В каком vlan ходят bpdu huawei

Обновлено: 07.07.2024

Кому-то в голову пришло, что spanning-tree можно использовать не только для построения кольцевых топологий, но и для обнаружения потенциальных петель на пользовательских портах. Возможно, тогда это казалось нормальным. Да и сейчас обладателям коммутаторов cisco и juniper настраивать spanning-tree придется в любом случае. Зато другие производители подсуетились и решили слать в пользовательские порты Loopback Detection (LBD) фреймы, но сейчас не об этом.

Условно коммутаторы можно поделить на три типа:
1. Ничего, кроме spanning-tree нет и spanning-tree на порту отключить нельзя. Это cisco.
2. Ничего, кроме spanning-tree нет, можно отключить spanning-tree глобально или на порту. Это juniper networks.
3. Можно использовать spanning-tree, можно LBD, можно отключить spanning-tree глобально или на порту. Это eltex, dlink, qtech (dcn). Про хуавей не помню, не настраивал stp на них.

Коммутаторы с отключенным глобально или на порту spanning-tree могут принимать BPDU-фреймы и передавать их дальше как обычный мультикастовый трафик с адресом назначения 01:80:C2:00:00:00. Это обязательно произойдет при передаче "нестандартных" BPDU от Cisco PVST на адрес 01:00:0C:CC:CC:CD. Был случай как-то, когда я не мог настроить MSTP между коммутаторами cisco и juniper. Оказалось, что коммутатор cisco получал через порт juniper'а помимо BPDU от MSTP еще и BPDU от Cisco PVST, которые juniper принимал на порту, где stp был отключен. Таким образом, на коммутаторах недостаточно отключить spanning-tree глобально или на порту, необходимо еще и фильтровать BPDU на адреса 01:80:C2:00:00:00 и 01:00:0C:CC:CC:CD.
На всех коммутаторах есть такой функционал "bpdufilter", но реализация у всех разная.

cisco bpdufilter и bpduguard

Bdpufilter фильтрует в обе стороны, т.е. коммутатор отбрасывает все входящие BPDU и не отправляет BPDU в порт. Логично фильтр повесить на порты, которые никак не участвуют в кольцевой топологии, с которых никогда не придет BPDU, например, на порт подключения сервера, на порт подключения маршрутизатора, на стык с провайдером. Особо странный провайдер включает на порту клиента bpduguard и отключит порт при получении bpdu от вашего коммутатора. Поэтому на операторских стыках необходимо вешать фильтр всегда.
Чтобы при изменении топологии данные порты не проходили все возможные фазы blocking, listening, learning, а переходили сразу в forwarding, необходимо включать portfast. Да, этой дури бы не было, если можно было бы просто отключить spanning-tree на порту. Необходимо учесть, что включенный spanning-tree portfast на транковом порту работать не будет. Тут нужен spanning-tree portfast trunk или spanning-tree portfast edge trunk как в этом примере.
Очень часто видел вот такую вот конструкцию:
В этом примере bpduguard - лишняя команда, так как она работать не будет по причине отработавшего ранее фильтра. Но так только в cisco.
Вот самый распространенный пример, когда используется bpduguard.
Для автоматического включения порта необходимо настроить errdisable.
Нужен ли spanning-tree на порту пользователя? Нет не нужен. Но в данном примере протокол spanning-tree циской используется для того чтобы послать BPDU в порт и при получении его по какой-то причине обратно отключить порт. В случае, когда на пользовательской стороне BPDU фильтруются или потерялись, bpduguard не отработает. Увы, никакой другой альтернативы циска не предлагает, поэтому возможна такая ерундистика, когда колец нет в принципе и на всех транках настроен portfast и bpdufilter, а в сторону пользователей - bpduguard. Нормальное такое применение протокола. Круче только ситуация, когда из-за невозможности глобального отключения stp приходится настроить mstp, включить везде bpdufilter и portfast.

juniper bpdufilter и bpduguard

Я не знаю, фильтруют ли производители своими bpdufilter'ами цисковский 01:00:0C:CC:CC:CD или нет. В общем случае, рекомендуется написать фильтр с указанием двух мак-адресов и повесить по входу, например, такой:
Согласно документации, на мелких коммутаторах, кроме ex9200, можно глобально включить фильтр для портов, где spanning-tree отключен. В примере ниже для всех интерфейсов отключен spanning-tree и включена фильтрация bpdu.
Настроить bpduguard на ex2200 можно прописав пользовательские порты диапазоном, в настройках используемого протокола stp указать для созданного диапазона портов тип edge и там же включить функционал bpdu-block-on-edge. Ниже аналог цисковского конфига.
На juniper'е настройка spanning-tree получилась более гуманной. Там, где необходимости настраивать stp, его можно вовсе отключить, но не забыть зафильтровать возможные bpdu.

