而導致CPU升高。
4. 在C交換機上接口0/0/1和0/0/3分別做流量統計,發現在該交換機上有丟包計數,原因是CPU處理報文數有限制,超時處理限制外的報文都會被丟棄。而PVST+報文在交換機上能夠被直接硬件透傳,所以在該場景上不需要對PVST+報文進行替換MAC處理。
3,根因
交換機CPU處理上送的協議報文數有限制,超時處理限制外的報文都會被丟棄。
PVST+報文在交換機上能夠被直接硬件透傳,所以在該場景上不需要對PVST+報文進行替換MAC處理。
4,解決方案
在四臺交換機上去使能“bpdu mac-address 0100-0ccc-cccd”。
5,建議與總結
交換機對BPDU報文都是直接終結的,在需要對bpdu報文透傳的場景大家想到的首先是二層協議透傳;
但二層協議透傳需要在兩端將BPDU報文上送到CPU進行封裝解封裝處理,加重CPU負載的同時處理效率也較低。
S交換機支持通過命令行將BPDU的目的MAC設置為非BDPU 目的MAC地址,即S交換機對此報文直接當做普通數據報文進行二層透傳處理,無效率問題。
可以通過display bpdu mac-address查看目前設備將哪些目的MAC的報文當做BPDU報文進行處理。
閱讀更多 王海軍老師 的文章
