瞭解與VLAN間橋接相關的問題
目錄
簡介
VLAN間橋接是將多個VLAN同時橋接在一起的概念。有時,需要進行VLAN間橋接,以便在多個VLAN之間橋接不可路由協定或不受支援的路由協定。在配置VLAN間橋接之前,必須考慮若干拓撲注意事項和限制。本檔案介紹這些注意事項,並推薦設定解決方法。
此清單簡短總結了可能因VLAN間橋接而產生的問題:
-
各個VLAN間路由器上的CPU使用率高
-
摺疊式生成樹通訊協定(STP),其中所有VLAN都屬於STP拓撲的單個例項
-
未知的單播、組播和廣播資料包的第2層(L2)泛洪過多
-
分段網路拓撲
一小組通訊協定(例如區域傳輸(LAT)和Netbeui)無法路由。產品要求允許此類協定在兩個或多個VLAN之間通過路由器上的網橋組進行軟體橋接。在VLAN之間橋接某些協定時,必須提供一種機制,在VLAN之間存在多個連線時防止形成L2環路。在涉及的網橋組上執行STP可以防止形成環路,但也有以下潛在問題:
-
每個VLAN的STP可以合併為一個STP,其中包含橋接在一起的所有VLAN。
-
您無法在每個VLAN上放置根網橋。這是正確運行Uplink Fast所必需的。
-
控制網路鏈路中哪些點被阻塞的能力。
-
VLAN很可能在VLAN的中間進行分割槽。這會切斷對VLAN路由器協定(例如IP)一部分的訪問。橋接通訊協定仍然有效,但在此情況下會採取較長路徑。
必要條件
需求
本文件沒有特定需求。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
生成樹拓撲問題
使用與L2交換機相同的STP的路由器上的VLAN間橋接會為屬於同一網橋的每個VLAN生成一個STP例項。預設情況下,所有Catalyst交換機和路由器都運行IEEE STP。由於所有VLAN只有一個STP例項,因此會產生幾個副作用。例如,一個VLAN中的拓撲變更通知(TCN)會傳播到所有VLAN。過多的TCN可能導致過度單播泛洪。有關TCN的詳細資訊,請參閱瞭解生成樹協定拓撲更改。
我們將根據此物理拓撲討論其他可能的副作用:
圖中所示為典型第3層(L3)網路的物理拓撲。
由於存在兩個VLAN,因此交換機和路由器之間的所有中繼都同時承載VLAN 1和VLAN 2。對於所有Catalyst交換機,每個VLAN都有自己的STP拓撲。例如,VLAN 1和VLAN 2的STP可以用邏輯圖說明:
當兩個Catalyst 6500中的多層交換器功能卡(MSFC)設定為橋接至IEEE STP後,VLAN 1和VLAN 2會橋接在一起,以形成一個STP例項。此單個STP例項僅包含一個STP根。使用MSFC橋接檢視網路的另一種方法是將MSFC視為獨立的網橋。涉及MSFC的一個STP例項可能會導致不需要的網路拓撲。
在此圖中,將Catalyst 6500虛擬連線到MSFC路由器的連線埠(連線埠15/1)對於VLAN 2處於STP封鎖狀態。由於Catalyst 6500不會區分第2層封包和第3層封包,因此目的地為MSFC的所有流量都會遭到捨棄,因為連線埠處於STP封鎖狀態。例如,如圖所示,VLAN 2中的PC能夠與交換機1上的MSFC通訊,但不能與交換機2自身上的MSFC通訊。
在此圖中,Catalyst 6500交換器之間的主幹上增加了STP PortVLANCost,因此前往MSFC的連線埠處於STP轉送狀態。在這種情況下,從VLAN 2的交換機2到交換機1的埠處於STP阻塞狀態。STP拓撲通過MSFC轉發VLAN 2流量。由於MSFC配置了IP路由,因此MSFC僅橋接非IP幀。因此,VLAN 2中的PC無法與交換機1上VLAN 2中的裝置通訊。這種情況是由於通向交換機的埠處於阻塞狀態,並且MSFC不會橋接任何L3幀。
在此圖中,MSFC阻塞了到交換機2的VLAN 2連線。MSFC僅阻止第2層幀從到交換機的VLAN 2連線傳出,而不阻止第3層幀。這是因為MSFC是一種L3裝置,能夠確定需要橋接或路由的幀之間的差異。在此示例中,沒有網路分段,所有網路流量都按需要流動。雖然沒有網路分段,但所有VLAN仍有一個單一的STP例項。
建議在VLAN網橋生成樹協定中使用分層生成樹
分層設計是配置VLAN間橋接的首選方法。分層設計配置為MSFC上的數位設備公司(DEC)或VLAN網橋STP。建議使用VLAN-bridge over DEC。單獨的STP會建立兩層STP設計。通過這種方式,各個VLAN維護各自的IEEE STP例項。DEC或VLAN網橋協定建立對IEEE STP透明的STP拓撲。該協定還將MSFC上的相應埠置於阻塞狀態,以避免L2環路。
