思科Catalyst交换机最佳技术实践

思科Catalyst交换机最佳技术实践技术创新，变革未来什么是最佳实践？经过众多复杂网络环境实践检验的最佳解决方案在统计上覆盖面最广因而风险最低的解决方案通过牺牲一定程度的灵活性换取确定性结果的简单解决方案易于管理的解决方案以及网络运营团队配置的解决方案促进高可用性和高稳定性的解决方案准备工作背景信息主要基于运行IOS软件的Catalyst6500和4500系列交换机大部分信息同时适用于所有Catalyst交换机本文档内容来自于：/cisco/web/support/CN/107/1079/1079581_185.html关于VLAN1所有交换机的端口默认归属于VLAN1，默认所有Trunk链路都包含VLAN1更改VLAN1中包含端口的2个原因：当VLAN1的范围大得足以影响稳定性时需要将VLAN1上的控制平面数据与用户数据分开，以便简化故障排除并减少对CPU影响关于VLAN1（续）CDP、VTP和PAgP更新总是在带有VLAN1标记的中继上转发，即使已将VLAN1从中继清除DTP数据包总是在VLAN1（ISL）或NativeVLAN（Dot1q）中传递在PVST+中，除非VLAN1已经从中继清除，否则会在CSTVLAN1上以untag的格式转发802.1QIEEEBPDU，以便与其他厂商产品互操作关于VLAN1（续）对于所有其他VLAN，将发送CiscoPVST+BPDU并对其进行标记802.1s多生成树(MST)BPDU始终在ISL和802.1Q中继上的VLAN1中发送，即使VLAN1已经从中继清除标准功能关于VTP协议VTP在整个网络范围内管理VLAN的添加、删除和重命名，以维护VLAN配置的一致性服务器上每发生一次更改，VTP配置修订号就加1，然后该表将在整个域中传播您可以将大多数Catalyst交换机配置为在下列任一VTP模式下运行：服务器客户端透明关于VTP协议（续）一台新交换机的VTP初始设置：功能默认值VTPDOMAINNAME空VTP模式ServerVTP版本Version1VTP修剪取决于软件版本IOS软件中的VTP操作VLAN信息分别保存在startup-config和vlan.dat文件中如需备份配置文件，应同时备份vlan.dat文件VTP和扩展VLANextendsystemID用于支持802.1Q标准的4096个VLAN，可节省交换机上MAC地址ID大于1005的VLAN不会通过VTP传播VLAN范围用法是否通过VTP传播？0，4095保留仅供系统使用。您看不到或无法使用这些VLAN。1正常Cisco默认值。您可以使用此VLAN，但是不能删除它。是2-1001正常适用于以太网VLAN。可以创建、使用和删除这些VLAN。是1002-1005正常FDDI和令牌环的Cisco默认值。无法删除VLAN1002-1005。是1006-4094保留仅适用于以太网VLAN。否VTP和扩展VLAN（续）Catalyst6000/6500和Catalyst4000/4500交换机支持1024个或64个MAC地址，具体取决于机箱类型默认情况下，具有1024个MAC地址的Catalyst交换机不启用扩展系统ID，MAC地址按顺序分配默认情况下，具有64个MAC地址的机箱启用扩展系统ID，该功能无法禁用VTP和扩展VLAN（续）对于具有1024个MAC地址的Catalyst系列交换机，启用扩展系统ID能够支持在PVST+下运行的4096个VLAN或16个MISTP实例具有唯一标识符，而不增加交换机上所需的MAC地址的数量扩展系统ID将STP需要的MAC地址数量从每个VLAN或MISTP实例一个减少到每台交换机一个。启用扩展系统ID以有效利用扩展范围VLAN时，需要在同一个STP域内的所有交换机上启用该功能快速以太网自动协商针对任何终端设备，首选自动协商针对以下对象禁用自动协商（保留意见）：支持网络基础架构设备（如交换机和路由器）的端口其他非临时终端系统，例如服务器和打印机自动协商参数中，speed参数具有更高优先级千兆以太网自动协商GE光纤端口自动协商不涉及协商端口速度仅在以下情况禁用自动协商：在与不支持协商的设备连接的交换机端口上因为互操作性问题导致连接问题时GE铜缆端口禁用自动协商后会同时禁用线序检测功能下面接口命令确保启用自动协商功能：nospeed下面接口命令用来禁止自动协商功能：speednonegotiate动态中继协议(DTP)模式功能是否传输DTP帧？最终状态（本地端口）DynamicAuto使端口愿意将链路转换为中继。如果邻接端口设置为on或desirable模式，那么该端口将变成中继端口。是，定期建立中继Trunk将端口置于永久trunking模式，并通过协商把链路转换成中继。该端口成为中继端口，即使其邻接端口不同意此更改。是，定期Trunking，无条件Nonegotiate将端口置于永久trunking模式，但是不允许端口生成DTP帧。必须将邻接端口手动配置为中继端口，才能建立中继链路。这对不支持DTP的设备非常有用。否Trunking，无条件Dynamicdesirable使端口主动尝试将链路转换成中继链路。