Catalyst 4000 6000配置經(jīng)驗談超級引擎流量在一個交換網(wǎng)絡中絕大多數(shù)特性需要兩臺或更多臺的交換機配合才能實現(xiàn)，所以必須對存活信息、配置參數(shù)和管理的改變進行控制。這些協(xié)議包括cisco 的

Catalyst 4000 6000配置經(jīng)驗談

超級引擎流量

在一個交換網(wǎng)絡中絕大多數(shù)特性需要兩臺或更多臺的交換機配合才能實現(xiàn)，所以必須對存活信息、配置參數(shù)和管理的改變進行控制。這些協(xié)議包括cisco 的私有協(xié)議如CDP ，或者是標準的協(xié)議如802.1d(生成樹協(xié)議) ，在Catalyst 系列交換機中實現(xiàn)這些協(xié)議中有一些相通的地方。

首先，我們來復習一下基礎的幀轉發(fā)。從端結點發(fā)出的用戶數(shù)據(jù)幀在通過第二層交換域時，它所包含的源MAC 地址和目的MAC 地址并不會改變。每個交換機上的超級引擎將根據(jù)幀的目的MAC 地址在地址內容表（CAM ）中查找發(fā)出端口。如果幀的目的地址未在cam 表中找到，或者目的地址是一個廣播或組播地址，將轉發(fā)到該VLAN 的所有端口。 交換機還必須確認哪些幀直接進行轉發(fā)，哪些幀需要發(fā)送到交換機自身的CPU （通常被稱為網(wǎng)絡管理器或NMP ）。

Catalyst 控制面是一個交換機內部端口，通過在CAM 表中叫System entries 的特殊條目創(chuàng)建，用于和NMP 之間的流量傳輸。這樣，協(xié)議使用一個周知的目的MAC 地址，控制面流量可以和數(shù)據(jù)流量分離。在交換機上使用show cam system，可以看到如下信息： S4B-6006> (enable) sh cam system

* = Static Entry. = Permanent Entry. # = System Entry. R = Router Entry. X = Port Security Entry $ = Dot1x Security Entry

VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type] ---- ------------------ ----- ------------------------------------------- 1 00-30-b6-4a-eb-ff # 1/3

