单播flood产生的原因和规避方法.doc

单播flood产生的原因与规避方法 过去在网平idc内经常出现当网络某个端口up down或者新开电某个交换机后，网络中就会产生突发的大流量使得带宽拥塞。现在it的数据机房流量逐渐增大，该问题在某些时候也会出现。 什么是单播flood 交换机根据受到的数据帧中的目的mac地址以及vlan编号在二层的转发表（mac地址表）中来决定具体的输出端口。如果受到的数据帧的目的mac地址在表中无法查询到的话，交换机将会把该数据帧在其所属的vlan的所有端口上进行发送，这就形成了flood。 产生单播flood问题与设备本身没有关系，几乎所有的交换机都会出现单播flood问题，产生单播flood关键是三层的ARP表与二层的MAC表不同步造成的。 ARP表与MAC表的更新原则 Cisco的交换机默认情况下arp表aging time是4个小时，mac表的aging time是300秒。 当一个arp的条目进入arp表后，启动一个4小时的定时器，在定时器快要到期的时候设备会发送arp的请求出去，在收到反馈后会重置定时器到4个小时，如果没有收到反馈在定时器到期后将会从arp表中删除掉该条目。 当交换机收到一个数据帧的时候将会把该帧的源mac地址、端口、vlan信息添加到mac地址表中，同时启用一个300秒的计时器，每收到一个该源设备发送的数据帧计时器都会进行重置，如果设备300秒都没有发送一个数据帧，定时器到期后将会在mac表中删除该条目。 此更新原则是参考cisco的官网上的文档并由TAC工程师确认过的，但是感觉与显示情况并不完全吻合，正在协调与cisco的研发团队对该原则进行确认。 单播flood产生的原因 原因一、不对称路由 大量的flood流量可能会拥塞低带宽的链路，对网络造成很大的影响，我们以下图为例： 服务器S1向服务器S2进行数据备份（大流量），S1的网关在路由器RA的vlan1接口上，S2的网关在路由器RB的vlan2接口上。 S1到S2的路径如图中蓝线所示： S2到S1的路径如图中红线所示： 在这种场景下switch A将不会看到从服务器S2发出的数据帧，因为S2将会通过网关RB进行数据传送，RB会对数据帧头进行重写。同样道理在switchB上也不会看到服务器S1发出的数据帧。 这也就意味着当switchA要发包给S2以及switchB要发包给S1的时候都会出现flood。 当S1与S2进行通讯的时候，在switchA中vlan2流量会flood，在switchB中的vlan1流量会flood。 在S1与S2刚通讯的时候是没有flood流量的，路由器RA在发送arp去查询S2 mac地址的时候，交换机switchA会将S2的mac地址加入到自己的mac表中。但是由于S2后续的流量都是通过其网关RB进行传送的，因此mac地址表在没有新的数据帧对其进行更新的情况下，300秒后就过期了，这时候flood就出现了。 原因二、生成树协议拓扑改变 另外一个出现单播flood的主要原因就是生成树拓扑改变通告（TCN），TCN是设计用来在转发拓扑发生改变的时候更正转发表的。在拓扑改变前后一些目的地通过不同的端口进行访问，TCN通过缩短转发表时间的方法进行快速更正，但是如果某些地址没有重新学习到的话，这些地址将会过期同时flood也会出现。 当一个端口成为forwarding状态或者从forwarding状态变为其他状态的时候就会发送TCN。即便某些mac地址真的过期了，实际上flood持续的时间也不会很长，因为很快就会重新学习到mac地址了，除非TCN的发送频率极高，这样mac地址表始终处于快速过期的状态，这样flood流量就会持续出现了。 正常情况下一个设计合理的网络出现拓扑改变应该是很少的，但是如果某个端口出现故障，频繁up/down的话就会出现持续的TCN了，这时候网络就会有单播flood了。 在端口上启用portfast特性后将会关闭该端口发送TCN的能力。建议在所有连接服务器的端口上都将portfast特性启用。 原因三、MAC地址表满 当mac表满了之后，就无法进行新的mac地址学习了，发现这些mac地址的数据包就会被flood，一直到mac地址表有可用空间为止，通常现在的交换机的mac地址表空间都足够大，很少出现mac地址表满的情况。 但是如果有恶意的破坏的事情发生还是有可能出现mac地址表满的情况，我们可以通过限定每个端口最多可以学习的mac地址数量来减少mac地址表满这种情况的发生。 如何规避单播flood 不使用不对称路由、减少拓扑变化等当然是规避单播flood的好办法，但是在现实中是不太可能实现的，因此我们必须通过其他的办法来减轻单播flood的影响。 方法一、同步二层mac和三层a