如果邻接端口设置为on、desirable或auto模式，那么该端口将变成中继端口。是，定期仅当远程模式为on、auto或desirable时，才会最终处于trunking状态。access将端口置于永久non-trunking模式，然后通过协商将链路转换成非中继链路。该端口成为非中继端口，即使其邻接端口不同意此更改。在稳定状态下不会传输，但从on模式更改至其他模式后，会传输通知以加快远程终端检测。非中继802.1Q协议的nativeVLAN问题nativeVLAN不匹配时，可能造成不同VLAN间的主机互相通讯执行下面命令，设置一个虚假VLAN作为nativeVLANSwitch(config)#interfacetypeslot#/port#Switch(config-If)#switchporttrunknativevlan999任何时候，交换机的控制协议流量都通过802.1QTrunk接口中的VLAN1来传递。如果更改nativeVLAN，这些控制帧将带上VLAN1标记802.1Q和ISL执行下面命令，查看交换机接口能够支持的Trunk封装方式showinterfacescapabilities如果交换机不支持ISL协议,则不支持执行下面命令:switchporttrunkencapsulationdot1qCisco建议在两端采用显式中继模式配置dynamicdesirable。此模式是默认模式当连接到CiscoIOS路由器时，Cisco建议关闭DTP协议的发送，即执行接口模式命令:switch(config-if)#switchportnonegotiateSTP协议的Cisco配置建议默认情况下，所有Catalyst交换机均启用STP。任何时候都不应该手工禁止STP协议不要更改计时器，这可能会对稳定性产生负面影响理想情况下，禁止在管理VLAN上传输用户流量请勿过度设计冗余。这可能导致产生过多的阻塞端口，并且会给长期稳定性造成负面影响操控并且确定根功能和阻塞端口所在的位置。记录有关拓扑图的此信息从中继端口修剪不必要的VLAN善用STPportfast特性以太网信道-EtherChannel功能不同硬件平台上使用的帧分配算法是不同的默认情况下，Catalyst3750、Catalyst4500和Catalyst6500/6000系列交换机通过散列源和目标IP地址来执行负载均衡如果大部分数据流是在相同源和目标IP地址之间传输，则可以使用第4层分配以改进负载均衡port-channelload-balancesrc-dst-portNote：上述算法只散列Layer4端口信息而不包含IP地址，Catalyst3750系列交换机不支持Layer4分配可在6500/3750系列交换机上通过CLI界面确定将使用EtherChannel中的哪个接口来转发特定的数据流EtherChannel配置指南和限制交换机所支持的EtherChannel最大数量取决于硬件平台和软件版本在将兼容端口聚合到单个逻辑端口之前，EtherChannel会验证所有物理端口上的端口属性（基于配置检查）推荐先将所有物理端口恢复至默认状态，然后再配置EtherChannel，最后再在逻辑接口上配置所需接口参数L2EtherChannel与STP接口Cost默认情况下，8个GE端口捆绑后，其生成树端口成本比10GE的生成树端口成本低可使用下面命令更改STP接口Cost计算方式spanning-treepathcostmethodlong或使用下面命令手工设置10GE接口的Costspanning-treecostcostEtherChannel的生成树端口成本在端口信道成员链路出现故障后会立即更新（仅IOS），以反映新的可用带宽EtherChannel链路故障处理方式可能的故障：端口被拔掉、GBIC被拔掉、光纤中断EtherChannel对不同故障类型的处理方式不同：逻辑端口最少需要2个物理端口一个物理端口失效会造成逻辑端口被拆除且将重新初始化与生成树有关的原始物理端口在STP完成收敛之前，用户数据可能会被丢弃EtherChannel链路配置建议若要减少Catalyst6500/6000上不必要的拓扑更改，请完成下列建议之一：如果每个模块使用一个端口来形成信道，请使用三个或更多模块（总共为三个）。如果信道跨越两个模块，请在每个模块上使用两个端口（总共为四个）。如果在两个卡之间需要双端口信道，则只使用Supervisor引擎端口。PAgP协议工作模式ModeConfigurableOptionsOn无PAgP，本端永远建立ChannelAuto有PAgP，被动模式Desirable有PAgP，主动模式Non-silentdefaultonCatalyst5500/5000fiberFEandGEports.另一个可选参数，需要检测是否从对端收到数据SilentdefaultonallCatalyst6K/4Kports,aswellas5500/5000copperports.另一个可选参数，无需检测是否从对端收到数据，15S后即加入ChannelL2EtherChannel思科推荐配置配置命令：Switch(config-if)#channel-group