1 01-00-0c-cc-cc-cc # 1/3

1 01-00-0c-cc-cc-cd # 1/3

1 01-80-c2-00-00-00 # 1/3

1 01-80-c2-00-00-01 # 1/3

2 01-00-0c-cc-cc-cc # 1/3

2 01-00-0c-cc-cc-cd # 1/3

2 01-80-c2-00-00-00 # 1/3

2 01-80-c2-00-00-01 # 1/3

3 01-00-0c-cc-cc-cc # 1/3

3 01-00-0c-cc-cc-cd # 1/3

3 01-80-c2-00-00-00 # 1/3

3 01-80-c2-00-00-01 # 1/3

4 01-00-0c-cc-cc-cc # 1/3

4 01-00-0c-cc-cc-cd # 1/3

4 01-80-c2-00-00-00 # 1/3

4 01-80-c2-00-00-01 # 1/3

5 01-00-0c-cc-cc-cc # 1/3

5 01-00-0c-cc-cc-cd # 1/3

5 01-80-c2-00-00-00 # 1/3

5 01-80-c2-00-00-01 # 1/3

6 01-00-0c-cc-cc-cc # 1/3

Cisco 保留了一段MAC 地址和協(xié)議地址用于設備通訊。如下表所示：

特性-SNAP HDCL協(xié)議類型-目的組播地址

端口聚集協(xié)議－PagP -0x0104-01-00-0c-cc-cc-cc

生成樹協(xié)議(PVSTP )-0x010b -01-00-0c-cc-cc-cd

VLAN 橋-0x010c -01-00-0c-cc-ce

單向鏈路檢測――UDLD -0x0111-01-00-0c-cc-cc-cc

Cisco 發(fā)現(xiàn)協(xié)議――CDP -0x2000-01-00-0c-cc-cc-cc

動態(tài)Trunking ――DTP -0x2004-01-00-0c-cc-cc-cc

STP Uplink Fast-0x200a -01-00-0c-cc-cc-cd

IEEE 生成樹 802.1d -N/A- DSAP42-01-80-c2-00-00-00

ISL -SSAP42, N/A-01-00-0c-00-00-00

VTP -0x2003-01-00-0c-cc-cc-cc

IEEE Pause 802.3x-N/A-DSAP 81

SSAP 80-01-80-c2-00-00-00>of

主要的cisco 控制控制協(xié)議均使用802.3 SNAP封裝，包括LLC 0xAAAA03,OUI 0x00000C，可以被LAN 協(xié)議分析議跟蹤到。這些協(xié)議的其它一些通用屬性如下：

u 使用點對點連接的情況下，為了使用兩臺cisco 交換機能順利通過中間的非Cisco 交換機，故意使用multicast 的目的地址，這樣中間的設備就不能理解或截獲這些幀，只會簡單的轉發(fā)它們。然而，在多供應商環(huán)境下的點對多點連接下，會起不一致的現(xiàn)象并一般可以避免。 u 這些協(xié)議僅在交換域內有效，終結于第三層的路由器。

u 這些協(xié)議在入口ASIC 的處理和調度中具備比普通用戶數(shù)據(jù)更高的優(yōu)先權。

介紹完了控制協(xié)議的目的地址，現(xiàn)在我們來介紹這些協(xié)議的源地址，交換協(xié)議從機箱上EPROM 所提供的一段MAC 地址取用MAC 地址。使用show module 命令可以看到每個模塊在發(fā)起如stp bpdu或ISL 幀時可能使用到的源地址范圍：

S4B-6006> (enable) sh module

………………

Mod MAC-Address(es) Hw Fw Sw

--- -------------------------------------- ------ ---------- -----------------

1 00-30-96-1a-72-00 to 00-30-96-1a-72-01 5.0 5.2(1) 6.3(4a)

00-30-96-1a-72-02 to 00-30-96-1a-72-03

00-30-b6-4a-e8-00 to 00-30-b6-4a-eb-ff

2 00-30-b6-30-5a-1c to 00-30-b6-30-5a-4b 1.1 4.2(0.24)V 6.3(4a)

3 00-d0-bc-eb-a8-04 to 00-d0-bc-eb-a8-33 1.1 4.2(0.24)V 6.3(4a)

4 00-30-b6-30-4a-d0 to 00-30-b6-30-4a-ff 1.1 4.2(0.24)V 6.3(4a)

VLAN 1

VLAN1在Catalyst 交換網(wǎng)絡中有著特殊的意義。

在有trunking 存在時，Catalsy 超級引擎通常使用缺省VLAN ――VLAN1，用來標記一系列的控制和管理協(xié)議。諸哪CDP ，VTP 和PagP 。所有的端口，包括內部的SC0，都被配置成VLAN1的成員。所有的trunk 鏈路在缺省情況下都包括VLAN1。在CatOS5.4以前，不能阻斷VLAN1中的數(shù)據(jù)。

澄清交換網(wǎng)絡中的兩個概念：

u SC0所在的是管理VLAN ，這個VLAN 可以被改變

u Native VLAN是在802.1Q trunk上定義的一個用戶傳送未打標記的VLAN 。

調整VLAN1時需要注意如下幾個事項：

u VLAN1的直徑，和其它VLAN 一樣，直徑太大將使網(wǎng)絡的穩(wěn)定性降低。在STP 透視中這個問題特別顯著。這將在帶內管理一節(jié)中做詳細的論述。

u VLAN1中的控制面數(shù)據(jù)和用戶數(shù)據(jù)保持分離極大的簡化故障診斷程序和解放CPU 。 u 在設計沒有STP 的多層交換網(wǎng)絡時，一定要注意避免在VLAN1中形成第二層的環(huán)，當然如果在訪問層有多個VLAN/IP子網(wǎng)，則trunk 是仍然需要的。在這種情況下，從trunk 端口上手工清除VLAN1。

