Catalyst 4000 6000配置经验谈.docx
《Catalyst 4000 6000配置经验谈.docx》由会员分享,可在线阅读,更多相关《Catalyst 4000 6000配置经验谈.docx(44页珍藏版)》请在冰豆网上搜索。
Catalyst40006000配置经验谈
Catalyst40006000配置经验谈
1超级引擎流量
在一个交换网络中绝大多数特性需要两台或更多台的交换机配合才能实现,所以必须对存活信息、配置参数和管理的改变进行控制。
这些协议包括cisco的私有协议如CDP,或者是标准的协议如802.1d(生成树协议),在Catalyst系列交换机中实现这些协议中有一些相通的地方。
首先,我们来复习一下基础的帧转发。
从端结点发出的用户数据帧在通过第二层交换域时,它所包含的源MAC地址和目的MAC地址并不会改变。
每个交换机上的超级引擎将根据帧的目的MAC地址在地址内容表(CAM)中查找发出端口。
如果帧的目的地址未在cam表中找到,或者目的地址是一个广播或组播地址,将转发到该VLAN的所有端口。
交换机还必须确认哪些帧直接进行转发,哪些帧需要发送到交换机自身的CPU(通常被称为网络管理器或NMP)。
Catalyst控制面是一个交换机内部端口,通过在CAM表中叫Systementries的特殊条目创建,用于和NMP之间的流量传输。
这样,协议使用一个周知的目的MAC地址,控制面流量可以和数据流量分离。
在交换机上使用showcamsystem,可以看到如下信息:
S4B-6006>(enable)shcamsystem
*=StaticEntry.+=PermanentEntry.#=SystemEntry.R=RouterEntry.
X=PortSecurityEntry$=Dot1xSecurityEntry
VLANDestMAC/RouteDes[CoS]DestinationPortsorVCs/[ProtocolType]
----------------------------------------------------------------------
100-30-b6-4a-eb-ff#1/3
101-00-0c-cc-cc-cc#1/3
101-00-0c-cc-cc-cd#1/3
101-80-c2-00-00-00#1/3
101-80-c2-00-00-01#1/3
201-00-0c-cc-cc-cc#1/3
201-00-0c-cc-cc-cd#1/3
201-80-c2-00-00-00#1/3
201-80-c2-00-00-01#1/3
301-00-0c-cc-cc-cc#1/3
301-00-0c-cc-cc-cd#1/3
301-80-c2-00-00-00#1/3
301-80-c2-00-00-01#1/3
401-00-0c-cc-cc-cc#1/3
401-00-0c-cc-cc-cd#1/3
401-80-c2-00-00-00#1/3
401-80-c2-00-00-01#1/3
501-00-0c-cc-cc-cc#1/3
501-00-0c-cc-cc-cd#1/3
501-80-c2-00-00-00#1/3
501-80-c2-00-00-01#1/3
601-00-0c-cc-cc-cc#1/3
Cisco保留了一段MAC地址和协议地址用于设备通讯。
如下表所示:
特性
SNAPHDCL协议类型
目的组播地址
端口聚集协议-PagP
0x0104
01-00-0c-cc-cc-cc
生成树协议(PVSTP+)
0x010b
01-00-0c-cc-cc-cd
VLAN桥
0x010c
01-00-0c-cc-ce
单向链路检测――UDLD
0x0111
01-00-0c-cc-cc-cc
Cisco发现协议――CDP
0x2000
01-00-0c-cc-cc-cc
动态Trunking――DTP
0x2004
01-00-0c-cc-cc-cc
STPUplinkFast
0x200a
01-00-0c-cc-cc-cd
IEEE生成树802.1d
N/A-DSAP42
01-80-c2-00-00-00
ISL
SSAP42,N/A
01-00-0c-00-00-00
VTP
0x2003
01-00-0c-cc-cc-cc
IEEEPause802.3x
N/A-DSAP81
SSAP80
01-80-c2-00-00-00>of
