以太網(wǎng)交換網(wǎng)絡中為了提高網(wǎng)絡可靠性，通常會采用冗余設備和冗余鏈路，然而現(xiàn)網(wǎng)中由于組網(wǎng)調(diào)整、配置修改、升級割接等原因，經(jīng)常會造成數(shù)據(jù)或協(xié)議報文環(huán)形轉(zhuǎn)發(fā)，不可避免的形成環(huán)路。如圖所示，三臺設備兩兩相連就會形成環(huán)路。當設備未部署環(huán)路保護協(xié)議或者組網(wǎng)配置發(fā)生變更時，環(huán)形組網(wǎng)中就可能會產(chǎn)生廣播風暴。

二層環(huán)路最大的危害就是會產(chǎn)生廣播風暴，以太網(wǎng)是一個支持廣播的網(wǎng)絡，在沒有環(huán)路的環(huán)境中，廣播包在網(wǎng)絡中以泛洪的形式被送達到網(wǎng)絡的每一個角落，以保證每個設備都能夠接受到它。在帶寬允許的情況下，每個網(wǎng)橋在接收到廣播報文以后，都會向除接收端口以外的其他所有接口轉(zhuǎn)發(fā)這個廣播包，一旦網(wǎng)絡中有環(huán)路，這種簡單的廣播機制就會引發(fā)災難性后果。

環(huán)路中一個廣播報文被反復轉(zhuǎn)發(fā)了千萬次，產(chǎn)生了廣播風暴并且很快達到或接近端口線速，并迅速消耗鏈路帶寬。根據(jù)轉(zhuǎn)發(fā)規(guī)則，這些廣播報文不僅僅只是在環(huán)路上無限轉(zhuǎn)發(fā)，環(huán)路設備還會向其他端口轉(zhuǎn)發(fā)一份，這樣整個網(wǎng)絡中都充斥著大量重復廣播報文。如果全網(wǎng)絡都采用千兆端口互連，那么幾乎每一條鏈路上都充斥著1000M/s的廣播報文，正常的數(shù)據(jù)報文將很難再獲得轉(zhuǎn)發(fā)的機會。

二層網(wǎng)絡設備處于同一個廣播域下，廣播報文在環(huán)路中會反復持續(xù)傳送，無限循環(huán)，形成廣播風暴，引發(fā)MAC地址表不穩(wěn)定等故障現(xiàn)象，進而影響正常業(yè)務，導致用戶通信質(zhì)量較差，甚至通信中斷。

為防止環(huán)路出現(xiàn)，并保證網(wǎng)絡的可靠性，交換機設備上通常會部署一些破環(huán)協(xié)議。目前S系列交換機支持的二層環(huán)路破環(huán)協(xié)議主要有：

STP/RSTP/MSTP

RRPP

SEP

Smart Link

ERPS

除了二層環(huán)路破環(huán)協(xié)議，交換機同時支持環(huán)路檢測技術，主要的環(huán)路檢測技術有：

Loop Detection

Loopback Detection

如何判斷環(huán)路故障

總體思路

所有故障皆“事出有因”，故障的發(fā)生一定是在一個穩(wěn)定的正常運行的網(wǎng)絡中，某一網(wǎng)絡環(huán)節(jié)發(fā)生了變化而引起的，這些誘發(fā)網(wǎng)絡產(chǎn)品生故障的變化包括：

網(wǎng)絡調(diào)整：包括但不限于組網(wǎng)調(diào)整、配置修改、升級割接等操作；

網(wǎng)絡環(huán)境發(fā)生變化：包括但不限于網(wǎng)絡風暴、特定節(jié)日/促銷活動/智能終端導致用戶行為變化，網(wǎng)絡設備電源/溫度環(huán)境發(fā)生變化、傳輸光纜被切斷、夏令時跳變、微波受大雨/大霧等其后影響、洪水/火災/地震/雷擊等外界不可抗力；