小結，在trunk 鏈路上，如下部分是很有價值的：

u Trunk 鏈路上的CDP 、VTP 和PagP 更新通常都通過VLAN1進行，就算VLAN1在trunk 上被清除了或VLAN1不再是native vlan也不例外。不允許VLAN1傳輸數(shù)據(jù)與控制面流量繼續(xù)使用VLAN1進行發(fā)送之間并不沖突。

u 802.1Q IEEE BPDUs 通過在VLAN1（通用生成樹）上轉發(fā)未標記的幀來實現(xiàn)和其它廠商

設備的通過。直到VLAN1在trunk 上被清除為止。Cisco 每VLAN 生成樹（PVST ）的BPDU 打過標記后在其它的VLAN 中發(fā)送。在本文中生成樹協(xié)議一節(jié)中有更詳細的描述。 VLAN Trunking 協(xié)議（VTP ）

在創(chuàng)建VLAN 前，應該決定在網(wǎng)絡中使用何種VTP 模式。在啟用VTP 的情況下，在一臺交換機上對VLAN 配置做出的改變將自動的繁殖到同一個VTP 域中的其它交換機上。 操作概述

VTP 是一個在第二層維護VLAN 配置的消息協(xié)議，可以管理VLAN 的添加、刪除和重命名。VTP 最大限度的減少了錯誤配置所引起的一系列問題：如果重復的VLAN 名字、錯誤的VLAN 類型定義、安全策略失效等 。VLAN 數(shù)據(jù)庫是一個存放在VTP server 上的二進制文件，它和配置文件是分開存放的。

交換機之間的VTP 協(xié)議通訊采用一個ethernet 組播目的地址（01-00-0c-cc-cc-cc ），SNAP HDLC 協(xié)議類型為0x2002。它不會在非trunk 口上支持（VTP 是ISL 或802.1Q 的有效荷載）。所有在DTP 使trunk 在線之前是不會有消息發(fā)送的。

消息類型包括：每5分鐘發(fā)送一次的" 匯總通告" ，當有改變發(fā)生時的" 子集通告和請求通告" ，配置了VTP 修剪時的" 加入" 。每當VTP 服務器有一個改變發(fā)生，VTP 配置版本號加1，并自動繁殖到整個VTP 域中。

如果一個VLAN 被刪除了，該VLAN 中的端口將全部進入不活動（inactive ）狀態(tài)。與此類似地，一臺在client 模式的交換機在不能收到VTP 的VLAN 表之前，除了VLAN1的所有端口均將處于一種非活動狀態(tài)。

特性-Server -Client -Transparent

源VTP 信息-是-是-否

偵聽VTP 信息-是-是-否

創(chuàng)建VLA N -是-否-是（僅本地可用）

重命名VLAN -是-否-是（僅本地可用）

在VTP 透明模式中，VTP 更新被忽略了(VTP的組播地址被從系統(tǒng)CAM 刪除掉了) 。一臺在透明模式的交換機（或其它廠商的交換機）將僅僅將幀轉發(fā)域內其它Cisco 交換機。 初始的VTP 配置：

特性-缺省值

VTP 域名-空

VTP 模式-Server

VTP 版本2-禁用

VTP 密碼-空

VTP 修剪-禁用

VTP 第二版包括下列靈活的特性，但和VTP 第一版無法進行互操作：

◆ 支持令牌環(huán)

