思科與華為交換機對接故障處理

■ 遼寧 高大偉

編者按：筆者單位由于在網(wǎng)絡(luò)改造，造成不同品牌的交換機設(shè)備出現(xiàn)混用的情況，如果配置不當，極易造成網(wǎng)絡(luò)故障問題。

單位在設(shè)備更新過程中，因為有些區(qū)域的思科設(shè)備還要保留，出現(xiàn)了華為交換機與思科交換機并存的現(xiàn)狀，改造完后也出現(xiàn)了網(wǎng)絡(luò)不穩(wěn)定的現(xiàn)象。

故障現(xiàn)象

單位網(wǎng)絡(luò)系統(tǒng)改造完后網(wǎng)絡(luò)還算穩(wěn)定，但一段時間后大家反映網(wǎng)絡(luò)開始中斷并且越來越頻繁。起初筆者還以為是病毒惹的禍，但殺毒后效果不是很明顯，經(jīng)過分析，覺得還是華為和思科的兼容性的原因。

原因分析

華為交換機所支持的生成樹協(xié)議類型分別有：STP（Spanning Tree Protocol）、RSTP（Rapid Spanning Tree Protocol）、MSTP（Multiple Spanning Tree Protocol）以及VBST（VLAN-Based Spanning Tree）。

STP 是一個用于局域網(wǎng)中消除環(huán)路的協(xié)議。運行該協(xié)議的設(shè)備通過彼此交互信息而發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并適當對某些端口進行阻塞以消除環(huán)路。RSTP 在STP 基礎(chǔ)上進行了改進，實現(xiàn)了網(wǎng)絡(luò)拓撲快速收斂。

STP 和RSTP 有 一 個 共同的缺點：STP 和RSTP 不能按VLAN 阻塞冗余鏈路，局域網(wǎng)內(nèi)所有的VLAN 共享一棵生成樹，所有VLAN 的數(shù)據(jù)報文都沿著一棵生成樹進行轉(zhuǎn)發(fā)，因此無法在VLAN 間實現(xiàn)流量的負載分擔。同時，鏈路被阻塞后將不承載任何流量，造成帶寬浪費，還有可能造成部分VLAN 的報文無法轉(zhuǎn)發(fā)。

MSTP 在STP 和RSTP 的基礎(chǔ)上進行了改進，既可以快速收斂，又提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN 數(shù)據(jù)的負載均衡。VBST 是華為提出的一種生成樹協(xié)議，生成樹的形成是基于VLAN 的，不同VLAN 間可形成相互獨立的生成樹，不同VLAN 內(nèi)的流量沿著各自的生成樹轉(zhuǎn)發(fā)，進而可實現(xiàn)流量的負載分擔。

華為交換機MSTP 同思科交換機MST 都是基于標準協(xié)議，但實現(xiàn)上略有不同，VBST為華為的私有協(xié)議。思科交換機所支持的生成樹協(xié)議類型分別為PVST（Per VLAN Spanning Tree）、PVST（Per VLAN Spanning Tree Plus）、Rapid-PVST（Rapid Per VLAN Spanning Tree Plus）和MST（Multiple Spanning Tree）。在使用IOS 12.2 及之后版本的Catalyst 系列交換機中，支持PVST、PVST、Rapid-PVST 和MST 四種類型STP 協(xié)議。

這幾種生成樹協(xié)議的某些BPDU 報文采用其私有的報文格式，與IEEE 標準的BPDU 報文格式不一樣。當思科交換機運行PVST 或者Rapid-PVST 協(xié) 議 時，Trunk端口在非VLAN 1 中便發(fā)送私有的PVST BPDU 報文，這類私有的BPDU 報文的源MAC地址為端口的MAC 地址，目的MAC 地址為思科自己的保留地址01-00-0C-CC-CC-CD。

為解決與IEEE 標準STP協(xié)議的互通問題，思科在PVST 協(xié)議的基礎(chǔ)上衍生出了PVST 協(xié)議。PVST 協(xié)議相對于PVST 協(xié)議的改進是：提供了與標準STP 協(xié)議互通的能力，對于一個Access 端口，PVST 協(xié)議將發(fā)送標準的STP格式的BPDU 報文；對于一個Trunk 端口，PVST 協(xié)議僅會在VLAN 1 中，發(fā)送標準格式的BPDU 報文（目的MAC 地址為01-80-C2-00-00-00），而在其他允許通過的VLAN 中，仍然發(fā)送其私有格式的PVST BPDU 報文（目的MAC 地址為01-00-0C-CC-CC-CD）。

華為交換機支持IEEE 標準STP 協(xié)議，能與思科交換機發(fā)出的標準STP 協(xié)議互通計算，同時，將思科發(fā)出的私有格式的BPDU 報文當作普通的多播報文進行轉(zhuǎn)發(fā)，而不會處理這些報文。