Продолжая просмотр сайта и(или) нажимая X , я соглашаюсь с использованием файлов cookie владельцем сайта в соответствии с Политикой в отношении файлов cookie в том числе на передачу данных, указанных в Политике, третьим лицам (статистическим службам сети Интернет), в соответствии с Пользовательским соглашением >X

Your browser version is too early. Some functions of the website may be unavailable. To obtain better user experience, upgrade the browser to the latest version.

Продукты, решения и услуги для организаций

Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).

Использование MSTP для замены или взаимодействия с Cisco PVST+

Введение в протоколы связующих деревьев Cisco

Коммутаторы Cisco поддерживают следующие протоколы связующих деревьев: Per VLAN Spanning Tree (PVST), Per VLAN Spanning Tree Plus (PVST+), Rapid PVST+, Multiple Instance Spanning Tree Protocol (MISTP) и Multiple Spanning Tree (MST). Коммутаторы серии Cisco Catalyst IOS 12.2 и более поздних версий поддерживают PVST+, Rapid PVST+ и MST. Некоторые BPDU этих протоколов связующих деревьев используют собственные форматы BPDU Cisco, которые отличаются от формата BPDU, определенного IEEE.

PVST можно рассматривать как обычный STP, работающий в каждой VLAN. Каждая VLAN имеет независимый статус STP и рассчитанное связующее дерево. Хотя PVST не определяет такие экземпляры, как Multiple Spanning Tree Protocol (MSTP), PVST может загружать баланс трафика из разных VLAN. PVDU PVST содержат информацию VLAN. MAC-адрес назначения BPST-блоков PVST - 01-00-0C-CC-CC-CD; поэтому PVST не может взаимодействовать со стандартными протоколами связующих деревьев IEEE.

PVST+ разработан на основе PVST. Подобно PVST, PVST+ не поддерживает быстрый переход, но он может работать с функцией PortFast, UplinkFast или BackboneFast для реализации быстрого перехода. PVST+ улучшает PVST, добавляя совместимость со стандартными протоколами связующих деревьев. На интерфейсе доступа PVST+ отправляет стандартные STP BPDU с MAC-адресом назначения 01-80-C2-00-00-00. На интерфейсе соединительной линии PVST+ отправляет стандартные STP BPDU с MAC-адресом назначения 01-80-C2-00-00-00 только в VLAN 1 и отправляет патентованные BPDU Cisco с MAC-адресом назначения 01-00-0C-CC-CC-CD в другие VLAN, разрешенные интерфейсом соединительных линий.

Rapid PVST+ является расширением PVST+. По сравнению с PVST+ Rapid PVST+ использует механизм Rapid Spanning Tree Protocol (RSTP) для быстрой передачи.

Cisco MST поддерживает сопоставление VLAN-экземпляров и определяет концепцию региона; поэтому его можно рассматривать как стандартный протокол MSTP. MST BPDU используют стандартный формат, определенный IEEE. Коммутаторы Huawei и Cisco используют разные ключи для генерации дайджеста MSTP в BPDU. По умолчанию MSTP и Cisco MST могут реализовывать только межрегиональное взаимодействие, поскольку коммутаторы Huawei и Cisco генерируют различные дайджесты. Чтобы позволить MSTP и Cisco MST взаимодействовать в регионе MSTP, включите функцию отслеживания дайджестов на коммутаторе Huawei и интерфейсе коммутатора Huawei, подключенном к коммутатору Cisco.

Использование MSTP для замены или взаимодействия с Cisco PVST+

PVST+ является проприетарным протоколом Cisco и не может напрямую работать с протоколами коммутаторов Huawei. Вы можете использовать MSTP или RSTP для реализации взаимодействия с PVST+. Ниже приведены три решения использования MSTP для замены или взаимодействия с PVST+.

  • Решение 1: Устройство Huawei MSTP выступает в качестве корневого моста для взаимодействия с устройством Cisco PVST+

Установите соответствующий приоритет моста для VLAN 1, чтобы убедиться, что корневой мост VLAN 1 находится в MSTI, а заблокированный порт расположен на коммутаторе Cisco PVST+. Как показано на Figure 4-4, соединительные порты коммутаторов Cisco PVST+ отправляют стандартные RSTP BPDU только в VLAN 1, поэтому общее сопоставление связующего дерева (CST) VLAN 1 из MSTP или RSTP может связываться с сопоставлением связующего дерева VLAN 1 Cisco PVST+ (синяя линия), После того, как порт коммутатора Huawei принимает PVST+ BPDU из VLAN, отличной от VLAN 1, коммутатор передает PVST+ BPDU на все остальные порты. При получении PVST+ BPDU коммутаторы Cisco PVST+ блокируют принимающие порты (красная линия). Поскольку блокированные порты для VLAN различны, трафик по-прежнему может быть сбалансирован с нагрузкой в VLAN.

