下载下载第 8章 Catalyst 5000系列交换机的高级配置在第 7章中,我们讨论了用于配置运行于单个局域网( V L A N)的 C a t a l y s t交换机的命令。
本章讨论用于多个 V L A N环境的配置命令和一些“现实世界”的配置实例。我们也会涉及到诸如动态 V L A N和快速以太网通道的特性。
8.1 VLAN中继协议 ( VTP)
要建立或实现 V L A N,需要两个步骤:
图 8-1 活动 VLAN和过渡 VLAN
A 交换机的 VLAN 列表
VLAN 10 会计(活动)
VLAN 20 管理(活动)
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计 VLAN 20 管理
VLAN 20 管理
B 交换机的 VLAN 列表
VLAN 10 会计(活动)
VLAN 20 管理(运输)
C 交换机的 VLAN 列表
VLAN 10 会计(活动)
VLAN 20 管理(运输)
1) 创建 V L A N( set vlan命令,后面会讲到) 。
2) 给 V L A N指定合适的端口(也使用 set vlan命令) 。
交换机有一个 V L A N列表。从这个列表可以知道存在哪些 V L A N并将端口指定到一些或全部的 V L A N。被指定了端口的 V L A N称为交换机上的活动 V L A N。列表中也可能存在一个或多个没有指定任何端口的 V L A N,这种 V L A N称为过渡 V L A N。交换机知道存在过渡 V L A N,但没有为其指定端口。因此 V L A N通信通过交换机的中继端口进行。在图 8 - 1中,B交换机没有为 VLAN 20指定端口,但 V L A N却出现在 V L A N列表中。 B交换机一定知道 VLAN 20,并且正确辨认出标记为 VLAN 20的来自 A和 C交换机的通信量。 B交换机只是将这些帧从它的中继端口转发出去,因为没有为 VLAN 20指定端口。 VLAN 20被称为 B交换机的过渡 V L A N。
配置 C a t a l y s t交换机时,需要定义几个参数。 V L A N号是区别各广播域的唯一标识参数。
V L A N名称是可选参数,目的是便于说明。在同一广播域内的所有端口应指定为同一 V L A N
号;交换机不是根据 V L A N名指定端口的。如果 V L A N跨越多个交换机,使这些参数一致是很有用的。虚拟局域网中继协议( V T P)是在交换机之间交换 V L A N信息并使 V L A N保持一致的协议。例如,如果两个交换机配置为中继,A交换机有两个 V L A N,VLAN 10称为“会计”,
VLAN 20称为“管理” 。 B交换机有相同的两个 V L A N号,但名称不同,VLAN 10名称为管理,
VLAN 20名称为会计 — 这可能是因为属于个人的那部分的配置错误(见图 8 - 2) 。
图 8-2 错误配置的 VLAN
第 8章 Catalyst 5000系列交换机的高级配置 137下载
VLAN 10 会计
VLAN 10 管理 VLAN 20 会计
VLAN 20 管理我认为这是个小毛病,但将来它会导致进一步的配置错误并延长查错时间。记住这一点对于查错和将来的配置非常重要。通过为 V L A N命名,就对它进行了说明。
V T P是仅运行于中继线中用于交换机之间交换 V L A N信息的协议。它保证 V L A N的一致性。
V T P更新会自动校正错误,如图 8 - 3,8 - 4所示。
图 8-3 发送 VTP更新数据
138 Cisco Catalyst 局域网交换技术 下载
VLAN 10 会计 VLAN 20 管理
VLAN 20 会计VLAN 10 管理交换机 2
交换机 1
VTP 更新数据
V
T
P
图 8-4 接收 VTP更新数据并使 VLAN名同步当 V T P更新从交换机 1传送到交换机 2时,交换机 2更改它的 V L A N配置,使之和交换机 1一致,保证了 V L A N总是保持一致(图 8 - 4) 。
如果没有 V T P,工程师必须亲自到每个交换机的 C L I上配置新的 V L A N。有了 V T P,新的
V L A N数据自动从所有中继线传出,这样,就没有必要在多个交换机上创建 V L A N。在图 8 - 5
中,工程师用交换机 1的工程名称配置 VLAN 30。
第 8章 Catalyst 5000系列交换机的高级配置 139下载
VLAN 10 会计 VLAN 20 管理接收并处理 VTP
更新数据交换机1
交换机2
VLAN 10 会计 VLAN 20 管理
V
T
P
图 8-5 在一个交换机上创建新的 VLAN
V T P更新数据立即从交换机 1发出,V T P使用闪式更新,意思是 V L A N配置一旦发生改变,
更新数据就立即发出。当交换机 2接收到来自于交换机 1的 V T P更新数据时,它就更新它的
V L A N配置,并发送到交换机 3(见图 8 - 6) 。
当交换机 3接收到来自于交换机 2的 V T P更新数据时(图 8 - 7),它会更新它的 V L A N配置。
因此这三个交换机对于 VLAN 30有相同的配置。一旦在一个交换机上配置了 VLAN 30并使用
V T P更新,就会创建对于 VLAN 30一致的配置。对于只有 3个交换机的情况,你可能觉得没有什么。但是,如果有 4 0个交换机,你就会感到 V T P的不同之处了。
140 Cisco Catalyst 局域网交换技术 下载交换机 2知道的 VLAN
交换机 1知道的 VLAN
交换机 3知道的 VLAN
VLAN 10 会计
VLAN 20 管理
VLAN 10 会计
VLAN 20 管理
VLAN 30 工程
VLAN 10 会计
VLAN 20 管理中继线中继线
V
T
P
图 8-6 更新 VLAN配置并向交换机 3发送 VTP更新数据目前有两个 V T P版本 — 版本 1和版本 2(非常形象化) 。在默认状态下,交换机会运行
V T P版本 1,但可以设置运行 V T P版本 2。版本 1和版本 2之间有一些区别,但主要区别是版本 2
支持令牌环网 V L A N。
第 8章 Catalyst 5000系列交换机的高级配置 141下载交换机 2知道的 VLAN
交换机 1知道的 VLAN
交换机 3知道的 VLAN
VLAN 10 会计
VLAN 20 管理
VLAN 30 工程
VLAN 10 会计
VLAN 20 管理
VLAN 30 工程
VLAN 10 会计
VLAN 20 管理中继线中继线
V
T
P
142 Cisco Catalyst 局域网交换技术 下载图 8-7 交换机 3接收到 VTP更新数据并更新它的 VLAN配置
8.2 VTP模式交换机可以有三种 V T P模式。
V T P服务器模式是默认值。处于 V T P服务器模式的交换机在所有的中继端口向外发送更新数据,并且接收和处理从它的中继端口接收到的 V T P更新数据,它可以在自己的 C L I上配置 V L A N。
交换机 2知道的 VLAN
交换机 1知道的 VLAN
交换机 3知道的 VLAN
VLAN 10 会计
VLAN 20 管理
VLAN 30 工程
VLAN 10 会计
VLAN 20 管理
VLAN 30 工程
VLAN 10 会计
VLAN 20 管理中继线中继线
VTP
处于 V T P客户模式的交换机在所有的中继端口向外发送更新数据,并且读取和获得从它的中继端口接收到的 V T P更新数据,但不能在自己的 C L I上配置 V L A N。这种模式对于远程更改交换机的主要参数是非常合适的。例如,增加或者删除 V L A N。但这种模式不能查看更改的结果。
处于 V T P透明模式的交换机无法处理从它的中继端口接收到的 V T P更新数据,但它能将从另一个交换机收到的更新信息转发到管理域。我不知道设置这种模式的目的。在我所教授的 C a t a l y s t局域网交换机认证课程( C L S C)中学习的 6 0 0左右名学员也不知道。我提到它的唯一原因是在 C C N P的 C L S C笔试中可能会考。
8.3 VTP修剪
V T P修剪 (VTP pruning)是 V T P的一个功能,它能减少在中继端口不必要的信息量。在图 8 -
8中,A交换机收到来自于 VLAN 20端口的广播信息。
图 8-8 A交换机接收到来自 VLAN 20的广播信息第 8章 Catalyst 5000系列交换机的高级配置 143下载
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 30 工程
VLAN 30 工程广播 20
VLAN 30 工程
VLAN 20 工程
VLAN 20 工程中继线中继线中继线
A
B
C
D
144 Cisco Catalyst 局域网交换技术 下载
A交换机将广播信息发送出 VLAN 20端口和所有中继端口。在本例中是 B交换机的端口
(见图 8 - 9) 。 B交换机同样会将广播信息发送到所有 VLAN 20端口和所有中继端口(除了接收信息的中继端口) 。
图 8-9 A交换机将来自 VLAN 20的广播信息转发到所有的 VLAN 20和中继端口
C交换机重复同样的过程,因为它在 VLAN 20中无端口,因此它只将这些帧发送到所有中继端口(见图 8 - 1 0) 。
当 D交换机接收到 VLAN 20的广播信息后,它会忽略这条信息。因为除了接收广播信息的端口外,它没有任何 VLAN 20端口或中继端口(见图 8 - 11) 。从 B交换机到 C交换机,然后从 C交换机到 D交换机的广播信息是不必要的。 V T P修剪交换机能够不发送不必要的信息。通过交换活动 V L A N的信息,交换机能确定信息传递是否必要。在本例中,启动 V T P修剪,不必要的信息传递就不会发生。
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 30 工程
VLAN 30 工程广播 20
VLAN 30 工程
VLAN 20 工程
VLAN 20 工程中继线中继线中继线
A
B
C
D
图 8-10 B交换机将广播信息转发出所有的 VLAN 20和中继端口
8.4 管理域
C i s c o在多个交换机环境中建立 V L A N管理域的概念。管理域交换自治系统传向路由器的信息。这是在公共管理下的一组交换机。只不过是它们通过中继线发送 V T P更新信息,而不是在彼此间发送路由更新信息。在前一节我们讲到局域网中继协议( V T P) 。正是这个协议运行于中继线上在交换机之间交换关于 V L A N的信息。
如果在 C i s c o路由器上运行 I G R P或 E I G R P,所有路由器必须被设定为相同的自治系统号。
交换 V T P更新信息的所有交换机必须配置为相同的管理域。而且必须通过中继线连接在一起。
在图 8 - 1 2中有 3个管理域。
E交换机没有中继线,因此不会发送任何 V T P更新数据。相反,A,B,C和 D交换机通过中继线连在一起,因此这些交换机必须配置同一管理域名,这样它们才能了解彼此的 V L A N
列表。 F,G,H和 I交换机也通过中继线连接在一起,因此它们也在同一个管理域中。第三个管理域是 E交换机自己,虽然这个交换机不发送更新信息,在默认状态下,除了 VLAN 1,它仍拥有其他的 V L A N。要拥有除了 VLAN 1以外的任何 V L A N,交换机必须设置为管理域的一部分,即使它是管理域中唯一的一个交换机。如果你试图使用 set vlan命令(以后会讲到)进行设置,会出现如下的错误信息:
第 8章 Catalyst 5000系列交换机的高级配置 145下载
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 30 工程
VLAN 30 工程广播 20
VLAN 30 工程
VLAN 20 工程
VLAN 20 工程中继线中继线中继线
A
B
C
D
图 8-11 C交换机没有 VLAN 20端口,将广播信息转发给 D交换机图 8-12 管理域
146 Cisco Catalyst 局域网交换技术 下载
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 30 工程
VLAN 30 工程广播 20
VLAN 30 工程
VLAN 20 工程
VLAN 20 工程中继线
A
B
C
D
中继线中继线如果交换机连接到已存在的非安全管理域,交换机会自动加入到该管理域中。在这个
“功能”背后的思想是,新交换机有了解所有新 V L A N的能力。不需要为每个交换机进行配置,
包括域名的配置。
技术提示 在写作本书时,这个“功能”是极端危险的。它能导致除了 VLAN 1之外所有的 V L A N从已存在的管理域中被删除。如果 V L A N从交换机的 V L A N列表中被删除,
所有指定到那些 V L A N的端口都被置于“非活动”状态;即它们不能再工作了。这使得至少除了 VLAN 1之外的所有 V L A N处于非理想状态。如果新交换机加入到已存在的管理域中,我建议手工配置交换机的所有 VLAN。不要依赖 VTP!