當華為交換機與思科交換機對接時，在域名、修訂級別、VLAN 實例映射表全都一致的情況下，由于雙方BPDU報文密鑰不一致，會導(dǎo)致兩臺設(shè)備不能正?；ネāＴ谶@種情況下，需要在華為S 系列交換機對接的端口上使能摘要偵聽功能，實現(xiàn)華為S系列交換機的BPDU 報文密鑰與其他制造商設(shè)備的BPDU報文密鑰一致，來完成與對端的協(xié)商。

當替換思科交換機時，華為交換機沒有配置STP 協(xié)議，而華為交換機默認的STP 協(xié)議位MSTP，就會出現(xiàn)協(xié)議對不上時通時斷的故障。

對接思路

對接替換方案主要有三種：華為交換機透傳PVST 報文，思科交換機自己協(xié)商破環(huán)；華為交換機通過VBST與思科交換機PVST/PVST/Rapid PVST 對接；華為交換機MSTP 與思科交換機MST對接。

華為交換機VBST 和思科交換機PVST/PVST/Rapid PVST 的互通，協(xié)議報文處理原理一致，可以互相識別，且均使用保留的組播MAC 地址01-00-0C-CC-CC-CD。因此，華為交換機VBST 與思科交換機PVST/PVST/Rapid PVST互通時，就如同華為S 系列交換機VBST 跟自身互通一樣。

華為交換機MSTP 同思科交換機MST 互通，除了當域摘要信息格式不一致時，要使能摘要偵聽功能，強制域內(nèi)，其他原理同思科交換機一致。

華為交換機STP/RSTP 和思科PVST/Rapid PVST 的互通，由于思科交換機PVST/Rapid PVST 在 發(fā) 送PVST 報文的同時，也發(fā)送STP/RSTP與對端進行協(xié)商，所以它們的互通從技術(shù)上是可以實現(xiàn)的。但是華為交換機STP/RSTP 的收斂是基于端口的，而思科交換機PVST/Rapid PVST 的收斂是基于VLAN 的，最終的收斂結(jié)果可以分為兩類：

阻塞端口在華為交換機上，華為交換機STP/RSTP 是基于端口阻塞的，所有的數(shù)據(jù)報文（不區(qū)分VLAN）在阻塞端口都會被丟棄，包括思科的PVST 報文，所以對于任意VLAN 該端口都處于阻塞狀態(tài)；阻塞端口在思科交換機上，思科交換機PVST/Rapid PVST 只在VLAN1 內(nèi)發(fā)送標準的STP/RSTP 協(xié)議與對端協(xié)商。所以在這種情況下，阻塞端口只會阻塞VLAN1實例，其他VLAN 的PVST 報文通過該端口正常處理并轉(zhuǎn)發(fā)，并在其所在VLAN 實例內(nèi)進行計算收斂。

由于華為交換機STP/RSTP 不處理PVST 報文，所以其他VLAN 內(nèi)的阻塞端口只會出現(xiàn)在思科交換機上。

處理方案

華為交換機透傳思科PVST 報文即實現(xiàn)思科交換機之間或自身協(xié)商破環(huán)。

原組網(wǎng)中交換機均為思科交換機。上行通過使用堆疊模式的三層核心交換機實現(xiàn)網(wǎng)絡(luò)側(cè)互通。兩臺匯聚交換機之間使用手工模式的Eth-trunk 進行鏈路冗余備份，上行通過配置OSPF 與核心交換機建立OSPF 鄰居關(guān)系收發(fā)路由，下行通過配置HSRP 實現(xiàn)虛擬網(wǎng)關(guān)備份。組網(wǎng)中交換機通過PVST 進行破環(huán)操作。

現(xiàn)根據(jù)需要，需使用華為交換機替換組網(wǎng)中的兩臺匯聚交換機，替換不改變原網(wǎng)絡(luò)規(guī)劃。

采用如下處理思路：

1. 配置華為交換機的OSPF 功能，實現(xiàn)與上行核心交換機建立OSPF 鄰居關(guān)系收發(fā)路由。

2.通過手工模式配置華為交換機之間的鏈路聚合，實現(xiàn)負載分擔。

3. 配置華為交換機的VRRP 功能實現(xiàn)對原思科交換機HSRP 的對接替換，實現(xiàn)虛擬網(wǎng)關(guān)備份。

4.配置華為交換機透傳思科PVST 報文，實現(xiàn)思科交換機之間或其自身的協(xié)商破環(huán)：

（1）去使能華為交換機的生成樹功能。

（2）配置PVST 報文的透明傳輸功能。

調(diào)整完成后驗證用戶側(cè)設(shè)備業(yè)務(wù)，故障排除。