Figure 4-4 Устройство Huawei MSTP, используемое в качестве корневого моста

Установите приоритеты связующего дерева для всех сетей VLAN Cisco PVST+, чтобы убедиться, что корневой мост находится на коммутаторе Cisco PVST+, а заблокированные порты расположены в MSTI. MSTI поддерживает то же самое состояние пересылки, что и все экземпляры; поэтому коммутаторы Huawei блокируют пакеты услуг из VLAN, отличных от VLAN 1. Кроме того, коммутаторы Huawei также блокируют Cisco PVST+ BPDU из VLAN, отличных от VLAN 1. Поэтому коммутаторы Cisco PVST+ не получают широковещательные протоколы Cisco PVST+ BPDU и обычно могут пересылать пакеты услуг из этих VLAN. Figure 4-5 показывает корневой мост на коммутаторе Cisco PVST+ и заблокированные порты коммутаторов Huawei.

Figure 4-5 Устройство Cisco PVST+, используемое в качестве корневого моста

Коммутаторы Cisco работают с PVST-функциями как коммутаторы агрегации, а коммутатор Huawei работает как коммутатор доступа и подключается к коммутаторам Cisco с двойным соединением. Это общий сценарий межсетевого взаимодействия, где Smart Link может использоваться, как показано на Figure 4-6.

Figure 4-6 Коммутатор Huawei подключен к коммутаторам Cisco PVST с двойным соединением через Smart Link
Каковы различия между этими решениями и как можно выбрать подходящее решение?

Решение 1: Устройство Huawei MSTP в качестве корневого моста взаимодействует с устройством Cisco PVST+

Решение 2: Устройство Huawei MSTP взаимодействует с устройством Cisco PVST+ в качестве корневого моста

Решение 3: Коммутатор Huawei подключен к коммутаторам Cisco PVST с двойным соединением через Smart Link

  • Решение 3 рекомендуется в сети с двойным соединением, где используется Smart Link.
  • Если сеть с двойным соединением Smart Link не может быть реализована:
    • Если требуется балансировка нагрузки, выберите решение 1.
    • Если требуется высокая конвергенция или устройство Cisco, используемое в качестве корневого моста, не может быть изменено, выберите решение 2.

    Типичная организация сети

    Ниже приводятся типичные случаи.

    Примечание: Следующие имена интерфейсов на устройствах Cisco просто используются в качестве примеров и могут отличаться от фактических имен интерфейсов на устройствах Cisco.

    Пример 1: Устройство Huawei MSTP, используемое в качестве взаимодействия с корневым мостом с устройством Cisco PVST+

    Figure 4-7 Устройство Huawei MSTP, используемое в качестве взаимодействия с корневым мостом с устройством Cisco PVST+

    Устройство Huawei запускает MSTP или RSTP, и требуется балансировка нагрузки. Устройство Huawei должно быть настроено как корневой мост. Когда устройство Huawei запускает MSTP, интерфейс, подключенный к устройству Cisco, автоматически переключается в режим RSTP, поэтому режимы MSTP и RSTP оказывают одинаковое влияние на устройство Cisco PVST+. Как показано на Figure 4-7, устройство Huawei запускает MSTP и подключается к устройству Cisco через G1/0/1 и G1/0/2, которые автоматически переключаются в режим RSTP. Заблокированный порт VLAN 1 является G1/0/2 на устройстве Cisco, а заблокированный порт VLAN 30 - G1/0/1 на устройстве Cisco.

    • Устройство Cisco: Настройте один и тот же алгоритм стоимости пути на всех коммутаторах Cisco. Установите соответствующий приоритет связующего дерева для VLAN 1, чтобы убедиться, что он ниже приоритета связующего дерева Huawei CST и устанавливает приоритеты связующего дерева для других VLAN на основе требований к сайту.
    • Устройство Huawei: Настройте один и тот же алгоритм стоимости пути на всех коммутаторах Huawei. Убедитесь, что приоритет моста Huawei CST выше, чем у Cisco VLAN 1.
    • Убедитесь, что в связующих деревьях во всех VLAN используется коммутатор Huawei в качестве корневого моста.
    • Настройте коммутаторы Huawei для работы в режиме MSTP или RSTP, не используйте STP-совместимый режим.
    • Собственный трафик VLAN от Cisco не связан, поэтому PVID на коммутаторах Huawei должен быть таким же, как собственный идентификатор VLAN на коммутаторах Cisco.