網(wǎng)絡設備發(fā)生故障：包括但不限于軟件發(fā)生缺陷、硬件老化故障（單板異常、光纖光模塊故障）等。

所有這些誘發(fā)故障的內(nèi)在因素絕大多數(shù)都有其“外在異常表現(xiàn)”，具體會反映在特定網(wǎng)元的告警、日志、流量統(tǒng)計、端口狀態(tài)等信息中。因此故障快速定位的關鍵在于，如何有效而快速的通過事發(fā)時間、影響范圍、所做操作及故障網(wǎng)絡范圍的網(wǎng)元基本信息的查看，快速發(fā)現(xiàn)這些“外在異常表現(xiàn)”所在的點，進而鎖定故障網(wǎng)元節(jié)點，找出問題根因。

如下圖所示，網(wǎng)絡中出現(xiàn)二層環(huán)路通常會有如下現(xiàn)象，如果分析現(xiàn)網(wǎng)問題發(fā)現(xiàn)存在以上異常表現(xiàn)中的一個或者多個，則網(wǎng)絡中存在二層環(huán)路可能性較大。

環(huán)路故障診斷步驟

判斷網(wǎng)絡中是否存在二層環(huán)路，一般可以使用查看接口帶寬流量、查看MAC漂移告警、部署環(huán)路檢測、查看CPU占用率四種方法進行確認。這四種方法沒有嚴格的操作順序，為更加準確判斷故障屬性，可以使用其中的一種或多種方法來進行問題定位。

查看接口帶寬流量

1. 檢查端口帶寬流量簡要信息。

通過display interface brief命令，查看所有接口下的流量，存在環(huán)路的接口上InUi和OutUi兩個計數(shù)會逐步增加至端口速率上限。

<HUAWEI> display interface brief | include up

#

一般情況下，使用此命令查詢只能看到當前網(wǎng)絡的流量結(jié)果，此結(jié)果需要和網(wǎng)絡的正常業(yè)務流量進行比較，業(yè)務流量的帶寬可以從網(wǎng)管設備上的網(wǎng)絡流量監(jiān)控圖中獲取。

l 通過下面簡單的判斷，可以初步確定有沒有環(huán)路存在。

n 如果當前網(wǎng)絡流量遠大于正常業(yè)務，可能存在二層環(huán)路。

n 如果當前網(wǎng)絡流量正常，且沒有部署廣播抑制，則沒有二層環(huán)路。

n 如果當前網(wǎng)路流量比正常流量稍大，且部署了廣播抑制，則需要通過查看MAC地址漂移進一步判斷。

l 通過觀察設備流量大的端口個數(shù)和流量出入方向，也可以進行如下初步判斷。

n 如果只有一臺設備的一個端口出入方向流量較大，可能屬于交換機單端口自環(huán)出現(xiàn)環(huán)路。

n 如果只有一臺設備的兩個端口流量較大，可能屬于交換機雙端口環(huán)路導致協(xié)議震蕩。

n 如果某端口只有單方向流量較大，即只有出方向流量大或者只有入方向流量較大，則需要重點排查，因為環(huán)路有可能在該端口的上下游設備，屬于下游設備報文轉(zhuǎn)發(fā)異常導致偽環(huán)路問題。

上述步驟在確認可能是環(huán)路的情況下，可以通過如下步驟進一步判斷確認環(huán)路是否的確存在。

2. 查看帶寬異常的接口詳細信息。

為排除先前報文統(tǒng)計數(shù)對故障判斷的影響，在征詢客戶同意的前提下，您可以在用戶視圖執(zhí)行命令reset counters interface [ interface-type [ interface-number ] ]，先清除指定接口的統(tǒng)計信息。

任意視圖下執(zhí)行命令display interface [ interface-type [ interface-number ] ]，或接口視圖下執(zhí)行命令display this interface，查看接口當前運行狀態(tài)詳細信息。具體可查看回顯信息中的Broadcast和Multicast和字段，以觀察接口出入方向是否有大量的廣播和組播報文計數(shù)。

如果存在某些接口的收發(fā)廣播/組播報文數(shù)明顯大于同一設備其他接口的收發(fā)廣播/組播報文數(shù)，則存在環(huán)路的可能性很大；否則，請執(zhí)行查看MAC地址漂移進一步判斷。

查看MAC地址漂移

MAC地址漂移即設備上某一個接口學習到的MAC地址在同一VLAN中另一個接口上也學習到，后學習到的MAC地址表項會覆蓋原來的表項。

導致MAC地址漂移的可能原因包括網(wǎng)絡存在環(huán)路或者非法用戶進行網(wǎng)絡攻擊等。因此出現(xiàn)MAC地址漂移不一定是因為存在環(huán)路，但是如果設備存在環(huán)路，則一定會有MAC地址漂移現(xiàn)象發(fā)生。

