思科與華為交換機對接故障處理

■ 遼寧 高大偉

編者按：筆者單位由于在網絡改造，造成不同品牌的交換機設備出現混用的情況，如果配置不當，極易造成網絡故障問題。

單位在設備更新過程中，因為有些區域的思科設備還要保留，出現了華為交換機與思科交換機并存的現狀，改造完后也出現了網絡不穩定的現象。

故障現象

單位網絡系統改造完后網絡還算穩定，但一段時間后大家反映網絡開始中斷并且越來越頻繁。起初筆者還以為是病毒惹的禍，但殺毒后效果不是很明顯，經過分析，覺得還是華為和思科的兼容性的原因。

原因分析

華為交換機所支持的生成樹協議類型分別有：STP（Spanning Tree Protocol）、RSTP（Rapid Spanning Tree Protocol）、MSTP（Multiple Spanning Tree Protocol）以及VBST（VLAN-Based Spanning Tree）。

STP 是一個用于局域網中消除環路的協議。運行該協議的設備通過彼此交互信息而發現網絡中的環路，并適當對某些端口進行阻塞以消除環路。RSTP 在STP 基礎上進行了改進，實現了網絡拓撲快速收斂。

STP 和RSTP 有 一 個 共同的缺點：STP 和RSTP 不能按VLAN 阻塞冗余鏈路，局域網內所有的VLAN 共享一棵生成樹，所有VLAN 的數據報文都沿著一棵生成樹進行轉發，因此無法在VLAN 間實現流量的負載分擔。同時，鏈路被阻塞后將不承載任何流量，造成帶寬浪費，還有可能造成部分VLAN 的報文無法轉發。

MSTP 在STP 和RSTP 的基礎上進行了改進，既可以快速收斂，又提供了數據轉發的多個冗余路徑，在數據轉發過程中實現VLAN 數據的負載均衡。VBST 是華為提出的一種生成樹協議，生成樹的形成是基于VLAN 的，不同VLAN 間可形成相互獨立的生成樹，不同VLAN 內的流量沿著各自的生成樹轉發，進而可實現流量的負載分擔。

華為交換機MSTP 同思科交換機MST 都是基于標準協議，但實現上略有不同，VBST為華為的私有協議。思科交換機所支持的生成樹協議類型分別為PVST（Per VLAN Spanning Tree）、PVST（Per VLAN Spanning Tree Plus）、Rapid-PVST（Rapid Per VLAN Spanning Tree Plus）和MST（Multiple Spanning Tree）。在使用IOS 12.2 及之后版本的Catalyst 系列交換機中，支持PVST、PVST、Rapid-PVST 和MST 四種類型STP 協議。

這幾種生成樹協議的某些BPDU 報文采用其私有的報文格式，與IEEE 標準的BPDU 報文格式不一樣。當思科交換機運行PVST 或者Rapid-PVST 協 議 時，Trunk端口在非VLAN 1 中便發送私有的PVST BPDU 報文，這類私有的BPDU 報文的源MAC地址為端口的MAC 地址，目的MAC 地址為思科自己的保留地址01-00-0C-CC-CC-CD。

為解決與IEEE 標準STP協議的互通問題，思科在PVST 協議的基礎上衍生出了PVST 協議。PVST 協議相對于PVST 協議的改進是：提供了與標準STP 協議互通的能力，對于一個Access 端口，PVST 協議將發送標準的STP格式的BPDU 報文；對于一個Trunk 端口，PVST 協議僅會在VLAN 1 中，發送標準格式的BPDU 報文（目的MAC 地址為01-80-C2-00-00-00），而在其他允許通過的VLAN 中，仍然發送其私有格式的PVST BPDU 報文（目的MAC 地址為01-00-0C-CC-CC-CD）。

華為交換機支持IEEE 標準STP 協議，能與思科交換機發出的標準STP 協議互通計算，同時，將思科發出的私有格式的BPDU 報文當作普通的多播報文進行轉發，而不會處理這些報文。