◆ 交換可以繁殖他不能解析的參數(shù)值

◆ 基于版本的透明模式：透明模式不再檢查VTP 域名，這支持多個VTP 域穿越一個透明

域

◆ 版本號可以得到繁殖：如果所有的交換機都支持V2，那個在一個交換機上配置v2模式，

同一VTP 域內所有交換機都可以啟用v2模式。

更多的信息請參見：理解和配置VTP 推薦

對于使用VTP Client/Server或透明模式?jīng)]有特殊的推薦，一般情況下在分布層交換機中采用兩臺VTP server。

大部分企業(yè)基于如下原因，都先采用VTP 透明模式將交換機接入網(wǎng)絡后。然后再修改為server 或client 模式：

◆ 使用VTP 后，刪除一個VLAN 將在整個VTP 域中刪除它，誤操作的風險很高。使用透

明模式則不存在這個問題

◆ 沒有新加入一個VTP 修訂版本更高的交換機時將引起整個VTP 域內的VLAN 配置信息

丟失的風險

◆ 修剪了不必要的VLAN 信息，帶寬利用率更高。手工修剪也可以減小生成樹的直徑。 ◆ 在CatOS6.x 中開始支持的擴展VLAN 范圍（1025－4094），只能用于透明模式 ◆ Campus manager3.1開始支持VTP 透明模式，在此以前，在VTP 域中至少要求有一個VTP

server.

注意:在set trunk x/y 1-10命令中并沒有設定在此trunk 鏈路上僅允許VLAN1－10通過。需要用clear trunk x/y 11-1005來顯式地指定。

其它選項：

在令牌環(huán)中，需要VTP v2，強烈推薦使用Client 或server 模式。

Set vtp pruning enable命令可以自動修剪VLAN ，但和手工修剪不同，自動修剪不會改變生成樹的直徑。

從CatOS 6.x 開始，Catalyst 系列交換機和IEEE802.1Q 保持一致，支持4096個VLAN ，這些VLAN 分成三部分，其中只有部分能通過VTP 進行管理：

normal-range VLANs：1-1001

Extended-range VLANs：1025-4094，不能被VTP 管理

Reserved-range VLANs：0,1002-1024,4095

IEEE 組織提出了一個效果和VTP 類似的標準，做為802.1Q 通用屬性注冊協(xié)議（GARP ）的一部分，通用VLAN 注冊協(xié)議（GVRP ）允許在不同廠商的設備之間實現(xiàn)VLAN 管理的互操作，它走出了本文檔的范圍。

在CatOS 7.x中，可以關閉VTP ，關閉VTP 后和VTP 透明模式很類似，但交換機不再轉發(fā)VTP 的幀。這是一個相當有用的特性。

自動協(xié)商

以太網(wǎng)/快速以太網(wǎng)。

自動協(xié)商是快速以太網(wǎng)(802.3U)的一個可選項，它使設備可以交換一條鏈路的速率和雙式模式，自動協(xié)商在第一層操作，常用于接入層端口。

運行機制

10/100自適應以太網(wǎng)鏈路上最常見的問題是雙工模式不匹配。這種情況偶爾發(fā)生在一端或兩端的端口復位，自動協(xié)商進程未能使用兩端的配置一樣中。另一個原因是配置了一端，忘記配置另一端了。雙工模式不匹配導致的典型癥狀是交換機上的FCS 、CRC 、alignment 和runts 數(shù)量大幅增加。

對自動協(xié)商的一個最常見的誤區(qū)是認為將一端手工配置為100M 全雙工，另一端就會自動變成全雙工。實際上，這樣做會導致雙工模式不匹配，這是因為鏈路的一端發(fā)起協(xié)商，然而看不到另一端過來的任何參數(shù)，這樣，缺省就會設置為半雙工。

絕大多數(shù)Catalyst 以太網(wǎng)模塊支持10/100M和半/全雙工自適應，可以使用show port capabilities 命令來證實這一點。

FEFI

遠端故障指示（FEFI ）保護100Base Fx（光纖）和Giga 接口，就象自動協(xié)商保護100BaseTX(鋼纜) 的物理層信號不匹配的一樣。

遠端故障是指在鏈路的一端能檢測到，而另一端檢查不到，就象一條未連接的tx 鏈路一樣。在這種情況下，發(fā)磅工作站發(fā)繼續(xù)收到合法的數(shù)據(jù)包，通過鏈路檢查監(jiān)視器監(jiān)測鏈路情況也是好的，然后，它卻檢查不到對方工作站并未收到自己發(fā)出的數(shù)據(jù)包。在100BaseFx 鏈路上，工作商將發(fā)出一個特殊的FEFI IDLE位序列來檢查這種錯誤，F(xiàn)EFI-IDLE 序列會將遠端端口標識為shutdown 狀態(tài)（ErrDisable ）。在UDLD 一節(jié)中有詳細的討論。