    Пример 2: Устройство Huawei MSTP взаимодействует с устройством Cisco PVST+, используемым в качестве корневого моста

    Figure 4-8 Устройство Huawei MSTP взаимодействует с устройством Cisco PVST+, используемым в качестве корневого моста

    Устройство Huawei запускает MSTP или RSTP, и балансировка нагрузки не требуется. Устройство Cisco PVST+ можно настроить как корневой мост. Когда устройство Huawei запускает MSTP, интерфейс, подключенный к устройству Cisco, автоматически переключается в режим RSTP, поэтому режимы MSTP и RSTP оказывают такое же влияние на устройство Cisco PVST+. Как показано на Figure 4-8, устройство Huawei запускает MSTP и подключается к устройству Cisco через G1/0/1 и G1/0/2, которые автоматически переключаются в режим RSTP. Блокированный порт VLAN 1 является G1/0/1 на устройстве Huawei. Пакеты услуг VLAN 30 также блокируются, поэтому устройства Cisco PVST+ BPDU не могут транслироваться в VLAN 30. В результате оба порта Cisco PVST + (G1/0/1 и G1/0/2), подключенные к устройству Huawei в VLAN 30, становятся назначенными портами. Быстрая конвергенция не может быть реализована в VLAN 30, поскольку G1/0/2 на устройстве Huawei не может принимать пакеты из VLAN 30.

    • Устройство Cisco: Настройте один и тот же путь на всех коммутаторах Cisco и убедитесь, что приоритет моста Cisco VLAN 1 выше, чем у Huawei CST.
    • Устройство Huawei: Настройте один и тот же алгоритм стоимости пути на всех коммутаторах Huawei и убедитесь, что приоритет моста Huawei CST ниже, чем у Cisco VLAN 1.

    Пример 3: Коммутатор Huawei подключен к коммутаторам Cisco PVST с двойным соединением через Smart Link.

    Figure 4-9 Коммутатор Huawei подключен к коммутаторам Cisco PVST с двойным соединением через Smart Link

    Коммутатор Huawei сконфигурирован с помощью Smart Link и подключен к двум коммутаторам агрегации C6500 через G1/0/1 и G1/0/2. Нагрузка должна быть реализована. Обычно трафик в VLAN 100 отправляется через G1/0/1, а трафик в VLAN 200 пересылается через G1/0/2.

    Связка каналов Huawei Network-Ethernet, агрегация каналов (теория + эксперимент)

    Каталог статей

    Предисловие:

    Связка ссылок

    Объедините несколько интерфейсов, которые инкапсулируют один и тот же протокол канального уровня, вместе, чтобы сформировать логический канал данных

    Роль связывания ссылок заключается в следующем

    ② Увеличьте пропускную способность: Пропускная способность интерфейса связки - это сумма пропускной способности доступных членских интерфейсов.

    ③ Повышение надежности соединения: Когда членский интерфейс выходит из строя, трафик автоматически переключается на другие доступные членские интерфейсы, тем самым повышая надежность соединения всего связанного канала.

    Агрегация ссылок

    Объедините два или более каналов данных в один канал, который выглядит как один логический канал с более высокой пропускной способностью. Агрегация каналов обычно используется для подключения одного или нескольких устройств с высокими требованиями к пропускной способности, таких как серверы или кластеры серверов, подключенные к магистральной сети.

    1. Принцип агрегации каналов Ethernet.

    1.1 Основные концепции агрегации ссылок
    • Агрегация каналов, также известная как объединение портов, объединение портов или объединение каналов. Агрегация каналов - это объединение нескольких портов вместе для формирования группы агрегации для реализации распределения нагрузки между исходящей и входящей нагрузками и портами-участниками. Со стороны группа агрегации кажется портом.
    • Сущности верхнего уровня, которые используют службы агрегации каналов, рассматривают несколько физических каналов в одной группе агрегации как логический канал.
    • Агрегация каналов реализована на уровне канала передачи данных.
    1.2 Преимущества агрегации ссылок


    Увеличьте пропускную способность

    За счет объединения нескольких физических каналов в логический канал и одновременной обработки данных достигается эффект увеличения пропускной способности.

    Балансировки нагрузки

    Включая ручной режим балансировки нагрузки и режим LACP, которые будут представлены ниже.

    Повышение надежности

    Когда есть ссылка, например, D отключен, трафик будет автоматически перераспределяться между оставшимися ссылками.

    Избегайте петли слоя 2

    Реализуйте гибкость и избыточность передачи данных

    1.3 Ограничения на агрегирование ссылок


    Физические параметры на обоих концах агрегированного канала должны быть согласованы.

    ① Количество агрегированных ссылок должно быть одинаковым

    ② Скорость ссылки для агрегирования должна быть постоянной.

    ③ Канал для агрегирования должен быть согласован в полнодуплексном режиме.

