3层层次模型可以作为设计可靠、可扩展和经济有效的网络的指导方针。它将网络划分为以下几层:
● 核心:该层也称为主干网,在广域网、互联网和分发层之间提供可靠的高速传输。最重要的考虑因素是速度。出于这个原因,这一层中的设备应该主要执行切换;但是,也可以实现路由。应避免资源密集型任务,如安全检查或QoS分类。强烈建议冗余和容错。第2层或第3层设备可以在此层中使用。
● 分布:也称为智能层,该层聚合了访问层交换机的流量,并将其转发到核心设备。VLAN间路由、安全检查、数据包过滤和其他数据包操作任务应该在这里进行。建议冗余和容错。第2层或第3层设备可以在此层中使用。
● 接入:这是你连接终端的地方:工作站、电话、接入点、服务器等。访问层通常由第2层交换机组成,并为端点提供网络连接。当使用以太网供电(PoE)时,访问层还为个人设备(PD)提供电力。此外,访问层通常执行VLAN分割、设备身份验证、网络访问控制(NAC)和QoS分类。接入层交换机通常具有高密度端口配置,以降低每个端口的成本。通常,冗余和容错不是要求。
大多数时候,最好使用LAG,因为它使你能够轻松扩展,而无需重新配置FortiLink接口,同时提供最佳吞吐量。你也可以为你的FortiLink接口使用物理端口,但是如果你的FortiGate不支持LAG,此选项真的很有意义。但是,从FortiOS 6.4开始,所有FortiGate设备都支持LAG,因此在这种情况下,使用具有单个成员接口的LAG是一个更好的选择。
第三个选项是将FortiLink接口配置为使用基于硬件或基于软件的交换机接口。当你想将所有交换机直接连接到FortiGate,而不是堆叠它们时,此设置非常有用。然而,它只推荐给小型网络,这些网络的可扩展性和吞吐量预计不会随着时间的推移而增长。也就是说,对于你添加到网络的每个FortiSwitch,你必须在FortiGate上有一个端口。此外,当你将多个交换机直接连接到FortiGate时,FortiGate也会处理来自连接到不同交换机的端点的VLAN内流量,这可能会导致瓶颈,特别是如果使用基于软件的交换机接口。
上图的拓扑显示FortiSwitch作为接入层交换机,FortiGate作为分布和核心设备。当同一设备执行核心和分布任务时,这组设备运行的层称为折叠核心。在这种设计下,网络变成了一个双层层次拓扑。为了降低成本,你可以在较小的网络中使用此拓扑结构,你预计随着时间的推移,流量不会大幅增加。
额外的交换机可以使用交换机间链路(ISL)进行连接。你将第一台交换机连接到FortiLink接口,也可以将最后一台交换机连接到FortiLink接口以形成一个环。当你使用环形连接将交换机堆叠直接连接到FortiGate时,你必须将FortiLink接口配置为LAG。你还必须启用FortiLink分离接口设置,以指示FortiGate一次只保持一个FortiLink端口处于活动状态(向上链接)。其他FortiLink端口成员处于非活动状态(向下链接)。如果活动端口关闭,其中一个非活动端口将处于活动状态。当你启用FortiLink分离口时,当两个或多个FortiLink端口成员连接到两个未配置为多底盘链路聚合(MCLAG)对等体的不同交换机时,管理和用户流量不会受到影响,此拓扑中就是这种情况。
使用环连接FortiSwitch堆叠,为FortiLink连接提供冗余。如果第一台交换机丢失,备用FortiLink连接变为活动连接,因此其他交换机可以通过最后一台交换机继续与FortiGate通信。
当你将辅助FortiGate添加到拓扑时,你还必须将第一个和最后一个FortiSwitch设备连接到该辅助FortiGate。请注意,主FortiGate是唯一用于交换机管理的设备。也就是说,如果启用了A-A模式,辅助FortiGate可用于处理用户流量,但只有主FortiGate控制FortiSwitch堆叠。
FortiLink分离接口已启用。因此,在四个FortiLink端口中,只有一个端口——主FortiGate上的活动FortiLink端口用于交换机管理。主FortiGate上的活动FortiLink端口也用于处理用户流量。主FortiGate上的其他FortiLink端口处于非活动状态(链接下线)。此外,辅助FortiGate上的端口——拓扑中的备用FortiLink端口,不受FortiLink分离接口设置的影响。也就是说,辅助FortiGate上的端口保持在线(连接),并处于待机状态以进行交换机管理。在HA故障转移时,辅助FortiGate接管集群和FortiSwitch堆叠管理,与以前的主FortiGate一样,它将只有一个活动FortiLink端口,用于交换机管理和用户流量。
上图显示的设置只有在FortiSwitch不支持MCLAG时才有意义,大多数FortiSwitch型号都支持MCLAG。否则,为了获得更好的吞吐量,最好使用MCLAG并禁用FortiLink分离接口。此外,上图的拓扑结构显示了连接FortiGate和互联网的单个交换机。但是,出于冗余目的,你也可以使用一对FortiSwitch设备作为MCLAG对等组。在本课中,你将了解有关设置MCLAG和MCLAG拓扑的更多信息。
