交換機網絡出現環路狀態及環路防范策略

一、當網絡出現環路時，通常會有以下這些癥狀表現：

網絡性能方面

· 網絡卡頓與延遲：環路會導致廣播風暴，大量的廣播數據包在網絡中不斷循環傳輸，占據了大量的網絡帶寬。這使得正常的數據傳輸受到嚴重干擾，數據包的傳輸延遲明顯增加，用戶在訪問網絡資源時會明顯感覺到卡頓，比如網頁加載緩慢、視頻播放卡頓、文件下載速度極慢等。

· 網絡丟包：由于網絡中充斥著大量的無用廣播數據包，交換機等網絡設備的處理能力會達到極限。當設備無法及時處理所有數據包時，就會導致部分數據包被丟棄。這會影響到依賴可靠數據傳輸的應用，如實時通信、在線游戲等，造成語音通話中斷、游戲畫面卡頓和丟幀等問題。

· 帶寬耗盡：廣播風暴會使網絡帶寬被迅速耗盡。原本可以正常使用的網絡帶寬，因為環路產生的大量冗余數據包而被占用，導致整個網絡幾乎無法為正常業務提供服務。例如，企業網絡中原本可以支持多人同時辦公的帶寬，在出現環路后，員工可能連基本的郵件收發都變得困難。

網絡設備方面

· 設備發熱嚴重：網絡設備（如交換機）在處理大量的廣播數據包時，會增加其 CPU 和其他硬件組件的工作負荷。長時間的高負荷運行會使設備產生過多的熱量，導致設備發熱嚴重。如果不及時處理，可能會影響設備的穩定性和壽命，甚至導致設備損壞。

· 設備指示燈異常：交換機端口的指示燈通常可以反映端口的工作狀態。在出現環路時，受影響端口的指示燈可能會出現快速閃爍、不規則閃爍或常亮等異常情況。這是因為端口不斷地接收和發送大量數據包，導致指示燈狀態頻繁變化。

· 設備頻繁重啟：當網絡設備的 CPU 資源被廣播風暴耗盡，設備可能會出現性能崩潰的情況。為了嘗試恢復正常運行，設備可能會自動重啟。但由于環路問題沒有得到解決，重啟后不久又會再次出現類似的問題，導致設備頻繁重啟。

網絡連接方面

· 部分或全部設備斷網：環路產生的廣播風暴可能會導致交換機的 MAC 地址表出現混。SW交換機依靠 MAC 地址表來轉發數據包，當 MAC 地址表異常時，交換機可能無法正確地將數據包轉發到目標設備，從而導致部分或全部設備無法正常連接到網絡。

· 網絡拓撲結構異常：在一些支持網絡拓撲自動發現和顯示的網絡管理系統中，可能會顯示出異常的網絡拓撲結構。例如，原本正常連接的設備之間可能會出現異常的連接關系，或者某些設備顯示為無法正常識別或連接狀態。

二、交換機防環路的策略：

1、指定STP根指定匯聚交換機為STP的根交換機；

啟用環路保護功能（stp bpdu-protection是用來保護邊緣端口的邊緣端口下面是接pc的 所以收不到BPDU包。而如果不小心在該接口下接入了一個交換機 就會接收到BPDU包 而開啟了這個功能之后 你的這個端口檢測到有BPDU包的存在 就會自動把狀態變為down。如果你網絡中沒有啟用邊緣端口不需要使用這個命令）

端口開啟bpdu enable不論是trunk，還是access口，都可以配置bpdu enable命令。BPDU橋協議數據單元，是STP生成樹協議中的報文，開啟主要是防環。通過BPDU來協商哪個端口處于blocking的狀態來阻塞數據發出，這樣就可以達到防環。在每個或者單個端口上開啟；如果接收到任何BPDU，該端口即被屏蔽。

開啟邊緣端口配置的接口不參與生成樹計算，即可以轉發BPDU也可以接收BPDU。配置BPDU保護功能后，如果邊緣端口收到了BPDU，交換機將關閉這些端口，同時通知網管系統,被關閉的端口只能由網絡管理人員手動恢復。

終端、服務器都不支持STP協議，如果這些設備和交換機連接，建議在交換機的端口上執行命令stp edged-port enable開啟邊緣端口屬性或執行命令stp disable去使能STP。