    Логические параметры на обоих концах агрегированного канала должны быть согласованы.

    Базовая конфигурация портов в одной конференц-группе должна быть согласованной.

    Базовая конфигурация в основном включает STP (протокол связующего дерева) Qos (управление потоком), VLAN (виртуальную локальную сеть) и другие связанные конфигурации.

    1.4 BPDU
    • Протокол связующего дерева блока данных протокола моста (BPDU) представляет собой протокол вложения мостов, определенный в спецификации IEEE 802.1d, и может использоваться для устранения петель моста.
    • Мосты используют BPDU для связи друг с другом и используют соответствующие функции BPDU для динамического выбора корневого моста и резервного моста. Но поскольку есть только один путь от центрального моста к любому сегменту сети, петля моста устраняется.
    • В среде связующего дерева мосты не сразу запускают функции пересылки. Они должны сначала выбрать мост в качестве корневого, а затем установить назначенный путь. Тот, у которого в сети самый низкий идентификатор моста, становится корневым мостом, и во всех сетях связующего дерева имеется только один корневой мост.
    1.5 Режим конфигурации агрегирования каналов


    Ручной режим

    LACP режим


    1.5.1 Предпосылки

    В ручном режиме Eth-Trunk не может обнаруживать сбои канального уровня, ошибки связи и т. Д.

    LACP

    Чтобы повысить отказоустойчивость Eth-Trunk, обеспечьте функцию резервного копирования для обеспечения высокой надежности каналов связи.

    Агрегация каналов в режиме LACP

    Режим агрегации каналов с использованием протокола LACP

    Терминология агрегирования каналов в режиме LACP

    Системный приоритет LACP, чем меньше значение системного приоритета LACP, тем выше приоритет

    Приоритет интерфейса LACP, чтобы отличать разные интерфейсы в одной и той же Eth-Trunk от выбранных в качестве активных интерфейсов, чем ниже значение приоритета LACP интерфейса, тем выше приоритет


    M: N резервных каналов между интерфейсами-участниками, M активных каналов и N резервных каналов

    2. Объединение каналов Ethernet

    2.1 Классификация связки

    Классификация связок уровня 2

    Между переключателем и переключателем

    Двух- и трехуровневое связывание

    Между коммутатором и роутером

    Группирование ссылок уровня 3

    Между роутером и роутером

    3. Связка ссылок (экспериментальная)

    Цель эксперимента: объявить объединение каналов для обеспечения взаимосвязи и взаимодействия между двумя ПК, а также между LSW1 и LSW2, трех каналов (два активных, один резервный)

    3.1 Экспериментальная топология


    3.2 Экспериментальная конфигурация
    3.2.1 Конфигурация LSW1
    3.2.2 Конфигурация LSW2

    Как и в конфигурации LSW1, LSW1 играет ведущую роль, в то время как приоритет LSW2 не нужно устанавливать, и не нужно устанавливать максимальное количество ссылок.

    3.2.3 Конфигурация ПК


    3.3 Тестовое соединение


    Взаимосвязанный

    3.4 Резюме
    • Два хоста в одном сегменте сети могут напрямую анонсировать связь коммутатора, минуя маршрутизатор.
    • Коммутационная агрегация каналов требует, чтобы одна сторона взяла на себя инициативу, установив приоритет LACP и, в то же время, установив максимальное количество активных каналов на интерфейсе межсоединения.
    • Каждый переключатель должен включать функцию bpdu
    • Каждый переключатель должен установить режим lacp

    Четыре, привязка ссылок + конфигурация Linux Bond0

    Цель: В производственной среде системы Linux часто используют две сетевые карты в качестве связанных и реализуют взаимосвязь с хостом.

    4.1 Экспериментальная топология


    4.2 Экспериментальный процесс

    Добавить два сервера (облако)


    Настройки облака:

    Cloud 2 привязан к виртуальной сетевой карте VMnet2, остальные настройки такие же

    4.2.1 Настройки R1
    4.2.2 Настройки R2
    4.2.3 Настройки завершения SW1
    4.2.4 Настройки завершения SW2
    4.2.5 Полная конфигурация сетевой карты хоста


    4.2.5 Установите сетевую карту
    • Добавить и привязать сетевые карты


    Заметка:UUID - настоящий уникальный идентификатор

    UUID предоставляет уникальную строку идентификации для устройств хранения в системе, независимо от типа устройства. Если вы добавите в систему новое запоминающее устройство, такое как жесткий диск, это может вызвать некоторые проблемы. Например, произойдет сбой, потому что устройство не может быть найдено во время запуска. UUID не вызовет таких проблем.

    • Установить информацию о сетевой карте Ens33
    • Установить информацию о сетевой карте Ens36
    • Установить информацию о облигации 0

    PS: Здесь кратко описывается роль каждого режима.

