拓扑结构:以华为S7703为核心交换,双链路上联天融信防火墙,下联思科3550和华三5120为汇聚,接入层有思科2950和华为3700。
技术配置:vrrp+mstp
故障现象:1、在更换旧的思科接入交换机时,计划将新的华为交换机直接联核心。测试时将旧的思科交换机跳过汇聚直接联核心,部分vlan的计算机无法ping通网关(vrrp的虚网关),但可ping通核心其中一台的虚接口IP。检查发现vrrp主控已跳至另一台,将思科接入核心的网线拔掉仍未恢复,情急之中没找到更好的处理办法,于是reboot重启了1台核心后恢复正常。
2、维护中发现联接华三交换机的1台思科交换机的管理IP无法访问,检查确认是其上联口禁用了vlan1,于是修改配置恢复vlan1通过trunk口,几分钟过后出现了部分vlan断网了,仍然是无法ping通网关。在恢复原有配置禁用vlan1时故障依旧,再次重启核心恢复正常。
排查检测:1、从各个交换机的日志未能发现有效诊断依据。
2、检查vrrp运行信息时发现故障vlan出现了双master。
3、检查mstp运行信息时发现新华三联接核心口存在degin与root角色跳转。
4、检查接入层思科交换机默认为pvst协议。
处理措施:1、将接入思科交换机改成mst
CiscoC# configure terminal
CiscoC(config)# spanning-tree mst configuration
CiscoC(config)# spanning-tree extend system-id
CiscoC(config-mst)# instance 1 vlan 1-2,4,24,559
CiscoC(config-mst)# instance 2 vlan 10-12,18,21,100,800
CiscoC(config-mst)# name XHWL
CiscoC(config-mst)# revision 1
CiscoC(config-mst)# exit
CiscoC(config)# spanning-tree mode mst
CiscoC(config)# interface gigabitethernet 0/24
CiscoC(config-if)# spanning-tree mst 2 cost 20000
CiscoC(config-if)# exit
CiscoC(config)# end
2、上联口进行bpdu包过滤
spanning-tree bpdufilter enable
3、配置acl对01-00-0c-cc-cc-cd进行过滤
学习参考:
vrrp与mstp配置http://support.huawei.com/enterprise/KnowledgebaseReadAction.action?contentId=KB1000089723
MSTP常见问题定位https://wenku.baidu.com/view/a7993ac7b0717fd5360cdccb.html
mstp与pvst兼容性https://forum.huawei.com/enterprise/zh/forum.php?mod=viewthread&tid=261967
思科pvst与其它交换机https://www.2cto.com/net/201303/197271.html
http://blog.sina.com.cn/s/blog_873cacd20101gzud.html
思科mst试验http://blog.sina.com.cn/s/blog_5552ffcd0102w990.html