接入交换机连接到一个分布交换机,该交换机聚合来自端点的流量,并将其转发到FortiGate,以进行安全检查、VLAN间路由和其他与安全相关的任务。此拓扑中的分布交换机,以及使用管理交换机的任何拓扑,都不会执行三层分层模型中描述的智能任务。这些任务由作为核心设备的FortiGate执行。
分布交换机的工作原理更像聚合交换机,因为它主要转发访问交换机和FortiGate之间的流量。因此,你应该选择一个可以处理聚合流量的网络带宽要求的FortiSwitch型号。一个分布交换机的存在只会导致交换机堆叠中的单个故障点。你可以通过添加另一个分布交换机并使用MCLAG来实现冗余。
在FortiGate上,在分布交换机上完成设置MCLAG后,请确保FortiLink分离接口被禁用。这确保了主FortiGate上的两个LAG成员都处于活动状态。在分布交换机上,建议至少使用两个ICL链路进行冗余。此外,必须启用mclag-stp-aware,默认情况下是启用的。当启用mclag-stp-aware时,交换机在MCLAG ICL链路上运行生成树协议(STP;IEEE 802.1D),以检测MCLAG对等体之间由非ICL链路引起的环路。在本课中,你将了解有关STP的更多信息。
接入交换机可以采用双宿主组网,多台接入交换机可以采用环形组网。在双宿主连接中,你使用两个上行链路,每个上行链路连接到不同的分布交换机对等端。如果使用MCLAG,则双宿主连接中的上行链路作为LAG运行。在环形连接中,你将多个交换机堆叠起来,然后仅将堆叠中的第一个和最后一个交换机连接到不同的分布交换机对等体。与双宿主连接相比,环形连接需要较少的上行链路,但上行链路容量较小。这是因为环形堆叠中的交换机只能使用一条上行链路,因为冗余上行链路被STP阻塞以防止环路。
上图显示的拓扑结构仅在局域网中实现冗余。如下图所示,你可以在互联网边缘部署第二个FortiSwitch堆叠,并使用MCLAG为你的互联网连接实现冗余。
你必须将新的MCLAG对等组连接到与用于局域网交换机的接口不同的FortiLink接口。也就是说,你必须在FortiGate上配置第二个FortiLink接口,因此,你将管理两个不同的交换机堆叠。后者不是问题,因为FortiGate支持管理多个交换机堆叠。但是,你必须在FortiGate CLl上创建第二个FortiLink接口。之后,FortiGate GUI将同时显示FortiLink接口和交换机堆叠。
通常,在你将FortiSwitch设备连接在一起并在MCLAG对等体上启用mclag-icl后,MCLAG trunk会自动形成。但是,当你在上游MCLAG对等组(更接近FortiGate的那个)上连接两对MCLAG对等组时,你必须配置连接到下游MCLAG对等组的端口。根据上图显示的拓扑,如果你想在由分布交换机对形成的MCLAG对群和位于下方的接入交换机对形成的MCLAG对群之间使用MCLAG trunk,那么,在分布交换机上,你必须配置连接到接入交换机1和接入交换机2的端口。在分布交换机对上,你必须在FortiSwitch CLI的config switch auto-isl-port-group小节下应用配置。
上图的拓扑表示你必须在分布交换机对上配置的端口。上图还显示了配置所需的FortiSwitchOS命令。请注意,你必须在两个上游MCLAG对等体(在这种情况下是每个分布交换机)上应用auto-ISL端口组配置。此外,对于两个MCLAG对等组之间的MCLAG trunk,每个交换机上的auto-ISL端口组配置必须相同。
但是,你必须在接入交换机1和接入交换机2上为服务器手动配置MCLAG trunk。你在FortiGate GUl上的FortiSwitch端口页面上执行此操作。或者,你可以运行此上图显示的FortiOS CLI命令。请注意,你必须在服务器工作的MCLAG trunk的两台交换机上应用相同的配置。
上图的拓扑显示了三个MCLAG层,每个分层一个:核心、分布和访问。请注意,核心任务是与核心交换机和FortiGate HA集群一起执行的。此外,与两层MCLAG部署一样,你必须为核心交换机对和分布交换机对之间的MCLAG trunk以及分布交换机对和接入交换机对之间的MCLAG trunk配置auto-ISL端口组。
在上图的例子中,有两个站点。在每个站点上,都有一个FortiGate设备,其LAG成员在属于同一MCLAG对等组的不同FortiSwitch设备上终止。对于HA设置,不是使用专用光纤链路直接连接FortiGate HA端口,而是将HA端口连接到本地分布FortiSwitch对上。目标是使用站点之间的两条光纤链路来传输管理和用户流量。为此,在FortiGate上创建两个不同的FortiSwitch VLAN,用于HA流量。然后,将这些VLAN分配给对应的交换机端口。
连接每个站点上分布交换机MCLAG对的交换机端口用于传输交换机管理、HA心跳和用户流量。如果主FortiGate失败,辅助FortiGate将接管HA集群和交换机堆叠管理。与两层和三层MCLAG拓扑一样,你必须在站点1的分布交换机对和站点2的分布交换机对之间手动配置MCLAG trunk的auto-ISL端口组才能工作。