主要的cisco控制控制协议均使用802.3SNAP封装,包括LLC0xAAAA03,OUI0x00000C,可以被LAN协议分析议跟踪到。
这些协议的其它一些通用属性如下:
●使用点对点连接的情况下,为了使用两台cisco交换机能顺利通过中间的非Cisco交换机,故意使用multicast的目的地址,这样中间的设备就不能理解或截获这些帧,只会简单的转发它们。
然而,在多供应商环境下的点对多点连接下,会起不一致的现象并一般可以避免。
●这些协议仅在交换域内有效,终结于第三层的路由器。
●这些协议在入口ASIC的处理和调度中具备比普通用户数据更高的优先权。
介绍完了控制协议的目的地址,现在我们来介绍这些协议的源地址,交换协议从机箱上EPROM所提供的一段MAC地址取用MAC地址。
使用showmodule命令可以看到每个模块在发起如stpbpdu或ISL帧时可能使用到的源地址范围:
S4B-6006>(enable)shmodule
………………
ModMAC-Address(es)HwFwSw
--------------------------------------------------------------------------
100-30-96-1a-72-00to00-30-96-1a-72-015.05.2
(1)6.3(4a)
00-30-96-1a-72-02to00-30-96-1a-72-03
00-30-b6-4a-e8-00to00-30-b6-4a-eb-ff
200-30-b6-30-5a-1cto00-30-b6-30-5a-4b1.14.2(0.24)V6.3(4a)
300-d0-bc-eb-a8-04to00-d0-bc-eb-a8-331.14.2(0.24)V6.3(4a)
400-30-b6-30-4a-d0to00-30-b6-30-4a-ff1.14.2(0.24)V6.3(4a)
VLAN1
VLAN1在Catalyst交换网络中有着特殊的意义。
在有trunking存在时,Catalsy超级引擎通常使用缺省VLAN――VLAN1,用来标记一系列的控制和管理协议。
诸哪CDP,VTP和PagP。
所有的端口,包括内部的SC0,都被配置成VLAN1的成员。
所有的trunk链路在缺省情况下都包括VLAN1。
在CatOS5.4以前,不能阻断VLAN1中的数据。
澄清交换网络中的两个概念:
●SC0所在的是管理VLAN,这个VLAN可以被改变
●NativeVLAN是在802.1Qtrunk上定义的一个用户传送未打标记的VLAN。
调整VLAN1时需要注意如下几个事项:
●VLAN1的直径,和其它VLAN一样,直径太大将使网络的稳定性降低。
在STP透视中这个问题特别显著。
这将在带内管理一节中做详细的论述。
●VLAN1中的控制面数据和用户数据保持分离极大的简化故障诊断程序和解放CPU。
●在设计没有STP的多层交换网络时,一定要注意避免在VLAN1中形成第二层的环,当然如果在访问层有多个VLAN/IP子网,则trunk是仍然需要的。
在这种情况下,从trunk端口上手工清除VLAN1。
小结
在trunk链路上,如下部分是很有价值的:
●Trunk链路上的CDP、VTP和PagP更新通常都通过VLAN1进行,就算VLAN1在trunk上被清除了或VLAN1不再是nativevlan也不例外。
不允许VLAN1传输数据与控制面流量继续使用VLAN1进行发送之间并不冲突。
●802.1QIEEEBPDUs通过在VLAN1(通用生成树)上转发未标记的帧来实现和其它厂商设备的通过。
直到VLAN1在trunk上被清除为止。
Cisco每VLAN生成树(PVST+)的BPDU打过标记后在其它的VLAN中发送。
在本文中生成树协议一节中有更详细的描述。
2VLANTrunking协议(VTP)
在创建VLAN前,应该决定在网络中使用何种VTP模式。
在启用VTP的情况下,在一台交换机上对VLAN配置做出的改变将自动的繁殖到同一个VTP域中的其它交换机上。
2.1操作概述
VTP是一个在第二层维护VLAN配置的消息协议,可以管理VLAN的添加、删除和重命名。
VTP最大限度的减少了错误配置所引起的一系列问题:
如果重复的VLAN名字、错误的VLAN类型定义、安全策略失效等 。
VLAN数据库是一个存放在VTPserver上的二进制文件,它和配置文件是分开存放的。