否則，當用戶插拔鏈路連接介質，或先執行shutdown，再執行undo shutdown，重啟端口后，因對端端口不會發送STP的協議報文進行協商，導致交換機上的端口經過2倍的Forward Delay（默認為15秒）時間后才能正常轉發報文。

或者使用stp disable命令。

stp bpdu-protection

用來保護邊緣端口的邊緣端口下面是接pc的 所以收不到BPDU包 。而如果不小心在該接口下接入了一個交換機就會接收到BPDU包 而開啟了這個功能之后 你的這個端口檢測到有BPDU包的存在 就會自動把狀態變為down。如果你網絡中沒有啟用邊緣端口不需要使用這個命令。

啟用環路檢測功能loopback-detection環回檢測，環回監測會在相應端口發送檢測包，如果能夠從發送的端口收到發送的包，即為端口內存在環路，對access端口，會刪除mac列表，block端口，對trunk端口會上報，不會禁用端口。因此，環回監測功能只能發現單一端口的自環，或者是下級存在外部環路，例如本端口下級聯hub，在hub上產生環路。如果需要檢測和防止多端口的環路，例如兩端口同時接入一根網線的兩段，則需要開啟stp。

在分別對接入層交換機配置STP和Loopback-detection進行測試后，得出結果：

1.當接入層交換機有兩個端口用網線同時與同一個傻瓜交換機相連形成環路時：

（1）STP生效，阻塞其中一個端口，網絡正常。

（2）Loopback-detection未生效，該交換機開始廣播風暴，網絡不正常。

2.當接入層交換機有一個端口用網線連著一個傻瓜交換機，傻瓜交換機上有兩個端口用網線對接時：

（1）STP生效。阻塞該接入層交換機端口，其他接口網絡正常，但該交換機無法遠程控制。

（2）Loopback-detection生效，阻塞該接入層交換機端口，并通報trap信息，其他接口網絡正常。

TC-guard gongji防護

啟用防TC-BPDU報文gongji功能后，在單位時間內，MSTP進程處理TC類型BPDU報文的次數可配置（缺省的單位時間是2秒，缺省的處理次數是3次。）。如果在單位時間內，MSTP進程在收到TC類型BPDU報文數量大于配置的閾值，那么MSTP進程只會處理閾值指定的次數。對于其它超出閾值的TC類型BPDU報文，定時器到期后，MSTP進程只對其統一處理一次。這樣可以避免頻繁的刪除MAC地址表項和ARP表項，從而達到保護交換機的目的。 

當網絡拓撲發生變化時，交換機會從自己的指定端口向外發送TCN BPDU報文 接收到TCN BPDU報文的交換機向發送者發送TCA報文 根交換機接收到TCN BPDU報文向網絡中發送TC BPDU 收到TC BPDU的交換機將 MAC地址表老化時間設為15s 就這些 TCA是應答TCN的，只回應發送TCN的交換機 TC是發送到整個網絡的。通過查看端口的TC報文計數，發現端口收到大量的TC報文，且在不斷增長。觸發MAC刪除、ARP表項刷新，設備處理大量arp-miss、arp-request和arp-reply報文，導致CPU升高，OSPF Hello報文、VRRP心跳報文不能及時處理，出現震蕩。

stp tc-protection //tc保護

arp topology-change disable

mac-address update arp

當設備收到TC報文后，默認會清掉MAC、老化ARP。當設備上的ARP表項較多時，ARP的重新學習會導致網絡中的ARP報文過多。配置arp topology-change disable、mac-address update arp后，在網絡拓撲變化時，可以根據MAC地址的出接口變化刷新ARP表項出接口。可以減少大量不必要的ARP表項刷新。

執行此命令arp topology-change disable，去使能設備響應TC報文的功能后，當網絡的拓撲發生變化的時候，系統的ARP表項不再進行老化或者刪除操作，如果未對設備使能“MAC刷新ARP”功能，此時由于設備中保存的ARP表項沒有得到及時刷新，可能導致用戶業務中斷。蘇州東元信息技術有限公司因此建議執行命令mac-address update arp，使能MAC刷新ARP功能。