Catalyst 4000 6000配置經(jīng)驗(yàn)談（一）

2019-11-04 23:23:05

字體：大中小

供稿：網(wǎng)友

　　超級(jí)引擎流量
　　在一個(gè)交換網(wǎng)絡(luò)中絕大多數(shù)特性需要兩臺(tái)或更多臺(tái)的交換機(jī)配合才能實(shí)現(xiàn)，所以必須對(duì)存活信息、配置參數(shù)和治理的改變進(jìn)行控制。這些協(xié)議包括cisco的私有協(xié)議如CDP，或者是標(biāo)準(zhǔn)的協(xié)議如802.1d(生成樹協(xié)議)，在Catalyst系列交換機(jī)中實(shí)現(xiàn)這些協(xié)議中有一些相通的地方。
　　首先，我們來(lái)復(fù)習(xí)一下基礎(chǔ)的幀轉(zhuǎn)發(fā)。從端結(jié)點(diǎn)發(fā)出的用戶數(shù)據(jù)幀在通過(guò)第二層交換域時(shí)，它所包含的源MAC地址和目的MAC地址并不會(huì)改變。每個(gè)交換機(jī)上的超級(jí)引擎將根據(jù)幀的目的MAC地址在地址內(nèi)容表（CAM）中查找發(fā)出端口。假如幀的目的地址未在cam表中找到，或者目的地址是一個(gè)廣播或組播地址，將轉(zhuǎn)發(fā)到該VLAN的所有端口。
　　交換機(jī)還必須確認(rèn)哪些幀直接進(jìn)行轉(zhuǎn)發(fā)，哪些幀需要發(fā)送到交換機(jī)自身的CPU（通常被稱為網(wǎng)絡(luò)治理器或NMP）。
　　Catalyst 控制面是一個(gè)交換機(jī)內(nèi)部端口，通過(guò)在CAM表中叫System entries的非凡條目創(chuàng)建，用于和NMP之間的流量傳輸。這樣，協(xié)議使用一個(gè)周知的目的MAC地址，控制面流量可以和數(shù)據(jù)流量分離。在交換機(jī)上使用show cam system，可以看到如下信息：
　　S4B-6006> (enable) sh cam system
　　* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
　　X = Port Security Entry $ = Dot1x Security Entry
　　
　　VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [PRotocol Type]
　　---- ------------------ ----- -------------------------------------------
　　1 00-30-b6-4a-eb-ff # 1/3
　　1 01-00-0c-cc-cc-cc # 1/3
　　1 01-00-0c-cc-cc-cd # 1/3
　　1 01-80-c2-00-00-00 # 1/3
　　1 01-80-c2-00-00-01 # 1/3
　　2 01-00-0c-cc-cc-cc # 1/3
　　2 01-00-0c-cc-cc-cd # 1/3
　　2 01-80-c2-00-00-00 # 1/3
　　2 01-80-c2-00-00-01 # 1/3
　　3 01-00-0c-cc-cc-cc # 1/3
　　3 01-00-0c-cc-cc-cd # 1/3
　　3 01-80-c2-00-00-00 # 1/3
　　3 01-80-c2-00-00-01 # 1/3
　　4 01-00-0c-cc-cc-cc # 1/3
　　4 01-00-0c-cc-cc-cd # 1/3
　　4 01-80-c2-00-00-00 # 1/3
　　4 01-80-c2-00-00-01 # 1/3
　　5 01-00-0c-cc-cc-cc # 1/3
　　5 01-00-0c-cc-cc-cd # 1/3
　　5 01-80-c2-00-00-00 # 1/3
　　5 01-80-c2-00-00-01 # 1/3
　　6 01-00-0c-cc-cc-cc # 1/3
　　Cisco保留了一段MAC地址和協(xié)議地址用于設(shè)備通訊。如下表所示：
　　　