当你通过第3层管理FortiSwitch时,FortiGate只有在交换机启动CAPWAP隧道后才能发现FortiSwitch。也就是说,FortiGate不使用FortiLink或LLDP来发现远程交换机。此外,岛屿中的用户流量不会发送到交换机控制器,这意味着流量必须由远程站点中的网络设备处理。此外,你为FortiSwitch岛配置的FortiSwitch VLAN仅用于配置目的,而不是用于处理用户流量。
要在第三层管理FortiSwitch岛,你必须:
● 在FortiGate上配置FortiLink接口
● 在FortiSwitch上设置目标FortiLink接口IP,或通过DHCP启用IP发现(选项138)
● 如果你使用内部接口进行FortiGate通信,请在面向远程FortiGate的FortiSwitch端口上启用fortilink-l3-mode
对于FortiGate通信,你可以使用FortiSwitch上的管理端口或内部接口。前者是带外选项,后者是带内选项。使用内部接口使你能够使用LAG管理流量,而使用管理接口为你提供专用的物理端口。你可以使用一个FortiSwitch岛的内部接口和另一个FortiSwitch岛的管理接口。但是,你无法在单个FortiSwitch岛中混合接口类型。
与IP数据包不同,以太网帧没有时间(TTL)属性。这意味着只有当以太网帧到达端点或被交换机丢弃时,以太网帧才会在网络中消失。交换机将广播和多播帧转发到其所有端口,但接收帧的端口除外。如果相邻交换机之间有多个活动路径,则最初由交换机转发的相同广播和多播帧最终会在同一交换机上接收,但在不同的端口上接收。这导致交换机反复转发相同的帧。流量随着端点发送的每个新广播和多播帧而增加,这最终导致网络资源不足来转发用户流量。
MAC地址表不稳定是广播风暴的结果,当交换机在与之前学习MAC地址的端口不同的端口上学习MAC地址时,就会发生。这也被称为MAC地址拍打。结果是,交换机必须使用学习MAC地址的最新端口更新MAC地址表。因为在广播风暴中,相同的广播和多播帧在不同的交换机端口上来回交换,交换机必须在每次交换后更新其MAC地址表,从而产生更多的CPU活动。随着广播和多播流量的增长,CPU使用率会越来越高。然后,CPU利用率的提高可能会减慢交换机执行的网络流量处理任务,甚至完全阻止它们运行。
上图的示例描述了一个简化的第2层环路。当PC向Switch 1发送广播或多播帧时,该交换机将其转发到Switch 2,并将其转发到Switch 3,以此类为此类。当Switch 1从Switch 4接收帧时,它会再次将其转发到Switch 2,开始循环。然后,Switch 1必须更新其MAC表,因为PC的MAC地址现已在连接到Switch 4的端口上学习。
运行STP的交换机,交换包含网络拓扑信息的桥接协议数据单元(BPDU)。然后,交换机使用BPDU中的信息来确定根桥和根桥的所有链接的成本。然后,交换机启用到根桥的最佳链接(最便宜),并禁用所有其他更昂贵的链接。在所有交换机确定根桥和与根桥的最佳链接后,网络实现了STP融合。由于STP禁用了备用链路,网络变得没有环路。
具有最低桥接ID的交换机被选为根桥接。根桥累积路径成本最低的链路被选为最佳链路。链路的成本与其带宽成反比。也就是说,带宽越高,成本越低,反之亦然。
当交换机检测到桥接ID低于当前根桥的交换机时,会触发网络STP重新收敛。这导致了新的根桥选举,因此,重新计算了与新根桥的最佳链接。
当通往根桥的最佳链路发生故障时,备用链路的交换机端口将经历一系列STP状态,以确定新的最佳链路。最终,交换机启用到根网桥和根网桥的新的最佳链路。
上图的例子显示了四个相互连接的交换机运行STP和每个链路的成本。交换机1被选为根桥。因此,其他三台交换机必须向根桥建立无环路拓扑。结果是STP关闭Switch 3和Switch 4之间的链路,以防止环路。
交换机在其BPDU中包含其桥ID。当交换机开机时,它们会将BPDU发送到网络,并最初宣布自己是根桥。稍后,如果交换机收到包含较低桥ID的BPDU,交换机将停止将自己宣传为根桥,而是将较低桥ID转发给其邻居。该过程在网络中的每个交换机上重复,当所有交换机都通告相同的根桥ID时结束。
桥ID是桥优先级和交换机MAC地址的串联。你可以配置桥优先级,但不能配置交换机MAC地址。这意味着你可以通过调整桥优先级来影响根桥选举。在FortiSwitch上,默认桥优先级为32768。你可以通过在FortiSwitch CLl上运行get system status命令来查找交换机MAC地址,然后在Burn in MAC行的输出中查看。
当比较两个桥ID时,交换机首先比较桥优先级。如果桥优先级相同,交换机将使用交换机MAC地址作为断路器。也就是说,MAC地址最低的桥ID获胜。在上图中显示的示例中,Switch 3具有最高的桥接优先级编号,它会自动将其作为根桥丢弃。其他三个交换机具有相同的桥接优先级,因此它们的MAC地址被用作断路器。当比较每个交换机的MAC地址时,Switch 1的MAC地址最低,因此被选为网络中的根桥。