路由器可能通过中继线连接到交换机,但它们不处理或转发 V T P更新信息,因此,它们会创建管理域段。在图 8 - 1 3中,E路由器配置为所有端口的中继。 E路由器不传送 V T P更新信息,并将网络分为 4个分离的管理域。
图 8-13 路由器和管理域
8.5 管理域的配置交换机只需要配置管理域名,该域名可以配置多个 V L A N并传输 V T P更新数据。管理域名是区分大小写的。不必死记这一点。使用 set vtp domain命令设置包括管理域名在内的几个
V T P参数:
console> (enable) S E T V T P D O M A I N [名称]
例如,将图 8 - 1 4中所示的 A和 B交换机配置于 A C C(注意大小写)管理域中,使用下列命令:
第 8章 Catalyst 5000系列交换机的高级配置 147下载
148 Cisco Catalyst 局域网交换技术 下载图 8-14 将 A和 B交换机配置于 ACC管理域中不必配置 B交换机的 V T P域名,因为 B交换机通过用中继线相连的 A交换机自动加入到管理域中。
设置交换机的 V T P模式,使用 set vtp mode命令,默认模式为服务器模式。
Switch_A> (enable) set vtp mode[模式]
例如,将 A交换机的 V T P模式改为客户模式:
一旦设定模式后,交换机不允许再更改 V L A N配置。要恢复修改 V L A N配置的能力,只要将模式改为服务器模式即可。
8.6 安全管理域的配置如果不希望新交换机自动加入到管理域中,需要设置密码。如果设置了密码,除非设置了正确的密码,新交换机不能加入到已存在的管理域中。这使得配置新交换机需要耗费时间。
为了使管理域更安全,域中每个交换机都需要配置域名和密码。
使用下列命令将 A C C管理域设置为安全管理域:
在 A交换机上:
在 B交换机上:
技术提示 仔细注意命令的语法。在拼写密码时,命令用的是 p a s s w d,而不是
password。
8.7 VTP版本 2的配置在默认状态下,与 V T P版本 2兼容的 C a t a l y s t交换机的这些功能是关闭的。如果在一个交换机上 V T P版本 2的这些功能生效,就会发出 V T P信号,V T P版本 2将在所有的交换机上生效。
如果在管理域中有一个交换机不支持 V T P版本 2,那么这个交换机就不能与其他交换机通信。
中继线第 8章 Catalyst 5000系列交换机的高级配置 149下载除非所有的交换机都与 V T P版本 2兼容,否则不要打开 V T P版本 2这项功能。
打开 C a t a l y s t交换机的 V T P版本 2功能:
8.8 VTP修剪的配置
V T P修剪在默认状态下是关闭的,它必须在管理域中的一个交换机上手工设置。 V T P修剪不能在一个管理域中的一两个交换机上设置。如果一个交换机设置了 V T P修剪,那么在该管理域中的所有交换机都将被设置为 V T P修剪。这个命令的正确语法是:
console> (enable) set vtp pruning enable <enter>
例如,在 A C C管理域中设置 V T P修剪,输入:
警告信息会通知用户将在整个管理域中使 V T P修剪生效,所有的交换机必须与 V T P修剪兼容。如果一个交换机正在运行 V T P版本 1,就不能使用 V T P修剪,否则会产生问题。
8.9 验证 VTP设置查看交换机上的 V T P设置使用 show vtp domain和 show vtp statistics命令:
表 8-1 show vtp domain命令的输出标 题 说 明
Domain Name 本交换机所属的管理域的名称
Domain Index 标识域 V T P版本的索引号。说明本交换机能否处理版本 2
Local Mode 本交换机的 V T P模式
P a s s w o r d 管理域是否安全
V L A N - c o u n t 在管理域中定义的 V L A N号
(续)
标 题 说 明
M a x - V L A N - s t o r a g e 在本管理域中可以设置 V L A N的最大数目
Config Revision 修订数目,V T P更新序列
N o t i f i c a t i o n s S N M P通知打开或关闭
Last Updater 本交换机的 V T P更新数据传送到的最后一个交换机
V2 mode V 2模式打开或关闭
P r u n i n g V T P修剪打开或关闭
PruneEligible on VLANs 在本交换机的中继端口上符合修剪条件的 V L A N
表 8 - 1定义了 show VTP domain的输出。
8.10 配置 VLAN
一旦建立了管理域,就可以创建 V L A N了。在创建 V L A N时,可以定义 V L A N的五个属性
(表 8 - 2) 。
表 8-2 show vtp domain命令的输出标 题 注 释
N u m b e r 号 V L A N号是在管理域中用以识别广播域的唯一标识
Ty p e 号 VLAN Ty p e定义了 V L A N的类型。如果使用以太网或 F D D I,VLAN Ty p e
应设为,E t h e r n e t”;如果通过 F D D I建立中继,VLAN Ty p e应设为 F D D I;
如果使用令牌环,VLAN Ty p e应设为 T R - C R F或 T R - B R F
N a m e 号 V L A N名称是为了便于存档,在交换机上没有实际的功能
M T U 号 V L A N中帧的最大单元( M T U)
S A I D 号 安全关联和标识符(只用于 F D D I)
要设定 V L A N号和名称,使用下列语法:
Switch_A> (enable) set vlan [VLAN号 ] name [VLAN名 ]
例如,创建编号为 1 0、名称为 F S U的 V L A N和编号为 2 0、名称为 D u k e的 V L A N:
show vlan命令可以用来检查 V L A N的设置:
一旦在一个交换机上创建了 V L A N,它就会通过 V T P通告整个管理域中的所有交换机。
要为 V L A N指定端口,再次使用 set vlan命令,但语法不同:
Switch_A> (enable) set vlan [VLAN号 ] [模块/端口 ]
150 Cisco Catalyst 局域网交换技术 下载第 8章 Catalyst 5000系列交换机的高级配置 151下载如果多个端口以数字顺序排列,它们可能会带有连字符或逗号列示出来。
例如,将模块 3的前 1 2个端口指定给 VLAN 10,将模块 3的后 1 2个端口指定给 VLAN 20:
这个结果表示正在修改以前端口指定到的 V L A N和现在正在指定的 V L A N。
检查已被正确指定了的端口:
要更改 M T U,S A I D或 V L A N的类型,使用 set vlan命令:
这会将 V L A N类型设为 F D D I,在本交换机上并不需要 F D D I,这是因为不存在 F D D I端口。
在第 9章中会讲解 S A I D的值。
8.11 配置动态 VLAN
设置为动态 V L A N的端口将被动态指定给 V L A N,其依据是所接收到的第一帧的源 M A C
地址。它是由 V L A N成员策略服务器( V M P S)完成的。 V M P S是拥有 T F T P服务器下载的文本文件的 C a t a l y s t交换机。这个文本文件包含 V L A N到 M A C地址映射。当动态 V L A N端口启动后,
交换机将检查 V M P S服务器(也可能是它本身),并将第一帧的源 M A C地址和数据库比较。如果数据库中存在条目,端口将自己指定给目标 V L A N。如果数据库中不存在条目,端口将进行下列操作之一:
1) 如果 V M P S数据库不处于安全模式,它将返回,a c c e s s - d e n i e d”信息,并不指定返回
V L A N。
2) 如果 V M P S数据库不处于安全模式,它将关机。
3) 它将被指定给一个特定的返回 V L A N。
这些选项用户都可以自定义。
设置动态 V L A N的第一步是收集 M A C地址到 V L A N的映射。这是个枯燥的工作,但这是必需的。这些信息被收集,并存放在 T F T P服务器中的一个文本文件中。 V M P S数据库是以文本方式创建的。一个 V M P S数据库(文本文件)的实例如下:
当数据库建完后,保存在 T F T P服务器上。应该选择一个 C a t a l y s t交换机作为主要 V M P S。
使用下面的命令将一个 C a t a l y s t交换机设置为主要的 V M P S:
Switch_A> (enable) set vmps tftpserver [IP地址 ] [VMPS数据库文件名 ]
本命令通知 V M P S服务器在何处寻找数据库。 V M P S在启动后加载这个文件,并将它存储在 R A M中。交换机每次启动时,它都从 T F T P服务器中重新加载该文件。因此,在使用动态
V L A N时,随时都能访问 T F T P服务器是非常重要的。 V M P S数据库的名称可以任意。如果不指定文件名,默认文件名为 v m p s - c o n f i g - d a t a b a s e,1(对于我来说,它太长了) 。
在定义了 T F T P服务器和文件名后,使用下列命令激活 C a t a l y s t交换机上的 V M P S:
Switch_A> (enable) set vmps state enable
使用下列命令设定使用动态 V L A N的端口:
Switch_A> (enable) set port membership [模块号/端口号 ] dynamic
本命令指示端口从 V M P S服务器获得 V L A N信息。在本例中,它与 V M P S服务器是同一个
152 Cisco Catalyst 局域网交换技术 下载交换机。当激活动态端口后,它们会将本身指定到 V M P S数据库中指定的 V L A N。
使用下列命令将其他交换机设置为 V M P S客户机:
Switch_A> (enable) set vmps server[VMPS的 I P地址 ] [primary]
本命令通知客户机在何处寻找 V M P S。
示例在图 8 - 1 5中有三个交换机。 A交换机为 V M P S服务器,B,C交换机设置为 V M P S客户机。
V M P S数据库已经建成,并驻留在图中所示的 T F T P服务器上。下列命令将配置前面所描述的
V M P S:
图 8-15 VMPS实例在 A交换机上:
第 8章 Catalyst 5000系列交换机的高级配置 153下载
C 交换机
VMPS 客户机
B 交换机
VMPS 客户机
A 交换机
VMPS 服务器
172.16.0.10
VMPS 数据库
172.16.0.20
地址地址地址地址名字会计名字管理名字工程名字在 B交换机上:
在 C交换机上:
技术提示 不是所有端口都要配置为动态 VLAN。
要验证所有交换机上的 V M P S设置,使用下面的命令:
在 A交换机上:
show vmps mac命令显示整个 V M P S数据库:
show vmps命令显示当前的 V M P S状态,不管交换机是服务器还是客户机:
在 B交换机上:
在 C交换机上:
154 Cisco Catalyst 局域网交换技术 下载
V M P S已经成功地配置完成。
8.12 配置中继如果希望允许多个 V L A N通过单个端口,那么必须在该端口上设置中继。第 4章讨论了在快速以太网和千兆位以太网间建立中继的两种方法。本节将讨论激活中继的命令。
不是所有的端口都能作为中继。可以用 show port capabilities命令检查端口的中继能力。
此命令将显示该端口能作为中继以及它支持哪种封装方法。例如,在 A交换机上安装有带千兆以太网模块的监控机 I I I。
检查监控机 I I I上的两个端口能否作为中继,如果能,它们支持哪些封装方法:
这些端口可以作为中继,并支持 C i s c o的 I S L或 I E E E的 8 0 2,1 Q封装方法。
第 8章 Catalyst 5000系列交换机的高级配置 155下载
156 Cisco Catalyst 局域网交换技术 下载中继端口可以置为 5种不同的中继模式(见表 8 - 3) 。
表中所列的模式似乎有点不常用,尤其在与 1 0 / 1 0 0 M b / s的端口的状态相比较时。对于
1 0 / 1 0 0 M b / s的端口,如果速度设成自动,而且这两个端口都能达到 1 0 0 M b / s,它们就会将自己设置在 1 0 0 M b / s下运行。因为,1 0 0 M b / s明显地要比 1 0 M b / s好。对于中继,没有这么简单的途径。如果两个端口连接在一起并且它们两端都设为自动成为中继,是成为中继好,还是不成为中继好呢?中继可能是不利的连接类型,这说明中继端口可以设置为多种状态。
表 8 - 4给出了两个连接在一起的端口、可能的端口状态和连接结果。
表 8-3 定义的中继状态中 继 模 式 说 明
O n(打开) 本端口以 I S L或 8 0 2,1 Q封装帧
O ff(关闭) 本端口不能作为中继,因此不能封装帧
D e s i r a b l e(需要) 本端口想要成为中继,但除非和它相连的端口能成为中继,它才会成为中继
A u t o(默认) (自动) 该端口不关心它是否为中继,它只做和它相连的端口需要做的事
N o n n e g o t i a t e(非协商) 本端口为中继,但不能随其他端口改变。即其他端口必须打开中继表 8-4 确定是否为中继中 继 模 式 O n O ff D e s i r a b l e A u t o N o n n e g o c i a t e
(需要) (默认) (非协商)
O n 中继 配置错误 中继 中继 中继
O ff 配置错误 非中继 非中继 非中继 配置错误
D e s i r a b l e 中继 非中继 中继 中继 中继
A u t o(自动默认) 中继 非中继 中继 非中继配置错误 中继 配置错误 中继 配置错误 中继
N o n n e g o c i a t e
(非协商 )
表 8-5 Cisco的 I S L或 I E E E的 8 0 2,1 Q
中 继 模 式 I S L 8 0 2,1 Q 自动协商(默认值)
I S L I S L 非中继 I S L
8 0 2,1 Q 非中继 8 0 2,1 Q 8 0 2,1 Q
A u t o - n e g o t i a t e(默认) I S L 8 0 2,1 Q I S L
在中继到 C i s c o路由器时,应该使用非自动协商状态。是否形成中继的协商是没有必要的,
因为必须将路由器手工配置为中继,使之成为中继。对于快速以太网和千兆位快速以太网端口,它们支持 C i s c o的 I S L封装和 I E E E的 8 0 2,1 Q封装,封装方法可以指定。在默认状态下,封装方法设置为自动。表 8 - 5给出了中继封装的可能设置和这些设置的结果。
技术提示 如果端口的中继封装方法设为自动,它的中继状态也必须设为自动。当中继封装方法设为自动时,企图去设置它的状态,会出现如下错误:
使用 set trunk命令设置能够作为中继的端口:
Switch_A> (enable) set trunk [模块号/端口号 ] [on | off | desirable | auto | nonn-
egotiate] [中继封装方法 ]
例如,A交换机的 1 / 1端口与 B交换机的 2 / 4 9端口相连(见图 8 - 1 6) 。使用下列命令设置 A交换机与 B交换机的中继:
图 8-16 设置 ISL中继一旦交换机的端口启动中继,和它相连的 B交换机上的端口将自动转换为 I S L中继。在控制台屏幕上会显示一条信息,该信息表明端口已经成为中继。
可以使用 show trunk命令查看中继:
端口 1 / 1已成为中继。不必在 B交换机上进行任何修改。但是,必须注意的是设置中继最危险的部分。在 A交换机和 B交换机之间的中继打开后,一个交换机上的 V L A N列表将覆盖另一个的 V L A N列表。在打开中继之前,必须确保在两个交换机上的 V L A N列表是一致的。因为如果 V L A N列表不一致,一些端口可能置于非活动状态,用户会失去连接。
将封装方法更改为 8 0 2,1 Q:
第 8章 Catalyst 5000系列交换机的高级配置 157下载
A交换机
172.16.0.10
B 交换机
172.16.0.11
1/1 2/49
ISL 中继线
B交换机的 2 / 4 9端口处于自动协商中继状态,这很容易进行修改,因为只需对中继的一端做改动。
但是,如果 B交换机的 2 / 4 9端口没有设置为自动协商中继,那么必须对中继的两端做改动。
正因为这一点,我喜欢检验两个 V L A N列表是否已经同步。可以使用 show vlan命令进行检验。该命令前面讲过:
158 Cisco Catalyst 局域网交换技术 下载技术提示 在本例中,A交换机和 B交换机都有各自的 V L A N列表,但我发现,有时
V T P更新数据通过了中继,但是 V L A N并不同步。这个问题可以简单地通过在交换机上创建 VLAN加以解决。这将引起一个 VTP更新,使 VLAN同步。
警告 如果使用安全管理域,在设置中继时,应确保在两个交换机上 VTP设置都是正确的。换句话说,检验在 set vtp命令中使用的密码。它们是区分大小写的!