下列硬件模塊支持FEFI ：

? Catalyst 5000：WS-X5201R 、WS-X5305、WS-X5237、WS-U5538、WS-U5339

Catalyst 6000和4000：所有的100BaseFx 模塊和GE 模塊。

建議

將端口配置為自動協(xié)商還是固定的配置一種速度模式取決于接在交換機上的設?

備類型。Catalyst 交換機兼容802.3u 規(guī)范，和設備間的自動協(xié)商也工作良好，然而，不嚴格遵守規(guī)范的網(wǎng)卡或設備則會導致出現(xiàn)問題。硬件不兼容也有可能是因為一些未寫進802.3U 的一些供應商的高級特性造成的。這通常會在如下所示的注意事項文檔中給出：

注意事項：Intel Pro/1000T網(wǎng)卡和Cat4k/6k連接時的性能提示。

這樣，把工作站之間的端口速度、雙工模式設置正常是值得期待的，下面是基本的調試步驟：

確認鏈路的兩端都設置為固定的工作模式或都設置為自動協(xié)商

檢查CatOS 發(fā)行公告中的警告事項

檢查網(wǎng)卡驅動和操作系統(tǒng)的版本號，通常需要最新的驅動或補丁程序。

原則上在任何鏈路上都應該首先使用自動協(xié)商模式，這對于使用筆記本電腦等暫時接入的設備具備相當明顯的優(yōu)點。自動協(xié)商在服務器、交換機到交換機和交換機到路由器之間也工作得很好。然而，就象上面所提及的一弱，在有些環(huán)境中自動協(xié)商是不可用的。在這種情況下可以使用如下的調試步驟:

如果端口的速度和雙工模式都設置為自動協(xié)商，可以使用如下命令將端口模式設置為自動狀態(tài)：

set port speed auto (缺省配置)

如果要將端口配置為固定速度，可以使用如下的配置命令：

set port speed <10 | 100>

set port duplex

其它:

交換機之間的鏈路一般用第二層的協(xié)議如UDLD 等來增強檢測能力。

千兆網(wǎng)

千兆網(wǎng)有一個比10/100兆網(wǎng)范圍更大的自動協(xié)商機制（Ieee802.3z ）, 用來交換流控參數(shù)、遠程失效信息、雙工信息（雖然絕大多數(shù)Catalyst 上的千兆端口只支持全雙工模式）。注意802.3z 已經(jīng)被IEEE802.3:2000標準給替代了。

運行機制

千兆端口的協(xié)商在缺省狀態(tài)下的啟用的，并且一條鏈路兩端的端口必須是同樣的設置。不象快速以太網(wǎng)，如果千兆鏈路兩端的設置不一致，端口狀態(tài)將不會up(交換的參數(shù)不一樣) 。和快速以太網(wǎng)的另一個不同點的，千兆端口不協(xié)商端口速度，也不能使用set port speed 禁用自動協(xié)商。（譯者注：最新的1000-baseTx 規(guī)范中是可以協(xié)商端口速度的）

例如，假設有兩個設備A 和B ，每個設備對自動協(xié)商都有啟用一禁用兩種狀態(tài)，下面就是可能的端口狀態(tài)

建議：

在千兆以太網(wǎng)中啟用自動協(xié)商比在10/100兆環(huán)境中更為關鍵。實際上，只有在設備不支持自動協(xié)商或自動協(xié)商不成功的情況下才在交換機的端口上禁用自動協(xié)商。Cisco 建議在所有的交換機到交換機鏈路上啟用自動協(xié)商，在基本上所有的千兆以太網(wǎng)端口上都啟用自動協(xié)商。使用以下的命令來啟用自動協(xié)商：

set port negotiation enable (缺省配置)