如圖所示，當SwitchA向兩個方向同時發(fā)送報文時，在SwitchB上的兩個不同端口都會收到該報文，從而出現(xiàn)MAC地址漂移。當SwitchB的兩個端口出現(xiàn)了MAC地址漂移時，說明交換機的兩個端口間可能出現(xiàn)了環(huán)路。

交換機所有形態(tài)和版本均默認支持MAC地址漂移檢測功能。MAC地址漂移檢測配置主要是指MAC地址漂移后設備是否產(chǎn)生告警，以及MAC地址漂移后是否設置端口堵塞功能。

由于交換機各版本和形態(tài)間的MAC地址漂移檢測的命令行和檢測存在差異，將劃分為框式設備和盒式設備來分別介紹。

1. 框式交換機的MAC地址漂移查看方法：

l 對于V100R002版本設備，全局使能MAC地址漂移檢測功能后，僅在非S系列單板上生效，并且設備檢測到MAC地址漂移后，只支持發(fā)送trap告警。開啟MAC地址漂移檢測功能的命令如下：

[HUAWEI] mac-flapping alarm enable

l 對于V100R003及以后的版本，設備新增了基于VLAN的MAC地址漂移檢測、檢測到MAC地址漂移后執(zhí)行對應的動作策略。系統(tǒng)視圖和VLAN視圖開啟MAC地址漂移檢測的命令如下：

n 系統(tǒng)視圖下執(zhí)行命令：

[HUAWEI] loop-detect eth-loop alarm-only

n VLAN視圖下執(zhí)行命令：

<HUAWEI> system-view

[HUAWEI] vlan 10

[HUAWEI-vlan10] loop-detect eth-loop alarm-only

開啟MAC地址漂移檢測功能后，您可以執(zhí)行命令display trapbuffer查看MAC地址漂移告警.

2. 盒式交換機MAC地址漂移查看方法

盒式交換機（不包括S2700系列）在V100R003及以后版本，不支持全局配置MAC地址漂移檢測功能，只支持配置基于VLAN的MAC地址漂移檢測，同時支持檢測到MAC地址漂移后發(fā)送trap告警以及進行阻塞端口等動作。開啟MAC地址漂移檢測命令如下：

VLAN視圖下：

<HUAWEI> system-view

[HUAWEI] vlan 10

[HUAWEI-vlan10] loop-detect eth-loop alarm-only

如何快速破環(huán)

以太網(wǎng)環(huán)路會在短時間內(nèi)形成數(shù)據(jù)風暴，當端口的流量達到帶寬的最大負荷，會形成鏈路擁塞，影響網(wǎng)絡業(yè)務。因此，在確認現(xiàn)網(wǎng)發(fā)生數(shù)據(jù)環(huán)路后，您需要第一時間按照如下步驟處理，盡快恢復數(shù)據(jù)業(yè)務。

1. 梳理網(wǎng)絡拓撲并識別環(huán)路。

環(huán)形網(wǎng)絡拓撲一般較為復雜，可以尋求到網(wǎng)絡拓撲結(jié)構(gòu)全圖，具體到網(wǎng)絡的VLAN規(guī)劃信息，每臺設備名稱、系統(tǒng)MAC、管理IP，本端端口名稱、對端端口名稱。

完整的拓撲信息是解決環(huán)路問題的首要條件，如果沒有拓撲圖，需要從發(fā)現(xiàn)環(huán)路的設備，通過逐跳登錄，記錄設備信息、端口信息和VLAN信息，手動繪制完整的拓撲。

2. 緊急破環(huán)。

緊急破環(huán)的操作前提是不要影響遠程登錄設備所涉及的中間設備、端口和VLAN等，避免引入其他問題，出現(xiàn)設備脫管、無法遠程登錄的現(xiàn)象。