此層次結構是由DEC和VLAN網橋STP不傳播IEEE網橋埠資料單元(BPDU)而是IEEE STP傳播DEC和VLAN網橋BPDU的事實建立的。
在此圖中,MSFC運行VLAN網橋STP,Catalyst 6500交換機運行IEEE STP。由於MSFC不會從交換機傳遞IEEE BPDU,因此交換機上的每個VLAN都運行單獨的IEEE STP例項。因此,交換器上的所有連線埠都處於轉送狀態。交換機從MSFC傳遞VLAN網橋BPDU。因此,非根MSFC上的VLAN介面將進入阻塞狀態。在本示例中,沒有網路分段。所有網路流量都按需要通過兩個不同的STP傳輸。MSFC(第3層裝置)能夠確定需要橋接或路由的幀之間的差異。
VLAN網橋、DEC和IEEE 802.1D生成樹協定的生成樹預設值
| STP協定 | 目標組地址 | 資料鏈路報頭 | 最大老化時間(秒) | 轉發延遲(秒) | Hello時間(秒) |
|---|---|---|---|---|---|
| IEEE 802.1D | 01-80-C2-00-00-00 | SAP 0x4242 | 20 | 15 | 2 |
| VLAN網橋 | 01-00-0C-CD-CD-CE | SNAP CISCO,型別0x010c | 30 | 20 | 2 |
| DEC | 09-00-2b-01-00-01 | 0x8038 | 15 | 30 | 1 |
MSFC上使用VLAN網橋生成樹協定的示例配置
因為VLAN網橋STP確實在IEEE STP之上運行,所以您必須增加轉發延遲,這要長於拓撲更改後IEEE STP穩定所需的時間。這可確保不會發生臨時環路。為了支援此功能,VLAN網橋STP引數的預設值設定得高於IEEE的預設值。範例如下:
MSFC 1(根網橋)
interface Vlan1 ip address 192.168.75.1 255.255.255.0 bridge-group 1 ! interface Vlan2 ip address 192.168.76.1 255.255.255.0 bridge-group 1 ! bridge 1 protocol vlan-bridge bridge 1 priority 8192
MSFC 2
interface Vlan1 ip address 192.168.75.2 255.255.255.0 bridge-group 1 ! interface Vlan2 ip address 192.168.76.2 255.255.255.0 bridge-group 1 ! bridge 1 protocol vlan-bridge
MSFC上使用DEC生成樹協定的示例配置
因為DEC協定STP在IEEE STP之上運行,所以您必須將轉發延遲增加得比拓撲更改後IEEE STP穩定所需的時間長。這可確保不會發生臨時環路。為了支援此功能,您必須調整DEC STP的預設值。對於DEC STP,預設轉發延遲為30。與IEEE或VLAN網橋STP不同,DEC STP將其偵聽/學習合併到一個計時器中。因此,在運行DEC STP的所有路由器上,您必須將DEC的轉發延遲至少增加到40秒。範例如下:
MSFC 1(根網橋)
interface Vlan1 ip address 192.168.75.1 255.255.255.0 bridge-group 1 ! interface Vlan2 ip address 192.168.76.1 255.255.255.0 bridge-group 1 ! bridge 1 protocol dec bridge 1 priority 8192 bridge 1 forward-time 40
MSFC 2
interface Vlan1 ip address 192.168.75.2 255.255.255.0 bridge-group 1 ! interface Vlan2 ip address 192.168.76.2 255.255.255.0 bridge-group 1 ! bridge 1 protocol dec bridge 1 forward-time 40
意見