交换机在其BPDU中包含其根路径成本。发送方交换机的根路径成本是将该交换机连接到根桥的每个链路成本的总和。当相邻的交换机收到BPDU时,它会增加收到BPDU的本地链路的成本。然后,接收器交换机向邻居宣传其新的根路径成本。
当根桥有多个成本相同的链路时,交换机使用以下断路器来确定最佳根路径:
● 最低发件人桥ID:当多个上游交换机具有相同的根路径成本时使用。最低的桥ID获胜。
● 最低发件人端口ID:当多个不属于LAG的等成本上游链路连接到同一交换机时使用。最低的端口ID获胜。
端口ID是端口优先级和接口号的串联。你可以配置端口优先级和成本,但不能配置接口号。这意味着你可以通过调整端口的优先级和成本来影响最佳根路径选择。在FortiSwitch上,默认端口优先级为128。默认端口成本取决于端口速度。速度越高,成本就越低,反之亦然。
● 交换机2:通往根桥的成本最低的路径是通过端口1和端口2。两个端口都连接到同一个交换机(交换机1),因此STP使用发送方端口ID作为断线器。交换机1上的两个端口ID具有相同的优先级,因此接口ID最低的端口获胜,即端口1。交换机1上的端口1连接到交换机2上的端口1,因此交换机2上的端口1成为根端口。
● 交换机3:即使交换机与交换机1有直接链接,但根桥的累积成本最低的路径是通过端口1。因此,端口1成为根端口。
● 交换机4:它有两个与根的等成本链接。STP使用发件人端口ID作为决胜局器。Port2成为根端口,因为它连接到交换机1上的端口5,交换机1的端口优先级最低。
你可以通过FortiSwitch命令行配置端口的成本值。但如果你不知道,FortiSwitch使用快速生成树协议(RSTP;IEEE 802.1w)中定义的公式来计算端口的默认成本:
端口开销= 20Tbps/接口速率
在本课中,你将了解更多关于RSTP的知识。
上图的表格显示了FortiSwitch根据端口速度计算的默认端口成本。请注意,成本是单个物理端口的成本。当你将多个端口捆绑在一起以形成LAG时,会创建一个具有更高带宽的新逻辑接口,因此,新接口的成本低于其单个成员。例如,如果你使用两个100 Gbps端口形成LAG,则该LAG的默认STP端口成本为100,因为LAG速度变为200 Gbps。
● 禁用:端口下线,不参与STP计算。
● 阻断:端口收到BPDU报文,但没有发送。端口也不转发流量。
● 监听:端口只接收和发送BPDU报文,不转发流量。
● 学习:端口接收和发送BPDU,填充MAC地址表,但不转发流量。
● 转发:端口处于完全运行状态。它转发流量,接收和发送BPDU,并填充MAC地址表。
● 根:连接交换机到最佳根路径的端口。一个交换机只有一个根端口。
● 指定:转发流量的非根端口。根桥中的所有端口都是指定的端口。如果链接的一端是根端口,则另一端是指定端口。当链路的另一端是另一个指定端口候选端口时,链接上具有最佳根路径成本的端口成为指定端口,另一端成为被阻止的端口。
● 阻断:连接到根桥的备用路径的端口。端口处于阻断状态,以防止环路。非根桥接交换机可以有多个阻断端口。在备用链路上,只有一个被阻断的端口,这意味着被阻断端口的另一端必须处于转发状态。
上图的示例显示了拓扑中所有端口的作用。在本课中,还解释了如何根据STP最佳根路径计算来确定每个交换机上的根端口。拓扑中非根端口的作用确定如下:
交换机1:交换机是根网桥,所有端口都是指定端口。
交换机2:
● 端口2:交换机已经有一个根端口(端口1),因此端口必须是指定端口或阻断端口。该端口不能是指定端口,因为这会导致环路。因此,该端口是一个被封锁的端口。
● 端口3:链路的另一端为根端口,因此该端口为指定端口。
交换机3上的端口2和交换机4上的端口1与交换机2上的端口2的情况相同。也就是说,它们必须成为被阻止的端口,以避免网络中的环路。然而,对于连接交换机3和交换机4之间链路的端口,我们需要确定链路的哪一端成为指定端口,哪一端是被阻断的端口。这是因为被阻断端口的另一端必须是指定端口。出于这个原因,我们需要使用以下断路器来识别段上的指定端口:
● 在段上,指定端口是具有最佳根路径成本的非根端口。
当比较交换机4到交换机1的根路径成本为1,与交换机3到交换机1的根路径成本为2时,最好的根路径是经过交换机4的根路径。因此,交换机4上的port3成为指定端口,交换机3上的port3成为阻断端口。
如果两个交换机的根路径成本相同,则指定端口将使用根桥选择中使用的相同额外平局器:
● 最低发送端桥ID:当多个上行交换机具有相同的根路径成本时使用。最低的桥ID获胜。
● 最低发送端口号。当多条不属于LAG的等价上行链路连接到同一台交换机时使用。最小的端口号获胜。
根桥以hello计时器中定义的时间间隔发送BPDU,默认为两秒。然后,非根桥将BPDU中继到生成树网络中。
当非根桥接收BPDU时,BPDU中包含的配置信息仅在定义为最大年龄计时器的时间有效,默认为20秒。如果交换机在端口上停止接收BPDU的时间超过最大年龄计时器,则交换机假设拓扑发生了变化,并首先将端口移动到监听状态,然后移动到学习状态,最后移动到转发状态。端口在移动到下一个状态之前保持在监听状态和学习状态的时间由正向延迟计时器定义,默认为15秒。
