网络技术

关于华为S7706对接华三S7506交换机生成树阻塞端口异常的一个案例

产品型号:S7706
版本: VRP (R) software, Version 5.170 (S7700 V200R010C00SPC600)
组网拓扑:

问题简要描述

1. 在进行一次割接时,原设备H3C 7506替换为华为7706,并与一台H3C 9505和一台H3C 10508通过光口连接,三角型组网,采用MSTP生成树协议,割接前生成树状态如上图所示。
在确保新设备HW7706上的配置和原设备H3C 7506完全一直的情况下,当前网络中生成树状态如下图所示

网线的接口成了根端口,光口g0/0/2却被阻塞了,没有手动对STP配置做改动。

在华为官网查到了一个极度相似的案例:S7706交换机(V200R008C00SPC500)与H3C S5500交换机对接生成树阻塞端口异常

出现该问题的原因

华为交换机和H3C交换机生成树路径开销缺省值的计算方法不同,导致在对接生成树时生成树阻塞接口状态异常(H3C生成树的cost值默认使能标准是H3C私有计算方法Legacy与Huawei默认使能标准IEEE 802.1t不一致,H3C默认私有计算方法的Cost值较小)

在查阅了H3C官网和HW官网后,发现两个厂商都支持同样的计算方法。见下图:

相关链接:http://www.h3c.com/cn/d_200911/922204_30005_0.htm

产品文档链接: https://support.huawei.com/enterprise/zh/switch/s7706-pid-22346878?offeringId=6805481

可以看到,在私有计算方法上,两个厂商是相同的。

解决办法

因组网里大多是H3C设备,所以我把HW7706的生成树路径开销缺省值的默认标准改为了私有计算方法Legacy。在系统视图下输入该命令:stp pathcost-standard Legacy
修改完成后,生成树恢复正常,割接完成。

另附一份华为售后的解释说明

1.STP支持情况
华为交换机支持的生成树协议有三种类型,分别是STP,RSTP,MSTP,VBST,这几种类型的生成树协议均按照标准协议的规定实现,采用标准的生成树协议报文格式,目的MAC地址为组播MAC:01-80-C2-00-00-00。
C友商交换机支持的生成树协议类型分别有:PVST,PVST+,Rapid-PVST+,MISTP,MST。在使用IOS12.2及之后版本的catalyst系列交换机中,支持PVST+,Rapid-PVST和MST三种类型STP协议。同时,C友商采用的STP协议的BPDU报文格式和标准STP协议的BPDU报文格式不一样,而且发送的目的地址也是C友商自己保留的地址:01-00-0C-CC-CC- CD。

2.C友商和华为的STP对接情况
当C友商设备使用Trunk端口和华为设备的Trunk端口互联时,虽然可以做到STP的互通,以及消除环路,但是无法做到PVST协议自身的负载,由于华为设备会将C友商的BPDU报文当做普通的多播报文进行转发,而不会处理这些报文。C友商设备在与华为使用MSTP协议互通时,需要在与C友商设备互联的端口上配置stp config-digest-snoop命令,才能完成与C友商的BPDU报文互通,完成域内MSTP协议互通。

本次割接遇到的其他小问题,在这里也做个记录

1、 组网里SNMP指定团体名字符串为6位长度,华为7706设备默认最低不少于8位。
解决办法:
系统视图下使用命令snmp-agent community complexity-check disable关闭团体名复杂度检查功能即可。
相关链接:http://support.huawei.com/enterprise/zh/knowledge/KB1000060234

2、 华为设备AAA帐号密码、console登录密码有安全限制,最少8个字符,客户要求改到和原来设备一样的6个字符。
解决办法:
AAA视图下使用命令undo local-user policy security-enhance来关闭对密码进行复杂度检查功能即可
相关链接:https://forum.huawei.com/enterprise/zh/thread-351665.html
http://support.huawei.com/enterprise/zh/doc/EKB1000707365(v200R003版本)

3、 S7706无法开启全局准入设置,具体显示为在系统视图下没有这个命令。
解决办法:
系统视图下使用命令undo authentication unified-mode将交换机的NAC配置模式切换成传统模式,重启交换机后,就可以配置dot1x enable命令了。
相关链接:http://support.huawei.com/enterprise/KnowledgebaseReadAction.action?contentId=KB1000529357

4、 在S7706用作SSH服务器时,其他客户端登录进来,会报错显示认证失败,过了一会,又可以看到成功登录。
报错日志:

HuaWei %%01SSH/4/SSH_FAIL(s)[5]:Failed to login through SSH. (IP=10.54.174.62, VpnInstanceName= , UserName=csgmz, Times=1, FailedReason=The user login timed out)
HuaWei %%01SSH/4/SSH_FAIL(s)[6]:Failed to login through SSH. (IP=10.54.174.62, VpnInstanceName= , UserName=csgmz, Times=1, FailedReason=User password authentication failed)
HuaWei %%01SSH/4/SSH_FAIL(s)[7]:Failed to login through SSH. (IP=10.54.174.62, VpnInstanceName= , UserName=csgmz, Times=1, FailedReason=User public key authentication failed)
HuaWei %%01SSH/4/SAVE_PUBLICKEY(s)[8]:When deciding whether to save the server's public key 10.54.174.62, the user chose N.
HuaWei %%01SSH/4/CONTINUE_KEYEXCHANGE(s)[9]:The server had not been authenticated in the process of exchanging keys. When deciding whether to continue, the user chose Y.

设备SSH相关配置:

stelnet server enable
ssh user abc
ssh user abc authentication-type all
ssh user abc service-type all
ssh client first-time enable

aaa
local-user abc password irreversible-cipher $1a$j|wn&(5t'6$>;eN(9!Sy/x4FBK>3dR7$
 local-user abc privilege level 15
 local-user abc service-type terminal ssh

user-interface vty 0 4
 authentication-mode aaa
 idle-timeout 3 0
 protocol inbound all   

可以看到SSH配置无误,且提示认证失败后过一会能登入到设备,并能看到会话。

售后解释的原因:在客户端登录7706时,没有选择保存服务器的公钥,导致服务器重新与客户端协商一个新的公钥,协商完成后,客户端便能登录服务器,并看到会话。

解决办法:
客户端登陆的时候保存下服务器的公钥,然后再尝试登陆。

aka阿凯
我还没有学会写个人说明!
查看“aka阿凯”的所有文章 →

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关推荐