實(shí)戰(zhàn)手記之當(dāng)VLAN成為習(xí)慣...

2019-11-04 20:43:19

字體：大中小

供稿：網(wǎng)友

　　KeyWords:Catalyst 2900/3500XL Limitation PVST VLAN STP
　　VLAN 是個(gè)好東西呀，:-)。主干網(wǎng)搭起來了，今天這個(gè)部門/客戶要接進(jìn)來，給他建一個(gè)VLAN；明天那個(gè)部門/客戶接進(jìn)來，再加一個(gè)VLAN。用戶在自己的VLAN里無憂無慮、自得其樂，假如需要訪問別的VLAN或者想讓別的什么VLAN用戶訪問，給他加上路由，寫個(gè)訪問控制列表什么的，都很方便。
　　但是VLAN也增加了網(wǎng)絡(luò)的復(fù)雜性，使得排錯(cuò)變得更困難。
　　今天一位客戶來電說，他把一臺(tái)3524上的f0/23端口指定到VLAN 85, 接一臺(tái)服務(wù)器10.85.1.1，可是怎么也Ping 不通別的VLAN的機(jī)器。
　　首先，Show cdp nei檢查一下線路, Ping 交換機(jī)的治理地址，也沒問題。檢查Trunk、Interface VLAN 85的狀態(tài)，沒問題。
　　有時(shí)候VTP不同步可能會(huì)導(dǎo)致這樣的現(xiàn)象，就是治理地址是能ping 通的，但是下面接的機(jī)器都不通。所以做一個(gè)測(cè)試：在VTP Server上新建一個(gè)Test VLAN看看能不通傳到下面...OK!
　　究竟是什么原因呢？
　　到核心交換機(jī)6509的路由模塊MSFC去ping 這臺(tái)服務(wù)器，timeout, show arp begin 10.85.1.1:
　　Internet　10.85.1.1　　　　　　0　 Incomplete　　　ARPA　
　　解釋不到這臺(tái)服務(wù)器的MAC地址。由于MSFC的端口接到各個(gè)VLAN，它跟這臺(tái)服務(wù)器之間是純二層的網(wǎng)絡(luò)，沒有解釋到服務(wù)器的MAC，說明問題出在第二層上。
　　查看服務(wù)器的網(wǎng)卡地址，然后登錄到6509的交換引擎，show cam xx-xx-xx-xx-xx-xx, 沒有學(xué)習(xí)到。轉(zhuǎn)到3524, show mac inter f0/23, 這個(gè)地址是學(xué)習(xí)到了的，為什么沒有傳到6509上呢？
　　在6509交換引擎上打命令檢查生成樹：show spantree 85, 意外發(fā)現(xiàn)連接到3524的端口處于blocking的狀態(tài)!
　　實(shí)戰(zhàn)手記之當(dāng)VLAN成為習(xí)慣...

　　為什么3524上VLAN85的STP是Disabled的呢？查看配置文件，有以下語句：
　　no spanning-tree vlan 85
　　no spanning-tree vlan 86
　　no spanning-tree vlan 87
　　試圖配置交換機(jī)，用命令spanning-tree vlan 85答應(yīng)VLAN 85的生成樹，配完show run一看，還是老樣子!
　　查看文檔，原來3500系列交換機(jī)同時(shí)只支持250個(gè)VLAN，且只能支持在64個(gè)VLAN上運(yùn)行STP(PVST)。把這個(gè)交換機(jī)上未使用的VLAN 30的生成樹關(guān)掉：no spanning-tree vlan 30，再spanning-tree vlan 85, 生成樹起來了。折騰一番，把交換機(jī)重啟一下之后，通了。
　　假如網(wǎng)絡(luò)里使用的是2924交換機(jī)，只支持64個(gè)VLAN。VLAN數(shù)目超出時(shí)就會(huì)碰到交換機(jī)自動(dòng)從VTP Client轉(zhuǎn)成VTP Transparent模式的現(xiàn)象，然后需要手工建立VLAN，因?yàn)樗荒艽尜AVTP 域中定義的所有VLAN。
　　因此VLAN多了也是個(gè)麻煩。假如沒有必要，還是把VLAN控制在64(含5個(gè)保留的)個(gè)以內(nèi)比較好。假如是ISP，確實(shí)需要處理很多VLAN，可以考慮使用新的 VLAN TUNNEL 技術(shù)將客戶的多個(gè)VLAN封裝到ISP的一個(gè)VLAN之中。很難想象在一臺(tái)交換機(jī)上運(yùn)行1000個(gè)生成樹的實(shí)例...所以還是新的： 802.1W(快速生成樹)和 802.1S(多生成樹)解決方案有比較良好的擴(kuò)展性。
　　以上這些技術(shù)都在Catalyst 3550交換機(jī)和新版的CatOS中實(shí)現(xiàn)了，還有一個(gè)比較有意思的標(biāo)準(zhǔn)協(xié)議是802.1x(基于端口的認(rèn)證)，這些協(xié)議的成功推出是促使Cisco放棄ISL，回歸工業(yè)標(biāo)準(zhǔn)的原因。

上一篇：經(jīng)典配置 Vlan篇

下一篇：VLAN中的VTP和STP