如果交换机使用默认的STP定时器值,那么STP可能需要50秒来响应拓扑变化,这在现代网络中被认为是非常高的等待时间。
RSTP在IEEE 802.1w中定义,旨在提供比STP更快的收敛速度,同时仍然向后兼容STP。
从生成树的角度来看,LAG和MCLAG被视为一个单一的逻辑接口。此外,如果至少有一个链接在线,LAG和MCLAG就会被考虑在线。这意味着,除非LAG或MCLAG中的所有链接都下线,否则LAG或MCLAG中链接的状态变化不会触发生成树拓扑变化。此外,在MCLAG对等组的情况下,MCLAG客户端将两个对等体视为参与生成树的单个交换机。
上图示例显示了四个相互连接的交换机。交换机1和交换机2是MCLAG对等体,交换机3是MCLAG客户端。交换机4使用常规的LAG连接到交换机3。从生成树的角度来看,MCLAG对等体被视为单个交换机,交换机3和交换机4上的上行链路被视为单个接口。
启用MCLAG感知STP功能后,MCLAG ICL trunk将参与STP。即ICL链路上的端口之间交换BPDU报文,生成树可以检测到交换机之间非ICL链路引起的环路。
请注意,MCLAG对等体不会以原始帧格式交换BPDU。相反,BPDU被封装在MCLAG控制数据包中,这些数据包由MCLAG对等体为MCLAG操作交换。此外,mclag-stp-aware设置仅在FortiSwitch CLI上可用,你可以通过运行上图显示的命令来启用或禁用它。
上图展示了一个由两个MCLAG对等体之间的非ICL trunk引起的潜在环路的示例。由于启用了MCLAG STP感知功能,生成树可以检测到环路,从而阻断非ICL链路形成的备用路径。
与STP一样,RSTP依靠BPDU进行操作,这些BPDU在hello计时器定义的间隔内发送(默认为两秒)。RSTP BPDU格式与STP中相同,只是RSTP在BPDU标志字段中以前未使用的位中包含特定于协议的信息。此外,BPDU中的协议版本设置为2来表示RSTP,而不是用于STP的0。
RSTP最重要的好处是它更快地收敛到拓扑变化。使用STP,网络需要30到50秒才能收敛,而在RSTP中,可能需要6秒或更短的时间。RSTP提供了更快的收敛,因为它不使用STP在响应网络更改时使用的正向延迟和最大年龄计时器。相反,交换机快速与相邻的RSTP交换机交换BPDU,以确定新的端口角色。在其他情况下,交换机只是在检测到网络变化后立即将阻塞端口移动到转发状态。
RSTP向后兼容STP。当RSTP交换机收到端口上的STP BPDU时,就开始在该端口上使用802.1D规则。反之,如果交换机收到RSTP报文,则端口按照802.1w规则运行。
与根端口相比,备用端口的根桥路径更不理想(成本更高),并且也连接到与根端口不同的交换机。备份端口是通往另一个(更理想的)端口已经连接的段的冗余(不太理想)路径。
上图的示例显示了RSTP为STP中使用的相同拓扑确定的端口角色。根端口和指定端口由RSTP以与STP相同的方式确定。然而,对于备份端口,RSTP将它们分为备用端口或备份端口。拓扑中备用端口和备份端口的作用确定如下:
交换机2:
● 端口2:端口与端口1连接到相同的交换机(与根的路径相同)。因此,端口2是一个备份端口。
交换机3:
● 端口2和端口3:端口连接到与根端口连接的不同交换机(根端口的不同路径)。因此,两个端口都是备用端口。
交换机4:
● 端口1:就像交换机2上的端口2一样,这是一个备份端口。
相比之下,RSTP提供了更快的收敛速度,因为它不依赖STP计时器来确定端口角色。相反,它考虑了端口上的以下变量:
● 边缘端口:这是一个连接到单个端点的端口。由于这种连接不会导致循环,RSTP在端口出现后立即将边缘端口置于转发状态。边缘端口发送BPDU并监听传入的BPDU。如果边缘端口收到BPDU,该端口将失去其边缘状态,成为常规STP端口。请注意,你必须手动将端口配置为边缘端口。
● 备用端口和备份端口:在交换机上的根端口发生故障后,RSTP将具有下一个最佳根路径的备用或备份端口移动到转发状态,然后将其设置为新的根端口。
● 链路类型:在全双工下运行的非边缘端口被视为点对点链路,因此是拓扑变化时快速过渡到转发状态的候选端口。为此,RSTP交换提案,协议握手,以决定链接每一端的状态。然而,非边缘半双工端口被视为连接到共享介质,如集线器,其中也可以连接多个交换机。然后,RSTP在半双工端口上使用传统的(和较慢的)STP收敛过程。
在上图的示例中,连接pc的交换机端口被配置为边缘端口。此外,除了连接到集线器的端口外,所有交换机端口都以全双工方式工作。因此,在交换机3和交换机4的端口3之外的端口上,RSTP可以提供到转发状态的快速转换。
1. 网络是稳定的,端口的作用是从根桥(交换机1)的视角确定的。PC可以通过交换机2和交换机3之间的链接相互通信。
2. 添加了连接交换机1上的端口2和交换机2上的端口2的新链接。这两个端口将置于监听状态,以检查传入的BPDU。如果BPDU更优越,交换机将BPDU trunk给邻居。