要检验交换机在新的中继上交换 V T P更新数据,使用 show vtp domain命令:
在 A交换机上:
在 B交换机上:
第 8章 Catalyst 5000系列交换机的高级配置 159下载
V L A N数目相同,它表明 V L A N列表是一致的。 V T P域名相同。
8.13 配置快速以太通道和千兆以太通道在图 8 - 1 6中,A交换机和 B交换机之间由一个千兆以太网相连。如果此连接为快速以太网,
那么就有必要将多个端口捆绑在一起,以增加交换机之间的带宽。
在两个交换机上,将成为同一通道的一部分的端口必须设置为相同的参数。它们必须在同一个 V L A N中,并且必须拥有相同的 S T P参数,即端口优先级和端口成本。
使用 set port channel命令设置快速以太通道。该命令的正确语法是:
Switch_B> (enable) set port channel [将作为通道的端口 ] [on | off | desirable | auto]
例如,将 A交换机上的 1 / 1和 1 / 2端口设置为通向 B交换机上的 2 / 4 9和 2 / 5 0端口的快速以太通道:
在 A交换机上:
在 B交换机上:
使用 show port channel命令检验通道的建立和运行状况:
技术提示 当以快速以太通道作为中继时,在打开中继之前关闭端口,在打开中继后再重新打开端口是很有用的。
8.14 配置端口协议过滤在 C a t a l y s t交换机上,对于安全端口有几个不同的选项可供选择。根据协议或 M A C地址过滤通信量。基于协议的协议过滤器将通信量限制在一个特定端口。这个功能在 I P和 I P X都在运行的环境中特别有用。设置仅为 I P的工作站不必接收 I P X广播。这将减少用于有效传播的带宽总量,并提高 C P U的利用率。协议过滤器可以阻止 I P X通信向仅为 I P的工作站传送。
在使用协议过滤时,信息包分为 4种:
1) IP信息包。
2 ) I P X信息包。
3) Appletalk,D E C n e t和 Banyan Vi n e s信息包。
4) 其他。
注意 在 Catalyst 4000和 2948G系列交换机上,Banyan Vines信息包被划分在“其他”类
160 Cisco Catalyst 局域网交换技术 下载别中。
支持协议过滤的端口可将组中的每一个设为三种状态之一(见表 8 - 6) 。
表 8-6 协议过滤组的模式模 式 说 明
O n 来 来自本组的通信量将传送出端口
O ff 来 来自本组的通信不能传送出端口
A u t o 来 除非接收到来自本组的通信,否则通信不会转发出本端口。 I P X组设为自动模式的端口,直到接收到 I P X通信才能转发 I P X通信。
在任意一个端口启用协议过滤之前,必须首先使用 set protocolfilter命令启动交换机:
技术提示 协议过滤是一个相对较新的功能。并不是所有的 Catalyst交换机都支持它。
在交换机上启用协议过滤后,端口可能使它们的组指定为三种模式之一:
Switch_B> (enable) set port protocol [模块号/端口号 ] [ip | ipx | group] [on | off
| auto]
例如,只允许 B交换机的 2 / 1 - 1 2端口的 I P传输:
警告 不要将你远程登录端口的 IP组协议过滤设置为自动模式。你会失去连接,其时间长短不能确定。
检查是否正确配置了端口过滤:
第 8章 Catalyst 5000系列交换机的高级配置 161下载
162 Cisco Catalyst 局域网交换技术 下载
8.15 配置端口安全性
C a t a l y s t交换机的另一个可用的过滤技术为安全端口过滤。安全端口过滤在安全端口上只允许接收来自一个特定 M A C地址的帧。这个 M A C地址可以指定或动态地确定。如果在安全端口上探测到源自无效源 M A C地址的帧,端口将关闭。
安全端口过滤使网络管理员可以严格控制哪些工作站可以连接到交换机。这个功能对于关心谁会连接到交换机端口的组织非常有用。以我个人的经验,这种实例很少,通常只能在军方见到。因为这项功能而使管理员头疼的事件屡见不鲜。
技术提示 安全端口过滤只允许唯一一个 M A C地址对于端口是安全的。因此,如果集线器连接到了交换机的安全端口,那么仅有一个工作站可以通过交换机进行访问。
锁定到端口的 M A C地址可以手工设定或动态确定。如果端口被设为自动确定锁定的 M A C
地址,它会取得它在该端口上所见到的第一个源 M A C地址。这个地址存储于 N V R A M中,即使交换机重新启动,该 M A C地址也会锁定到该端口。
设置安全端口过滤:
Switch_B> (enable) set port security [模块号/端口号 ] [enable | disable] [MAC地址 ]
如果未指定 M A C地址,端口将接收到的源 M A C地址自动锁定到该端口。
例如,要设置 B交换机的 2 / 2端口自动锁定接收到的第 1帧的源 M A C地址,输入如下命令:
可以使用 show port security命令检查取得的 M A C地址:
8.16 使用侦错器当查找带有交换机的网络的错误时,使用一般的协议分析器或信息包分析器很困难,因为交换机不像集线器,它并不将所有的通信发送出所有端口。如果信息包分析器直接插入交换机,它只能监测到广播和多播信息。通常这对目前的问题没有帮助。
端口镜像( port mirroring)或测量( s p a n n i n g)是 C a t a l y s t交换机将它的端口所见到的所有通信镜像到一个端口的能力。这个端口被称为测量端口。但是这个端口和生成树协议( S T P)
没有任何关系。它仅用于必须捕获用作查找错误或网络管理的帧。
C a t a l y s t交换机允许来自 V L A N一个端口、多个端口或者所有端口的通信被镜像。测量端口有一个与之相连的信息包分析器,它捕获这些帧。
使用 set span命令将帧镜像到测量端口:
Switch_B> (enable) set span [源 ] [测量端口 ] [rx | tx | both]
源可能是单个端口、多个端口或 V L A N号。如果指定的是 V L A N号,那么所有 V L A N通信将被转发到测量端口。 [rx | tx | both]是可选的;如果不指定方向,默认值是 b o t h。
例如,将帧从 2 / 3端口镜像到 2 / 2端口:
将帧从 2 / 3 - 1 2端口镜像到 2 / 2端口:
将帧从 VLAN 10镜像到 2 / 2端口:
检查当前的测量设置:
8.17 控制广播
C a t a l y s t交换机可以设置为将所收到的广播信息总量控制在一个端口。这有助于防止底板上的广播通信量超出负荷。广播通信量可以被限制为在每 1秒内全部通信量的百分数或 1秒内接收到的广播包的数目。一旦达到设置值,在那 1秒间隔的剩余时间内,该端口不再接收广播包。
技术提示 广播控制随模块的变化而变化。 一些线卡不允许单个端口被设置为广播控制。
相反,线模块的所有端口必须配置为广播控制。一些线模块不支持以每秒钟的广播包数表示的广播压缩。你必须确定交换机支持的广播控制类型。
使用下列命令以全部通信量的百分数来限制广播通信数量:
Switch_A> (enable) set port broadcast [模块号/端口号 ] [收到通信量的百分数 ]
例如,将端口 2 / 1 - 1 2的广播数限制在总通信量的 5 0 %以下:
第 8章 Catalyst 5000系列交换机的高级配置 163下载这个线模块 1不能只限制 3 / 1 - 1 2端口;线卡上的所有端口设置为限制广播通信量(请参看前面的技术技巧) 。
将端口 3 / 1 - 1 2的广播通信限制在每秒 5 0 0个广播包:
当广播通信以每秒的广播数进行限制时,线模块可以对每个端口接收不同的值。注意,
端口 3 / 1 - 1 2有广播限制,但端口 3 / 1 3 - 2 4没有。
检验广播限制:
164 Cisco Catalyst 局域网交换技术 下载
8.18 使用 CAM表有时,阅读 Catalyst 交换机的网桥表是有益的。这个表称为 C A M( content addressable
m e m o r y,内容可寻址存储器)表。 C a t a l y s t交换机上有个命令可以操纵和查看它。
set cam命令向交换机的 C A M表添加条目。这些条目可以是单点传送或多点传送条目。当第 2层多点传送非常频繁地使用时,它变得非常有用。在默认状态下,交换机将多点传送信息发送出所有端口,就像对待广播一样。使用 set cam命令,这些多点传送信息可以被镜像到需要多点传送的那些端口。
set cam命令的语法如下:
Switch_A> (enable)set cam [dynamic | static | permanent] [MAC地址 ] [模块/端口 ]
[ V L A N ]
技术提示 指定的所有端口必须处于同一 VLAN。
存放于 C A M表中的条目可以暂时存在那里,换句话说,可以独立于正常进程。在默认状态下,动态获得的条目可以在表中存 5分钟。如果 5分钟不使用,条目就被删除。使用
,d y n a m i c”选项临时向 C A M表添加条目。使用,s t a t i c”选项向 C A M表添加条目,直到交换机重新引导。使用,p e r m a n e n t”选项向 C A M表永久地添加条目。 M A C地址将成为目标 M A C
地址。如果帧向特定的 M A C地址发送,它将会转发到特定端口。
向 C A M表添加条目,直到下一次重新引导。其单点传送地址为 0 1 - 0 0 - 1 2 - 11 - 11 - 11,目标端口为 3 / 3,3 / 5,3 / 7和 3 / 1 2。可以使用下面的命令:
永久的将目标 M A C地址 A A - A A - 0 3 - 2 2 - 3 3 - 4 4映射到端口 3 / 11:
可以使用 show cam命令查看 C A M表:
系统将显示通过交换机输入到 C A M表中的地址:
第 8章 Catalyst 5000系列交换机的高级配置 165下载查看永久条目:
查看静态条目:
查看 C A M中的动态条目:
技术提示 动态 C A M表是获得的 M A C地址。查找错误时,检查这个表是否正确是一个好方法。
在默认状态下,位于 C A M表的动态部分在五分钟后会超时,这一点前面已提到过。该值可以通过 set cam agingtime命令进行修改。
将动态 C A M表的超时时间延长到 1 0秒钟,使用下列命令:
必须指定一个 V L A N。在本例中,本人指定了所有 V L A N,但这并不是必须的,V L A N可以设置成不同的超时时间。
8.19 使用外部路由器路由 VLAN
要设置外部路由器来路由多个 V L A N,需要配置子接口。每个需要路由的 V L A N必须单独配置子接口。路由器必须拥有 Cisco IOS版本 11,1 ( 2 )。
166 Cisco Catalyst 局域网交换技术 下载第 8章 Catalyst 5000系列交换机的高级配置 167下载图 8 - 1 7显示了与两个 V L A N的 Catalyst 5000交换机直接相连的 Cisco 4500路由器。
要设置路由器为 VLAN 10和 2 0路由,需要像下面一样在 4 5 0 0上建立两个子接口:
图 8-17 VLAN的外部路由器子接口的数目可以是 1到 6 5 5 3 5之间的任意值。但是,在单个接口上只能配置 2 5 5个子接口。
encapsulation isl命令确定了指定到子接口的 V L A N及使用的中继方法。如果中继封装方法是
IEEE 802.1Q,应该使用 encapsulation dotlq 20命令。
单臂路由器中继线快速以太网 0
VLAN 20
172.16.20.0
255.255.255.0
VLAN 10
172.16.10.0
255.255.255.0
8.20 配置路由器交换机模块
C a t a l y s t路由器交换机模块( R S M)是经过修改的路由器交换机处理器( R S P) 。它运行自己的操作系统版本。该操作系统为真正的 Cisco IOS。设置 R S M使用与设置 C i s c o路由器相同的命令。唯一的区别是 R S M没有实接口,而有虚接口,称为 V L A N接口。设置这些 V L A N接口与在正常的外部路由器上的接口设置相同。
图 8 - 1 8显示了一个在其底盘上装有 R S M的 C a t a l y s t交换机。设置与图 8 - 1 7中的相同,只是现在使用 R S M在 V L A N间路由。
图 8-18 RSM
对于在 VLAN 10和 VLAN 20之间路由的 R S M,在它的接口上应有如下设置:
如果是外部路由器,R S M应当通常进行处理。它只对底板有较高速度的连接,并使用
V L A N接口代替子接口。
8.21 定义多层交换多层或第 3层交换是交换机模仿路由器功能的能力。我使用“模仿”一词是因为定义 多层交换( M L S)或第 3层交换实际上并不像路由器一样在路由表中寻找路由路径。
图 8 - 1 9显示了与路由器相连的交换机。该交换机有 2个 V L A N,路由器表现为“单臂路由器” 。
168 Cisco Catalyst 局域网交换技术 下载
Catalyst 路由器交换机模块
VLAN 20
172.16.20.0
255.255.255.0
VLAN 10
172.16.10.0
255.255.255.0
图 8-19 单臂路由图 8-20 帧首先传送到交换机第 8章 Catalyst 5000系列交换机的高级配置 169下载中继线
VLAN 20
172.16.20.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
VLAN 10
172.16.10.0
255.255.255.0
VLAN 10
172.16.10.0
255.255.255.0
站 A
172.16.10.11
站 B
172.16.20.23
站 B
172.16.20.23
站 A
172.16.10.11
A的 M A C 路由器的 MAC 1 7 2,1 6,1 0,11 1 7 2,1 6,2 0,2 3
170 Cisco Catalyst 局域网交换技术 下载当站点 A向站点 B传送信息时,帧从站点 A传送到交换机。该帧包含路由器的目标 M A C地址和站点 A的源 M A C地址。封装的信息包包含源 I P地址 1 7 2,1 6,1,11和目标 I P地址 1 7 2,1 6,2,2 3
(见图 8 - 2 0) 。
带有封装信息包的帧将传送到交换机,该交换机在将该帧标记为识别出该帧属于 V L A N
1 0后,将该帧发送出去(见图 8 - 2 1) 。
图 8-21 然后将帧传送到路由器当路由器接收到该帧时,它读取标识该帧属于 VLAN 10的标记后,封装信息包,并根据目标 I P地址制订路由方案。站点 B在 I P子网 1 7 2,1 6,1,0,因此该信息包需要送回到交换机。然后路由器封装该帧,只有这时源 M A C地址才是路由器 M A C地址,目标 M A C地址才是站点 B的地址。而且,在该帧传送会交换机之前,路由器将该帧标记为 VLAN 20,表明该帧现在属于
VLAN 20。路由器改变了刚刚提到的三个域如图 8 - 2 2所示(例外情况是用 1消耗 T T L字段并重新计算在 I P信息包的头部的总和检验) 。
VLAN 10 A的 MAC 路由器的 MAC 172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
图 8-22 路由器更改帧和标记然后,交换机接收到该帧,读取标记和目标 M A C地址,最终将该帧发送到站点 B(图
8 - 2 3) 。