緊急破環(huán)又稱手動破環(huán)，當網(wǎng)絡風暴嚴重影響正常的業(yè)務時，需要使用此方法盡快恢復業(yè)務。您可以通過如下三個方法緊急破環(huán)。

l 端口退出已成環(huán)的VLAN

在已經(jīng)成環(huán)的網(wǎng)絡上，將其中一個端口退出成環(huán)VLAN，屬于影響面最小的破環(huán)方法。

l Shutdown已經(jīng)成環(huán)的端口

Shutdown已經(jīng)成環(huán)的物理端口，也可以達到破環(huán)的效果。

執(zhí)行此動作之前，您需要確保在接口視圖下執(zhí)行命令shutdown關閉接口后，不會影響正常數(shù)據(jù)業(yè)務，即端口兩端設備在所有VLAN內(nèi)仍能通信。

l 拔出成環(huán)光纖破環(huán)

通過拔出成環(huán)的端口的連接光纖，也可以緊急破環(huán)。

該方法可以使用Shutdown端口代替，只有在設備無法遠程登錄時才使用。

3. 確認業(yè)務已經(jīng)恢復。

通過Ping等操作測證網(wǎng)絡通信質(zhì)量，并觀察現(xiàn)網(wǎng)業(yè)務是否已經(jīng)恢復。

環(huán)路拓撲存在冗余鏈路和配置，因此環(huán)路破除后業(yè)務一般會自行恢復。

如何進行網(wǎng)絡加固和優(yōu)化

1. 是否需要部署適當?shù)钠骗h(huán)協(xié)議？

如果當前的環(huán)路問題是由于物理環(huán)路引入，且沒有配置破環(huán)協(xié)議，請按照網(wǎng)絡規(guī)劃合理部署破環(huán)協(xié)議。以太網(wǎng)交換機常見的破環(huán)協(xié)議為STP/RSTP/MSTP/VBST、RRPP、SEP、ERPS等，具體應用請查詢配置手冊。

2. 是否需要提升鏈路質(zhì)量和可靠性？

如果當前環(huán)路問題是由于物理鏈路質(zhì)量不可靠，存在協(xié)議報文擁塞丟失導致超時臨時環(huán)路，請檢查鏈路，并更換光纖光模塊。

如果當前問題因為帶寬不足導致協(xié)議報文被丟棄，需要擴充帶寬或者使用聚合鏈路，提升鏈路可靠性。

3. 是否需要部署廣播抑制提升網(wǎng)絡健壯性？

為了避免再次成環(huán)，成環(huán)后再次引入數(shù)據(jù)風暴，建議在環(huán)上設備端口下，部署廣播抑制，按照經(jīng)驗，部署5%的廣播抑制可以很好的防止廣播風暴，具體抑制的比例值可以按照客戶并發(fā)網(wǎng)絡廣播流量來評估確認。

4. 是否需要部署QoS保證協(xié)議報文優(yōu)先轉(zhuǎn)發(fā)？

如果當前環(huán)路問題是由于網(wǎng)絡擁塞導致協(xié)議報文未能轉(zhuǎn)發(fā)，需要部署QoS，協(xié)議報文高優(yōu)先級轉(zhuǎn)發(fā)。

5. 是否需要優(yōu)化網(wǎng)絡設計，提升網(wǎng)絡？

復雜組網(wǎng)可以通過分層控制，建議合理規(guī)劃設計接入層、匯聚層。

單層組網(wǎng)內(nèi)設備數(shù)量較多時，建議按照邏輯組織和地理分布，劃分不同的域。

關于如何排除網(wǎng)絡二層環(huán)路， SPOTO思博網(wǎng)絡今天就跟大家分享到這里，更多相關二層環(huán)路的內(nèi)容請繼續(xù)關注SPOTO思博網(wǎng)絡：SPOTO思博網(wǎng)絡是全球IT技術人才在線培訓學習基地，致力于培育優(yōu)質(zhì)的IT人才，加速IT互聯(lián)網(wǎng)技術人才職業(yè)技能進階。我們在思科認證、華為認證、CISSP信息安全認證、Linux、云計算、大數(shù)據(jù)和人工智能等領域為客戶提供有競爭力的培訓產(chǎn)品和可信賴的服務，持續(xù)為客戶創(chuàng)造價值，釋放個人潛能。始終圍繞客戶需求持續(xù)創(chuàng)新，加大課程研發(fā)投入，厚積薄發(fā)，推動個人成長，加速職業(yè)進程，為世界節(jié)省培養(yǎng)ICT架構(gòu)師的時間。