網絡運維篇:防止二層環路和(hé)廣播風暴的威脅!
發布時(shí)間(jiān):2023-06-29 閱讀: 分享

相信大(dà)家(jiā)都聽(tīng)過網絡環路這個(gè)詞吧(ba),網絡環路會(huì)對企業網絡存在很(hěn)大(dà)的威脅,它會(huì)造成網絡裏的廣播風暴,耗盡交換資源,造成交換機癱瘓,最終導緻的就是直接的經濟損失。今天我們就來(lái)聊聊,環路的産生(shēng)、排查、解決以及如何防範。


圖片

什麽是環路


      以太網交換網絡中為(wèi)了提高(gāo)網絡可(kě)靠性,通(tōng)常會(huì)采用冗餘設備和(hé)冗餘鏈路,然而現網中由于組網調整、配置修改、升級割接等原因,經常會(huì)造成數(shù)據或協議報文環形轉發,不可(kě)避免的形成環路。如圖所示,三台設備兩兩相連就會(huì)形成環路。當設備未部署環路保護協議或者組網配置發生(shēng)變更時(shí),環形組網中就可(kě)能會(huì)産生(shēng)廣播風暴。


圖片


圖片

環路的危害


      二層環路最大(dà)的危害就是會(huì)産生(shēng)廣播風暴,以太網是一個(gè)支持廣播的網絡,在沒有(yǒu)環路的環境中,廣播包在網絡中以泛洪的形式被送達到網絡的每一個(gè)角落,以保證每個(gè)設備都能夠接受到它。在帶寬允許的情況下,每個(gè)網橋在接收到廣播報文以後,都會(huì)向除接收端口以外的其他所有(yǒu)接口轉發這個(gè)廣播包,一旦網絡中有(yǒu)環路,這種簡單的廣播機制(zhì)就會(huì)引發災難性後果。

      環路中一個(gè)廣播報文被反複轉發了千萬次,産生(shēng)了廣播風暴并且很(hěn)快達到或接近端口線速,并迅速消耗鏈路帶寬。根據轉發規則,這些(xiē)廣播報文不僅僅隻是在環路上(shàng)無限轉發,環路設備還(hái)會(huì)向其他端口轉發一份,這樣整個(gè)網絡中都充斥着大(dà)量重複廣播報文。

      二層網絡設備處于同一個(gè)廣播域下,廣播報文在環路中會(huì)反複持續傳送,無限循環,形成廣播風暴,引發MAC地址表不穩定等現象描述,進而影(yǐng)響正常業務,導緻用戶通(tōng)信質量較差,甚至通(tōng)信中斷。


圖片

如何判斷環路故障


      所有(yǒu)這些(xiē)誘發故障的內(nèi)在因素絕大(dà)多(duō)數(shù)都有(yǒu)其“外在異常表現”,具體(tǐ)會(huì)反映在特定網元的告警、日志(zhì)、流量統計(jì)、端口狀态等信息中。因此故障快速定位的關鍵在于,如何有(yǒu)效而快速的通(tōng)過事發時(shí)間(jiān)、影(yǐng)響範圍、所做(zuò)操作(zuò)及故障網絡範圍的網元基本信息的查看,快速發現這些(xiē)“外在異常表現”所在的點,進而鎖定故障網元節點,找出原因分析。

圖片


圖片

環路故障診斷步驟


      判斷網絡中是否存在二層環路,一般可(kě)以使用查看接口帶寬流量、查看MAC漂移告警、部署環路檢測、查看CPU占用率四種方法進行(xíng)确認。這四種方法沒有(yǒu)嚴格的操作(zuò)順序,為(wèi)更加準确判斷故障屬性,可(kě)以使用其中的一種或多(duō)種方法來(lái)進行(xíng)問題定位。