    В следующем блоге подробно описаны различные режимы и особенности режима.

    4.2.6 Тест подключения



    ② ping PC1


    ③ ping PC2

    Результаты эксперимента: Бонд может общаться с ПК

    подводить итоги:

    ① После добавления связи вам нужно поэкспериментировать с хостом через маршрутизатор R1, поэтому вам необходимо настроить маршрутизатор и виртуальный шлюз

    ② Конфигурация команды lacp и конфигурация команды bpdu применимы в привязке канала уровня 2, а также может применяться максимальное количество действий канала

    ③ Настройте IP-адрес на коммутаторе, чтобы добавить виртуальный интерфейс vlanif

    ④ Недавно добавленная сетевая карта в Linux не будет автоматически генерировать файлы конфигурации, нам нужно вручную скопировать и настроить файлы

    ⑤ Файл связи также необходимо добавить вручную, рекомендуется сохранить полный файл конфигурации для дальнейшего использования.

    ⑥ Если сетевая карта не может быть запущена после завершения настройки, вы можете использовать ее снова: соединение nmcli, чтобы проверить правильность UUID Ens36


    В этот раз мы постараемся выполнить следующие задачи:

    1. Создание БД VLAN
    2. Протокол обнаружения соседей
    3. Настройка управляющего VLAN
    4. Настройка портов доступа и магистральных
    5. Распространение информации о VLAN на все коммутаторы
    6. Настройка порт-секьюрити
    7. Настройка голосовогоVLAN
    8. Настройка STP

    На помощь нам придут мануалы, доступные для просмотра и скачивания здесь:

    Дальнейшие эксперименты будем проводить в нашей системе удаленного доступа к оборудованию TermILab. Эта статья будет посвящена коммутации. Давайте посмотрим, как же на коммутаторах Huawei создаются VLAN, как они распространяются между коммутаторами, как настраиваются порты для подключения рабочих станций, IP телефонов и создаются магистральные соединения, а также механизмы обеспечения безопасности на уровне доступа и борьба с петлями на 2 уровне.

    Первоначальную настройку устройств Hyawei мы уже приводили в первой статье. Поэтому, вопросы, как настроить пароли, баннеры и удаленное взаимодействие с устройствами по протоколу telnet в этой статье не рассматриваются.

    Местами сравнение будем проводить с коммутаторами Cisco 3550.

    Итак, начнем. Для начала убедимся, что все устройства соединены правильно. На коммутаторах Cisco для этого используем возможности протокола cdp. А как быть с коммутаторами Huawei? Обращаемся к документации. В файле 29-ClusterCommand нашли возможность определения соседей и предоставления информации о них по протоколу ndp (Neighbor discovery protocol).

    Устройство Huawei
    Устройство Cisco

    Выводимая информация протокола NDP примерно такая же как, как и у CDP. Только у CDP есть еще возможность отобразить информацию кратко и полностью. По умолчанию оба протокола активны на своих коммутаторах. Каждый из них можно отключить как полностью на устройствах, так и на каждом интерфейсе в отдельности. Итак, основываясь на выводе протоколов обнаружения соседних устройств, мы можем понять, что схема соединений корректна.

    Идем дальше. Современные локальные сети немыслимы без виртуализации на канальном уровне. Поэтому, приступим к созданию VLAN. Создадим VLAN5 – Staff, VLAN8 – Test, VLAN10 – Native.

    Настраиваем БД VLAN на одном коммутаторе Huawei и Cisco. На коммутаторе Huawei переходим в режим system-view, а на коммутаторе Ciscoв -- режим configure-terminal. Для наполнения БД VLAN этих режимах конфигурации вводим следующие последовательности команд:

    Устройство Huawei
    Устройство Cisco

    Чтобы посмотреть созданные VLAN используем следующие команды:

    Устройство Huawei Устройство Cisco

    Коммутатор Cisco предоставляет более детальную информацию о том какие идентификаторы и имена VLAN существуют, какие порты коммутатора в каком VLAN находятся и некоторая другая информация. На коммутаторах Huawei вывод достаточно скуп. Только общее число VLAN и их идентификаторы. А как быть, если нужно увидеть и vid и его имя и уж, тем более, порты? Ставим ? после display vlan и выбираем параметр all на коммутаторе Huawei.

    Устройство Huawei

    Теперь информации побольше. И vid, и его имя. И что самое главное – порты, которые находятся в этой VLAN. Глаз зацепился за параметр Description в выводе VLAN. Этот избыточный параметр позволяет сделать еще и дополнительное описание для VLAN, в котором можно отразить более детально ее принадлежность.

