在S6500上同時使用QinQ和STP功能的問題
組網:
某單位使用華爲3Com三臺S6503作爲核心設備,採用QinQ技術實現各下屬單位局域網內相同VLAN之間的訪問。如上網絡拓撲圖所示:三臺S6503之間通過光電轉換器+光纖的連接方式進行主幹線路的連接,爲下屬單位提供二層隧道的透明連接,下屬各個單位均採用Cisco交換機,各單位通過QinQ技術實現私有VLAN之間互訪。
問題描述:
該用戶的網絡系統全網運行生成樹協議。其中三臺S6503運行RSTP協議,下屬各個單位的Cisco交換機運行PVST協議。該網絡在設置(用戶和集成商自己做的配置)完畢並運行幾天後,發現了以下問題:
下屬單位的局域網中,經常出現Cisco交換機死機或重啓的現象;
下屬各單位之間通過QinQ連接的網絡經常有斷線的現象,反映網絡不穩定;
客戶反映:
三臺6503組成的主幹網,當主幹線路光纖出現問題斷掉的時候,備用線路即S6503-B和S6503-C之間的線路不能正常啓用,必須通過重啓光電轉換器或拔掉雙絞線,有時候重啓S6503交換機才能使網絡恢復正常,此故障基本上每兩天出現一次;
處理過程:
通過收集各交換機的信息發現:
三臺S6503交換機的配置爲:S6503-A設置爲STP優先級爲0,作爲RSTP的主根,S6503-B設置爲STP優先級爲4096,作爲RSTP的備根;每臺交換機的第47和48端口爲主幹線路連接端口,設置爲TRUNK端口,允許所有VLAN通過;其他端口爲access端口,啓動了VLAN ***特性。通過display stp interface發現,啓動了QinQ特性的端口上,RSTP仍然是enable的。同時,我們發現,三臺S6503交換機之間的主幹線路的接口上產生了很多的CRC錯誤,接口的速率和雙工都爲強制方式。
解決方案:
對上面收集到的交換機配置信息和故障現象分析,可以發現交換機的配置有2個明顯的錯誤:
1、啓用QinQ特性的端口,不能運行STP/GVRP/802.1x等協議;
2、PVST爲CISCO的私有協議,與標準的STP不兼容,容易產生網絡問題。
在操作手冊中,關於QinQ使用的注意事項裏明確說明:
如果某端口的GVRP、GMRP、STP、802.1x、NTDP或NDP協議中的任一個已經啓動,則不允許用戶開啓端口的QinQ特性,即用戶如果想在某個端口上應用QinQ特性,則不允許啓動其他如GVRP、STP、802.1x等特性。
之所以有這樣的使用限制的原因是,QinQ特性所使用的QINQ協議的基本思想是將用戶私網VLAN TAG封裝在公網VLAN TAG中, 報文帶着兩層TAG穿越服務商的骨幹網絡,從而爲用戶提供一種較爲簡單的二層***隧道。而QinQ是一個非標準的協議,還不是很成熟,在某些方面還存在一些缺點,例如對STP、GVRP等二層協議的透傳支持是一個較大的難題,如果將這些和普通數據報文一樣帶上公網TAG頭(公網VLAN封裝)進行傳輸會產生不可預料的問題,因爲按照協議標準,帶TAG的BPDU報文和GVRP協議報文都是非法報文,不能保證它能在公網上被正確透傳。
根據上面提到信息,原來交換機上的配置是不正確的,會出現一些我們不可預料的網絡問題。這些不可預料的問題會使網絡產生一些奇特的現象,例如,客戶反映的下屬單位的一些用戶不能正常通信、CISCO交換機無故死機等。
對於S6503-B和S6503-C之間的鏈路不能正常通信的問題,最初把問題定位在光電轉換器上面。更換了光電轉換器後,經過測試,光纖線路參數正常。但仍然不能夠通信。接下來,我們懷疑是否因爲CRC錯誤不斷上升,使光電轉換器發生了“死鎖”呢?端口會產生CRC錯誤一般是由協商方式造成的。在更改端口的速率和雙工模式都爲auto後,CRC錯誤消失了。之後經過測試,無路哪條主幹線路的那一段發生問題,STP都能夠使備用線路正常切換成功,迅速恢復網絡通信。
總結:
通過此網絡的故障解決,:
1、端口在啓動QinQ特性的時候,不能運行其他如GVRP、STP等協議;
2、PVST協議爲Cisco的私有協議,與標準的STP同時運行會產生不可預料的網絡故障問題;
3、不同廠家的網絡設備相連,特別需要根據實際情況,正確配置端口協商參數,避免設備兼容性問題引起其它故障問題;
4、在使用光電轉換器的時候,最好啓用光電告警功能。
【QinQ技術簡介】
QinQ是基於802.1 q封裝的隧道協議的一種形象化的稱呼。目前很多廠商的網絡設備都能支持這個特性,但是由於該協議到目前爲止還沒有正式的標準,所以對它的稱謂也是五花八門:Cisco稱之爲802.1q tunneling,Extreme稱之爲Virtual MAN或者vMANs,Riverstone稱之爲Stackable VLAN或者SVLAN。但是,總的思想都是將用戶私網vlan tag封裝在公網vlan tag中, 報文帶着兩層tag穿越服務商的骨幹網絡,從而爲用戶提供一種較爲簡單的二層***隧道。