　　主要的cisco控制控制協(xié)議均使用802.3 SNAP封裝，包括LLC 0xAAAA03,OUI 0x00000C，可以被LAN協(xié)議分析議跟蹤到。這些協(xié)議的其它一些通用屬性如下：
　　u使用點(diǎn)對(duì)點(diǎn)連接的情況下，為了使用兩臺(tái)cisco交換機(jī)能順利通過(guò)中間的非Cisco交換機(jī)，故意使用multicast的目的地址，這樣中間的設(shè)備就不能理解或截獲這些幀，只會(huì)簡(jiǎn)單的轉(zhuǎn)發(fā)它們。然而，在多供給商環(huán)境下的點(diǎn)對(duì)多點(diǎn)連接下，會(huì)起不一致的現(xiàn)象并一般可以避免。
　　u 這些協(xié)議僅在交換域內(nèi)有效，終結(jié)于第三層的路由器。
　　u 這些協(xié)議在入口ASIC的處理和調(diào)度中具備比普通用戶數(shù)據(jù)更高的優(yōu)先權(quán)。
　　介紹完了控制協(xié)議的目的地址，現(xiàn)在我們來(lái)介紹這些協(xié)議的源地址，交換協(xié)議從機(jī)箱上EPROM所提供的一段MAC地址取用MAC地址。使用show module命令可以看到每個(gè)模塊在發(fā)起如stp bpdu或ISL幀時(shí)可能使用到的源地址范圍：
　　S4B-6006> (enable) sh module
　　………………
　　Mod MAC-Address(es) Hw Fw Sw
　　--- -------------------------------------- ------ ---------- -----------------
　　1 00-30-96-1a-72-00 to 00-30-96-1a-72-01 5.0 5.2(1) 6.3(4a)
　　00-30-96-1a-72-02 to 00-30-96-1a-72-03
　　00-30-b6-4a-e8-00 to 00-30-b6-4a-eb-ff
　　2 00-30-b6-30-5a-1c to 00-30-b6-30-5a-4b 1.1 4.2(0.24)V 6.3(4a)
　　3 00-d0-bc-eb-a8-04 to 00-d0-bc-eb-a8-33 1.1 4.2(0.24)V 6.3(4a)
　　4 00-30-b6-30-4a-d0 to 00-30-b6-30-4a-ff 1.1 4.2(0.24)V 6.3(4a)
　　VLAN 1
　　VLAN1在Catalyst交換網(wǎng)絡(luò)中有著非凡的意義。
　　在有trunking存在時(shí)，Catalsy超級(jí)引擎通常使用缺省VLAN――VLAN1，用來(lái)標(biāo)記一系列的控制和治理協(xié)議。諸哪CDP，VTP和PagP。所有的端口，包括內(nèi)部的SC0，都被配置成VLAN1的成員。所有的trunk鏈路在缺省情況下都包括VLAN1。在CatOS5.4以前，不能阻斷VLAN1中的數(shù)據(jù)。
　　澄清交換網(wǎng)絡(luò)中的兩個(gè)概念：
　　u SC0所在的是治理VLAN，這個(gè)VLAN可以被改變
　　u Native VLAN是在802.1Q trunk上定義的一個(gè)用戶傳送未打標(biāo)記的VLAN。
　　調(diào)整VLAN1時(shí)需要注重如下幾個(gè)事項(xiàng)：
　　u VLAN1的直徑，和其它VLAN一樣，直徑太大將使網(wǎng)絡(luò)的穩(wěn)定性降低。在STP透視中這個(gè)問題非凡顯著。這將在帶內(nèi)治理一節(jié)中做具體的論述。
　　u VLAN1中的控制面數(shù)據(jù)和用戶數(shù)據(jù)保持分離極大的簡(jiǎn)化故障診斷程序和解放CPU。
　　u 在設(shè)計(jì)沒有STP的多層交換網(wǎng)絡(luò)時(shí)，一定要注重避免在VLAN1中形成第二層的環(huán)，當(dāng)然假如在訪問層有多個(gè)VLAN/ip子網(wǎng)，則trunk是仍然需要的。在這種情況下，從trunk端口上手工清除VLAN1。
　　小結(jié)，在trunk鏈路上，如下部分是很有價(jià)值的：
　　u Trunk鏈路上的CDP、VTP和PagP更新通常都通過(guò)VLAN1進(jìn)行，就算VLAN1在trunk上被清除了或VLAN1不再是native vlan也不例外。不答應(yīng)VLAN1傳輸數(shù)據(jù)與控制面流量繼續(xù)使用VLAN1進(jìn)行發(fā)送之間并不沖突。
　　u 802.1Q IEEE BPDUs通過(guò)在VLAN1（通用生成樹）上轉(zhuǎn)發(fā)未標(biāo)記的幀來(lái)實(shí)現(xiàn)和其它廠商設(shè)備的通過(guò)。直到VLAN1在trunk上被清除為止。Cisco每VLAN生成樹（PVST+）的BPDU打過(guò)標(biāo)記后在其它的VLAN中發(fā)送。在本文中生成樹協(xié)議一節(jié)中有更具體的描述。
　　VLAN Trunking協(xié)議（VTP）
　　在創(chuàng)建VLAN前，應(yīng)該決定在網(wǎng)絡(luò)中使用何種VTP模式。在啟用VTP的情況下，在一臺(tái)交換機(jī)上對(duì)VLAN配置做出的改變將自動(dòng)的繁殖到同一個(gè)VTP域中的其它交換機(jī)上。
　　操作概述
　　VTP是一個(gè)在第二層維護(hù)VLAN配置的消息協(xié)議，可以治理VLAN的添加、刪除和重命名。VTP最大限度的減少了錯(cuò)誤配置所引起的一系列問題：假如重復(fù)的VLAN名字、錯(cuò)誤的VLAN類型定義、安全策略失效等　。VLAN數(shù)據(jù)庫(kù)是一個(gè)存放在VTP server上的二進(jìn)制文件，它和配置文件是分開存放的。
　　交換機(jī)之間的VTP協(xié)議通訊采用一個(gè)ethernet組播目的地址（01-00-0c-cc-cc-cc），SNAP HDLC協(xié)議類型為0x2002。它不會(huì)在非trunk口上支持（VTP是ISL或802.1Q的有效荷載）。所有在DTP使trunk在線之前是不會(huì)有消息發(fā)送的。
　　消息類型包括：每5分鐘發(fā)送一次的"匯總通告"，當(dāng)有改變發(fā)生時(shí)的"子集通告和請(qǐng)求通告"，配置了VTP修剪時(shí)的"加入"。每當(dāng)VTP服務(wù)器有一個(gè)改變發(fā)生，VTP配置版本號(hào)加1，并自動(dòng)繁殖到整個(gè)VTP域中。
　　假如一個(gè)VLAN被刪除了，該VLAN中的端口將全部進(jìn)入不活動(dòng)（inactive）狀態(tài)。與此類似地，一臺(tái)在client模式的交換機(jī)在不能收到VTP的VLAN表之前，除了VLAN1的所有端口均將處于一種非活動(dòng)狀態(tài)。
　　

