1. M-LAG防环机制深度剖析第一次在数据中心部署M-LAG时我最担心的就是环路问题。毕竟传统二层网络要靠STP来防环而M-LAG号称能构建无环拓扑这到底是怎么实现的经过多次实测和抓包分析终于搞明白了其中的门道。M-LAG的防环核心在于单向隔离机制。简单来说就是设置了一道单向阀从peer-link进来的流量禁止再从M-LAG成员口出去。这就好比小区消防通道紧急情况下可以从通道进入但平时不能通过通道随意进出。具体实现时设备会自动下发ACL规则rule1 permit ip source-port peer-link dest-port member-port rule2 deny any source-port peer-link dest-port member-port实际部署中遇到过这样一个案例某金融客户在核心交换机部署M-LAG后发现广播风暴导致业务卡顿。抓包发现是接入层有设备违规开启了环路检测协议触发了广播泛洪。但由于M-LAG的单向隔离机制这些广播包在peer-link处就被拦截没有形成全网环路。这个机制对以下流量生效所有二层流量单播/组播/广播三层组播流量三层单播流量允许例外2. 配置一致性检查实战指南去年帮一个电商平台做M-LAG升级时因为两端设备VLAN配置不一致导致业务中断了2小时。这次教训让我深刻认识到配置一致性的重要性。M-LAG的配置检查分为两种模式严格模式(strict)下的处理流程系统定期比对Type1关键配置发现不一致时立即Error-Down备机成员口触发严重告警并记录日志管理员修复配置后需手动恢复端口推荐检查清单STP模式与BPDU保护配置VLAN与接口绑定关系Eth-Trunk的LACP模式VRRP虚拟MAC地址静态ARP表项有个实用技巧可以先用松散模式(loose)做预检查确认无Type1差异后再切换为严格模式。检查命令示例# 查看配置差异 display mlag consistency-check difference # 切换检查模式 mlag consistency-check mode strict3. DFS Group的选举玄机很多工程师以为DFS Group主备选举就是简单的优先级比较其实暗藏玄机。在帮某运营商排查故障时发现即使优先级相同两台设备的MAC地址比较规则也有讲究先比较系统MAC前三个字节厂商编码再比较后三个字节设备序列号小端字节序比较0xA1B2 0xB1A2选举过程就像选班长优先级相当于成绩数值越小越优秀MAC地址就像学号越小代表入学越早双重标准确保一定能选出唯一主设备实测中发现个有趣现象当主设备宕机后恢复如果peer-link仍故障原备设备会维持主状态。这个设计避免了频繁角色切换导致的业务震荡。4. 流量转发中的避坑指南M-LAG的流量转发看似简单但不同场景下有这些隐藏规则单播流量南北向流量本地优先转发东西向流量默认不经过peer-link三层转发依赖路由表组播流量地址末位奇数走主设备地址末位偶数走备设备需要额外配置独立三层链路广播流量依赖STP阻塞冗余路径单向隔离机制阻止环路VLAN配置必须完全一致遇到过最棘手的案例是组播业务卡顿后来发现是独立三层链路MTU不匹配导致分片丢失。建议部署时用这条命令检查ping -a [source_ip] -s 9000 [peer_ip]5. 典型故障排查手册根据处理过的30故障案例整理出这些高频问题症状1M-LAG无法建立检查peer-link是否配置为聚合链路确认DFS Group编号一致验证双主检测链路可达性症状2业务流量中断查看成员口是否被Error-Down检查配置一致性告警抓包分析单向隔离是否误触发症状3组播流量单通确认独立三层链路状态检查组播地址奇偶分布验证ACL是否放行协议报文有个快速判断技巧当peer-link故障时正常应该只有备设备成员口被Error-Down。如果两端端口都down大概率是双主检测链路出了问题。