    Для поддержания данных о vlan в домене на каждом устройстве работают GARP таймеры. Их 4 типа: hold, join, leave и leaveall. Таймеры измеряются в сентисекундах (100 сентисекунд соответствуют 1 секунде) и по умолчанию равны:

    GARP join 20 centiseconds

    GARP leave 60 centiseconds

    GARP hold 10 centiseconds

    GARP leaveall 20 centiseconds

    Важно, чтобы внутри домена все устройства были настроены с одинаковыми таймерами.

    Возвращаясь к GVRP, необходимо отметить, что протокол включается глобально и на интерфейсах (по умолчанию выключен), причем интерфейс обязательно должен работать в режиме trunk. Последовательность действий следующая:

    1. Включить GVRP глобально.
    2. *Опционально. Проверить или настроитьGARP таймеры одинаково на всех коммутаторах домена.
    3. Настроить необходимые порты в режиме trunk 802.1Q.
    4. Разрешить на транках все vlan.
    5. Включить GVRP на интерфейсах.
    6. Выбрать режим работы GVRP на интерфейсе.

    GVRP на интерфейсах может работать в трех режимах:

    1. Normal. Этот режим выбирается интерфейсом по умолчанию. В таком режиме коммутатор распространяет информацию о своих vlan и автоматически добавляет информацию о vlan в свою базу от других коммутаторов домена.
    2. Fixed. В данном режиме коммутатор распространяет информацию о своих vlan, однако не добавляет в свою базу информацию о vlan соседних устройств. Данный режим подходит для коммутаторов уровня ядра и распределения, поскольку никакие устройства уровня доступа не могут повлиять на их базу vlan. Если порт коммутатора какое-то время работал в режиме normal, а затем был переведен в режим fixed, то все vlan, о которых коммутатор узнал через этот порт будут удалены.
    3. Forbidden. В данном режиме коммутатор не распространяет информацию о своих vlan и не принимает информацию о vlan от других устройств. Более того, если порт коммутатора какое-то время работал в режиме normal, а затем был переведен в режим forbidden, то все vlan, о которых коммутатор узнал через этот порт будут удалены, а также на соседнем коммутаторе будут удалены все записи о vlan, настроенных вручную на forbidden-коммутаторе.

    Теперь посмотрим, как настраивать trunk-порты. Основные задачи здесь – это включить на порту режим trunk; описать vlan’ы, которые можно через него пропускать; и задать vlan, с которым ассоциировать нетегированные кадры (аналог cisco native vlan).

    Перейдем к командам. Режим trunk влючается на интерфейсе командой port link-type trunk. Разрешенные vlan’ы описываются командой port trunk permit vlan vlan-id. Vlan по умолчанию настраивается командой port trunk pvid vlan vlan-id. Инкапсуляция на транках по умолчанию 802.1Q, и другого режима инкапсуляции не предусмотрено.

    Пример, как настроить trunk-порт на нашем коммутаторе:


    На коммутаторах Huawei можно перечислить только определенные vid через пробел, либо указать их диапазон используя связку <vid_1> to <vid_n>. На коммутаторах Cisco это делается через запятую, а диапазон указывается через тире.

    Вернемся к проблеме распространения БД vlan между коммутаторами. Несмотря на всю кажущуюся сложность, настроить GVRP достаточно легко. К 24 порту нашего коммутатора подключим второй коммутатор Quidway S3928P-SI, на котором по умолчанию есть только 1 vlan. Для начала настроим на нем транк и разрешим в транке все vlan’ы.

    Теперь на обоих коммутаторах запустим GVRP, включим его на trunk-итерфейсах, и выберем режим на первом коммутаторе Normal, а на втором Fixed.

    Посмотрим на вывод команды display vlan на каждом коммутаторе.

    Кажется, что ничего не изменилось, и появляются сомнения, что GVRP вообще работает корректно. Однако вывод команды display garp statistics показывает, что GVRP запущен и работает между коммутаторами.

    Теперь создадим на коммутаторе LabSW_2 пару дополнительных vlan’ов и посмотрим на изменения базы vlan коммутатора LabSW.

    Как мы видим, коммутатор LabSw добавил в свою базу новые vlan’ы (50 и 70), созданные на LabSw_2. В свою очередь, коммутатор LabSw_2 так и ведет свою локальную базу vlan независимо от соседа. Таким образом, мы не только настроили протокол GVRP на соседних коммутаторах, но и проверили сразу 2 режима работы: normal и fixed.

    Теперь можно переходить к настройке портов доступа и управляющего интерфейса. Распределим их следующим образом: 10 порт поместим в 10 vlan и сделаем его управляющим на коммутаторе, порты с 11 по 15 переведем в режим доступа в 5 vlan.

