Catalyst 4000 6000配置經(jīng)驗(yàn)談（三）

2019-11-04 23:23:05

字體：大中小

供稿：網(wǎng)友

　　動(dòng)態(tài)Trunking協(xié)議(DTP)
　　封裝類型
　　　　Trunk通過在標(biāo)準(zhǔn)的以太網(wǎng)幀上增加臨時(shí)的標(biāo)記（在一條鏈路）來實(shí)現(xiàn)跨設(shè)備的VLAN，這樣就可以在一條鏈路上傳送多個(gè)VLAN的信息。也確保了在交換機(jī)之間隔離每個(gè)VLAN的廣播域。在交換機(jī)內(nèi)部使用內(nèi)容地址存儲(chǔ)（CAM）表來維護(hù)VLAN和幀之間的對(duì)應(yīng)關(guān)系。Trunking在很多二層網(wǎng)絡(luò)中都支持，如ATM LANE、FDDI 802.10和以太網(wǎng)等，本文只討論以太網(wǎng)中的Trunk。
　　
　　ISL運(yùn)行機(jī)制
　　　　ISL做為Cisco的一個(gè)私有的標(biāo)記方案，已以使用了相當(dāng)長的一段時(shí)間，現(xiàn)在也可以使用IEEE的802.1Q標(biāo)準(zhǔn)。
　　
　　　　ISL和tunnel協(xié)議很相似，使用一種兩級(jí)封裝機(jī)制將整個(gè)原始的幀封裝起來，這樣就便于封裝非以太網(wǎng)狀。ISL在在原始的以太網(wǎng)幀的基礎(chǔ)上增加一個(gè)26字節(jié)的頭和一個(gè)4字節(jié)的FCS字段，這種幀只能被配置成trunk的端口處理。ISL可以支持1024個(gè)VLAN。
　　
　　ISL幀格式:
　　　

　　以太幀進(jìn)行ISL封裝后，最大長度可以達(dá)到1548字節(jié)。
　　
　　802.1Q運(yùn)行機(jī)制
　　　　IEEE 802.1Q標(biāo)準(zhǔn)除封裝格式外，還定義了如生成樹增強(qiáng)、通用VLAN注冊(cè)協(xié)議(GARP)、802.1p QOS標(biāo)記更等更多的內(nèi)容。802.1Q幀格式中保留了原始的以太網(wǎng)幀中的源地址和目的地址；但為因?yàn)?02.1Q將在幀頭中增加一個(gè)長為4字節(jié)的標(biāo)記，這樣以太網(wǎng)幀長度達(dá)到1522字節(jié)，就仍然需要交換機(jī)處理能夠處理大幀。對(duì)于 access模式的端口，啟用了802.1p用戶特權(quán)標(biāo)記的情況下，也需要能夠處理1522字節(jié)的幀。802.1Q可以支持4096個(gè)VLAN。
　　
　　　　在trunk鏈路上除了native VLAN(該VLAN中的數(shù)據(jù)對(duì)于交換機(jī)入口來說是隱式標(biāo)記了的)外其它所有VLAN中的數(shù)據(jù)幀都將打上802.1Q幀標(biāo)記，native vlan上發(fā)出的幀永遠(yuǎn)是不打標(biāo)記的。
　　
　　802.1Q/801.1p幀格式:
　　　

　　建議
　　　　由于所有的新硬件都支持802.1Q(一部分硬件如Catalyst4000系列和CSS11000系列只支持802.1Q)，Ultra建議在所有的的新網(wǎng)絡(luò)中都使用802.1Q標(biāo)準(zhǔn)，老的網(wǎng)絡(luò)也應(yīng)該逐步從ISL遷移到802.1Q、
　　
　　　　IEEE標(biāo)準(zhǔn)可以在不同廠商的設(shè)備間實(shí)現(xiàn)互操作一，這使得Cisco環(huán)境中和支持802.1p的網(wǎng)卡和設(shè)備之間的互操作成為可能。雖然ISL和802.1Q都是很成熟的技術(shù)，但做為IEEE標(biāo)準(zhǔn)將有更多的第三方產(chǎn)品的支持。
　　
　　　　因?yàn)榻粨Q機(jī)之間的封裝類型通過DTP進(jìn)行協(xié)商，在缺省情況下，假如雙方都支持ISL，ISL將成為首選，要使用802.1Q，需要使用以下的使用進(jìn)行手工設(shè)置：
　　
　　set trunk　 dot1q
　　
　　　　假如在trunk鏈路上clear了VLAN1，雖然所有的用戶數(shù)據(jù)幀均無法傳送或接收，但網(wǎng)絡(luò)治理處理器(NMP)上的控制流量如CDP或VTP將繼續(xù)在VLAN1上傳送。 CDP、VTP和PAgP包將永遠(yuǎn)在Trunk鏈路上的VLAN1中傳輸，假如交換機(jī)的native VLAN被改變了，這些控制幀將打上VLAN1標(biāo)記。假如這個(gè)dot1Q鏈路的對(duì)端是一臺(tái)路由器，在native vlan改變的情況下，路由器上的需要將一個(gè)子接口放到VLAN1中以接收標(biāo)記過的CDP幀。
　　
　　注：router上修改native vlan需要12.1(3)T及以上版本的IOS支持。
　　
　　　　對(duì)于native VLAN的隱式標(biāo)記將導(dǎo)致一個(gè)潛在的安全風(fēng)險(xiǎn)，它將可能導(dǎo)致不通過路由器就可以將幀轉(zhuǎn)發(fā)到其它的VLAN中，Cisco強(qiáng)烈建議將vlan1用做native VLAN，把處于access模式的端口都放到其它的VLAN
　　
　　Trunking模式
　　　　DTP是一個(gè)第二代的DISL(動(dòng)態(tài)ISL)協(xié)議，用來確保一個(gè)trunk鏈路兩端的ISL或802.1Q幀參數(shù)不會(huì)出現(xiàn)不一致的情況，如封裝類型、native VLAN和硬件兼容性等。也可以通過確保端口兩端狀態(tài)的一致性來幫助避免出現(xiàn)在非Trunk鏈路上發(fā)現(xiàn)標(biāo)記過的幀這樣一個(gè)潛在的安全風(fēng)險(xiǎn)。
　　
　　運(yùn)行機(jī)制
　　　　DTP是一個(gè)用于協(xié)商一條鏈路的配置參數(shù)的一個(gè)二層協(xié)議，它使用一個(gè)SNAP協(xié)議類型為0x2004的組播MAC地址(01-00-0c-cc-cc-cc)，參數(shù)如下表所示:
　　　

