Introduction
Ce document décrit les pannes de réseau potentielles dues à la limite d'instance VLAN sur les commutateurs Catalyst hérités bas de gamme et leur prévention.
Conditions préalables
Exigences
Cisco recommande que vous connaissiez les concepts de commutation de base, ainsi que le protocole STP (Spanning Tree Protocol) et ses fonctionnalités sur les commutateurs Cisco Catalyst.
Composants utilisés
Les informations contenues dans ce document sont basées sur les commutateurs Cisco Catalyst, principalement des périphériques hérités bas de gamme, et s'appliquent à toutes les versions, sans être limitées à des versions logicielles ou matérielles spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
La fiabilité de l'infrastructure réseau est essentielle pour les opérations de l'entreprise, et la gestion des contraintes du matériel réseau est essentielle pour assurer une stabilité permanente. Les commutateurs Catalyst hérités bas de gamme, qui sont un élément de base dans de nombreux environnements réseau plus anciens, font souvent face à une limitation qui peut entraîner des problèmes importants tels que la limite d'instance VLAN. Cette limite se rapporte au nombre d'instances STP qu'un commutateur peut prendre en charge simultanément. Lorsqu’une organisation atteint la limite d’instance VLAN sur ces commutateurs, elle ne peut pas activer le protocole STP pour des VLAN supplémentaires, ce qui présente un risque de boucles réseau et de pannes potentielles.
Présentation de la limite d'instance VLAN
Chaque VLAN sur un commutateur qui nécessite STP pour la prévention des boucles est compté comme une instance distincte. Les commutateurs bas de gamme et hérités ont des limites strictes sur le nombre d'instances STP simultanées qu'ils peuvent traiter. Une fois le maximum atteint, tous les VLAN supplémentaires fonctionnent sans protection STP, ce qui rend le réseau vulnérable aux boucles pouvant entraîner des tempêtes de diffusion et des pannes généralisées.
Exemple de commutateur Cisco Catalyst 3850 fonctionnant avec plus de VLAN qu'il n'en prend en charge :
Switch#show run | i span
spanning-tree mode rapid-pvst
spanning-tree loopguard default
spanning-tree extend system-id
no spanning-tree vlan 43,125,402,404,406,409,412,414-415,418-420,422-424,426 < ----- STP disabled on these Vlans
no spanning-tree vlan 427,430
spanning-tree vlan 1-1005 priority 40960
Le commutateur fonctionne avec le nombre maximal d'instances Spanning Tree prises en charge.
Switch#show spannig-tree summary totals
Name Blocking Listening Learning Forwarding STP Active
---------------------- -------- --------- -------- ---------- ----------
128 vlans < ----- 29 0 0 1481 1510
Switch#show spanning-tree instances
MAX STP instances supported is 128 < -----
Risques de dépassement de la limite d'instances VLAN
Le dépassement de la limite d'instances VLAN sur un commutateur ne déclenche généralement pas une panne immédiate. Au lieu de cela, il crée un risque latent qui peut se manifester de manière inattendue, souvent pendant les périodes de reconfiguration du réseau ou lorsqu’une nouvelle connexion crée une boucle par inadvertance. Sans STP pour détecter et bloquer ces boucles, un seul faux pas peut entraîner une perturbation importante du réseau.
Symptômes courants
1. MAC - Volets :
%MAC_MOVE-SW1-4-NOTIF: Host xxxx.xxxx.xxxx in vlan <> is flapping between port (1) and port (2)
%MAC_MOVE-SW1-4-NOTIF: Host yyyy.yyyy.yyyy in vlan <> is flapping between port port (1) and port (2)
%MAC_MOVE-SW1-4-NOTIF: Host zzzz.zzzz.zzzz in vlan <> is flapping between port (1) and port (2)
2. Notifications de modification de topologie :
VLAN0999 is executing the rstp compatible Spanning Tree protocol
Number of topology changes 72413 last change occurred 0o:00:05 ago
from TenGigabitEthernet1/1/1
VLAN0608 is executing the rstp compatible Spanning Tree protocol
Number of topology changes 1106 last change occurred 00:07:53 ago
from TenGigabitEthernet1/1/1
VLAN0301 is executing the rstp compatible Spanning Tree protocol
Number of topology changes 25824 last change occurred 00:03:13 ago
from Port-channel21
3. Utilisation CPU élevée due aux interruptions/entrées ARP/processus STP :
CPU utilization for five seconds: 99%/5%; one minute: 98%; five minutes: 97%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
11 48417100 4048595 11957 28.47% 27.55% 27.15% 0 ARP Input < ----- High CPU due to ARP Input
130 2296685 1887488 1216 21.19% 20.49% 20.01% 0 Spanning Tree
205 12387701 1054338 11749 8.91% 9.02% 9.10% 0 Hulc LED Process
88 3036802 283172 10723 6.71% 6.98% 6.85% 0 IP Input
44 867032 754781 1148 4.27% 4.45% 4.35% 0 Interrupts
Techniques de prévention et d'atténuation
Les administrateurs réseau peuvent utiliser plusieurs stratégies afin de réduire le risque associé à la limite d'instances VLAN sur les commutateurs Catalyst hérités bas de gamme :
- Consolidation des VLAN : réduisez le nombre de VLAN utilisant le protocole STP en combinant ou en segmentant le trafic réseau lorsque cela est possible.
- Implémenter le protocole MSTP : passez de PVST+ ou Rapid-PVST+ au protocole MSTP (Multiple Spanning Tree Protocol) pour regrouper les VLAN en un nombre réduit d'instances STP.
- Optimiser la participation STP : désactivez STP sur les VLAN où les risques de boucles sont faibles ou sur les segments du réseau où d'autres mécanismes de prévention des boucles sont en place.
- Mise à niveau de l'infrastructure réseau : remplacez les anciens commutateurs bas de gamme par du matériel moderne capable de prendre en charge un plus grand nombre d'instances STP.
- Reconception du réseau : réévaluez la conception du réseau afin d'optimiser les flux de trafic, de réduire le nombre de VLAN requis et de mieux s'aligner sur les fonctionnalités du matériel existant.
Conclusion
Atteindre la limite d'instances VLAN sur les commutateurs traditionnels bas de gamme est une bombe à retardement qui peut entraîner des pannes de réseau si elle n'est pas résolue. Une gestion proactive du réseau, y compris des mises à niveau matérielles et des ajustements stratégiques de la conception du réseau, est essentielle pour atténuer ce risque et garantir la résilience de l'infrastructure réseau face au vieillissement de la technologie.