1，問題描述

某企業採用CE12808作爲核心網絡設備,CE12808設備下掛S5700、H3C設備作爲接入,CE12808採用CSS技術保證網絡的可靠性,旁掛IDS檢測外來流量,保證內網不受攻擊。網絡管理員發現PING測H3C設備無丟包情況,同時PING測S5700存在大量丟包,導致部分業務不能正常運行。

網絡拓撲如下:

2，處理過程

步驟一、登錄S5700查看告警信息發現,S5700的CPU使用率最高達到83%

display cpu-usage

CPU Usage Stat. Cycle: 60 (Second)

CPU Usage : 25% Max: 83%

步驟二、查看設備告警信息發現S5700設備不斷收到TC報文,懷疑是設備處理TC報文所導致CPU佔用率過高,使用display stp tc-bpdu statistics命令發現S5700設備與CE12808設備對接的端口收到的TC報文一直在增長。

display stp tc-bpdu statistics

-------------------------- STP TC/TCN information --------------------------

MSTID Port TC(Send/Receive) TCN(Send/Receive)

0 GigabitEthernet0/0/1 4/16063 0/0

步驟三、查看CE12808設備發現未啓用MSTP。

3，根因

CE12808未啓用MSTP,IDS設備接入導致環路出現,其它設備STP頻繁收斂,產生大量TC報文,S5700收到TC報文,並刷新MAC、ARP表項及設備CPU使用率過高，影響業務正常運行。12808啓用MSTP後,經測試丟包問題沒有復現。問題解決。

4，解決方案

CE12808設備啓用MSTP將IDS其中一個端口阻塞後,網絡恢復正常,查看CE12808到IDS間的鏈路高峯期時利用率不到30%，單鏈路可以滿足需求，但避免後期突入流量過大情況，已將IDS與CE12808間雙鏈路做捆綁處理。

5，建議與總結

正常情況下不要輕易禁用MSTP,以免其它設備接入時引起環路,影響正常業務運行。