　
　　下面的該協(xié)議的一些注重事項(xiàng):
　　
　　DTP假定是一個(gè)點(diǎn)到點(diǎn)連接，Cisco設(shè)備只有在點(diǎn)到點(diǎn)連接的情況下支持802.1Q trunk.
　　
　　在進(jìn)行DTP協(xié)商的同時(shí)，端口將不參加STP計(jì)算，只有當(dāng)端口成為三個(gè)DTP狀態(tài)(Access、ISL或802.1Q)之一后，該端口才參加STP計(jì)算(假如配置了PAgP，PAgP處理程序?qū)⒃赟TP計(jì)算前進(jìn)行)。
　　
　　假如端口是處于ISL trunk模式，DTP包在VLAN1上發(fā)出，在其它情況下(802.1Q或非trunk口)，DTP包在native VLAN上發(fā)出。
　　
　　在desirable模式下, DTP包傳送VTP域名 (在一個(gè)trunk鏈路啟動(dòng)前，兩端必須相符)。
　　
　　在協(xié)商過程中，每秒發(fā)出一個(gè)消息，協(xié)商完后，每30秒發(fā)出一個(gè)消息。
　　
　　必須相當(dāng)明確"on," "nonegotiate,"和"off"這三個(gè)模式的最終轉(zhuǎn)換狀態(tài)，錯(cuò)誤的配置將導(dǎo)致出現(xiàn)相當(dāng)嚴(yán)重的后果。
　　
　　處于"on," "auto,"或"desirable"模式的端口周期性的發(fā)出DTP幀，假如一個(gè)處于auto或desirable模式的端口在5分鐘內(nèi)沒收到DTP包，它將切換為非trunk狀態(tài)。
　　
　　建議
　　　　Cisco在一條鏈路的兩端均配置為"desirable"模式，在這種模式下，治理員可以通過syslog server和命令行狀態(tài)信息清楚地看到一個(gè)端口up并切換到trunk狀態(tài)，不象"on"模式，它可以使一個(gè)端口就算是在對(duì)方處于錯(cuò)誤配置狀態(tài)時(shí)這會(huì)出現(xiàn)up信息。另外，"desirable"模式的trunk在鏈路的一端無法成為trunk或從trunk狀態(tài)掉下來的情況下提供了一定的健壯性，使用如下使用來配置為desirable模式：
　　
　　set trunk　desirable
　　
　　　　注重: 將所有的非trunk端口都配置為"trunk off"模式，這有助于連接主機(jī)的端口盡快處于up狀態(tài)，更具體的信息可以參見本文的STP一節(jié)。可以使用set port host命令或如下命令進(jìn)行配置：
　　
　　set trunk　off
　　
　　其它選項(xiàng)
　　　　更為普通的一種配置模式是只在分布層使用"desirable"模式，而在接入層使用缺省的auto模式。這樣可以簡化配置。在對(duì)端設(shè)備不支持通過DTP進(jìn)行Trunk協(xié)商時(shí)(如一些Catalyst 2900XL之類的基于IOS的交換機(jī)，或其它廠商的交換機(jī))，這樣就需要使用"nonegotiate"模式來將端口無條件地配置為trunk模式，使用如下命令進(jìn)行配置：
　　
　　set trunk　nonegotiate
　　
　　　　由于在處理橋接時(shí)，從處于"on"模式的端口收到的DTP幀將有可能發(fā)回這個(gè)trunk端口，這將引起交換機(jī)進(jìn)行不必要的重新協(xié)商(這意味著端口的trunk將不停地在trunk down/up狀態(tài)之間切換)Cisco建議將連接到IOS路由器的trunk口設(shè)置為"nonegotiate"模式，在這種模式下，交換機(jī)不會(huì)發(fā)送DTP幀。
　　
　　Cisco不支持DTP的交換機(jī)：
　　
　　Catalyst 2900XL/3500XL
　　
　　IOS版本早于12.1(6)EA2的Catalyst 2950/3550系列
　　
　　(未完，待續(xù)。下節(jié)：STP)

上一篇：Catalyst 4000 6000配置經(jīng)驗(yàn)談（一）

下一篇：Catalyst 2948G-L3 with QoS