一個已知的例外是在運行早于IOS12.0(10)S(該版本增加了流控和自動協(xié)商) 的GSR 上面。在這種情況下，需要關閉這兩個特性，否則交換機端口將報務“未連接”，在GSR 上會報錯，配置如下：

set port flowcontrol receive off

set port flowcontrol send off

set port negotiation disable

交換機到服務器的連接則必須具體情況具體分析，已證實可以和Sun 、HP 和IBM 的部分服務器可以自動協(xié)商。

其它：

流控是802.3x 規(guī)范中的一個可選部件，如果要使用必須進行協(xié)商。設備不一定能發(fā)送和響應一個PAUSE 幀慢（使用01-80-c2-00-00-00 0F 的周知MAC ），這樣他們也許不允許遠端設備的流控請求。端口在輸入緩沖區(qū)快満時會給對方設備發(fā)出一個PAUSE 幀請示暫停發(fā)送，將后續(xù)幀放到對端設備的發(fā)送緩沖區(qū)中。這不可能解決超量會聚時的穩(wěn)定性問題，但對突發(fā)流量的控制相當有效。這個特性在端接點和訪問層的連接中最有用，因為主機的發(fā)送緩沖和它的虛擬內存一樣大，在交換機到交換機的連接中有一定的效果。

在交換機上使用下列的命令配置流控：

set port flowcontrol

>show port flowcontrol

Port Send FlowControl Receive FlowControl RxPause TxPause

admin oper admin oper

..... ........ ........ ........ ........ ....... .......

6/1 off off on on 0 0

6/2 off off on on 0 0

6/3 off off on on 0 0

注意：所有處于協(xié)商模式的Catalyst 模塊都會響應Pause 幀，一部要模塊（如WS-X5410,WS-X4306）則不會發(fā)送Pause 幀，因為它們的非阻塞模塊。

動態(tài)Trunking 協(xié)議(DTP)

封裝類型

Trunk 通過在標準的以太網(wǎng)幀上增加臨時的標記（在一條鏈路）來實現(xiàn)跨設備的VLAN ，這樣就可以在一條鏈路上傳送多個VLAN 的信息。也確保了在交換機之間隔離每個VLAN 的廣播域。在交換機內部使用內容地址存儲（CAM ）表來維護VLAN 和幀之間的對應關系。Trunking 在很多二層網(wǎng)絡中都支持，如ATM LANE 、FDDI 802.10和以太網(wǎng)等，本文只討論以太網(wǎng)中的Trunk 。

ISL 運行機制

ISL 做為Cisco 的一個私有的標記方案，已以使用了相當長的一段時間，現(xiàn)在也可以使用IEEE 的802.1Q 標準。

ISL 和tunnel 協(xié)議很相似，使用一種兩級封裝機制將整個原始的幀封裝起來，這樣就便于封裝非以太網(wǎng)狀。ISL 在在原始的以太網(wǎng)幀的基礎上增加一個26字節(jié)的頭和一個4字節(jié)的FCS 字段，這種幀只能被配置成trunk 的端口處理。ISL 可以支持1024個VLAN 。 ISL 幀格式:

以太幀進行ISL 封裝后，最大長度可以達到1548字節(jié)。

802.1Q 運行機制

IEEE 802.1Q標準除封裝格式外，還定義了如生成樹增強、通用VLAN 注冊協(xié)議(GARP)、802.1p QOS標記更等更多的內容。802.1Q 幀格式中保留了原始的以太網(wǎng)幀中的源地址和目的地址；但為因為802.1Q 將在幀頭中增加一個長為4字節(jié)的標記，這樣以太網(wǎng)幀長度達到1522字節(jié)，就仍然需要交換機處理能夠處理大幀。對于access 模式的端口，啟用了802.1p 用戶特權標記的情況下，也需要能夠處理1522字節(jié)的幀。802.1Q 可以支持4096個VLAN 。