圖片


圖片

如何快速破環


       以太網環路會(huì)在短(duǎn)時(shí)間(jiān)內(nèi)形成數(shù)據風暴,當端口的流量達到帶寬的最大(dà)負荷,會(huì)形成鏈路擁塞,影(yǐng)響網絡業務。因此,在确認現網存在數(shù)據環路後,需要第一時(shí)間(jiān)按照如下步驟處理(lǐ),盡快恢複數(shù)據業務。

1

梳理(lǐ)網絡拓撲并識别環路

      環形網絡拓撲一般較為(wèi)複雜,可(kě)以尋求到網絡拓撲結構全圖,具體(tǐ)到網絡的VLAN規劃信息,每台設備名稱、系統MAC、管理(lǐ)IP,本端端口名稱、對端端口名稱。

      完整的拓撲信息是解決環路問題的首要條件,如果沒有(yǒu)拓撲圖,需要從發現環路的設備,通(tōng)過逐跳(tiào)登錄,記錄設備信息、端口信息和(hé)VLAN信息,手動繪制(zhì)完整的拓撲。

2

緊急破環

      緊急破環又稱手動破環,當網絡風暴嚴重影(yǐng)響正常的業務時(shí),需要使用此方法盡快恢複業務。


端口退出已成環的VLAN

      在已經成環的網絡上(shàng),将其中一個(gè)端口退出成環VLAN,屬于影(yǐng)響面最小(xiǎo)的破環方法。


shutdown已經成環的端口

      shutdown已經成環的物理(lǐ)端口,也可(kě)以達到破環的效果。需要注意的是執行(xíng)此動作(zuò)之前,您需要确保在接口視(shì)圖下執行(xíng)命令shutdown關閉接口後,不會(huì)影(yǐng)響正常的數(shù)據業務。


拔出成環接口破環

      通(tōng)過拔出成環的端口的連接光纖或網線,也可(kě)以緊急破環。該方法可(kě)以使用Shutdown端口代替,在設備無法遠程登錄時(shí)可(kě)以使用。

3

确認業務已經恢複

      通(tōng)過Ping等操作(zuò)測證網絡通(tōng)信質量,并觀察現網業務是否已經恢複。環路拓撲存在冗餘鏈路和(hé)配置,因此環路破除後業務一般會(huì)自行(xíng)恢複。


圖片

網絡加固和(hé)優化

1

部署适當的破環協議

      如果當前的環路問題是由于物理(lǐ)環路引入,按照網絡規劃合理(lǐ)部署破環協議。以太網交換機常見的破環協議為(wèi)STP/RSTP/MSTP/VBST、RRPP、SEP、ERPS等。

2

部署廣播抑制(zhì)提升網絡健壯性

      為(wèi)了避免再次成環,成環後再次引入數(shù)據風暴,建議在環上(shàng)設備端口下,部署廣播抑制(zhì),按照經驗,部署5%的廣播抑制(zhì)可(kě)以很(hěn)好的防止廣播風暴,具體(tǐ)抑制(zhì)的比例值可(kě)以按照現網并發廣播流量來(lái)評估确認。

3

優化網絡設計(jì),提升網絡

      複雜組網可(kě)以通(tōng)過分層控制(zhì),建議合理(lǐ)規劃設計(jì)接入層、彙聚層,通(tōng)過堆疊、集群等橫向虛拟化技(jì)術(shù)簡化網絡架構。單層組網內(nèi)設備數(shù)量較多(duō)時(shí),建議按照邏輯組織和(hé)地理(lǐ)分布,劃分不同的域。



13905190502 南京市玄武區(qū)洪武北路188号長發數(shù)碼大(dà)廈11樓E座
友(yǒu)情鏈接
百度 網絡安全和(hé)信息化委員會(huì) FreeBuf網絡安全行(xíng)業門(mén)戶

分享:
Copyright © 2020-2022 南京斯萊克斯網絡科技有限公司 版權所有(yǒu)  
技(jì)術(shù)支持:飛酷網絡