number

modedesirable验证命令：Switch#showruninterfaceport-channelnumberSwitch#showrunning-configinterfacetypeslot#/port#Switch#showinterfacestypeslot#/port#etherchannelSwitch#showetherchannelnumberport-channel开启下面特性防止误配置：Switch(config)#spanning-treeetherchannelguardmisconfig单向通信链路检测特性（UDLD）思科私有属性可用来检测一条链路中是否存在单方向通信的状况可以解决下面可能的故障：监控实际布线配置-将任何布线错误的端口以errDisabled关闭防止单向链路引起的故障-在检测到由于介质或端口/接口故障导致的单向链路时，将受影响的端口以errDisabled关闭。生成相应的syslog消息。此外，UDLD主动模式检查以前视为双向的链路在由于拥塞而变得不可用时不会失去连接。UDLD主动模式在整个链路上执行持续的连接测试。UDLD主动模式的主要目的在于避免在某些正常模式UDLD未能解决的故障情况下出现流量黑洞。UDLD主动模式主动UDLD是专为解决那些需要对双向连接执行持续测试的少数情况而创建：监控实际布线配置-将任何布线错误的端口以errDisabled关闭当UDLDPDU对称丢失并且两端都超时时。在这种情况下，两个端口的状态都不为errdisable。链路的一端出现端口阻塞（Tx和Rx）。链路的一端保持接通状态，而另一端却已经关闭。自动协商或其他第1层故障检测机制已禁用。减少对第1层FEFI机制的依赖是较为理想的方式。需要针对点对点FE/GE链路上的单向链路故障提供最大的防护。特别是在两个邻居之间不允许存在故障的情况下，可将UDLD主动探测视为检测信号，该信号的存在可确保链路正常运行。最常见的情况是为了在自动协商或其他第1层故障检测机制禁用或不可用时，对链路捆绑的某个成员执行连接检查UDLD链路的自动恢复默认情况下，全局禁用Errdisable恢复全局启用后，默认超时时间为300秒在网络的边缘（接入层）部署自动回复特性建议不要在网络核心部分部署自动恢复特性。因为通常有多个入口点进入核心，并且这可能导致问题重复出现路由链路上的UDLD对于使用任何路由协议的第3层路由连接，UDLD正常模式仍可保护其不受初始链路激活时的问题（例如布线错误或硬件故障）的影响UDLD主动模式对第3层路由连接也具有以下优势：防止不必要的流量黑洞（在某些情况下需要最低的计时器）将一个抖动链路置于errdisable状态防止出现第3层EtherChannel配置导致的环路UDLD的思科配置建议在绝大多数情况下，Cisco建议在Cisco交换机之间的所有点对点FE/GE链路上启用UDLD正常模式使用默认802.1D生成树计时器时，将UDLD消息间隔设置为15秒（IOS12.1及更高版本的默认值）。在依赖STP实现冗余和收敛的网络中（这表示拓扑中的一个或多个端口处于STP阻塞状态），请将UDLD与适当的功能和协议一起使用。这些功能包括FEFI、自动协商、环路防护等等。一般情况下，如果启用了自动协商，则不必使用主动模式，因为自动协商可针对第1层的故障检测进行纠正。无STP环路防护时启用UDLD

