思科与华为交换机对接故障处理

■ 辽宁 高大伟

编者按：笔者单位由于在网络改造，造成不同品牌的交换机设备出现混用的情况，如果配置不当，极易造成网络故障问题。

单位在设备更新过程中，因为有些区域的思科设备还要保留，出现了华为交换机与思科交换机并存的现状，改造完后也出现了网络不稳定的现象。

故障现象

单位网络系统改造完后网络还算稳定，但一段时间后大家反映网络开始中断并且越来越频繁。起初笔者还以为是病毒惹的祸，但杀毒后效果不是很明显，经过分析，觉得还是华为和思科的兼容性的原因。

原因分析

华为交换机所支持的生成树协议类型分别有：STP（Spanning Tree Protocol）、RSTP（Rapid Spanning Tree Protocol）、MSTP（Multiple Spanning Tree Protocol）以及VBST（VLAN-Based Spanning Tree）。

STP 是一个用于局域网中消除环路的协议。运行该协议的设备通过彼此交互信息而发现网络中的环路，并适当对某些端口进行阻塞以消除环路。RSTP 在STP 基础上进行了改进，实现了网络拓扑快速收敛。

STP 和RSTP 有 一 个 共同的缺点：STP 和RSTP 不能按VLAN 阻塞冗余链路，局域网内所有的VLAN 共享一棵生成树，所有VLAN 的数据报文都沿着一棵生成树进行转发，因此无法在VLAN 间实现流量的负载分担。同时，链路被阻塞后将不承载任何流量，造成带宽浪费，还有可能造成部分VLAN 的报文无法转发。

MSTP 在STP 和RSTP 的基础上进行了改进，既可以快速收敛，又提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN 数据的负载均衡。VBST 是华为提出的一种生成树协议，生成树的形成是基于VLAN 的，不同VLAN 间可形成相互独立的生成树，不同VLAN 内的流量沿着各自的生成树转发，进而可实现流量的负载分担。

华为交换机MSTP 同思科交换机MST 都是基于标准协议，但实现上略有不同，VBST为华为的私有协议。思科交换机所支持的生成树协议类型分别为PVST（Per VLAN Spanning Tree）、PVST（Per VLAN Spanning Tree Plus）、Rapid-PVST（Rapid Per VLAN Spanning Tree Plus）和MST（Multiple Spanning Tree）。在使用IOS 12.2 及之后版本的Catalyst 系列交换机中，支持PVST、PVST、Rapid-PVST 和MST 四种类型STP 协议。

这几种生成树协议的某些BPDU 报文采用其私有的报文格式，与IEEE 标准的BPDU 报文格式不一样。当思科交换机运行PVST 或者Rapid-PVST 协 议 时，Trunk端口在非VLAN 1 中便发送私有的PVST BPDU 报文，这类私有的BPDU 报文的源MAC地址为端口的MAC 地址，目的MAC 地址为思科自己的保留地址01-00-0C-CC-CC-CD。

为解决与IEEE 标准STP协议的互通问题，思科在PVST 协议的基础上衍生出了PVST 协议。PVST 协议相对于PVST 协议的改进是：提供了与标准STP 协议互通的能力，对于一个Access 端口，PVST 协议将发送标准的STP格式的BPDU 报文；对于一个Trunk 端口，PVST 协议仅会在VLAN 1 中，发送标准格式的BPDU 报文（目的MAC 地址为01-80-C2-00-00-00），而在其他允许通过的VLAN 中，仍然发送其私有格式的PVST BPDU 报文（目的MAC 地址为01-00-0C-CC-CC-CD）。

华为交换机支持IEEE 标准STP 协议，能与思科交换机发出的标准STP 协议互通计算，同时，将思科发出的私有格式的BPDU 报文当作普通的多播报文进行转发，而不会处理这些报文。

当华为交换机与思科交换机对接时，在域名、修订级别、VLAN 实例映射表全都一致的情况下，由于双方BPDU报文密钥不一致，会导致两台设备不能正常互通。在这种情况下，需要在华为S 系列交换机对接的端口上使能摘要侦听功能，实现华为S系列交换机的BPDU 报文密钥与其他制造商设备的BPDU报文密钥一致，来完成与对端的协商。

当替换思科交换机时，华为交换机没有配置STP 协议，而华为交换机默认的STP 协议位MSTP，就会出现协议对不上时通时断的故障。

对接思路

对接替换方案主要有三种：华为交换机透传PVST 报文，思科交换机自己协商破环；华为交换机通过VBST与思科交换机PVST/PVST/Rapid PVST 对接；华为交换机MSTP 与思科交换机MST对接。

华为交换机VBST 和思科交换机PVST/PVST/Rapid PVST 的互通，协议报文处理原理一致，可以互相识别，且均使用保留的组播MAC 地址01-00-0C-CC-CC-CD。因此，华为交换机VBST 与思科交换机PVST/PVST/Rapid PVST互通时，就如同华为S 系列交换机VBST 跟自身互通一样。

华为交换机MSTP 同思科交换机MST 互通，除了当域摘要信息格式不一致时，要使能摘要侦听功能，强制域内，其他原理同思科交换机一致。

华为交换机STP/RSTP 和思科PVST/Rapid PVST 的互通，由于思科交换机PVST/Rapid PVST 在 发 送PVST 报文的同时，也发送STP/RSTP与对端进行协商，所以它们的互通从技术上是可以实现的。但是华为交换机STP/RSTP 的收敛是基于端口的，而思科交换机PVST/Rapid PVST 的收敛是基于VLAN 的，最终的收敛结果可以分为两类：

阻塞端口在华为交换机上，华为交换机STP/RSTP 是基于端口阻塞的，所有的数据报文（不区分VLAN）在阻塞端口都会被丢弃，包括思科的PVST 报文，所以对于任意VLAN 该端口都处于阻塞状态；阻塞端口在思科交换机上，思科交换机PVST/Rapid PVST 只在VLAN1 内发送标准的STP/RSTP 协议与对端协商。所以在这种情况下，阻塞端口只会阻塞VLAN1实例，其他VLAN 的PVST 报文通过该端口正常处理并转发，并在其所在VLAN 实例内进行计算收敛。

由于华为交换机STP/RSTP 不处理PVST 报文，所以其他VLAN 内的阻塞端口只会出现在思科交换机上。

处理方案

华为交换机透传思科PVST 报文即实现思科交换机之间或自身协商破环。

原组网中交换机均为思科交换机。上行通过使用堆叠模式的三层核心交换机实现网络侧互通。两台汇聚交换机之间使用手工模式的Eth-trunk 进行链路冗余备份，上行通过配置OSPF 与核心交换机建立OSPF 邻居关系收发路由，下行通过配置HSRP 实现虚拟网关备份。组网中交换机通过PVST 进行破环操作。

现根据需要，需使用华为交换机替换组网中的两台汇聚交换机，替换不改变原网络规划。

采用如下处理思路：

1. 配置华为交换机的OSPF 功能，实现与上行核心交换机建立OSPF 邻居关系收发路由。

2.通过手工模式配置华为交换机之间的链路聚合，实现负载分担。

3. 配置华为交换机的VRRP 功能实现对原思科交换机HSRP 的对接替换，实现虚拟网关备份。

4.配置华为交换机透传思科PVST 报文，实现思科交换机之间或其自身的协商破环：

（1）去使能华为交换机的生成树功能。

（2）配置PVST 报文的透明传输功能。

调整完成后验证用户侧设备业务，故障排除。