1,問題描述
某企業採用CE12808作為核心網絡設備,CE12808設備下掛S5700、H3C設備作為接入,CE12808採用CSS技術保證網絡的可靠性,旁掛IDS檢測外來流量,保證內網不受攻擊。網絡管理員發現PING測H3C設備無丟包情況,同時PING測S5700存在大量丟包,導致部分業務不能正常運行。
網絡拓撲如下:
2,處理過程
步驟一、登錄S5700查看告警信息發現,S5700的CPU使用率最高達到83%
CPU Usage Stat. Cycle: 60 (Second)
CPU Usage : 25% Max: 83%
步驟二、查看設備告警信息發現S5700設備不斷收到TC報文,懷疑是設備處理TC報文所導致CPU佔用率過高,使用display stp tc-bpdu statistics命令發現S5700設備與CE12808設備對接的端口收到的TC報文一直在增長。
-------------------------- STP TC/TCN information --------------------------
MSTID Port TC(Send/Receive) TCN(Send/Receive)
0 GigabitEthernet0/0/1 4/16063 0/0
步驟三、查看CE12808設備發現未啟用MSTP。
3,根因
CE12808未啟用MSTP,IDS設備接入導致環路出現,其它設備STP頻繁收斂,產生大量TC報文,S5700收到TC報文,並刷新MAC、ARP表項及設備CPU使用率過高,影響業務正常運行。12808啟用MSTP後,經測試丟包問題沒有復現。問題解決。
4,解決方案
CE12808設備啟用MSTP將IDS其中一個端口阻塞後,網絡恢復正常,查看CE12808到IDS間的鏈路高峰期時利用率不到30%,單鏈路可以滿足需求,但避免後期突入流量過大情況,已將IDS與CE12808間雙鏈路做捆綁處理。
5,建議與總結
正常情況下不要輕易禁用MSTP,以免其它設備接入時引起環路,影響正常業務運行。
閱讀更多 王海軍老師 的文章