对于第3层点对点链路或具有无环路STP拓扑（没有阻塞端口）的第2层链路，Cisco建议您在Cisco交换机之间的点对点FE/GE链路上启用主动

UDLD。在这种情况下，消息间隔设置为7秒，并且802.1DSTP使用默认计时器。EtherChannel上的UDLD无论是否已部署STP环路防护，对于任何EtherChannel配置，建议将UDLD主动模式与desirable信道模式一起使用。EtherChannel上的UDLD无论是否已部署STP环路防护，对于任何EtherChannel配置，建议将UDLD主动模式与desirable信道模式一起使用。管理配置网络图的目的清晰的网络图是网络运行的一个基本部分网络图在进行故障排除时非常重要在由于发生中断而向供应商和合作伙伴上报时，网络图也是最为重要的信息交流工具请勿低估网络图提供的准备、就绪和可访问性。三种网络图表整体图表即使对于最大型的网络，显示端到端的物理或逻辑连接性的图表也是非常重要的物理图表－此图显示所有交换机和路由器硬件以及布线。确保该图标记了下列方面中的每一个方面：中继链路速度信道组端口号Slot机箱类型软件VTP域三种网络图表（续）物理图表（续前页）根网桥备份根网桥优先级MAC地址每个VLAN的阻塞端口数逻辑图－此图仅显示第3层功能，这意味着它将路由器显示为对象，将VLAN显示为以太网段。确保该图标记了以下方面：IP地址子网辅助编址活动和备用HSRP接入核心分布层路由信息三种网络图表（续）逻辑图示例交换机管理接口和Native

VLANCatalyst6500/6000系列的Supervisor引擎和MSFC上的处理器将VLAN1用于许多控制和管理协议。示例包括：交换机控制协议：STPBPDUVTPDTPCDP管理协议：SNMPTelnetSecureShell协议(SSH)Syslog小心处理VLAN1以及管理VLAN在使用VLAN1时主要关心的问题是：终端站点产生的大部分广播和多播数据流通常不需要中断Supervisor引擎NMP。多播应用程序特别倾向于在服务器和客户端之间发送大量数据。Supervisor引擎不需要查看此数据。可以限制某接口上用户数据的VLAN1传输以及STP的运行将管理VLAN的直径限制为与用户VLAN一样的路由域结构。考虑将带外管理和/或SSH支持作为增强网络管理安全性的方法。IOS管理接口和NativeVLAN建议使用一个除VLAN1之外的其他VLAN作为管理VLAN将所有用户数据排除在管理VLAN之外在每台交换机上配置一个loopback0接口作为管理接口确保loopbakck接口的IP子网掩码为32位将一个从未启用的虚假VLAN配置为NativeVLAN。Cisco之前推荐使用VLAN999，但用户可以任意选择这个VLAN网络带外管理如果在生产网络周围构建单独的管理基础架构，则可以更有效地提供网络管理。无论驱动的数据流或发生的控制平面事件如何，此设置都可以确保能够远程访问设备。下面是两个典型方法：使用独有的LAN进行带外管理使用终端服务器进行带外管理CiscoSyslog配置建议一般建议使用如下推荐配置：nologgingconsolenologgingmonitor（仅保留console输出）loggingbuffered16384loggingtrapnotifications（默认为debugging）loggingfacilitylocal7LogginghostLoggingsource-interfaceloopback0Servicetimestampslogdatetimelocaltimeshow-timezonemsec同时启用网络中所有GE接口上的链路状态和链路捆绑状态的日志记录。接口syslog配置命令：loggingeventlink-statusloggingeventbundle-status