    Чтобы исключить macflood и обеспечить элементарную безопасность на уровне доступа, сразу разрешим только по одному mac адресу для каждого порта доступа. На коммутаторе Huawei нужно в режиме system-view включить механизм port-security, а затем настроить его на каждом порту.

    Устройство Huawei Устройство Cisco

    К сожалению, на коммутаторах Huawei нельзя сразу настроить диапазон портов. Однако есть возможность скопировать настройки одного порта на другие. Сделаем это:

    Просмотрим полученную конфигурацию одного из портов:

    Устройство Huawei Устройство Cisco

    Теперь поместим порты в необходимые vlan’ы и настроим управляющий интерфейс:

    *Диапазон портов можно добавить в определенный vlan из режима настройки данного влана.

    Проверим доступен ли нам управляющий интерфейс коммутатора, используя команду ping:


    Современные Enterprise сети являются конвергентными, поэтому использование в них IP телефонии стало стандартом де-факто. Как известно, трафик IP телефонии необходимо отделить от трафика передачи данных, да к тому же нужно экономить порты на коммутаторах. Так как же создать голосовой VLAN на коммутаторах и подать его на нужные порты? По сути, голосовой VLAN создается точно также в БД VLAN как и VLAN для передачи данных. В качестве голосового будем использовать vlan 8.

    Vlan создан, теперь устройству необходимо сообщить, какой vlan использовать в качестве голосового. Команда voice vlan vlan-id enable настраивает определенный vlan в качестве голосового и включает его глобально на устройстве. Узнать в дальнейшем, какой vlan является голосовым на устройстве, можно с помощью display voice vlan status. Для того, чтобы коммутатор добавлял к кадрам телефонов тег голосового vlan’а необходимо еще завести на устройстве OUI list мак-адресов. Мак-адреса наших телефонов выглядят так: 000d.28xx.xxxx. OUI list для них описывается командой [LabSw]voice vlan mac-address 000d-2800-0000 mask ffff-ff00-0000 description IPphone.

    Теперь можно перейти к настройке портов.

    Как стало понятно из мануалов, чтобы осуществить задуманное, нужно перевести порты в режим Hybrid. Работает он достаточно интересно. В нашем случае необходимо, чтобы коммутатор не только добавлял тег к нетегированным кадрам, поступающим от рабочих станций, но и сбрасывал тег vlan’а в обратном случае, когда кадры нужно передать с порта на рабочие станции. Что касается голосового vlan’a, то его достаточно просто включить на выбранном интерфейсе.

    Настроим коммутатор таким образом, чтобы порты с 1 по 9 были настроены для поддержки телефонов на 8 vlan и для пользователей на 5 vlan.

    Выполняем задуманное и настраиваем один из интерфейсов:

    Посмотрим, что получилось:


    Как мы уже отмечали, на коммутаторах Huawei нельзя сразу настроить диапазон портов, зато можно скопировать настройки одного порта на другие. Сделаем это:

    Теперь порты с 1 по 9 настроены для работы и рядовых пользователей, и ip-телефонов.

    Стремясь обеспечить надежность сети, многие сетевые инженеры и администраторы искусственно вводят избыточные связи, которые ведут к образованию петель на канальном уровне. Также петли могут образоваться и из-за ошибочных или злонамеренных действий пользователей. Чтобы их ликвидировать производители в свои коммутаторы внедряют алгоритм STP. Соединим избыточной связью коммутаторы LabSW и LabSw_2, чтобы создать петлю. Осталось только узнать, какие протоколы STP поддерживаются на коммутаторах Huawei, и как они настраиваются. Нажав символ ? после команды stp, можно увидеть эти протоколы. Будем настраивать на нашем коммутаторе протокол RSTP (по умолчанию stp выключен глобально).

    Посмотрим на выводы команды display stp brief и display stp, чтобы определить какие порты заблокировал stp, и кто их коммутаторов стал root’ом :

    Как мы видим, протокол запустился. Root’ом стал LabSw, так как его BridgeID 32768.000f-e274-cafe меньше чем у соседнего LabSw_2 (BridgeID 32768.000f-e275-98d8). На это косвенно указывает и то, что все порты LabSw работают в режиме designated. На коммутаторе LabSw_2 порт Ethernet 1/0/24 попал в режим alternative, т.е. не пересылает кадры. Это нас не утраивает, потому что через этот порт работает GVRP, который мы ранее настроили. Заставим коммутатор LabSw_2 заблокировать порт Ethernet 1/0/23, а 1/0/24 перевести в режим designated. Сделать это можно, поменяв cost на интерфейсе. По умолчанию все порты коммутатора имеют cost 200. Чем меньше это значение, тем приоритетнее порт. Поменяем это значение на 20 и посмотрим на результат:

    Поставленной цели мы добились, и теперь наша связка коммутаторов работает должным образом.

    Читайте также: