« 都 2023 年了,您還在擔心 Loop?思享家丨Cisco Secure Firewall又添強援,為製造企業撐起保護傘 »

思享家丨都 2023 年了,您還在擔心 Loop?

Friday, May 26, 2023 Cisco 0条评论 0个引用

 思享家丨都 2023 年了,您還在擔心 Loop?

思科聯天下
作者:思科架構師 黃兆基
 
思享家
是一個介紹如何利用思科先進技術解決客戶難題的欄目。每期聚焦一個技術熱點或應用場景,邀請資深思科技術專家深入淺出地介紹,為讀者提供實用性強的建議。
 
Loop(環路)絕對是所有網工的噩夢。雖然網絡工程到今天已發展了幾十年,但這個問題還是經常出現,並導致災難性後果。網工們都了解最基本防止 Loop 的方法是使用生成樹 (Spanning Tree),BPDU Guard/Filter 等技術應用在一般的簡單網絡是沒問題的。哪怕是通過了 VXLAN 管道,只要利用了 BDPU 而 VXLAN 又可以處理得到,橫跨多點的網絡也不怕產生 Loop 的情況。然而實際工作中是否都這麼簡單呢?
 
很多時候,我們會把一些網絡的基礎設定認為是理所當然的,進而在不知不覺中產生問題。比如我們會認為從外部連接進來的網絡設備必定打開了生成樹或 BPDU 等設定,而事實並非如此,甚至一些多網卡服務器接入網絡時主機管理員都沒有意識到自己無意間引入了外部網絡。筆者曾經親身經歷為例:早前一個客戶在更換了刀片服務器內交換機的一個模塊後,因為沒有確認生成樹的設定是否存在,結果出現 Loop 而產生廣播風暴 (Broadcast Storm),剛好他又沒有設定風暴控制 (Storm Control),造成服務中斷了幾小時。
 
一般 VXLAN 作為 Transit 網絡,只要提供了 BDPU Guard/Filter 等功能便可防止自身變成跨多站點 Loop 的元兇。但這有賴連接進來的每一個網絡設備都 “自律地” 啟動了生成樹。如果出現前面所提到的情況,便防不勝防了。
 
最近與一客戶網工交流,談起思科所提供的ACI (Application Centric Infrastructure) 解決方案,相比一般的 VXLAN,在解決這個問題上有一招 “必殺技” —— MCP (Mis-Cabling Protocol)。 MCP 可以幫 ACI 偵測由外部接入進來的網絡設備或服務器有沒有導致 Loop,如果有的話可以自動關閉接入的端口。 MCP 的原理是定時在每一個 ACI EPG 內發出一個特定 MAC 地址數據包,如果 ACI 在某一個端口收到這個 MCP 的數據包,便代表極有可能網絡有 Loop 的存在,網工可以製定對策,比如只提供警告 (alert) 或是直接把相關端口關閉算了。
 
MCP 送出的頻密度是可以按照需求調節的,由每兩秒下調至最小每 100 毫秒送出一個 MCP 數據包。令系統最快可以在 350 毫秒之內,確認 Loop 的存在並啟動對應的策略。
 
啟動 MCP 非常簡單:只需要在 Global Policies 打開 MCP Instance Policy Default 設定為 Enabled,然後按需求定好 MCP 送出的頻密度即可。
 

 

自從 Loop 這個老問題有了 MCP 這個新解法,網工再也無須擔心外部設備接入時把 Loop 也帶進來搞破壞了。 ACI 的設計無處不體現著這些獨具匠心的小細節,後續我們將為您介紹更多一巧破千斤的思科創新,敬請期待。

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

最近发表

Powered By Z-Blog 1.8 Arwen Build 81206