SNMP功能（Trap和Inform区别）SNMP功能的版本区别SNMPv1和SNMPv2c都使用基于社区形式的安全性。IP地址ACL和口令定义了能够访问代理MIB的管理器社区。SNMPv2c支持包括批量检索机制和向管理站点报告的更详细的错误消息。批量检索机制支持对表和大量信息的检索，这最大程度地减少了所需的往返次数。SNMPv3同时提供了安全模型和安全等级。安全模式是为用户和用户驻留的组设置的身份验证策略。安全等级是安全模型中允许的安全级别。一般SNMP配置：Switch(config)#access-list98permitip_address

Switch(config)#snmp-servercommunityRO-communityro98snmp-servercommunityRW-communityrw98snmp-servercontactGlenRahn(HomeNumber)snmp-serverlocationtext

SNMPTrap配置建议一个SNMPagent可以与多个管理器进行通信。因此可同时配置多个不同版本的SNMPhost请针对正在使用的所有功能启用SNMPtrap。默认全部禁止Switch(config)#snmptrapenableSwitch(config)#snmp-servertrap-sourceloopback0对于关键端口启用端口陷阱。对于其他端口则不一定要启用端口陷阱。要配置端口并启用链路打开/关闭通知，执行以下命令：Switch(config-if)#snmptraplink-status网络时间协议(NTP)NTP会尝试避免与时间可能不准确的计算机同步。NTP通过两种方法实现这一点：NTP不与自身未同步的计算机同步NTP始终比较由几台计算机报告的时间，不与时间显著不同于其他计算机的计算机同步（即使该计算机所处的层较低）NTP关联可以是：对等关联（ntppeer）服务器关联（ntpserver）NTP服务器对等关系服务器会响应客户端请求，但不会尝试合并从客户端时间源获得的任何日期信息。对等体会响应客户端请求，但会尝试将客户端请求用作更好时间源的潜在候选者，并协助保持时钟频率稳定性。为了成为真正的对等体，连接的两端必须加入对等关系，而不是一个用户作为对等体而另一个用户作为服务器。让对等体交换密钥，以便只有可信的主机能够与其他作为对等体的主机交流。在客户端对服务器的请求中，服务器会应答客户端，并会忘记客户端曾经询问过问题。在对对等体的客户端请求中，服务器应答客户端。服务器保存有关客户端的状态信息，以便跟踪客户端在计时方面的情况及它在哪一层服务器上运行。NTP配置的2个重要命令ntpupdate-calendar

clockcalendar-valid交换机建议通用配置vtpdomaindomain_name

vtpmodetransparentspanning-treeportfastbpduguard

spanning-treeetherchannelguardmisconfig

cdprun

noservicepad

servicepassword-encryption

enablesecretpassword

clocktimezoneCCT8clockcalendar-valid

ipsubnet-zero

iphosttftpserveryour_tftp_serveripdomain-namedomain_nameipname-servername_server_ip_addressname-servername_server_ip_addressipclassless

noipdomain-lookupnoiphttpserver

nologgingconsole

nologgingmonitorloggingbuffered16384

loggingtrapnotifications

loggingfacilitylocal7

loggingsyslog_server_ip_address

loggingsyslog_server_ip_address

loggingsource-interfaceloopback0

servicetimestampsdebugdatetimelocaltimeshow-timezonemsec

se