该帧必须在路由器和交换机之间的中继线上旅行 2次。路由器必须根据它的路由表做出路由方案。还记住第 1章中我们把路由器的这种情况称为慢或者高度延迟。 M L S或第 3层交换赋予交换机与路由器以同一种方式更改帧的能力。它不必在路由表中查找目标或在中继间两次传送帧。
交换机将取得流中第一帧的前后“图像” 。流可以定义为来自一个特定主机,去另一个特定主机,又特定用途的通信。 C i s c o把流定义为“在特定的拥有相同的协议和传输层信息的源和目标之间单向连续传输的信息包。从客户机到服务器和从服务器到客户机间的通信是分开的流。例如,从特定源到特定目标间的 Te l n e t通信和从同一源到同一目标间的 File Tr a n s f e r
P r o t o c o l( F T P)是分离的流 [还有很多内容 ]前面的图显示了从站点 A到站点 B的流。如果第 8章 Catalyst 5000系列交换机的高级配置 171下载
VLAN 20 B的 MAC路由器的 MAC 172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
路上器更改这三个字数已设置了 M L S,站点 A和站点 B之间的第一帧将采用图中所示的路径 [在图 8 - 1 8到图 8 - 2 2 ]。但是,接下来每个帧将被 C a t a l y s t交换机交换为第 3层” (引自 C i s c o在线连接 h t t p,/ / w w w,c i s c o
.com/univercd/cc/td/doc/product/lan/cat5000/rel_4_5/config/ mls.htm) 。
图 8-23 将帧转发至其最终目的地图 8 - 2 4显示了除路由器和交换机设置为运行 M L S外,具有相同的配置。流中的第一帧已经遵循图 8 - 1 8到 8 - 2 2中所示的路径。 C a t a l y s t交换机也得到了前后图像。
当交换机 A传送流中的第二帧时,交换机识别出目标 M A C地址作为路由器 M A C地址,并检查 M L S缓存(见图 8 - 2 5) 。
当头部与 M L S中的一致时,交换机不是将该帧发送到路由器,而是将头部更改为 M L S缓存中的图像。 C i s c o称这一步骤为信息包重写。在图 8 - 1 8到图 8 - 2 2中有变化的所有字段,包括
T T L和 I P总量检查,在信息包重写过程中都会改变(见图 8 - 2 6) 。
帧不必经过路由器就到达了目的地,这将大大增强其性能。
172 Cisco Catalyst 局域网交换技术 下载
B的 MAC路由器的 MAC 172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
图 8-24 启用多层交换交换机上有三种 M L S操作模式 — 目标 - I P模式、源 -目标 - I P模式和 I P -流模式。这些模式将决定在流形成后需要检查哪些字段。如果将 M L S配置为目标 - I P模式,只检查目标 I P地址,
查看在 M L S缓存中相匹配的 I P地址。源 -目标 - I P模式检查源和目标 I P地址。 I P -流模式不仅检查源和目标 I P地址,而且检查栈堆头部源和目标端口数目。操作模式决定于路由器上是否配置了访问列表以及使用的是哪种类型的访问列表(见表 8 - 7) 。
在大多数情况下,监控机 I I I对帧作实际的更改或信息包重写。但是如果使用的是 C a t a l y s t
W S - X 5 2 2 5 R或 W S - X 5 2 0 1 R,帧可以在本地线模块上更改,以进一步提高性能。
关于 M L S和第 3层交换通常的错误概念是它代替了路由器的需求。这是完全错误的。路由第 8章 Catalyst 5000系列交换机的高级配置 173下载前后
B的 MAC
B的 MAC路由器的 MAC
路由器的 MAC 172.16.10.11
172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
172.16.20.23
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
174 Cisco Catalyst 局域网交换技术 下载器必须路由所有流的第一帧; M L S只能在第 3层上交换流后面的帧。
图 8-25 交换机识别流另一个通常的错误概念是 M L S或第 3层交换会阻止访问列表起作用。这也不全对。既然流的第一帧必须经过路由器,假设配置了访问列表,那么就不会有“后”图像。但流建立之后怎样添加访问列表呢? M L S在交换机和路由器之间使用特殊的议 — Multi-Layer Switching
P r o t o c o l( M L S P,多层交换协议) 。通过这一协议路由器才能针对一特定流更新交换机。当配置为 M L S P的路由器接口上的访问列表添加或修改时,会向第 3层交换机发送信息,更新所有的缓存条目,这样就可以确保所有流的第一帧可以通过访问列表。输入访问表不能置于配置为 M L S的接口上,但输出访问表可以。 N AT( network address translation,网址翻译)接口也不能加入到 M L S。
前后
A的 MAC
A的 MAC
B的 MAC
172.16.10.11
172.16.10.11
172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
172.16.20.23
172.16.20.23
匹配
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
路由器的 MAC
路由器的 MAC
路由器的 MAC
图 8-26 交换机更改帧的极头表 8-7 MLS操作的模式访问表的类型 M L S模式 性 能没有配置访问表 目标 - I P模式 最好标准 I P访问表 源 -目标 - I P模式 较好扩展 I P访问表 I P -流模式 最差
8.22 配置多层交换要配置 M L S,必须使用路由器。路由器可以是外部路由器或 Cisco Catalyst路由器交换机模块( R S M) 。在这两种情况下,路由器上需要的软件版本为 11,3 ( 3 ) Wa 4 ( 4 )或更高版本。该路由器称为 M L S - R P。
第 8章 Catalyst 5000系列交换机的高级配置 175下载前后
A的 M A C
B的 MAC
B的 MAC
172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
第3层交换
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
路由器的 MAC
路由器的 MAC
路由器的 MAC 172.16.10.11172.16.20.23
172.16.10.11172.16.20.23
实际的第 3层交换机是一个 C a t a l y s t交换机,它装有带 NetFlow Feature Card( N F F C)的监控机 I I I。交换机必须运行 Catalyst IOS版本 4,1 ( 1 )以支持 M L S。第 3层交换机称为 M L S - S E。
图 8 - 2 7显示了图 8 - 1 7中的 Cisco 4500和图 8 - 1 8中的 Catalyst 5000交换机连接在一起。
图 8-27 单臂路由器要配置路由器上的 M L S,采取下列步骤:
1) 启用路由器上的 M L S。使用 mls ip rp命令启用 C i s c o交换机上的 M L S:
2) 定义将要运行 M L S接口的管理域名:
3 ) 连接到 C a t a l y s t交换机接口中的一个必须配置为管理接口。 M L S P信息包将通过该接口进行交换。在本例中,我选择使用快速以太网 0,1 0接口,但它可以是以下接口中的任意一个:
4) 在所有将加入到 M L S的接口上启用 M L S:
176 Cisco Catalyst 局域网交换技术 下载
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
中继线
Cisco 4500
第 8章 Catalyst 5000系列交换机的高级配置 177下载
5) 检验是否正确配置了 M L S:
技术提示 将 RSM配置为 MLS-RP,以同样的方法进行。
在配置 C a t a l y s t交换机上的 M L S时,默认配置通常就足够了。在默认状态下,支持 M L S的
C a t a l y s t交换机将启用 M L S。如果 M L S - R P路由器是内部 R S M,交换机将自动通过 M L S P(假设在 R S M上已经设置了 M L S)开始转换。如果使用外部路由器,如图 8 - 2 7所示,必须采取如下步骤在交换机上配置 M L S:
1) 在 C a t a l y s t交换机上启用 M L S(如果未启用 M L S),
2) 指定 M L S - R P的地址:
3) 选择设置 M L S超时时间。在默认状态下,如果条目在 2 5 6秒内不使用,这个条目就会在
M L S缓存中超时。这个值可以设置为 6 4到 1 9 2 0秒之间以 6 4秒递增的值。如果输入的不是 6 4的倍数,交换机将自动舍入到最接近的值:
4)选择设置 M L S快速超时时间。 M L S快速超时时间是在 M L S条目建立后不久就清除
M L S条目的方法。例如,如果一个工作站发出 D N S请求,会产生一个流,并在 M L S缓存中分配条目。但是,工作站不再向 D N S发送其他信息包。如果在一定时间段内不再有信息包,
M L S快速超时将清除表中的条目。在 D N S情况下,条目仅在 M L S缓存中存有快速超时时间,
而不是整个超时时间。这样可以腾出内存,用于更频繁使用的流。表 8 - 8显示了 M L S快速超时时间的两个参数。设置交换机清除 M L S缓存中的所有这些条目,即它们自从建立条目 6 4秒以后,收到的信息包不超过 3次:
表 8-8 MLS快速超时参数参 数 说 明
Ti m e 快 快速超时的秒数
Packet threshold 快 在通常的 M L S超时时间使用之前,M L S缓存中的一个条目可以接纳的最大信息包数目检查超时时间:
5) 检查是否正确启用了 M L S及是否为 M L S - R P正确指定了地址。
在 M L S - R P和 M L S - S E上都设置了 M L S。
M L S是由称为 N e t F l o w交换( NetFlow switching)的 C i s c o交换服务派生而来的。 N e t F l o w
交换支持的大多数功能 M L S都支持。 N e t F l o w交换的主要优点是它记录信息流的能力。使用多种命令,可以查看通信量的详细统计信息。
例如,可以使用 show mls entry命令查看所有已形成的当前的流:
178 Cisco Catalyst 局域网交换技术 下载关于 N e t F l o w交换和可以获得的数据的详细信息,请访问 Cisco Connection Online( C C O)
网站。
8.23 小结现在,你应该会配置和以太网、快速以太网或千兆位快速以太网有关的关于 Catalyst 2900
系列,4 0 0 0系列或 5 0 0 0系列交换机了。本章着重于使用 C a t a l y s t交换机时涉及到的比较高级的概念。
V L A N在管理域内配置,并通过 V T P向整个域传播。 V T P能使 V L A N的配置在整个管理域内保持一致。可以配置 V T P修剪以减少中继线上不必要的通信量。令牌环网 V L A N需要 V T P版本 2。
将端口指定到 V L A N的方法是通过将端口静态地指定到 V L A N或通过使用 V L A N成员策略服务器( V M P S)将它们动态地获得。静态 V L A N易于配置但难以管理,动态 V L A N难以修改但易于管理。
可以通过限制特定协议或特定 M A C地址来配置交换机的安全性。若使用信息包分析器和
C a t a l y s t交换机必须配置测量端口。可以通过限制整个通信量的百分比或每秒收到信息包的数量来限制广播。
多层交换( M L S)允许 C a t a l y s t交换机使用有趣的前后图像方法在 V L A N之间交换帧。
M L S可以大大提高网络性能。
8.24 练习题
1) 管理域这一概念的定义是什么?它与自治系统有何相似之处?
2) 活动 V L A N的定义是什么?过渡 V L A N的定义是什么?
3) 在管理域中给 V L A N命名的好处是什么?
4) VTP的目的是什么? V T P与路由器有可比之处吗?如果有,是什么?为什么?
5) 可以将交换机置于哪三种 V T P模式?每种模式允许什么?不允许什么?
6) VTP修剪如何知道何时取消中继端口的通信?
7) 默认的域名是什么?默认的 V T P模式是什么?配置管理域名和 V T P模式的命令是什么?
8) 为什么非安全管理域非常危险?如何克服这一缺点?
9) 在图 8 - 2 8中有几个管理域?标明哪些交换机在哪个管理域中。
10) 在 C a t a l y s t交换机上创建 V L A N的命令的语法是什么?要创建号码为 1 0 0、名称为
m a n a g e m e n t,并拥有 1 5 0 0的 M T U的以太网 V L A N,应该在 C a t a l y s t交换机的 C L I上输入什么命令?
11) 在管理域中创建 V L A N时,为什么不必在所有的交换机上建立 V L A N?
12) 将端口 1 / 1和 1 / 2指定给 VLAN 10,将按口 3 / 1 - 11和 4 / 1指定给 VLAN 20,应该使用什么命令?哪两个命令可以用来检验端口已经正确指定了?
1 3)静态 V L A N的优点和缺点是什么?动态 V L A N的优点和缺点是什么?(不要照抄小结第 8章 Catalyst 5000系列交换机的高级配置 179下载
180 Cisco Catalyst 局域网交换技术 下载中的内容)
14) VLAN成员策略服务器是什么设备?它从何处获取 V M P S数据库?建立的 V M P S数据库是什么文件格式?
15) 当 V M P S数据库不包含某站点的 M A C地址,V M P S数据库中又没有定义“退回”的
V L A N,该站点连接到动态 V L A N端口后会发生什么事情?
16) 显示整个 V M P S数据库的命令是什么?什么命令可以显示当前的 VMPS TFTP设置,例如 I P地址和文件名?
17) 如何知道一个端口支持哪些中继方法?说明中继模式和中继封装方法之间的关系。这种关系与什么相似?(提示:在最后一章中会涉及到)
图 8-28 习题 9使用的图中继线非中继线
1 8)非协商中继状态和关闭中继状态之间有什么区别?理想状态的作用是什么?列出两个端口组成中继线的所有情况。
19) 在端口上配置中继命令的语法是什么?这个语法在什么时候发生改变?
20) 说明使用安全管理域的优缺点。
21) 写出在 C a t a l y s t交换机的 4 / 1 - 4端口上配置快速以太通道的命令。检验快速以太通道是否运行的命令是什么?
22) 端口协议过滤和端口安全之间的区别是什么?并对两者进行说明。
23) 如果使用信息包分析器,为什么必须使用 set span命令?什么端口可以镜像到测量端口?
24) show span命令会显示什么信息?
25) 说明在 C a t a l y s t交换机上控制广播的两种方法。
2 6 ) C A M表是什么?列举可以置于 C A M中的三种类型的条目,并说明它们之间的区别。
2 7)使用外部路由器和 C i s c o路由器交换机模块( R S M)在 V L A N间路由的区别是什么?
28) 说明使用多层交换( M L S)的优点。
29) 哪种 M L S模式会提供最好的性能?配置成在此模式下运行的交换机和路由器如何工作?
3 0 ) 术语 M L S - R P和 M L S - S E指的是什么?