3. 交换机2在端口2上接收更高的BPDU(较低的根路径成本),并将端口分配为新的根端口。交换机2还将卓越的BPDU trunk到交换机3。交换机3从交换机2接收BPDU,但不认为它比端口1接收的BPDU更好,因此不trunk它。
4. 交换机2和交换机3之间的链接现在是根桥的备用路径,因此被STP阻止。两个交换机的根路径成本相同,但交换机2具有较低的桥ID,因此交换机2上的端口1成为指定端口,交换机3上的端口2成为阻塞端口。
前面的步骤发生得非常快。也就是说,STP确定了交换机2的新根路径,并非常迅速地阻止了备用路径。然而,交换机1和端口2交换机2上的端口2在开始转发流量之前,仍然需要通过监听和学习状态完成过渡。这意味着PC在未来30秒左右将无法使用新路径(通过交换机1)进行通信,根据今天的可用性标准,等待时间被认为是不可接受的。
1. 网络是稳定的,端口的作用是从根桥(交换机1)的视角确定的。PC可以通过交换机2和交换机3之间的链接相互通信。
2. 添加了连接交换机1上的端口2和交换机2上的端口2的新链接。这两个端口被置于丢弃状态,以检查传入的BPDU。
3. 交换机1向交换机2发送BPDU提案,让交换机2知道它有一个优越的BPDU(交换机是根桥)。
4. 交换机2意识到交换机1具有优越的BPDU,因此,它必须将端口2作为其新的根端口。但在这样做之前,交换机2将其所有非边缘端口置于丢弃状态,以确保以后在新链路上的端口移动到转发状态时不会形成循环。交换机中唯一的非边缘端口是端口1,它处于丢弃状态。这种在交换机同意高级BPDU提案之前将非边缘端口置于丢弃状态的机制称为同步。
6. 交换机2对当前处于丢弃状态的每个非边缘端口发送BPDU提案,在这种情况下,该端口仅为端口1。
7. 交换机3忽略了交换机2的BPDU提案,因为它正在接收端口1上的交换机1的优质BPDU。交换机3没有向交换机2发送BPDU协议,而是向交换机2发送自己的高级BPDU。
8. 交换机2和交换机3意识到它们之间的链接是通往根桥的备用路径,因此必须被阻止以防止环路。两个交换机的根路径成本相同,但交换机2具有较低的网桥ID,因此,交换机2上的端口1成为指定端口,交换机3上的端口2成为备用端口。
与STP一样,前面的步骤也发生得非常快,由此产生的无环路拓扑也是一样的。然而,与STP不同,RSTP不使用计时器将端口过渡到转发状态。相反,当拓扑发生变化时,RSTP使用相邻交换机之间的提案协议握手和同步机制来快速确定端口状态和角色,同时确保网络保持无环路。这个过程在连接非边缘端口的链路上重复,这些端口在同步期间被置于丢弃状态,当相邻的交换机忽略发送方的BPDU提案,并且RSTP阻止备用路径时结束。
MSTP是RSTP的演变,与其两个前身向后兼容,使你能够部署多个生成树实例(MSTI),然后将一个或多个VLAN映射到每个MSTI。因为你还可以为MSTI设置不同的根桥,因此实例可以收敛到不同的逻辑拓扑。结果是,如果使用STP或RSTP,实例可以使用其他路径,否则所有VLAN都会被阻止。
上图显示的物理拓扑有三个互连的交换机和两个VLAN。在STP和RSTP中,由此产生的无环路拓扑将阻止备用路径,然后强制来自两个VLAN的流量通过主路径转发,除非主路径失败,否则备用路径不会被使用。
但使用MSTP,你可以配置两个MSTI:MSTI 1和MSTI 2,为每个实例设置不同的根桥,然后将一个VLAN映射到每个MSTI。结果是,MSTP计算了两个不同的逻辑拓扑,每个拓扑都使用不同的根路径。这两种不同的路径使你能够使用所有现有的网络链路,从而更有效地利用你的网络资源,同时仍然保持网络环路自由。此外,尽管在示例中,单个VLAN映射到MSTI,但你实际上可以将多个VLAN映射到MSTI。这使你能够将多个VLAN映射到减少的实例数量。
最后,如果你不创建其他实例,则有一个名为内部生成树(IST)的默认实例,该实例在FortiSwitch上分配给MSTI 0,其中包含所有尚未映射到其它实例的VLAN。
● 地区名称:你分配给该地区的名称。默认情况下,FortiSwitch不会分配名称。
● MSTP修订号:指示你的MSTP配置版本的数字。这个想法是在更改配置后更改版本号。默认情况下,FortiSwitch使用版本0。
● MSTI到VLAN映射表:当你更改映射时,该表会更新。默认情况下,所有尚未放置在其他MSTI中的VLAN都放置在MSTI 0中。
相比之下,具有不同MSTP配置或使用STP或RSTP的交换机被视为属于另一个区域。
在MSTP区域内,MSTP用于计算不同实例的逻辑拓扑。在区域边界,根据相邻交换机使用的协议,MSTP交换机端口使用STP或RSTP来计算公共生成树(CST)拓扑,从而为所有区域生成无环路拓扑。CST只是调用STP和RSTP用于计算所有VLAN的无环路网络的单个实例的另一种方式。
这上图的物理拓扑有四个互连的交换机。交换机4属于与其他三个交换机运行的区域不同的区域。在三个交换机区域内,MSTP计算两个不同的拓扑,每个MSTI一个。然而,在区域边界,只有一个拓扑:网络的CST。