　　VTP第二版包括下列靈活的特性，但和VTP第一版無(wú)法進(jìn)行互操作：
　　
　　u 支持令牌環(huán)
　　
　　u 交換可以繁殖他不能解析的參數(shù)值
　　
　　u 基于版本的透明模式：透明模式不再檢查VTP域名，這支持多個(gè)VTP域穿越一個(gè)透明域
　　
　　u 版本號(hào)可以得到繁殖：假如所有的交換機(jī)都支持V2，那個(gè)在一個(gè)交換機(jī)上配置v2模式，同一VTP域內(nèi)所有交換機(jī)都可以啟用v2模式。
　　
　　更多的信息請(qǐng)參見：理解和配置VTP
　　
　　推薦
　　
　　對(duì)于使用VTP Client/Server或透明模式?jīng)]有非凡的推薦，一般情況下在分布層交換機(jī)中采用兩臺(tái)VTP server。
　　
　　大部分企業(yè)基于如下原因，都先采用VTP透明模式將交換機(jī)接入網(wǎng)絡(luò)后。然后再修改為server或client模式：
　　
　　u 使用VTP后，刪除一個(gè)VLAN將在整個(gè)VTP域中刪除它，誤操作的風(fēng)險(xiǎn)很高。使用透明模式則不存在這個(gè)問題
　　
　　u 沒有新加入一個(gè)VTP修訂版本更高的交換機(jī)時(shí)將引起整個(gè)VTP域內(nèi)的VLAN配置信息丟失的風(fēng)險(xiǎn)
　　
　　u 　修剪了不必要的VLAN信息，帶寬利用率更高。手工修剪也可以減小生成樹的直徑。
　　
　　u 在CatOS6.x中開始支持的擴(kuò)展VLAN范圍（1025－4094），只能用于透明模式
　　
　　u Campus manager3.1開始支持VTP透明模式，在此以前，在VTP域中至少要求有一個(gè)VTP server.
　　
　　注重:在set trunk x/y 1-10命令中并沒有設(shè)定在此trunk鏈路上僅答應(yīng)VLAN1－10通過(guò)。需要用clear trunk x/y 11-1005來(lái)顯式地指定。
　　
　　其它選項(xiàng)：
　　
　　在令牌環(huán)中，需要VTP　v2，強(qiáng)烈推薦使用Client或server模式。
　　
　　Set vtp pruning enable命令可以自動(dòng)修剪VLAN，但和手工修剪不同，自動(dòng)修剪不會(huì)改變生成樹的直徑。
　　
　　從CatOS 6.x開始，Catalyst系列交換機(jī)和IEEE802.1Q保持一致，支持4096個(gè)VLAN，這些VLAN分成三部分，其中只有部分能通過(guò)VTP進(jìn)行治理：
　　
　　normal-range VLANs：1-1001
　　
　　Extended-range VLANs：1025-4094，不能被VTP治理
　　
　　Reserved-range VLANs：0,1002-1024,4095
　　
　　IEEE組織提出了一個(gè)效果和VTP類似的標(biāo)準(zhǔn)，做為802.1Q通用屬性注冊(cè)協(xié)議（GARP）的一部分，通用VLAN注冊(cè)協(xié)議（GVRP）答應(yīng)在不同廠商的設(shè)備之間實(shí)現(xiàn)VLAN治理的互操作，它走出了本文檔的范圍。
　　
　　在CatOS 7.x中，可以關(guān)閉VTP，關(guān)閉VTP后和VTP透明模式很類似，但交換機(jī)不再轉(zhuǎn)發(fā)VTP的幀。這是一個(gè)相當(dāng)有用的特性。
　　
　　待續(xù)

上一篇：Catalyst 4000 6000配置經(jīng)驗(yàn)談（二）

下一篇：Catalyst 4000 6000配置經(jīng)驗(yàn)談（三）