Перейти к содержанию

Настройка защиты от петли на порту

Описание и назначение функции

Механизм обнаружения петель (loop-check) периодически рассылает зондирующие кадры через контролируемые порты и фиксирует их возврат обратно на коммутатор. При обнаружении петли порт переводится в заблокированное состояние согласно заданному действию, а по истечении времени восстановления автоматически возвращается в рабочее состояние.

Режим port блокирует весь порт целиком при обнаружении петли, в отличие от режима vlan, который ограничивает блокировку конкретным идентификатором виртуальной локальной сети.

Основные сценарии использования:

  • Защита портов уровня доступа от петель, возникших из-за ошибочного подключения патч-корда (два порта одного неуправляемого коммутатора соединены между собой)
  • Предотвращение широковещательных штормов в сегментах, где STP не запущен или подключено неуправляемое оборудование, не понимающее BPDU
  • Автоматическое восстановление порта после устранения петли без вмешательства администратора

Механизм рекомендуется включать на портах уровня доступа как дополнение к STP - он реагирует на петли, которые STP не охватывает (например, петли через неуправляемые коммутаторы).

Необходимые условия и предварительные требования

Для настройки loop-check требуется:

  • Аппаратная платформа CIT серии L3200
  • Версия ПО: v1.0.2 и выше
  • Интерфейс должен быть физическим портом второго уровня (Layer 2) - логические интерфейсы, SVI и агрегированные каналы не поддерживаются
  • На портах аплинка к вышестоящим управляемым коммутаторам функцию включать не рекомендуется

Примечание

Не активируйте loop-check на портах, подключённых к концентраторам (hub). Концентратор рассылает трафик на все порты, что может привести к ложным срабатываниям и блокировке незатронутых портов в других виртуальных локальных сетях.

Назначение команд конфигурации

Команда Режим Назначение
loop-check mode port Global config Устанавливает режим работы - блокировка всего порта при обнаружении петли
loop-check interval <секунды> Global config Задаёт интервал отправки зондирующих кадров (в секундах)
loop-check recover-time <секунды> Global config Задаёт время до автоматического восстановления заблокированного порта
loop-check trap enable Global config Включает отправку SNMP-ловушки (trap) при обнаружении и восстановлении петли
loop-check enable Interface config Включает обнаружение петель на конкретном порту
loop-check action block Interface config Задаёт действие при обнаружении петли - блокировка порта
loop-check reset Interface config Вручную сбрасывает состояние блокировки порта
show loop-check Privileged EXEC / Global config Отображает глобальные параметры работы механизма
show loop-check config Privileged EXEC / Global config Отображает текущую конфигурацию в виде команд
show loop-check interface <интерфейс> Privileged EXEC Отображает состояние механизма на конкретном порту

Глобальные параметры (mode, interval, recover-time, trap) применяются ко всем портам, на которых активирован loop-check. Действие на уровне интерфейса (action) задаётся отдельно для каждого порта.

Пример конфигурирования

Пошаговые инструкции

Шаг 1. Вход в режим глобальной конфигурации 

1
2
3
SW3#configure
  %Enter configuration commands.End with Ctrl+Z or command "quit" & "end"
SW3(config)#
Переход из привилегированного режима в режим глобальной конфигурации.

Шаг 2. Установка режима работы - по порту 

1
SW3(config)#loop-check mode port
Задаёт единицу блокировки: при обнаружении петли блокируется весь порт целиком.

Шаг 3. Настройка интервала зондирования 

1
SW3(config)#loop-check interval 10
Коммутатор будет рассылать зондирующие кадры каждые 10 секунд; при более коротком интервале петля обнаруживается быстрее, но увеличивается нагрузка на процессор.

Шаг 4. Настройка времени автоматического восстановления 

1
SW3(config)#loop-check recover-time 60
Через 60 секунд после блокировки порт автоматически переводится обратно в активное состояние и механизм продолжает зондирование. Если петля устранена - порт остаётся активным; если нет - блокируется снова.

Шаг 5. Включение SNMP-ловушки 

1
SW3(config)#loop-check trap enable
Коммутатор будет отправлять SNMP trap при обнаружении петли и при восстановлении порта.

Шаг 6. Включение механизма и задание действия на порту 

1
2
3
4
SW3(config)#interface 10gigaethernet 1/0/5
SW3(config-10ge1/0/5)#loop-check enable
SW3(config-10ge1/0/5)#loop-check action block
SW3(config-10ge1/0/5)#exit
loop-check enable активирует зондирование на порту; loop-check action block задаёт реакцию - блокировка порта при обнаружении петли.

Шаг 7. Повторить для остальных портов доступа (при необходимости) 

1
2
3
4
5
SW3(config)#interface 10gigaethernet 1/0/7
SW3(config-10ge1/0/7)#loop-check enable
SW3(config-10ge1/0/7)#loop-check action block
SW3(config-10ge1/0/7)#exit
SW3(config)#end

Полный вывод выполненных конфигураций

Команды для вставки в режиме privileged EXEC:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
configure
loop-check mode port
loop-check interval 10
loop-check recover-time 60
loop-check trap enable
interface 10gigaethernet 1/0/5
 loop-check enable
 loop-check action block
exit
interface 10gigaethernet 1/0/7
 loop-check enable
 loop-check action block
exit
end

Вывод show loop-check config: 

1
2
3
4
5
6
!
loop-check trap enable
loop-check mode port
loop-check interval 10
loop-check recover-time 60
!

Изучение состояния устройства

Просмотр конфигурации

Проверка глобальных параметров: 

1
2
3
4
SW3#show loop-check
 Loopcheck Mode     : port           <---- режим блокировки по порту
 Loopcheck interval : 10             <---- интервал зондирования, секунды
 Loopcheck trap     : enable         <---- SNMP trap активен

Проверка конфигурации в виде команд: 

1
2
3
4
5
6
7
SW3#show loop-check config
!
loop-check trap enable
loop-check mode port
loop-check interval 10
loop-check recover-time 60
!

Note

Обратите внимание на строки:

  • loop-check mode port - убедитесь, что режим соответствует ожидаемому (port/vlan)
  • loop-check recover-time 60 - проверьте, что время восстановления задано явно

Рекомендации выполнения команд и настроек

Выбор портов для активации

  • Включайте loop-check только на портах уровня доступа (конечные устройства, неуправляемые коммутаторы)
  • На аплинк-портах между управляемыми коммутаторами используйте STP, а не loop-check

Подбор интервала зондирования

  • Значение 10 секунд - разумный баланс между скоростью обнаружения и нагрузкой на процессор
  • Не устанавливайте интервал менее 5 секунд на большом числе портов одновременно

Время восстановления

  • Значение 60 секунд даёт достаточно времени для устранения физической проблемы
  • Слишком малое значение (< 30 секунд) при неустранённой петле приведёт к частым повторным блокировкам и избыточной генерации SNMP trap

Ручное восстановление порта

  • Если порт заблокирован, а петля уже устранена физически, используйте loop-check reset в режиме конфигурации интерфейса, не дожидаясь истечения recover-time

Совместная работа с STP

  • Loop-check и STP могут работать одновременно, однако порт, уже заблокированный STP, может получить дополнительную блокировку от loop-check - это увеличивает время восстановления при устранении неполадки

История возникновения команды

Версия ПО

Команды в данной главе применимы для:

  • Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
  • Являются актуальными с версии ПО v1.0.2

Ссылка на внешнюю документацию

Документация

При возникновении вопросов обратитесь к технической поддержке.