一个尚未讨论的设置是max-hops。在MSTP区域中,max-hops设置定义了根桥发送的BPDU在被视为过期之前可以在该区域转发的最大跳数,因此被接收开关丢弃。当非根桥接收到BPDU时,在BPDU转发到下一个相邻交换机之前,BPDU中的跳值会降低1。如果BPDU中的跳值在交换机收到时为零,则交换机会丢弃BPDU。
默认情况下,max-hops值为20。此设置的目的是限制MSTP区域的大小。
由于MSTP基于RSTP,因此MSTP在其实例上使用RSTP用于根桥和端口角色选择的相同规则。端口状态和默认端口成本也相同。此外,实例还受益于RSTP支持的全双工链路和边缘端口的快速过渡。
所有实例的信息都使用MSTP BPDU从IST(MSTI 0)发送。MSTP BPDU本质上是RSTP BPDU,除了它们还包括其他字段,称为M记录,这些字段包含MSTP特定信息,如MSTP区域名称、配置版本和MSTI到VLAN映射表摘要。请注意,BPDU不包含实际的MSTI到VLAN映射表,而只包含从中计算的摘要。
M记录还包含特定于MSTI的信息,例如本地桥ID、实例根桥和实例根路径成本。然后,一个区域中的MSTP交换机使用特定于MSTI的信息来计算每个实例的拓扑。
可以在FortiSwitch(MSTI 0-15)上配置多达16个实例。MSTI 0(IST)是默认实例,无法删除。每个MSTI都选择自己的根桥。管理员可以通过调整该实例上的桥优先级来控制实例根桥选择。管理员还可以通过调整端口成本和实例的优先级来控制端口的作用。
上图显示了FortiOS CLI命令来创建实例,为实例设置桥接优先级,并更改端口的成本和优先级。请注意,端口成本和端口优先级设置仅在FortiSwitch CLI上可用。
每个区域在IST(MSTI 0)上选择一个区域根桥,该根桥与其他区域根桥(不同的MSTP区域)或CST根桥的遗留交换机(STP和RSTP交换机)竞争。CST根桥和端口角色使用STP和RSTP中定义的相同规则进行选择。
MSTP区域中连接到另一个区域的交换端口被称为边界端口,并参与CST计算。如果边界端口上的相邻交换机是MSTP交换机或RSTP交换机,则两个交换机都使用RSTP进行CST融合。如果相邻的开关是STP开关,则使用STP。
MSTP区域将连接到其边界端口的相邻交换机视为另一个区域。相比之下,相邻的交换机(示例中的交换机4)将整个MSTP区域视为单个交换机。Switch 4对其邻居的内部实例一无所知,也不在乎。CST仅在连接MSTP区域和遗留交换机的链路上计算无环路拓扑。
上图的示例还显示了CST拓扑。还显示了一个新的端口角色,即主端口。主端口是MSTP区域中的边界端口,连接到CST根桥的最佳路径。主端口就像根端口,只是它连接到不同的区域。在这张幻灯片上显示的示例中,交换机是CST根桥。通往CST根桥的最佳路径是交换机1和交换机4之间的链路。因此,交换机1上连接到交换机4的端口成为主端口。此外,交换机3和交换机4之间的备用路径被阻止。
请注意,当MSTP仅与外部区域一起运行时,可以看到主端口角色。
鉴于FortiGate是网络中的焦点,默认情况下将实例收敛到FortiGate是方便的。为此,在管理的FortiSwitch堆叠中自动更改以下MSTP设置:
● 桥优先级:直接连接到FortiGate FortiLink接口的非MCLAG对等交换机上的桥接ID减少到24576(默认优先级为32768)。如果交换机是MCLAG对等体,则桥接优先级将减少到20480。如果有多个交换机直接连接到FortiGate,则MAC地址最低的交换机将成为根桥。此外,下游交换机的桥接优先级降低到28672,因此它们不会成为根桥。
● 端口成本:自动ISL中继的成本为1。由于只有当相邻的交换机之一处于托管模式时,才能形成自动ISL中继,因此中继可能是通往FortiGate的最短路径。因此,降低成本很方便,因此它成为根桥的首选路径。
● 实例:默认情况下,在FortiSwitch上只创建一个实例(MSTI O)。然而,当FortiSwitch获得授权时,会创建另一个实例MSTI 15用于管理流量。该实例映射到VLAN 4094,即交换机管理VLAN。拥有单独的用户和管理流量实例,管理员可以调整实例0设置,以防用户流量必须在非交换机控制器的设备上收拢,而不会影响交换机上的管理流量。
请注意,桥优先级和端口成本变化适用于两种情况:0和15。
上图显示的示例仅显示信息,例如0,当引用区域外的MSTP操作时,也称为CST,或当引用区域内的MSTP操作时,也称为IST。请注意,IST根也是区域根。区域根与其他区域根桥竞争CST根桥。
输出还显示在区域上配置的STP计时器。计时器仅显示实例0,因为其他实例继承了相同的计时器。
对于每个端口,输出显示其成本、优先级、角色、状态和hello时间。还有一个标志列,提供有关端口的更多信息,例如端口是否配置为边缘端口,或者它是否触发了STP增强功能,如BPDU保护或环路保护。
STP收敛后,只有指定的端口在生成树下向前转发BPDU。只有非指定端口(根端口和阻塞端口)处理传入的BPDU。如果被阻止的端口停止接收BPDU的时间超过最大年龄时间(默认为20秒),则端口将过渡到转发状态。请注意,在RSTP和MSTP的情况下,年龄时间是hello时间的三倍(如果使用默认hello时间,则为6秒),并且被阻止的端口被归类为备用或备份端口。
