Probleme mit Dell Networking FCoE-Sitzungen aufgrund von LLDP-Paketen, die von VMs gesendet werden.

• Hostkommunikation zur FCoE-Umgebung verloren
• Die Storage-Kommunikation reagiert nicht mehr oder klappert ständig.
• In einer stabilen Umgebung kann es zu einem KOMPLETTEN AUSFALL aller FCoE-VLANs kommen, wenn eine manuelle Maßnahme durchgeführt wird, die dazu führt, dass LLDP eine Gegenleistung erteilt. Beispiel: Hinzufügen eines VLAN oder Deaktivieren von LLDP auf dem vDS. 

Dieser Artikel soll einen zusätzlichen Schutz für FCoE-Umgebungen bieten, in denen eine VM versehentlich LLDP-Pakete an den (FIP/FSB)-Switch sendet und dadurch die FCoE-Verbindung zum Switch unterbrochen wird. Während des Problemstatus wird die folgende Meldung im Syslog des Switches angezeigt.

Fehlermeldung: "LLDP_MULTIPLE_PEER_DETECTED: DCBX operationally disabled due to more than one PEER being present on interface" beim Aktivieren von LLDP über das Betriebssystem)

Warnmeldung:
-------------------------------------
LLDP_MULTIPLE_PEER_DETECTED: DCBX
-------------------------------------
Es gibt zwei mögliche Probleme, die angezeigt werden können:

1. VMware vDS sendet und empfängt oder sendet nur LLDP-Pakete.
   1. Dies geschieht normalerweise, wenn die LLDP-Konfiguration auf VMware vDS als "Beide(anhören und ankündigen)" oder als "Ankündigung" festgelegt ist.
2. VMs senden LLDP-Pakete über VMware vDS.
   1. Wenn das Betriebssystem der VM LLDP-Pakete sendet, um seine Anwesenheit anzukündigen, die die FCoE-Konnektivität aufgrund der Art des FCoE-Vorgangs unterbricht.

Ein weiterer Hinweis darauf, dass der Switch mehrere LLDP-Nachbarn erkennt und sich im Problemstatus befindet:
 

Das Netzwerk kann auch dann als vollkommen stabil dargestellt werden, wenn "show lldp neighbors" Zeigt an, dass sich der Switch in einem Problemzustand befindet. Wenn jedoch eine manuelle Maßnahme wie das Hinzufügen eines VLAN oder das Deaktivieren von LLDP auf dem vDS durchgeführt wird, kann dies einen kompletten Ausfall aller FCoE-Sitzungen auslösen.

Warum sollte das passieren?
FCoE basiert auf DCBx und DCBx ist ein Protokoll, das auf LLDP ausgeführt wird. 

"DCBX verwendet das Link Layer Discovery Protocol (LLDP), um Parameter zwischen zwei Link-Peers auszutauschen. LLDP ist ein unidirektionales Protokoll. Es kündigt Konnektivitäts- und Verwaltungsinformationen über die lokale Station für benachbarte Stationen auf demselben IEEE 802-LAN an." - https://www.ieee802.org/1/files/public/docs2008/az-wadekar-dcbx-capability-exchange-discovery-protocol-1108-v1.01.pdf
"Es wird erwartet, dass DCBX über eine Punkt-zu-Punkt-Verbindung betrieben wird. Wenn mehrere LLDP-Nachbarn erkannt werden, verhält sich DCBX so, als ob die DCBX-TLVs des Peers erst vorhanden sind, wenn die Bedingung für mehrere LLDP-Nachbarn nicht mehr vorhanden ist. Ein LLDP-Nachbar wird durch seinen logischen MAC-Service Access Identifier (MSAP) identifiziert. Der logische MSAP ist eine Verkettung der Gehäuse-ID- und Port-ID-Werte, die in der LLDPDU übertragen werden." - https://www.ieee802.org/1/files/public/docs2008/az-wadekar-dcbx-capability-exchange-discovery-protocol-1108-v1.01.pdf
Jede Änderung, die dazu führt, dass LLDP neu berechnet wird, kann dazu führen, dass die TLV-Funktion von FCoE sofort unterbrochen wird.

Option 1) Ändern Sie den LLDP-Modus auf dem vDS gemäß Broadcom KB.
Möglichkeit 2) Wir fügen eine VMware vDS-Filter-Policy hinzu, um LLDP-Pakete von VMs zu blockieren. Diese Konfiguration allein blockiert alle LLDP-Pakete von jeder VM unter dieser vDS-Portgruppe. *Dieses Problem tritt auch bei VMware Standard vSwitch auf, aber es ist keine Workaround- oder Filteroption verfügbar. Der Kunde muss sicherstellen, dass seine VMs LLDP-frei sind.
 

 Verfahren

 Referenz: VMware-Leitfaden zur Datenverkehrsfilterung

1. Suchen Sie eine verteilte Portgruppe oder eine Uplink-Portgruppe im vSphere Client.

1. Wählen Sie einen verteilten Switch aus und klicken Sie auf die Registerkarte Netzwerke.
2. Klicken Sie auf Distributed Port Groups , um die Liste der verteilten Portgruppen anzuzeigen, oder klicken Sie auf Uplink Port Groups , um die Liste der Uplink-Portgruppen anzuzeigen.

2. Klicken Sie auf eine verteilte Portgruppe oder eine Uplink-Portgruppe und wählen Sie die Registerkarte Configure aus.
3. Wählen Sie unter Einstellungen die Option Datenverkehrsfilterung und -markierung aus.
4. Klicken Sie auf die Schaltfläche Aktivieren und neu anordnen.

5. Klicken Sie auf Alle Datenverkehrsregeln aktivieren.
6. Klicken Sie auf OK.

7. Klicken Sie auf die Schaltfläche ADD .

Referenzhandbuch für VMware MAC Traffic Qualifier .

8. Legen Sie im Fenster Rule die folgenden Parameter fest.
   1. "Benennen" Sie die Regel, um die Aktion zu beschreiben.
   2. Wählen Sie im Feld "Action" die Option "Drop" aus.
   3. Wählen Sie unter "Traffic direction" die Option "Ingress" aus.
   4. Klicken Sie auf die Registerkarte "MAC".
      1. Aktivieren Sie das Kontrollkästchen "Qualifizierer aktivieren".
      2. Im Feld "EtherType":
         1. Wählen Sie "IS" aus.
         2. Wählen Sie "Nutzerdefiniert" aus.
         3. Schreiben Sie "88CC" als LLDP-Ethertyp.
   5. Klicken Sie auf OK.

9. Am Ende sollten Sie die folgende Konfiguration haben.

10. Überprüfen Sie, ob LLDP-Pakete von der ausgewählten VM blockiert werden.
    1. Klicken Sie auf die Registerkarte Ports .
       1. Wählen Sie vDS Port ID aus, wobei sich die VM befindet.
       2. Klicken Sie auf die Registerkarte Statistiken .
          1. Überprüfen Sie "Dropped - Ingress Packets".

   

11 Damit ist die Konfiguration abgeschlossen.