本文深入分析了一起由STP(生成树协议)引起的网络故障案例。在MSTP(多生成树协议)环境下,防火墙镜像功能导致SW2与SW1间连接进入discarding状态,进而引发SW1无法访问防火墙的问题。通过抓包分析,揭示了SW2因接收到错误BPDU报文而改变端口状态的详细原因。
STP故障02-镜像问题
背景介绍,如上图所示:
1、 SW1、SW2、SW3运行MSTP,SW1为MSTP的根桥;
2、 FW1上策略全开,在FW1上做镜像,将GE1/0/1端口入流量镜像到GE0/0/1端口进行分析;
3、 地址分配如下:SW1与FW1使用三层对接,地址为192.168.1.0/24(交换机为1,防火墙为2),SW2模拟二层交换机,放通SW1与FW1对接使用的VLAN10;SW3与FW1使用192.1682.0/24对接,使用vlan20;
测试及定位过程:
1、 先在SW1及SW3上ping测试FW1防火墙上对接地址,确认三层对接无故障,测试SW1访问SW3无故障;
2、 通过上面测试可以发现设备之间互访没有问题,现在我们在FW1防火墙上配置镜像后,再测试互通性;
3、 通过上面测试可以发现,SW1无法访问FW1防火墙地址,问题应该就在SW2和FW1上面,可以通过在SW2与FW1互连的接口上抓包查看;
4、 可以看到有两台设备发了STP的BPDU,但是防火墙是不支持STP的,那么另一台发送STP的设备是哪台呢?
5、 可以看到在SW2和FW1互连接口收到了SW3发送的BPDU报文,难道是STP导致SW1访问FW1地址不通的?
6、 可以看到是SW2连接FW1防火墙的端口变为discarding状态了,为什么会有这种情况产生呢?就因为防火墙把SW3的BPDU报文镜像过来了?
7、 可以看到,SW2收到SW3发送的 认为自己是根桥的BPDU,但 SW2发现SW1发送的才是最优的(优先级为0),那么他先将自己的端口状态改为discarding,同时向对端发送更优的BPDU,但是却一直无法改变对端状态,所以本地端口状态就一直是discarding,这也是STP防止临时环路的一种方法。
转载于:https://blog.51cto.com/9480916/2339949
扫一扫
216
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
