我在数据中心有一个连接,网络提供商为我提供了两个以太网连接。它们应该连接到同一个 VLAN,这样我就可以将它们连接到我的交换机,并且每次只有一个处于活动状态,但任何一方都可以进行硬件维护(重新布线、交换机升级等),而不会导致服务中断。
我已经将交换机分区,以便为该外部边缘设置单独的 VLAN - 假设端口 1-3 在 VLAN 上,端口 1 和 2 是我的托管提供的互联网连接,端口 3 是防火墙的外部接口。无论端口 1 或端口 2 连接,这都可以正常工作,但在两者同时连接后约 2 分钟,我的交换机变得无响应,我得到约 80% 的数据包丢失,并且进行一些诊断显示每分钟有数百万个广播数据包。
我对 STP 有基本的了解,知道必须启用它才能使其工作;当 STP 处于打开状态时,两个接口仍然会被标记为转发。
有人知道什么会导致数据包风暴吗?有没有更好的方法来建立冗余连接?
答案1
快速回答:您需要与您的提供商联系。
为了使 STP 防止出现网络环路,环路中的所有潜在节点都必须以相同的方式运行相同的 STP 协议。
您需要联系您的提供商并询问他“STP 是如何配置的?”并确保您的终端也是相同的。(可能的生成树协议包括 STP、MST、RST、PVST、PVST+ 等)
另一方面,由于您可能没有共享 VLAN 配置,因此他很可能没有在您的链路上运行 STP。
如果他愿意,请在这些上行链路上配置链路聚合(两端!)。这样你就不需要担心 STP 了。
答案2
正如前面所述,获得像这样的第 2 层正常工作的冗余连接的一种方法是运行生成树协议的某些变体。大多数(如果不是全部)变体都具有兼容模式,以处理运行原始 802.1d 生成树的旧交换机,因此基本操作不需要专门匹配版本;但是,如果您在兼容模式下运行,故障转移速度将不会很快。
对于托管服务提供商来说,这种类型的循环可能是灾难性的。配置交换机以检测和防止这种类型的循环对于运行大型交换网络绝对是至关重要的。我会认真考虑更换您的供应商,或者至少要求他们审查他们的最佳实践。
我通常不喜欢将不同管理域下的交换机链接到单个生成树中。
不使用生成树来打破您这边环路的一种方法是使用某种形式的“私有 VLAN”配置。大多数大型交换机供应商都具有这种类型的功能,可用于防止同一 VLAN 上的用户直接相互通信。这在数据中心和城域以太网领域非常有用。在您的配置中,端口 1 和 2 将被标记为私有/UNI(或您的供应商的任何术语),端口 3 将被标记为混杂/NNI(等等)。
一些供应商还具有明确的备份端口配置,允许您将端口标记为不活动,直到配置的主链路关闭为止。
如果您有多个交换机,请确保您可以控制生成树。通常,您可以将交换机串联在一起,只要生成树正在运行,它们就会正常工作;但是迟早会出现问题,如果您知道根在哪里以及哪些链接应该转发/阻止,那么故障排除就会容易得多。