當華為交換機與思科交換機對接時，在域名、修訂級別、VLAN 實例映射表全都一致的情況下，由于雙方BPDU報文密鑰不一致，會導致兩臺設備不能正常互通。在這種情況下，需要在華為S 系列交換機對接的端口上使能摘要偵聽功能，實現華為S系列交換機的BPDU 報文密鑰與其他制造商設備的BPDU報文密鑰一致，來完成與對端的協商。

當替換思科交換機時，華為交換機沒有配置STP 協議，而華為交換機默認的STP 協議位MSTP，就會出現協議對不上時通時斷的故障。

對接思路

對接替換方案主要有三種：華為交換機透傳PVST 報文，思科交換機自己協商破環；華為交換機通過VBST與思科交換機PVST/PVST/Rapid PVST 對接；華為交換機MSTP 與思科交換機MST對接。

華為交換機VBST 和思科交換機PVST/PVST/Rapid PVST 的互通，協議報文處理原理一致，可以互相識別，且均使用保留的組播MAC 地址01-00-0C-CC-CC-CD。因此，華為交換機VBST 與思科交換機PVST/PVST/Rapid PVST互通時，就如同華為S 系列交換機VBST 跟自身互通一樣。

華為交換機MSTP 同思科交換機MST 互通，除了當域摘要信息格式不一致時，要使能摘要偵聽功能，強制域內，其他原理同思科交換機一致。

華為交換機STP/RSTP 和思科PVST/Rapid PVST 的互通，由于思科交換機PVST/Rapid PVST 在 發 送PVST 報文的同時，也發送STP/RSTP與對端進行協商，所以它們的互通從技術上是可以實現的。但是華為交換機STP/RSTP 的收斂是基于端口的，而思科交換機PVST/Rapid PVST 的收斂是基于VLAN 的，最終的收斂結果可以分為兩類：

阻塞端口在華為交換機上，華為交換機STP/RSTP 是基于端口阻塞的，所有的數據報文（不區分VLAN）在阻塞端口都會被丟棄，包括思科的PVST 報文，所以對于任意VLAN 該端口都處于阻塞狀態；阻塞端口在思科交換機上，思科交換機PVST/Rapid PVST 只在VLAN1 內發送標準的STP/RSTP 協議與對端協商。所以在這種情況下，阻塞端口只會阻塞VLAN1實例，其他VLAN 的PVST 報文通過該端口正常處理并轉發，并在其所在VLAN 實例內進行計算收斂。

由于華為交換機STP/RSTP 不處理PVST 報文，所以其他VLAN 內的阻塞端口只會出現在思科交換機上。

處理方案

華為交換機透傳思科PVST 報文即實現思科交換機之間或自身協商破環。

原組網中交換機均為思科交換機。上行通過使用堆疊模式的三層核心交換機實現網絡側互通。兩臺匯聚交換機之間使用手工模式的Eth-trunk 進行鏈路冗余備份，上行通過配置OSPF 與核心交換機建立OSPF 鄰居關系收發路由，下行通過配置HSRP 實現虛擬網關備份。組網中交換機通過PVST 進行破環操作。

現根據需要，需使用華為交換機替換組網中的兩臺匯聚交換機，替換不改變原網絡規劃。

采用如下處理思路：

1. 配置華為交換機的OSPF 功能，實現與上行核心交換機建立OSPF 鄰居關系收發路由。

2.通過手工模式配置華為交換機之間的鏈路聚合，實現負載分擔。

3. 配置華為交換機的VRRP 功能實現對原思科交換機HSRP 的對接替換，實現虛擬網關備份。

4.配置華為交換機透傳思科PVST 報文，實現思科交換機之間或其自身的協商破環：

（1）去使能華為交換機的生成樹功能。

（2）配置PVST 報文的透明傳輸功能。

調整完成后驗證用戶側設備業務，故障排除。