31) 列出 M L S不能应用在接口上的情况。
第 8章 Catalyst 5000系列交换机的高级配置 181下载
本章讨论用于多个 V L A N环境的配置命令和一些“现实世界”的配置实例。我们也会涉及到诸如动态 V L A N和快速以太网通道的特性。
8.1 VLAN中继协议 ( VTP)
要建立或实现 V L A N,需要两个步骤:
图 8-1 活动 VLAN和过渡 VLAN
A 交换机的 VLAN 列表
VLAN 10 会计(活动)
VLAN 20 管理(活动)
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计 VLAN 20 管理
VLAN 20 管理
B 交换机的 VLAN 列表
VLAN 10 会计(活动)
VLAN 20 管理(运输)
C 交换机的 VLAN 列表
VLAN 10 会计(活动)
VLAN 20 管理(运输)
1) 创建 V L A N( set vlan命令,后面会讲到) 。
2) 给 V L A N指定合适的端口(也使用 set vlan命令) 。
交换机有一个 V L A N列表。从这个列表可以知道存在哪些 V L A N并将端口指定到一些或全部的 V L A N。被指定了端口的 V L A N称为交换机上的活动 V L A N。列表中也可能存在一个或多个没有指定任何端口的 V L A N,这种 V L A N称为过渡 V L A N。交换机知道存在过渡 V L A N,但没有为其指定端口。因此 V L A N通信通过交换机的中继端口进行。在图 8 - 1中,B交换机没有为 VLAN 20指定端口,但 V L A N却出现在 V L A N列表中。 B交换机一定知道 VLAN 20,并且正确辨认出标记为 VLAN 20的来自 A和 C交换机的通信量。 B交换机只是将这些帧从它的中继端口转发出去,因为没有为 VLAN 20指定端口。 VLAN 20被称为 B交换机的过渡 V L A N。
配置 C a t a l y s t交换机时,需要定义几个参数。 V L A N号是区别各广播域的唯一标识参数。
V L A N名称是可选参数,目的是便于说明。在同一广播域内的所有端口应指定为同一 V L A N
号;交换机不是根据 V L A N名指定端口的。如果 V L A N跨越多个交换机,使这些参数一致是很有用的。虚拟局域网中继协议( V T P)是在交换机之间交换 V L A N信息并使 V L A N保持一致的协议。例如,如果两个交换机配置为中继,A交换机有两个 V L A N,VLAN 10称为“会计”,
VLAN 20称为“管理” 。 B交换机有相同的两个 V L A N号,但名称不同,VLAN 10名称为管理,
VLAN 20名称为会计 — 这可能是因为属于个人的那部分的配置错误(见图 8 - 2) 。
图 8-2 错误配置的 VLAN
第 8章 Catalyst 5000系列交换机的高级配置 137下载
VLAN 10 会计
VLAN 10 管理 VLAN 20 会计
VLAN 20 管理我认为这是个小毛病,但将来它会导致进一步的配置错误并延长查错时间。记住这一点对于查错和将来的配置非常重要。通过为 V L A N命名,就对它进行了说明。
V T P是仅运行于中继线中用于交换机之间交换 V L A N信息的协议。它保证 V L A N的一致性。
V T P更新会自动校正错误,如图 8 - 3,8 - 4所示。
图 8-3 发送 VTP更新数据
138 Cisco Catalyst 局域网交换技术 下载
VLAN 10 会计 VLAN 20 管理
VLAN 20 会计VLAN 10 管理交换机 2
交换机 1
VTP 更新数据
V
T
P
图 8-4 接收 VTP更新数据并使 VLAN名同步当 V T P更新从交换机 1传送到交换机 2时,交换机 2更改它的 V L A N配置,使之和交换机 1一致,保证了 V L A N总是保持一致(图 8 - 4) 。
如果没有 V T P,工程师必须亲自到每个交换机的 C L I上配置新的 V L A N。有了 V T P,新的
V L A N数据自动从所有中继线传出,这样,就没有必要在多个交换机上创建 V L A N。在图 8 - 5
中,工程师用交换机 1的工程名称配置 VLAN 30。
第 8章 Catalyst 5000系列交换机的高级配置 139下载
VLAN 10 会计 VLAN 20 管理接收并处理 VTP
更新数据交换机1
交换机2
VLAN 10 会计 VLAN 20 管理
V
T
P
图 8-5 在一个交换机上创建新的 VLAN
V T P更新数据立即从交换机 1发出,V T P使用闪式更新,意思是 V L A N配置一旦发生改变,
更新数据就立即发出。当交换机 2接收到来自于交换机 1的 V T P更新数据时,它就更新它的
V L A N配置,并发送到交换机 3(见图 8 - 6) 。
当交换机 3接收到来自于交换机 2的 V T P更新数据时(图 8 - 7),它会更新它的 V L A N配置。
因此这三个交换机对于 VLAN 30有相同的配置。一旦在一个交换机上配置了 VLAN 30并使用
V T P更新,就会创建对于 VLAN 30一致的配置。对于只有 3个交换机的情况,你可能觉得没有什么。但是,如果有 4 0个交换机,你就会感到 V T P的不同之处了。
140 Cisco Catalyst 局域网交换技术 下载交换机 2知道的 VLAN
交换机 1知道的 VLAN
交换机 3知道的 VLAN
VLAN 10 会计
VLAN 20 管理
VLAN 10 会计
VLAN 20 管理
VLAN 30 工程
VLAN 10 会计
VLAN 20 管理中继线中继线
V
T
P
图 8-6 更新 VLAN配置并向交换机 3发送 VTP更新数据目前有两个 V T P版本 — 版本 1和版本 2(非常形象化) 。在默认状态下,交换机会运行
V T P版本 1,但可以设置运行 V T P版本 2。版本 1和版本 2之间有一些区别,但主要区别是版本 2
支持令牌环网 V L A N。
第 8章 Catalyst 5000系列交换机的高级配置 141下载交换机 2知道的 VLAN
交换机 1知道的 VLAN
交换机 3知道的 VLAN
VLAN 10 会计
VLAN 20 管理
VLAN 30 工程
VLAN 10 会计
VLAN 20 管理
VLAN 30 工程
VLAN 10 会计
VLAN 20 管理中继线中继线
V
T
P
142 Cisco Catalyst 局域网交换技术 下载图 8-7 交换机 3接收到 VTP更新数据并更新它的 VLAN配置
8.2 VTP模式交换机可以有三种 V T P模式。
V T P服务器模式是默认值。处于 V T P服务器模式的交换机在所有的中继端口向外发送更新数据,并且接收和处理从它的中继端口接收到的 V T P更新数据,它可以在自己的 C L I上配置 V L A N。
交换机 2知道的 VLAN
交换机 1知道的 VLAN
交换机 3知道的 VLAN
VLAN 10 会计
VLAN 20 管理
VLAN 30 工程
VLAN 10 会计
VLAN 20 管理
VLAN 30 工程
VLAN 10 会计
VLAN 20 管理中继线中继线
VTP
处于 V T P客户模式的交换机在所有的中继端口向外发送更新数据,并且读取和获得从它的中继端口接收到的 V T P更新数据,但不能在自己的 C L I上配置 V L A N。这种模式对于远程更改交换机的主要参数是非常合适的。例如,增加或者删除 V L A N。但这种模式不能查看更改的结果。
处于 V T P透明模式的交换机无法处理从它的中继端口接收到的 V T P更新数据,但它能将从另一个交换机收到的更新信息转发到管理域。我不知道设置这种模式的目的。在我所教授的 C a t a l y s t局域网交换机认证课程( C L S C)中学习的 6 0 0左右名学员也不知道。我提到它的唯一原因是在 C C N P的 C L S C笔试中可能会考。
8.3 VTP修剪
V T P修剪 (VTP pruning)是 V T P的一个功能,它能减少在中继端口不必要的信息量。在图 8 -
8中,A交换机收到来自于 VLAN 20端口的广播信息。
图 8-8 A交换机接收到来自 VLAN 20的广播信息第 8章 Catalyst 5000系列交换机的高级配置 143下载
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 30 工程
VLAN 30 工程广播 20
VLAN 30 工程
VLAN 20 工程
VLAN 20 工程中继线中继线中继线
A
B
C
D
144 Cisco Catalyst 局域网交换技术 下载
A交换机将广播信息发送出 VLAN 20端口和所有中继端口。在本例中是 B交换机的端口
(见图 8 - 9) 。 B交换机同样会将广播信息发送到所有 VLAN 20端口和所有中继端口(除了接收信息的中继端口) 。
图 8-9 A交换机将来自 VLAN 20的广播信息转发到所有的 VLAN 20和中继端口
C交换机重复同样的过程,因为它在 VLAN 20中无端口,因此它只将这些帧发送到所有中继端口(见图 8 - 1 0) 。
当 D交换机接收到 VLAN 20的广播信息后,它会忽略这条信息。因为除了接收广播信息的端口外,它没有任何 VLAN 20端口或中继端口(见图 8 - 11) 。从 B交换机到 C交换机,然后从 C交换机到 D交换机的广播信息是不必要的。 V T P修剪交换机能够不发送不必要的信息。通过交换活动 V L A N的信息,交换机能确定信息传递是否必要。在本例中,启动 V T P修剪,不必要的信息传递就不会发生。
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 30 工程
VLAN 30 工程广播 20
VLAN 30 工程
VLAN 20 工程
VLAN 20 工程中继线中继线中继线
A
B
C
D
图 8-10 B交换机将广播信息转发出所有的 VLAN 20和中继端口
8.4 管理域
C i s c o在多个交换机环境中建立 V L A N管理域的概念。管理域交换自治系统传向路由器的信息。这是在公共管理下的一组交换机。只不过是它们通过中继线发送 V T P更新信息,而不是在彼此间发送路由更新信息。在前一节我们讲到局域网中继协议( V T P) 。正是这个协议运行于中继线上在交换机之间交换关于 V L A N的信息。
如果在 C i s c o路由器上运行 I G R P或 E I G R P,所有路由器必须被设定为相同的自治系统号。
交换 V T P更新信息的所有交换机必须配置为相同的管理域。而且必须通过中继线连接在一起。
在图 8 - 1 2中有 3个管理域。
E交换机没有中继线,因此不会发送任何 V T P更新数据。相反,A,B,C和 D交换机通过中继线连在一起,因此这些交换机必须配置同一管理域名,这样它们才能了解彼此的 V L A N
列表。 F,G,H和 I交换机也通过中继线连接在一起,因此它们也在同一个管理域中。第三个管理域是 E交换机自己,虽然这个交换机不发送更新信息,在默认状态下,除了 VLAN 1,它仍拥有其他的 V L A N。要拥有除了 VLAN 1以外的任何 V L A N,交换机必须设置为管理域的一部分,即使它是管理域中唯一的一个交换机。如果你试图使用 set vlan命令(以后会讲到)进行设置,会出现如下的错误信息:
第 8章 Catalyst 5000系列交换机的高级配置 145下载
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 30 工程
VLAN 30 工程广播 20
VLAN 30 工程
VLAN 20 工程
VLAN 20 工程中继线中继线中继线
A
B
C
D
图 8-11 C交换机没有 VLAN 20端口,将广播信息转发给 D交换机图 8-12 管理域
146 Cisco Catalyst 局域网交换技术 下载
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 10 会计
VLAN 30 工程
VLAN 30 工程广播 20
VLAN 30 工程
VLAN 20 工程
VLAN 20 工程中继线
A
B
C
D
中继线中继线如果交换机连接到已存在的非安全管理域,交换机会自动加入到该管理域中。在这个
“功能”背后的思想是,新交换机有了解所有新 V L A N的能力。不需要为每个交换机进行配置,
包括域名的配置。
技术提示 在写作本书时,这个“功能”是极端危险的。它能导致除了 VLAN 1之外所有的 V L A N从已存在的管理域中被删除。如果 V L A N从交换机的 V L A N列表中被删除,
所有指定到那些 V L A N的端口都被置于“非活动”状态;即它们不能再工作了。这使得至少除了 VLAN 1之外的所有 V L A N处于非理想状态。如果新交换机加入到已存在的管理域中,我建议手工配置交换机的所有 VLAN。不要依赖 VTP!