交换机之间的VTP协议通讯采用一个ethernet组播目的地址(01-00-0c-cc-cc-cc),SNAPHDLC协议类型为0x2002。
它不会在非trunk口上支持(VTP是ISL或802.1Q的有效荷载)。
所有在DTP使trunk在线之前是不会有消息发送的。
消息类型包括:
每5分钟发送一次的"汇总通告",当有改变发生时的"子集通告和请求通告",配置了VTP修剪时的"加入"。
每当VTP服务器有一个改变发生,VTP配置版本号加1,并自动繁殖到整个VTP域中。
如果一个VLAN被删除了,该VLAN中的端口将全部进入不活动(inactive)状态。
与此类似地,一台在client模式的交换机在不能收到VTP的VLAN表之前,除了VLAN1的所有端口均将处于一种非活动状态。
特性
Server
Client
Transparent
源VTP信息
是
是
否
侦听VTP信息
是
是
否
创建VLAN
是
否
是(仅本地可用)
重命名VLAN
是
否
是(仅本地可用)
在VTP透明模式中,VTP更新被忽略昝了(VTP的组播地址被从系统CAM删除掉了)。
一台在透明模式的交换机(或其它厂商的交换机)将仅仅将帧转发域内其它Cisco交换机。
初始的VTP配置:
特性
缺省值
VTP域名
空
VTP模式
Server
VTP版本2
禁用
VTP密码
空
VTP修剪
禁用
VTP第二版包括下列灵活的特性,但和VTP第一版无法进行互操作:
●支持令牌环
●交换可以繁殖他不能解析的参数值
●基于版本的透明模式:
透明模式不再检查VTP域名,这支持多个VTP域穿越一个透明域
●版本号可以得到繁殖:
如果所有的交换机都支持V2,那个在一个交换机上配置v2模式,同一VTP域内所有交换机都可以启用v2模式。
2.2推荐
对于使用VTPClient/Server或透明模式没有特殊的推荐,一般情况下在分布层交换机中采用两台VTPserver。
大部分企业基于如下原因,都先采用VTP透明模式将交换机接入网络后。
然后再修改为server或client模式:
●使用VTP后,删除一个VLAN将在整个VTP域中删除它,误操作的风险很高。
使用透明模式则不存在这个问题
●没有新加入一个VTP修订版本更高的交换机时将引起整个VTP域内的VLAN配置信息丢失的风险
●修剪了不必要的VLAN信息,带宽利用率更高。
手工修剪也可以减小生成树的直径。
●在CatOS6.x中开始支持的扩展VLAN范围(1025-4094),只能用于透明模式
●Campusmanager3.1开始支持VTP透明模式,在此以前,在VTP域中至少要求有一个VTPserver.
注意:
在settrunkx/y1-10命令中并没有设定在此trunk链路上仅允许VLAN1-10通过。
需要用cleartrunkx/y11-1005来显式地指定。
其它选项:
在令牌环中,需要VTP v2,强烈推荐使用Client或server模式。
Setvtppruningenable命令可以自动修剪VLAN,但和手工修剪不同,自动修剪不会改变生成树的直径。
从CatOS6.x开始,Catalyst系列交换机和IEEE802.1Q保持一致,支持4096个VLAN,这些VLAN分成三部分,其中只有部分能通过VTP进行管理:
normal-rangeVLANs:
1-1001
Extended-rangeVLANs:
1025-4094,不能被VTP管理
Reserved-rangeVLANs:
0,1002-1024,4095
IEEE组织提出了一个效果和VTP类似的标准,做为802.1Q通用属性注册协议(GARP)的一部分,通用VLAN注册协议(GVRP)允许在不同厂商的设备之间实现VLAN管理的互操作,它走出了本文档的范围。
在CatOS7.x中,可以关闭VTP,关闭VTP后和VTP透明模式很类似,但交换机不再转发VTP的帧。
这是一个相当有用的特性。
3自动协商
以太网/快速以太网。
自动协商是快速以太网(802.3U)的一个可选项,它使设备可以交换一条链路的速率和双式模式,自动协商在第一层操作,常用于接入层端口。
运行机制
10/100自适应以太网链路上最常见的问题是双工模式不匹配。
这种情况偶尔发生在一端或两端的端口复位,自动协商进程未能使用两端的配置一样中。
另一个原因是配置了一端,忘记配置另一端了。
双工模式不匹配导致的典型症状是交换机上的FCS、CRC、alignment和runts数量大幅增加。