现在,假设存在单向链路故障,影响指定端口发送到被阻止端口的BPDU。然而,链接的相反方向仍然有效。在被阻止的端口过渡到转发状态后,端口开始在工作方向上转发流量,由于该方向存在一个环路,这导致广播风暴。
上图的示例显示了两个通过两个链接相互连接的交换机。右边的链接是备用链接,因此被STP阻止。如果备用链路出现单向故障,影响下游BPDU,则备用链路上的阻塞端口最终会过渡到转发状态。因此,PC发送的广播将在网络中环路。
当你在端口上启用环路保护时,即使端口停止接收BPDU,被阻止的端口也会被迫保持阻塞状态。端口不会过渡到转发状态,也不会转发用户流量。
请注意,环路保护与环路防护不同。它们都防止环路,但它们使用不同的方法。在本课中,你将了解有关环路防护的更多信息。
如果你想使用环路保护,建议你在所有根端口、备用端口和备份端口上启用该功能。你还应该在根端口上启用该设置的原因是,你应该考虑MSTP在拥有多个实例时可以计算的不同拓扑结构。例如,在一个实例中,一个端口可以是根端口,但对于另一个实例,可以是备用端口或备份端口。然后,将按实例在备用端口或备份端口上应用环路保护。
根保护是每个端口的设置,默认情况下它被禁用。上图展示了如何在FortiGate GUI和CLI上启用设置。
你通常希望在连接到交换机的端口上启用根保护,该交换机永远不应该成为根的最佳路径。对于你希望仅连接端点的端口,启用BPDU保护通常更好,本课也解释了这一点。
BPDU保护是每个端口的设置,默认情况下禁用。上图展示了如何在FortiGate GUI和CLI上启用设置,以及如何更改FortiGate CLI上的BPDU保护超时。管理员还可以通过运行上图显示的FortiOS execute命令来重置BPDU保护关闭的端口的状态。
大多数时候,你希望在连接到端点的端口上启用BPDU保护。预计端点不会发送BPDU。如果他们这样做了,这可能是妥协的迹象。
上图显示的示例表明,在端口2上启用并触发了BPDU保护。输出还显示最后一个触发事件的时间戳、触发事件的总数以及配置的超时。
除了本机VLAN外,最初的环路保护实现没有考虑到VLAN上的环路。因此,对环路保护功能进行了改进,以包括MAC移动选项,该选项指示交换机也监控重复的MAC地址拍打事件,这些事件可能是由环路引起的。要启用MAC移动,你定义了除零以外的MAC移动阈值。阈值是指必须在一秒钟内在端口之间翻转的MAC地址的最小数量。如果连续达到阈值六秒,则会触发环路防护,端口将关闭。
上图显示了连接到交换网络的FortiSwitch上的端口1和端口2。两个端口都被分配了VLAN 10作为其原生VLAN,并允许VLAN 20和30。由于在端口1上启用了环路保护,FortiSwitch在该端口上的VLAN 10上广播环路保护帧。然后,如果FortiSwitch在端口1或端口2上收到来自端口1的环路保护帧,它将关闭端口1。如果你还想检测VLAN 20和30上的环路,你还必须在端口1上启用MAC移动。
环路保护和环路保护都检测网络中的环路。然而,由于环路保护不依赖STP,它可以检测比环路保护更多的环路情况。例如,如果你在拓扑中断开端口2上的上行链路,环路保护仍然会检测到端口1上的环路,但环路保护不会。
注意,环路保护被设计为与STP一起工作,而不是取代它。
如果你还想启用MAC移动,则必须直接在FortiSwitch上配置设置。请注意,你设置的MAC移动阈值越低,你获得循环假阳性的可能性就越高。
管理员还可以通过运行上图显示的FortiOS execute命令来重置由环路保护关闭的端口的状态。
上图显示的示例表明,在端口1上启用并触发了环路保护。输出还显示最后一个触发事件的时间戳、触发事件的总数以及配置的超时。MAC-move列中的值为零表示未启用MAC移动功能。
FortiSwitch可以与RPVST+交换机互操作。为了实现这一目标,FortiSwitch在将FortiSwitch MSTP区域连接到相邻的RPVST+交换机的边界端口上假装是RPVST+交换机。RPVST+互操作如下:
● 每个VLAN不支持不同的根桥。管理员必须调整交换机上的桥接优先级设置,以确保根桥是所有VLAN的同一交换机。根桥可以在MSTP区域或RPVST+域中,但对于两个交换机上的所有VLAN,根桥必须相同。如果FortiSwitch检测到根桥在多个实例上不同,则端口被标记为不一致。
● FortiSwitch通过为端口中允许的每个VLAN ID复制实例0上的BPDU来模拟RPVST+交换机。FortiSwitch仅处理在本机VLAN上收到的BPDU。来自其他VLAN的BPDU仅用于VLAN一致性检查。
● 相邻端口上的VLAN必须一致,并且不能超过16个VLAN。如果您在一个端口上允许超过16个VLAN,或者如果FortiSwitch在端口上不允许的VLAN上接收BPDU,则该端口被标记为VLAN不匹配。
RPVST+是每个端口的设置,默认情况下被禁用。上图展示了如何在FortiGate CLI上启用设置。