路由器可能通过中继线连接到交换机,但它们不处理或转发 V T P更新信息,因此,它们会创建管理域段。在图 8 - 1 3中,E路由器配置为所有端口的中继。 E路由器不传送 V T P更新信息,并将网络分为 4个分离的管理域。
图 8-13 路由器和管理域
8.5 管理域的配置交换机只需要配置管理域名,该域名可以配置多个 V L A N并传输 V T P更新数据。管理域名是区分大小写的。不必死记这一点。使用 set vtp domain命令设置包括管理域名在内的几个
V T P参数:
console> (enable) S E T V T P D O M A I N [名称]
例如,将图 8 - 1 4中所示的 A和 B交换机配置于 A C C(注意大小写)管理域中,使用下列命令:
第 8章 Catalyst 5000系列交换机的高级配置 147下载
148 Cisco Catalyst 局域网交换技术 下载图 8-14 将 A和 B交换机配置于 ACC管理域中不必配置 B交换机的 V T P域名,因为 B交换机通过用中继线相连的 A交换机自动加入到管理域中。
设置交换机的 V T P模式,使用 set vtp mode命令,默认模式为服务器模式。
Switch_A> (enable) set vtp mode[模式]
例如,将 A交换机的 V T P模式改为客户模式:
一旦设定模式后,交换机不允许再更改 V L A N配置。要恢复修改 V L A N配置的能力,只要将模式改为服务器模式即可。
8.6 安全管理域的配置如果不希望新交换机自动加入到管理域中,需要设置密码。如果设置了密码,除非设置了正确的密码,新交换机不能加入到已存在的管理域中。这使得配置新交换机需要耗费时间。
为了使管理域更安全,域中每个交换机都需要配置域名和密码。
使用下列命令将 A C C管理域设置为安全管理域:
在 A交换机上:
在 B交换机上:
技术提示 仔细注意命令的语法。在拼写密码时,命令用的是 p a s s w d,而不是
password。
8.7 VTP版本 2的配置在默认状态下,与 V T P版本 2兼容的 C a t a l y s t交换机的这些功能是关闭的。如果在一个交换机上 V T P版本 2的这些功能生效,就会发出 V T P信号,V T P版本 2将在所有的交换机上生效。
如果在管理域中有一个交换机不支持 V T P版本 2,那么这个交换机就不能与其他交换机通信。
中继线第 8章 Catalyst 5000系列交换机的高级配置 149下载除非所有的交换机都与 V T P版本 2兼容,否则不要打开 V T P版本 2这项功能。
打开 C a t a l y s t交换机的 V T P版本 2功能:
8.8 VTP修剪的配置
V T P修剪在默认状态下是关闭的,它必须在管理域中的一个交换机上手工设置。 V T P修剪不能在一个管理域中的一两个交换机上设置。如果一个交换机设置了 V T P修剪,那么在该管理域中的所有交换机都将被设置为 V T P修剪。这个命令的正确语法是:
console> (enable) set vtp pruning enable <enter>
例如,在 A C C管理域中设置 V T P修剪,输入:
警告信息会通知用户将在整个管理域中使 V T P修剪生效,所有的交换机必须与 V T P修剪兼容。如果一个交换机正在运行 V T P版本 1,就不能使用 V T P修剪,否则会产生问题。
8.9 验证 VTP设置查看交换机上的 V T P设置使用 show vtp domain和 show vtp statistics命令:
表 8-1 show vtp domain命令的输出标 题 说 明
Domain Name 本交换机所属的管理域的名称
Domain Index 标识域 V T P版本的索引号。说明本交换机能否处理版本 2
Local Mode 本交换机的 V T P模式
P a s s w o r d 管理域是否安全
V L A N - c o u n t 在管理域中定义的 V L A N号
(续)
标 题 说 明
M a x - V L A N - s t o r a g e 在本管理域中可以设置 V L A N的最大数目
Config Revision 修订数目,V T P更新序列
N o t i f i c a t i o n s S N M P通知打开或关闭
Last Updater 本交换机的 V T P更新数据传送到的最后一个交换机
V2 mode V 2模式打开或关闭
P r u n i n g V T P修剪打开或关闭
PruneEligible on VLANs 在本交换机的中继端口上符合修剪条件的 V L A N
表 8 - 1定义了 show VTP domain的输出。
8.10 配置 VLAN
一旦建立了管理域,就可以创建 V L A N了。在创建 V L A N时,可以定义 V L A N的五个属性
(表 8 - 2) 。
表 8-2 show vtp domain命令的输出标 题 注 释
N u m b e r 号 V L A N号是在管理域中用以识别广播域的唯一标识
Ty p e 号 VLAN Ty p e定义了 V L A N的类型。如果使用以太网或 F D D I,VLAN Ty p e
应设为,E t h e r n e t”;如果通过 F D D I建立中继,VLAN Ty p e应设为 F D D I;
如果使用令牌环,VLAN Ty p e应设为 T R - C R F或 T R - B R F
N a m e 号 V L A N名称是为了便于存档,在交换机上没有实际的功能
M T U 号 V L A N中帧的最大单元( M T U)
S A I D 号 安全关联和标识符(只用于 F D D I)
要设定 V L A N号和名称,使用下列语法:
Switch_A> (enable) set vlan [VLAN号 ] name [VLAN名 ]
例如,创建编号为 1 0、名称为 F S U的 V L A N和编号为 2 0、名称为 D u k e的 V L A N:
show vlan命令可以用来检查 V L A N的设置:
一旦在一个交换机上创建了 V L A N,它就会通过 V T P通告整个管理域中的所有交换机。
要为 V L A N指定端口,再次使用 set vlan命令,但语法不同:
Switch_A> (enable) set vlan [VLAN号 ] [模块/端口 ]
150 Cisco Catalyst 局域网交换技术 下载第 8章 Catalyst 5000系列交换机的高级配置 151下载如果多个端口以数字顺序排列,它们可能会带有连字符或逗号列示出来。
例如,将模块 3的前 1 2个端口指定给 VLAN 10,将模块 3的后 1 2个端口指定给 VLAN 20:
这个结果表示正在修改以前端口指定到的 V L A N和现在正在指定的 V L A N。
检查已被正确指定了的端口:
要更改 M T U,S A I D或 V L A N的类型,使用 set vlan命令:
这会将 V L A N类型设为 F D D I,在本交换机上并不需要 F D D I,这是因为不存在 F D D I端口。
在第 9章中会讲解 S A I D的值。
8.11 配置动态 VLAN
设置为动态 V L A N的端口将被动态指定给 V L A N,其依据是所接收到的第一帧的源 M A C
地址。它是由 V L A N成员策略服务器( V M P S)完成的。 V M P S是拥有 T F T P服务器下载的文本文件的 C a t a l y s t交换机。这个文本文件包含 V L A N到 M A C地址映射。当动态 V L A N端口启动后,
交换机将检查 V M P S服务器(也可能是它本身),并将第一帧的源 M A C地址和数据库比较。如果数据库中存在条目,端口将自己指定给目标 V L A N。如果数据库中不存在条目,端口将进行下列操作之一:
1) 如果 V M P S数据库不处于安全模式,它将返回,a c c e s s - d e n i e d”信息,并不指定返回
V L A N。
2) 如果 V M P S数据库不处于安全模式,它将关机。
3) 它将被指定给一个特定的返回 V L A N。
这些选项用户都可以自定义。
设置动态 V L A N的第一步是收集 M A C地址到 V L A N的映射。这是个枯燥的工作,但这是必需的。这些信息被收集,并存放在 T F T P服务器中的一个文本文件中。 V M P S数据库是以文本方式创建的。一个 V M P S数据库(文本文件)的实例如下:
当数据库建完后,保存在 T F T P服务器上。应该选择一个 C a t a l y s t交换机作为主要 V M P S。
使用下面的命令将一个 C a t a l y s t交换机设置为主要的 V M P S:
Switch_A> (enable) set vmps tftpserver [IP地址 ] [VMPS数据库文件名 ]
本命令通知 V M P S服务器在何处寻找数据库。 V M P S在启动后加载这个文件,并将它存储在 R A M中。交换机每次启动时,它都从 T F T P服务器中重新加载该文件。因此,在使用动态
V L A N时,随时都能访问 T F T P服务器是非常重要的。 V M P S数据库的名称可以任意。如果不指定文件名,默认文件名为 v m p s - c o n f i g - d a t a b a s e,1(对于我来说,它太长了) 。
在定义了 T F T P服务器和文件名后,使用下列命令激活 C a t a l y s t交换机上的 V M P S:
Switch_A> (enable) set vmps state enable
使用下列命令设定使用动态 V L A N的端口:
Switch_A> (enable) set port membership [模块号/端口号 ] dynamic
本命令指示端口从 V M P S服务器获得 V L A N信息。在本例中,它与 V M P S服务器是同一个
152 Cisco Catalyst 局域网交换技术 下载交换机。当激活动态端口后,它们会将本身指定到 V M P S数据库中指定的 V L A N。
使用下列命令将其他交换机设置为 V M P S客户机:
Switch_A> (enable) set vmps server[VMPS的 I P地址 ] [primary]
本命令通知客户机在何处寻找 V M P S。
示例在图 8 - 1 5中有三个交换机。 A交换机为 V M P S服务器,B,C交换机设置为 V M P S客户机。
V M P S数据库已经建成,并驻留在图中所示的 T F T P服务器上。下列命令将配置前面所描述的
V M P S:
图 8-15 VMPS实例在 A交换机上:
第 8章 Catalyst 5000系列交换机的高级配置 153下载
C 交换机
VMPS 客户机
B 交换机
VMPS 客户机
A 交换机
VMPS 服务器
172.16.0.10
VMPS 数据库
172.16.0.20
地址地址地址地址名字会计名字管理名字工程名字在 B交换机上:
在 C交换机上:
技术提示 不是所有端口都要配置为动态 VLAN。
要验证所有交换机上的 V M P S设置,使用下面的命令:
在 A交换机上:
show vmps mac命令显示整个 V M P S数据库:
show vmps命令显示当前的 V M P S状态,不管交换机是服务器还是客户机:
在 B交换机上:
在 C交换机上:
154 Cisco Catalyst 局域网交换技术 下载
V M P S已经成功地配置完成。
8.12 配置中继如果希望允许多个 V L A N通过单个端口,那么必须在该端口上设置中继。第 4章讨论了在快速以太网和千兆位以太网间建立中继的两种方法。本节将讨论激活中继的命令。
不是所有的端口都能作为中继。可以用 show port capabilities命令检查端口的中继能力。
此命令将显示该端口能作为中继以及它支持哪种封装方法。例如,在 A交换机上安装有带千兆以太网模块的监控机 I I I。
检查监控机 I I I上的两个端口能否作为中继,如果能,它们支持哪些封装方法:
这些端口可以作为中继,并支持 C i s c o的 I S L或 I E E E的 8 0 2,1 Q封装方法。
第 8章 Catalyst 5000系列交换机的高级配置 155下载
156 Cisco Catalyst 局域网交换技术 下载中继端口可以置为 5种不同的中继模式(见表 8 - 3) 。
表中所列的模式似乎有点不常用,尤其在与 1 0 / 1 0 0 M b / s的端口的状态相比较时。对于
1 0 / 1 0 0 M b / s的端口,如果速度设成自动,而且这两个端口都能达到 1 0 0 M b / s,它们就会将自己设置在 1 0 0 M b / s下运行。因为,1 0 0 M b / s明显地要比 1 0 M b / s好。对于中继,没有这么简单的途径。如果两个端口连接在一起并且它们两端都设为自动成为中继,是成为中继好,还是不成为中继好呢?中继可能是不利的连接类型,这说明中继端口可以设置为多种状态。
表 8 - 4给出了两个连接在一起的端口、可能的端口状态和连接结果。
表 8-3 定义的中继状态中 继 模 式 说 明
O n(打开) 本端口以 I S L或 8 0 2,1 Q封装帧
O ff(关闭) 本端口不能作为中继,因此不能封装帧
D e s i r a b l e(需要) 本端口想要成为中继,但除非和它相连的端口能成为中继,它才会成为中继
A u t o(默认) (自动) 该端口不关心它是否为中继,它只做和它相连的端口需要做的事
N o n n e g o t i a t e(非协商) 本端口为中继,但不能随其他端口改变。即其他端口必须打开中继表 8-4 确定是否为中继中 继 模 式 O n O ff D e s i r a b l e A u t o N o n n e g o c i a t e
(需要) (默认) (非协商)
O n 中继 配置错误 中继 中继 中继
O ff 配置错误 非中继 非中继 非中继 配置错误
D e s i r a b l e 中继 非中继 中继 中继 中继
A u t o(自动默认) 中继 非中继 中继 非中继配置错误 中继 配置错误 中继 配置错误 中继
N o n n e g o c i a t e
(非协商 )
表 8-5 Cisco的 I S L或 I E E E的 8 0 2,1 Q
中 继 模 式 I S L 8 0 2,1 Q 自动协商(默认值)
I S L I S L 非中继 I S L
8 0 2,1 Q 非中继 8 0 2,1 Q 8 0 2,1 Q
A u t o - n e g o t i a t e(默认) I S L 8 0 2,1 Q I S L
在中继到 C i s c o路由器时,应该使用非自动协商状态。是否形成中继的协商是没有必要的,
因为必须将路由器手工配置为中继,使之成为中继。对于快速以太网和千兆位快速以太网端口,它们支持 C i s c o的 I S L封装和 I E E E的 8 0 2,1 Q封装,封装方法可以指定。在默认状态下,封装方法设置为自动。表 8 - 5给出了中继封装的可能设置和这些设置的结果。
技术提示 如果端口的中继封装方法设为自动,它的中继状态也必须设为自动。当中继封装方法设为自动时,企图去设置它的状态,会出现如下错误:
使用 set trunk命令设置能够作为中继的端口:
Switch_A> (enable) set trunk [模块号/端口号 ] [on | off | desirable | auto | nonn-
egotiate] [中继封装方法 ]
例如,A交换机的 1 / 1端口与 B交换机的 2 / 4 9端口相连(见图 8 - 1 6) 。使用下列命令设置 A交换机与 B交换机的中继:
图 8-16 设置 ISL中继一旦交换机的端口启动中继,和它相连的 B交换机上的端口将自动转换为 I S L中继。在控制台屏幕上会显示一条信息,该信息表明端口已经成为中继。
可以使用 show trunk命令查看中继:
端口 1 / 1已成为中继。不必在 B交换机上进行任何修改。但是,必须注意的是设置中继最危险的部分。在 A交换机和 B交换机之间的中继打开后,一个交换机上的 V L A N列表将覆盖另一个的 V L A N列表。在打开中继之前,必须确保在两个交换机上的 V L A N列表是一致的。因为如果 V L A N列表不一致,一些端口可能置于非活动状态,用户会失去连接。
将封装方法更改为 8 0 2,1 Q:
第 8章 Catalyst 5000系列交换机的高级配置 157下载
A交换机
172.16.0.10
B 交换机
172.16.0.11
1/1 2/49
ISL 中继线
B交换机的 2 / 4 9端口处于自动协商中继状态,这很容易进行修改,因为只需对中继的一端做改动。
但是,如果 B交换机的 2 / 4 9端口没有设置为自动协商中继,那么必须对中继的两端做改动。
正因为这一点,我喜欢检验两个 V L A N列表是否已经同步。可以使用 show vlan命令进行检验。该命令前面讲过:
158 Cisco Catalyst 局域网交换技术 下载技术提示 在本例中,A交换机和 B交换机都有各自的 V L A N列表,但我发现,有时
V T P更新数据通过了中继,但是 V L A N并不同步。这个问题可以简单地通过在交换机上创建 VLAN加以解决。这将引起一个 VTP更新,使 VLAN同步。
警告 如果使用安全管理域,在设置中继时,应确保在两个交换机上 VTP设置都是正确的。换句话说,检验在 set vtp命令中使用的密码。它们是区分大小写的!