对自动协商的一个最常见的误区是认为将一端手工配置为100M全双工,另一端就会自动变成全双工。
实际上,这样做会导致双工模式不匹配,这是因为链路的一端发起协商,然而看不到另一端过来的任何参数,这样,缺省就会设置为半双工。
绝大多数Catalyst以太网模块支持10/100M和半/全双工自适应,可以使用showportcapabilities命令来证实这一点。
FEFI
远端故障指示(FEFI)保护100BaseFx(光纤)和Giga接口,就象自动协商保护100BaseTX(钢缆)的物理层信号不匹配的一样。
远端故障是指在链路的一端能检测到,而另一端检查不到,就象一条未连接的tx链路一样。
在这种情况下,发磅工作站发继续收到合法的数据包,通过链路检查监视器监测链路情况也是好的,然后,它却检查不到对方工作站并未收到自己发出的数据包。
在100BaseFx链路上,工作商将发出一个特殊的FEFIIDLE位序列来检查这种错误,FEFI-IDLE序列会将远端端口标识为shutdown状态(ErrDisable)。
在UDLD一节中有详细的讨论。
下列硬件模块支持FEFI:
●Catalyst5000:
WS-X5201R、WS-X5305、WS-X5237、WS-U5538、WS-U5339
●Catalyst6000和4000:
所有的100BaseFx模块和GE模块。
建议
将端口配置为自动协商还是固定的配置一种速度模式取决于接在交换机上的设备类型。
Catalyst交换机兼容802.3u规范,和设备间的自动协商也工作良好,然而,不严格遵守规范的网卡或设备则会导致出现问题。
硬件不兼容也有可能是因为一些未写进802.3U的一些供应商的高级特性造成的。
这通常会在如下所示的注意事项文档中给出:
注意事项:
IntelPro/1000T网卡和Cat4k/6k连接时的性能提示。
这样,把工作站之间的端口速度、双工模式设置正常是值得期待的,下面是基本的调试步骤:
1.确认链路的两端都设置为固定的工作模式或都设置为自动协商
2.检查CatOS发行公告中的警告事项
3.检查网卡驱动和操作系统的版本号,通常需要最新的驱动或补丁程序。
原则上在任何链路上都应该首先使用自动协商模式,这对于使用笔记本电脑等暂时接入的设备具备相当明显的优点。
自动协商在服务器、交换机到交换机和交换机到路由器之间也工作得很好。
然而,就象上面所提及的一弱,在有些环境中自动协商是不可用的。
在这种情况下可以使用如下的调试步骤:
如果端口的速度和双工模式都设置为自动协商,可以使用如下命令将端口模式设置为自动状态:
setportspeedauto(缺省配置)
如果要将端口配置为固定速度,可以使用如下的配置命令:
setportspeed<10|100>
setportduplex
其它:
交换机之间的链路一般用第二层的协议如UDLD等来增强检测能力。
千兆网
千兆网有一个比10/100兆网范围更大的自动协商机制(Ieee802.3z),用来交换流控参数、远程失效信息、双工信息(虽然绝大多数Catalyst上的千兆端口只支持全双工模式)。
注意802.3z已经被IEEE802.3:
2000标准给替代了。
运行机制
千兆端口的协商在缺省状态下的启用的,并且一条链路两端的端口必须是同样的设置。
不象快速以太网,如果千兆链路两端的设置不一致,端口状态将不会up(交换的参数不一样)。
和快速以太网的另一个不同点的,千兆端口不协商端口速度,也不能使用setportspeed禁用自动协商。
(译者注:
最新的1000-baseTx规范中是可以协商端口速度的)
例如,假设有两个设备A和B,每个设备对自动协商都有启用一禁用两种状态,下面就是可能的端口状态
协商
B启用
B禁用
A启用
两端UP
ADownBup
A禁用
AupBdown
两端Down
建议:
在千兆以太网中启用自动协商比在10/100兆环境中更为关键。
实际上,只有在设备不支持自动协商或自动协商不成功的情况下才在交换机的端口上禁用自动协商。
Cisco建议在所有的交换机到交换机链路上启用自动协商,在基本上所有的千兆以太网端口上都启用自动协商。
使用以下的命令来启用自动协商:
setportnegotiationenable(缺省配置)
一个已知的例外是在运行早于IOS12.0(10)S(该版本增加了流控和自动协商)的GSR上面。
在这种情况下,需要关闭这两个特性,否则交换机端口将报务“未连接”,在GSR上会报错,配置如下:
setportflowcontrolreceiveoff
setportflowcontrolsendoff
setportnegotiationdisable
交换机到服务器的连接则必须具体情况具体分析,已证实可以和Sun、HP和IBM的部分服务器可以自动协商。
其它:
流控是802.3x规范中的一个可选部件,如果要使用必须进行协商。
设备不一定能发送和响应一个PAUSE帧慢(使用01-80-c2-00-00-000F的周知MAC),这样他们也许不允许远端设备的流控请求。
端口在输入缓冲区快満时会给对方设备发出一个PAUSE帧请示暂停发送,将后续帧放到对端设备的发送缓冲区中。
这不可能解决超量会聚时的稳定性问题,但对突发流量的控制相当有效。
这个特性在端接点和访问层的连接中最有用,因为主机的发送缓冲和它的虚拟内存一样大,在交换机到交换机的连接中有一定的效果。
在交换机上使用下列的命令配置流控:
setportflowcontrol
>showportflowcontrol
PortSendFlowControlReceiveFlowControlRxPauseTxPause
adminoperadminoper
...................................................
6/1offoffonon00
6/2offoffonon00
6/3offoffonon00
注意:
所有处于协商模式的Catalyst模块都会响应Pause帧,一部要模块(如WS-X5410,WS-X4306)则不会发送Pause帧,因为它们的非阻塞模块。
4动态Trunking协议(DTP)
4.1封装类型
Trunk通过在标准的以太网帧上增加临时的标记(在一条链路)来实现跨设备的VLAN,这样就可以在一条链路上传送多个VLAN的信息。
也确保了在交换机之间隔离每个VLAN的广播域。
在交换机内部使用内容地址存储(CAM)表来维护VLAN和帧之间的对应关系。
Trunking在很多二层网络中都支持,如ATMLANE、FDDI802.10和以太网等,本文只讨论以太网中的Trunk。
4.2ISL运行机制
ISL做为Cisco的一个私有的标记方案,已以使用了相当长的一段时间,现在也可以使用IEEE的802.1Q标准。
ISL和tunnel协议很相似,使用一种两级封装机制将整个原始的帧封装起来,这样就便于封装非以太网状。
ISL在在原始的以太网帧的基础上增加一个26字节的头和一个4字节的FCS字段,这种帧只能被配置成trunk的端口处理。
ISL可以支持1024个VLAN。
ISL帧格式:
40Bits
4Bits
4Bits
48Bits
16Bits
24Bits
24Bits
15Bits
Bit
16Bits
16Bits
Variablelength
32Bits
Dest.Addr
Type
USER
SA
LEN
SNAPLLC
HSA
VLAN
BPDU
INDEX
Reserve
EncapsulatedFrame
FCS
01-00-0c-00-00
AAAA03
00000C
TYPE码
意义
0000
Ethernet
0001
Token-Ring
0010
FDDI
0011
ATM
以太帧进行ISL封装后,最大长度可以达到1548字节。
4.3802.1Q运行机制
IEEE802.1Q标准除封装格式外,还定义了如生成树增强、通用VLAN注册协议(GARP)、802.1pQOS标记更等更多的内容。
802.1Q帧格式中保留了原始的以太网帧中的源地址和目的地址;但为因为802.1Q将在帧头中增加一个长为4字节的标记,这样以太网帧长度达到1522字节,就仍然需要交换机处理能够处理大帧。
对于access模式的端口,启用了802.1p用户特权标记的情况下,也需要能够处理1522字节的帧。
802.1Q可以支持4096个VLAN。
在trunk链路上除了nativeVLAN(该VLAN中的数据对于交换机入口来说是隐式标记了的)外其它所有VLAN中的数据帧都将打上802.1Q帧标记,nativevlan上发出的帧永远是不打标记的。
802.1Q/801.1p帧格式:
TagHeader
TPID
TCI
48bits
48bits
16bits
3bits
1bit
12bits
16bits
Variablelength
32bits
DA
SA
TPID
Prior
升级会员 