要检验交换机在新的中继上交换 V T P更新数据,使用 show vtp domain命令:
在 A交换机上:
在 B交换机上:
第 8章 Catalyst 5000系列交换机的高级配置 159下载
V L A N数目相同,它表明 V L A N列表是一致的。 V T P域名相同。
8.13 配置快速以太通道和千兆以太通道在图 8 - 1 6中,A交换机和 B交换机之间由一个千兆以太网相连。如果此连接为快速以太网,
那么就有必要将多个端口捆绑在一起,以增加交换机之间的带宽。
在两个交换机上,将成为同一通道的一部分的端口必须设置为相同的参数。它们必须在同一个 V L A N中,并且必须拥有相同的 S T P参数,即端口优先级和端口成本。
使用 set port channel命令设置快速以太通道。该命令的正确语法是:
Switch_B> (enable) set port channel [将作为通道的端口 ] [on | off | desirable | auto]
例如,将 A交换机上的 1 / 1和 1 / 2端口设置为通向 B交换机上的 2 / 4 9和 2 / 5 0端口的快速以太通道:
在 A交换机上:
在 B交换机上:
使用 show port channel命令检验通道的建立和运行状况:
技术提示 当以快速以太通道作为中继时,在打开中继之前关闭端口,在打开中继后再重新打开端口是很有用的。
8.14 配置端口协议过滤在 C a t a l y s t交换机上,对于安全端口有几个不同的选项可供选择。根据协议或 M A C地址过滤通信量。基于协议的协议过滤器将通信量限制在一个特定端口。这个功能在 I P和 I P X都在运行的环境中特别有用。设置仅为 I P的工作站不必接收 I P X广播。这将减少用于有效传播的带宽总量,并提高 C P U的利用率。协议过滤器可以阻止 I P X通信向仅为 I P的工作站传送。
在使用协议过滤时,信息包分为 4种:
1) IP信息包。
2 ) I P X信息包。
3) Appletalk,D E C n e t和 Banyan Vi n e s信息包。
4) 其他。
注意 在 Catalyst 4000和 2948G系列交换机上,Banyan Vines信息包被划分在“其他”类
160 Cisco Catalyst 局域网交换技术 下载别中。
支持协议过滤的端口可将组中的每一个设为三种状态之一(见表 8 - 6) 。
表 8-6 协议过滤组的模式模 式 说 明
O n 来 来自本组的通信量将传送出端口
O ff 来 来自本组的通信不能传送出端口
A u t o 来 除非接收到来自本组的通信,否则通信不会转发出本端口。 I P X组设为自动模式的端口,直到接收到 I P X通信才能转发 I P X通信。
在任意一个端口启用协议过滤之前,必须首先使用 set protocolfilter命令启动交换机:
技术提示 协议过滤是一个相对较新的功能。并不是所有的 Catalyst交换机都支持它。
在交换机上启用协议过滤后,端口可能使它们的组指定为三种模式之一:
Switch_B> (enable) set port protocol [模块号/端口号 ] [ip | ipx | group] [on | off
| auto]
例如,只允许 B交换机的 2 / 1 - 1 2端口的 I P传输:
警告 不要将你远程登录端口的 IP组协议过滤设置为自动模式。你会失去连接,其时间长短不能确定。
检查是否正确配置了端口过滤:
第 8章 Catalyst 5000系列交换机的高级配置 161下载
162 Cisco Catalyst 局域网交换技术 下载
8.15 配置端口安全性
C a t a l y s t交换机的另一个可用的过滤技术为安全端口过滤。安全端口过滤在安全端口上只允许接收来自一个特定 M A C地址的帧。这个 M A C地址可以指定或动态地确定。如果在安全端口上探测到源自无效源 M A C地址的帧,端口将关闭。
安全端口过滤使网络管理员可以严格控制哪些工作站可以连接到交换机。这个功能对于关心谁会连接到交换机端口的组织非常有用。以我个人的经验,这种实例很少,通常只能在军方见到。因为这项功能而使管理员头疼的事件屡见不鲜。
技术提示 安全端口过滤只允许唯一一个 M A C地址对于端口是安全的。因此,如果集线器连接到了交换机的安全端口,那么仅有一个工作站可以通过交换机进行访问。
锁定到端口的 M A C地址可以手工设定或动态确定。如果端口被设为自动确定锁定的 M A C
地址,它会取得它在该端口上所见到的第一个源 M A C地址。这个地址存储于 N V R A M中,即使交换机重新启动,该 M A C地址也会锁定到该端口。
设置安全端口过滤:
Switch_B> (enable) set port security [模块号/端口号 ] [enable | disable] [MAC地址 ]
如果未指定 M A C地址,端口将接收到的源 M A C地址自动锁定到该端口。
例如,要设置 B交换机的 2 / 2端口自动锁定接收到的第 1帧的源 M A C地址,输入如下命令:
可以使用 show port security命令检查取得的 M A C地址:
8.16 使用侦错器当查找带有交换机的网络的错误时,使用一般的协议分析器或信息包分析器很困难,因为交换机不像集线器,它并不将所有的通信发送出所有端口。如果信息包分析器直接插入交换机,它只能监测到广播和多播信息。通常这对目前的问题没有帮助。
端口镜像( port mirroring)或测量( s p a n n i n g)是 C a t a l y s t交换机将它的端口所见到的所有通信镜像到一个端口的能力。这个端口被称为测量端口。但是这个端口和生成树协议( S T P)
没有任何关系。它仅用于必须捕获用作查找错误或网络管理的帧。
C a t a l y s t交换机允许来自 V L A N一个端口、多个端口或者所有端口的通信被镜像。测量端口有一个与之相连的信息包分析器,它捕获这些帧。
使用 set span命令将帧镜像到测量端口:
Switch_B> (enable) set span [源 ] [测量端口 ] [rx | tx | both]
源可能是单个端口、多个端口或 V L A N号。如果指定的是 V L A N号,那么所有 V L A N通信将被转发到测量端口。 [rx | tx | both]是可选的;如果不指定方向,默认值是 b o t h。
例如,将帧从 2 / 3端口镜像到 2 / 2端口:
将帧从 2 / 3 - 1 2端口镜像到 2 / 2端口:
将帧从 VLAN 10镜像到 2 / 2端口:
检查当前的测量设置:
8.17 控制广播
C a t a l y s t交换机可以设置为将所收到的广播信息总量控制在一个端口。这有助于防止底板上的广播通信量超出负荷。广播通信量可以被限制为在每 1秒内全部通信量的百分数或 1秒内接收到的广播包的数目。一旦达到设置值,在那 1秒间隔的剩余时间内,该端口不再接收广播包。
技术提示 广播控制随模块的变化而变化。 一些线卡不允许单个端口被设置为广播控制。
相反,线模块的所有端口必须配置为广播控制。一些线模块不支持以每秒钟的广播包数表示的广播压缩。你必须确定交换机支持的广播控制类型。
使用下列命令以全部通信量的百分数来限制广播通信数量:
Switch_A> (enable) set port broadcast [模块号/端口号 ] [收到通信量的百分数 ]
例如,将端口 2 / 1 - 1 2的广播数限制在总通信量的 5 0 %以下:
第 8章 Catalyst 5000系列交换机的高级配置 163下载这个线模块 1不能只限制 3 / 1 - 1 2端口;线卡上的所有端口设置为限制广播通信量(请参看前面的技术技巧) 。
将端口 3 / 1 - 1 2的广播通信限制在每秒 5 0 0个广播包:
当广播通信以每秒的广播数进行限制时,线模块可以对每个端口接收不同的值。注意,
端口 3 / 1 - 1 2有广播限制,但端口 3 / 1 3 - 2 4没有。
检验广播限制:
164 Cisco Catalyst 局域网交换技术 下载
8.18 使用 CAM表有时,阅读 Catalyst 交换机的网桥表是有益的。这个表称为 C A M( content addressable
m e m o r y,内容可寻址存储器)表。 C a t a l y s t交换机上有个命令可以操纵和查看它。
set cam命令向交换机的 C A M表添加条目。这些条目可以是单点传送或多点传送条目。当第 2层多点传送非常频繁地使用时,它变得非常有用。在默认状态下,交换机将多点传送信息发送出所有端口,就像对待广播一样。使用 set cam命令,这些多点传送信息可以被镜像到需要多点传送的那些端口。
set cam命令的语法如下:
Switch_A> (enable)set cam [dynamic | static | permanent] [MAC地址 ] [模块/端口 ]
[ V L A N ]
技术提示 指定的所有端口必须处于同一 VLAN。
存放于 C A M表中的条目可以暂时存在那里,换句话说,可以独立于正常进程。在默认状态下,动态获得的条目可以在表中存 5分钟。如果 5分钟不使用,条目就被删除。使用
,d y n a m i c”选项临时向 C A M表添加条目。使用,s t a t i c”选项向 C A M表添加条目,直到交换机重新引导。使用,p e r m a n e n t”选项向 C A M表永久地添加条目。 M A C地址将成为目标 M A C
地址。如果帧向特定的 M A C地址发送,它将会转发到特定端口。
向 C A M表添加条目,直到下一次重新引导。其单点传送地址为 0 1 - 0 0 - 1 2 - 11 - 11 - 11,目标端口为 3 / 3,3 / 5,3 / 7和 3 / 1 2。可以使用下面的命令:
永久的将目标 M A C地址 A A - A A - 0 3 - 2 2 - 3 3 - 4 4映射到端口 3 / 11:
可以使用 show cam命令查看 C A M表:
系统将显示通过交换机输入到 C A M表中的地址:
第 8章 Catalyst 5000系列交换机的高级配置 165下载查看永久条目:
查看静态条目:
查看 C A M中的动态条目:
技术提示 动态 C A M表是获得的 M A C地址。查找错误时,检查这个表是否正确是一个好方法。
在默认状态下,位于 C A M表的动态部分在五分钟后会超时,这一点前面已提到过。该值可以通过 set cam agingtime命令进行修改。
将动态 C A M表的超时时间延长到 1 0秒钟,使用下列命令:
必须指定一个 V L A N。在本例中,本人指定了所有 V L A N,但这并不是必须的,V L A N可以设置成不同的超时时间。
8.19 使用外部路由器路由 VLAN
要设置外部路由器来路由多个 V L A N,需要配置子接口。每个需要路由的 V L A N必须单独配置子接口。路由器必须拥有 Cisco IOS版本 11,1 ( 2 )。
166 Cisco Catalyst 局域网交换技术 下载第 8章 Catalyst 5000系列交换机的高级配置 167下载图 8 - 1 7显示了与两个 V L A N的 Catalyst 5000交换机直接相连的 Cisco 4500路由器。
要设置路由器为 VLAN 10和 2 0路由,需要像下面一样在 4 5 0 0上建立两个子接口:
图 8-17 VLAN的外部路由器子接口的数目可以是 1到 6 5 5 3 5之间的任意值。但是,在单个接口上只能配置 2 5 5个子接口。
encapsulation isl命令确定了指定到子接口的 V L A N及使用的中继方法。如果中继封装方法是
IEEE 802.1Q,应该使用 encapsulation dotlq 20命令。
单臂路由器中继线快速以太网 0
VLAN 20
172.16.20.0
255.255.255.0
VLAN 10
172.16.10.0
255.255.255.0
8.20 配置路由器交换机模块
C a t a l y s t路由器交换机模块( R S M)是经过修改的路由器交换机处理器( R S P) 。它运行自己的操作系统版本。该操作系统为真正的 Cisco IOS。设置 R S M使用与设置 C i s c o路由器相同的命令。唯一的区别是 R S M没有实接口,而有虚接口,称为 V L A N接口。设置这些 V L A N接口与在正常的外部路由器上的接口设置相同。
图 8 - 1 8显示了一个在其底盘上装有 R S M的 C a t a l y s t交换机。设置与图 8 - 1 7中的相同,只是现在使用 R S M在 V L A N间路由。
图 8-18 RSM
对于在 VLAN 10和 VLAN 20之间路由的 R S M,在它的接口上应有如下设置:
如果是外部路由器,R S M应当通常进行处理。它只对底板有较高速度的连接,并使用
V L A N接口代替子接口。
8.21 定义多层交换多层或第 3层交换是交换机模仿路由器功能的能力。我使用“模仿”一词是因为定义 多层交换( M L S)或第 3层交换实际上并不像路由器一样在路由表中寻找路由路径。
图 8 - 1 9显示了与路由器相连的交换机。该交换机有 2个 V L A N,路由器表现为“单臂路由器” 。
168 Cisco Catalyst 局域网交换技术 下载
Catalyst 路由器交换机模块
VLAN 20
172.16.20.0
255.255.255.0
VLAN 10
172.16.10.0
255.255.255.0
图 8-19 单臂路由图 8-20 帧首先传送到交换机第 8章 Catalyst 5000系列交换机的高级配置 169下载中继线
VLAN 20
172.16.20.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
VLAN 10
172.16.10.0
255.255.255.0
VLAN 10
172.16.10.0
255.255.255.0
站 A
172.16.10.11
站 B
172.16.20.23
站 B
172.16.20.23
站 A
172.16.10.11
A的 M A C 路由器的 MAC 1 7 2,1 6,1 0,11 1 7 2,1 6,2 0,2 3
170 Cisco Catalyst 局域网交换技术 下载当站点 A向站点 B传送信息时,帧从站点 A传送到交换机。该帧包含路由器的目标 M A C地址和站点 A的源 M A C地址。封装的信息包包含源 I P地址 1 7 2,1 6,1,11和目标 I P地址 1 7 2,1 6,2,2 3
(见图 8 - 2 0) 。
带有封装信息包的帧将传送到交换机,该交换机在将该帧标记为识别出该帧属于 V L A N
1 0后,将该帧发送出去(见图 8 - 2 1) 。
图 8-21 然后将帧传送到路由器当路由器接收到该帧时,它读取标识该帧属于 VLAN 10的标记后,封装信息包,并根据目标 I P地址制订路由方案。站点 B在 I P子网 1 7 2,1 6,1,0,因此该信息包需要送回到交换机。然后路由器封装该帧,只有这时源 M A C地址才是路由器 M A C地址,目标 M A C地址才是站点 B的地址。而且,在该帧传送会交换机之前,路由器将该帧标记为 VLAN 20,表明该帧现在属于
VLAN 20。路由器改变了刚刚提到的三个域如图 8 - 2 2所示(例外情况是用 1消耗 T T L字段并重新计算在 I P信息包的头部的总和检验) 。
VLAN 10 A的 MAC 路由器的 MAC 172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
图 8-22 路由器更改帧和标记然后,交换机接收到该帧,读取标记和目标 M A C地址,最终将该帧发送到站点 B(图
8 - 2 3) 。
该帧必须在路由器和交换机之间的中继线上旅行 2次。路由器必须根据它的路由表做出路由方案。还记住第 1章中我们把路由器的这种情况称为慢或者高度延迟。 M L S或第 3层交换赋予交换机与路由器以同一种方式更改帧的能力。它不必在路由表中查找目标或在中继间两次传送帧。
交换机将取得流中第一帧的前后“图像” 。流可以定义为来自一个特定主机,去另一个特定主机,又特定用途的通信。 C i s c o把流定义为“在特定的拥有相同的协议和传输层信息的源和目标之间单向连续传输的信息包。从客户机到服务器和从服务器到客户机间的通信是分开的流。例如,从特定源到特定目标间的 Te l n e t通信和从同一源到同一目标间的 File Tr a n s f e r
P r o t o c o l( F T P)是分离的流 [还有很多内容 ]前面的图显示了从站点 A到站点 B的流。如果第 8章 Catalyst 5000系列交换机的高级配置 171下载
VLAN 20 B的 MAC路由器的 MAC 172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
路上器更改这三个字数已设置了 M L S,站点 A和站点 B之间的第一帧将采用图中所示的路径 [在图 8 - 1 8到图 8 - 2 2 ]。但是,接下来每个帧将被 C a t a l y s t交换机交换为第 3层” (引自 C i s c o在线连接 h t t p,/ / w w w,c i s c o
.com/univercd/cc/td/doc/product/lan/cat5000/rel_4_5/config/ mls.htm) 。
图 8-23 将帧转发至其最终目的地图 8 - 2 4显示了除路由器和交换机设置为运行 M L S外,具有相同的配置。流中的第一帧已经遵循图 8 - 1 8到 8 - 2 2中所示的路径。 C a t a l y s t交换机也得到了前后图像。
当交换机 A传送流中的第二帧时,交换机识别出目标 M A C地址作为路由器 M A C地址,并检查 M L S缓存(见图 8 - 2 5) 。
当头部与 M L S中的一致时,交换机不是将该帧发送到路由器,而是将头部更改为 M L S缓存中的图像。 C i s c o称这一步骤为信息包重写。在图 8 - 1 8到图 8 - 2 2中有变化的所有字段,包括
T T L和 I P总量检查,在信息包重写过程中都会改变(见图 8 - 2 6) 。
帧不必经过路由器就到达了目的地,这将大大增强其性能。
172 Cisco Catalyst 局域网交换技术 下载
B的 MAC路由器的 MAC 172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
图 8-24 启用多层交换交换机上有三种 M L S操作模式 — 目标 - I P模式、源 -目标 - I P模式和 I P -流模式。这些模式将决定在流形成后需要检查哪些字段。如果将 M L S配置为目标 - I P模式,只检查目标 I P地址,
查看在 M L S缓存中相匹配的 I P地址。源 -目标 - I P模式检查源和目标 I P地址。 I P -流模式不仅检查源和目标 I P地址,而且检查栈堆头部源和目标端口数目。操作模式决定于路由器上是否配置了访问列表以及使用的是哪种类型的访问列表(见表 8 - 7) 。
在大多数情况下,监控机 I I I对帧作实际的更改或信息包重写。但是如果使用的是 C a t a l y s t
W S - X 5 2 2 5 R或 W S - X 5 2 0 1 R,帧可以在本地线模块上更改,以进一步提高性能。
关于 M L S和第 3层交换通常的错误概念是它代替了路由器的需求。这是完全错误的。路由第 8章 Catalyst 5000系列交换机的高级配置 173下载前后
B的 MAC
B的 MAC路由器的 MAC
路由器的 MAC 172.16.10.11
172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
172.16.20.23
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
174 Cisco Catalyst 局域网交换技术 下载器必须路由所有流的第一帧; M L S只能在第 3层上交换流后面的帧。
图 8-25 交换机识别流另一个通常的错误概念是 M L S或第 3层交换会阻止访问列表起作用。这也不全对。既然流的第一帧必须经过路由器,假设配置了访问列表,那么就不会有“后”图像。但流建立之后怎样添加访问列表呢? M L S在交换机和路由器之间使用特殊的议 — Multi-Layer Switching
P r o t o c o l( M L S P,多层交换协议) 。通过这一协议路由器才能针对一特定流更新交换机。当配置为 M L S P的路由器接口上的访问列表添加或修改时,会向第 3层交换机发送信息,更新所有的缓存条目,这样就可以确保所有流的第一帧可以通过访问列表。输入访问表不能置于配置为 M L S的接口上,但输出访问表可以。 N AT( network address translation,网址翻译)接口也不能加入到 M L S。
前后
A的 MAC
A的 MAC
B的 MAC
172.16.10.11
172.16.10.11
172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
172.16.20.23
172.16.20.23
匹配
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
路由器的 MAC
路由器的 MAC
路由器的 MAC
图 8-26 交换机更改帧的极头表 8-7 MLS操作的模式访问表的类型 M L S模式 性 能没有配置访问表 目标 - I P模式 最好标准 I P访问表 源 -目标 - I P模式 较好扩展 I P访问表 I P -流模式 最差
8.22 配置多层交换要配置 M L S,必须使用路由器。路由器可以是外部路由器或 Cisco Catalyst路由器交换机模块( R S M) 。在这两种情况下,路由器上需要的软件版本为 11,3 ( 3 ) Wa 4 ( 4 )或更高版本。该路由器称为 M L S - R P。
第 8章 Catalyst 5000系列交换机的高级配置 175下载前后
A的 M A C
B的 MAC
B的 MAC
172.16.10.11
站 B
172.16.20.23
站 A
172.16.10.11
172.16.20.23
第3层交换
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
路由器的 MAC
路由器的 MAC
路由器的 MAC 172.16.10.11172.16.20.23
172.16.10.11172.16.20.23
实际的第 3层交换机是一个 C a t a l y s t交换机,它装有带 NetFlow Feature Card( N F F C)的监控机 I I I。交换机必须运行 Catalyst IOS版本 4,1 ( 1 )以支持 M L S。第 3层交换机称为 M L S - S E。
图 8 - 2 7显示了图 8 - 1 7中的 Cisco 4500和图 8 - 1 8中的 Catalyst 5000交换机连接在一起。
图 8-27 单臂路由器要配置路由器上的 M L S,采取下列步骤:
1) 启用路由器上的 M L S。使用 mls ip rp命令启用 C i s c o交换机上的 M L S:
2) 定义将要运行 M L S接口的管理域名:
3 ) 连接到 C a t a l y s t交换机接口中的一个必须配置为管理接口。 M L S P信息包将通过该接口进行交换。在本例中,我选择使用快速以太网 0,1 0接口,但它可以是以下接口中的任意一个:
4) 在所有将加入到 M L S的接口上启用 M L S:
176 Cisco Catalyst 局域网交换技术 下载
VLAN 10
172.16.10.0
255.255.255.0
VLAN 20
172.16.20.0
255.255.255.0
中继线
Cisco 4500
第 8章 Catalyst 5000系列交换机的高级配置 177下载
5) 检验是否正确配置了 M L S:
技术提示 将 RSM配置为 MLS-RP,以同样的方法进行。
在配置 C a t a l y s t交换机上的 M L S时,默认配置通常就足够了。在默认状态下,支持 M L S的
C a t a l y s t交换机将启用 M L S。如果 M L S - R P路由器是内部 R S M,交换机将自动通过 M L S P(假设在 R S M上已经设置了 M L S)开始转换。如果使用外部路由器,如图 8 - 2 7所示,必须采取如下步骤在交换机上配置 M L S:
1) 在 C a t a l y s t交换机上启用 M L S(如果未启用 M L S),
2) 指定 M L S - R P的地址:
3) 选择设置 M L S超时时间。在默认状态下,如果条目在 2 5 6秒内不使用,这个条目就会在
M L S缓存中超时。这个值可以设置为 6 4到 1 9 2 0秒之间以 6 4秒递增的值。如果输入的不是 6 4的倍数,交换机将自动舍入到最接近的值:
4)选择设置 M L S快速超时时间。 M L S快速超时时间是在 M L S条目建立后不久就清除
M L S条目的方法。例如,如果一个工作站发出 D N S请求,会产生一个流,并在 M L S缓存中分配条目。但是,工作站不再向 D N S发送其他信息包。如果在一定时间段内不再有信息包,
M L S快速超时将清除表中的条目。在 D N S情况下,条目仅在 M L S缓存中存有快速超时时间,
而不是整个超时时间。这样可以腾出内存,用于更频繁使用的流。表 8 - 8显示了 M L S快速超时时间的两个参数。设置交换机清除 M L S缓存中的所有这些条目,即它们自从建立条目 6 4秒以后,收到的信息包不超过 3次:
表 8-8 MLS快速超时参数参 数 说 明
Ti m e 快 快速超时的秒数
Packet threshold 快 在通常的 M L S超时时间使用之前,M L S缓存中的一个条目可以接纳的最大信息包数目检查超时时间:
5) 检查是否正确启用了 M L S及是否为 M L S - R P正确指定了地址。
在 M L S - R P和 M L S - S E上都设置了 M L S。
M L S是由称为 N e t F l o w交换( NetFlow switching)的 C i s c o交换服务派生而来的。 N e t F l o w
交换支持的大多数功能 M L S都支持。 N e t F l o w交换的主要优点是它记录信息流的能力。使用多种命令,可以查看通信量的详细统计信息。
例如,可以使用 show mls entry命令查看所有已形成的当前的流:
178 Cisco Catalyst 局域网交换技术 下载关于 N e t F l o w交换和可以获得的数据的详细信息,请访问 Cisco Connection Online( C C O)
网站。
8.23 小结现在,你应该会配置和以太网、快速以太网或千兆位快速以太网有关的关于 Catalyst 2900
系列,4 0 0 0系列或 5 0 0 0系列交换机了。本章着重于使用 C a t a l y s t交换机时涉及到的比较高级的概念。
V L A N在管理域内配置,并通过 V T P向整个域传播。 V T P能使 V L A N的配置在整个管理域内保持一致。可以配置 V T P修剪以减少中继线上不必要的通信量。令牌环网 V L A N需要 V T P版本 2。
将端口指定到 V L A N的方法是通过将端口静态地指定到 V L A N或通过使用 V L A N成员策略服务器( V M P S)将它们动态地获得。静态 V L A N易于配置但难以管理,动态 V L A N难以修改但易于管理。
可以通过限制特定协议或特定 M A C地址来配置交换机的安全性。若使用信息包分析器和
C a t a l y s t交换机必须配置测量端口。可以通过限制整个通信量的百分比或每秒收到信息包的数量来限制广播。
多层交换( M L S)允许 C a t a l y s t交换机使用有趣的前后图像方法在 V L A N之间交换帧。
M L S可以大大提高网络性能。
8.24 练习题
1) 管理域这一概念的定义是什么?它与自治系统有何相似之处?
2) 活动 V L A N的定义是什么?过渡 V L A N的定义是什么?
3) 在管理域中给 V L A N命名的好处是什么?
4) VTP的目的是什么? V T P与路由器有可比之处吗?如果有,是什么?为什么?
5) 可以将交换机置于哪三种 V T P模式?每种模式允许什么?不允许什么?
6) VTP修剪如何知道何时取消中继端口的通信?
7) 默认的域名是什么?默认的 V T P模式是什么?配置管理域名和 V T P模式的命令是什么?
8) 为什么非安全管理域非常危险?如何克服这一缺点?
9) 在图 8 - 2 8中有几个管理域?标明哪些交换机在哪个管理域中。
10) 在 C a t a l y s t交换机上创建 V L A N的命令的语法是什么?要创建号码为 1 0 0、名称为
m a n a g e m e n t,并拥有 1 5 0 0的 M T U的以太网 V L A N,应该在 C a t a l y s t交换机的 C L I上输入什么命令?
11) 在管理域中创建 V L A N时,为什么不必在所有的交换机上建立 V L A N?
12) 将端口 1 / 1和 1 / 2指定给 VLAN 10,将按口 3 / 1 - 11和 4 / 1指定给 VLAN 20,应该使用什么命令?哪两个命令可以用来检验端口已经正确指定了?
1 3)静态 V L A N的优点和缺点是什么?动态 V L A N的优点和缺点是什么?(不要照抄小结第 8章 Catalyst 5000系列交换机的高级配置 179下载
180 Cisco Catalyst 局域网交换技术 下载中的内容)
14) VLAN成员策略服务器是什么设备?它从何处获取 V M P S数据库?建立的 V M P S数据库是什么文件格式?
15) 当 V M P S数据库不包含某站点的 M A C地址,V M P S数据库中又没有定义“退回”的
V L A N,该站点连接到动态 V L A N端口后会发生什么事情?
16) 显示整个 V M P S数据库的命令是什么?什么命令可以显示当前的 VMPS TFTP设置,例如 I P地址和文件名?
17) 如何知道一个端口支持哪些中继方法?说明中继模式和中继封装方法之间的关系。这种关系与什么相似?(提示:在最后一章中会涉及到)
图 8-28 习题 9使用的图中继线非中继线
1 8)非协商中继状态和关闭中继状态之间有什么区别?理想状态的作用是什么?列出两个端口组成中继线的所有情况。
19) 在端口上配置中继命令的语法是什么?这个语法在什么时候发生改变?
20) 说明使用安全管理域的优缺点。
21) 写出在 C a t a l y s t交换机的 4 / 1 - 4端口上配置快速以太通道的命令。检验快速以太通道是否运行的命令是什么?
22) 端口协议过滤和端口安全之间的区别是什么?并对两者进行说明。
23) 如果使用信息包分析器,为什么必须使用 set span命令?什么端口可以镜像到测量端口?
24) show span命令会显示什么信息?
25) 说明在 C a t a l y s t交换机上控制广播的两种方法。
2 6 ) C A M表是什么?列举可以置于 C A M中的三种类型的条目,并说明它们之间的区别。
2 7)使用外部路由器和 C i s c o路由器交换机模块( R S M)在 V L A N间路由的区别是什么?
28) 说明使用多层交换( M L S)的优点。
29) 哪种 M L S模式会提供最好的性能?配置成在此模式下运行的交换机和路由器如何工作?
3 0 ) 术语 M L S - R P和 M L S - S E指的是什么?
31) 列出 M L S不能应用在接口上的情况。
第 8章 Catalyst 5000系列交换机的高级配置 181下载
