来源:蜘蛛抓取(WebSpider)
时间:2016-03-21 21:08
标签:
udld port
二次元同好交流新大陆
扫码下载App
汇聚2000万达人的兴趣社区下载即送20张免费照片冲印
扫码下载App
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!&&|&&
我是个好人
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
接入层:用来使用户、服务器或边缘设备能够访问网络,可以加入安全、访问控制、过滤管理等内容; 分布层:位于接入层和核心层之间,充当服务和控制的边界; 核心层:以最快的速度交换数据包。 多层交换机: 二层交换机:只能根据MAC地址对数据包进行交换,与传统二层交换机相连的设备必须位于相同的子网,可能具有一些第三、四层的特性,如IGMP、QoS等; 三层交换机:能够使用路由协议根据IP地址制定最优转发决策,可能无法支持BGP; 四层交换机:根据协议会话进行交换,识别各种不同类型的IP数据流,如FTP、NTP、HTTP等,区分流量; 七层交换机:根据数据有效负载中的信息,使用NBAR来放行阻止流量。 Catalyst交换机: 6500系列:13插槽,支持最多16个10GBit以太网接口,支持最高7层特性; 4500系列:10插槽,支持2,3层交换; 和3560系列:48个1Gbit和4个10Gbit接分布层,支持2,3层交换,不支持冗余硬件; 2000系列:48个1Gbit和多个10Gbit接分布层,仅支持2层交换,不支持冗余硬件。 Nexus 7000系列:18个模块,230Gbit; Nexus 系列:低延迟,纯二层。 MLS(多层交换):表示使用ASIC的高级特性如QoS、NAT后,设备仍然能够以线速对数据帧进行路由或交换; 园区网流量类型:网络管理、语音、IP组播、一般数据、清道夫类; 以服务为导向的网络架构(SONA): 网络基础设施层:供客户随时随地连接网络; 交互服务层:为利用网络基础设施的应用和业务流程有效分配资源; 应用层 1.2企业园区网设计 接入层:高可用性(FHRP首跳冗余协议、HSRP热备份路由协议,只有三层交换机才支持)、网络融合、安全性; 分布层: 汇集接入层交换机 为简化起见而分隔接入层 汇总去往接入层的路由 总是用两条链路来连接上游核心层路由器 可以应用数据包过滤、安全特性和QoS特性 核心层: 将位于分布层的交换机同网络的其他部分汇聚到一起; 通过提供冗余的汇集点来实现快速收敛和高可用性; 可以在未来随着分布层和接入层的扩展而扩展; 小型园区网 & 200台终端设备,中型200-1000,大型2000以上; 1.3 使用PPDIOO生命周期法来设计并实施网络 准备Prepare:确定需求 规划Plan:规划目标、设备、用户需求 设计Design:设计作业 实施Implement:建设网络,包括(步骤描述、参考设计文件、详尽的实施准则、预估实施所需的时间) 运营Operate:测试 优化Optimize:主动管理 二、在园区网中实施VLAN 2.1 在园区网中实施VLAN技术 端到端VLAN:各VLAN遍布整个网络的所有位置,在默认情况下,该VLAN的泛洪流量会穿越每一台交换机,排错难度大,可能产生生成树问题; 本地VLAN:VLAN集中在一个区域,与部分交换机关联; 轻松判断数据流 灵活的冗余路径 设计方案扩展性强 有限故障域 普适原则: 每个模块1-3个VLAN 不要使用默认VLAN 1,将语音、数据、管理、Native、黑洞、默认VLAN分开 使用802.1q,对于Trunk,尽量关闭DTP VLAN id:2-1001正常,用于令牌环的默认VLAN,系统使用,正常但VTP不支持 一旦删除VLAN,该VLAN的端口会进入inactive的状态,此时不会转发任何流量 2.2 在Cisco园区网实施链路聚集 接入层交换机与分布层交换机之间相连用Trunk,为了避免环路,一般分布层之间不再连线 当链路需要设置Trunk,可以设为非协商nonegotiate,节省两秒收敛速度 Switchport trunk encapsulation {isl | dot1q | nonegotiate} Switchport trunk native vlan vlan-id Switchport trunk allowed vlan *** 2.3 VTP协议 交换机只在trunk干道传递VTP信息,每5秒通告一次,在没配置VTP和没收到通告的交换机处于"no-management-domain"状态 域名相同、密码、版本号、trunk VTP消息类型: 汇总通告消息(当前VTP域名和配置修订号) 子集通告消息,每条包括一个VLAN信息的列表 通告请求信息 Show vtp counters Vtp pruning VTP剪枝 2.4 pVLAN Show vlan private-vlan 配置 Switch(config)# vlan 10 Switch(config-vlan)# private-vlan {community | isolated | primary} !设置主VLAN和子VLAN Switch(config-vlan)# private-vlan association **** !在主VLAN里面关联子VLAN ID Switch(config-if)# private mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 100 201,202 !设置冗杂端口并添加主次VLAN ID Switch(config-if)# private mode private-vlan host Switch(config-if)# switchport private-vlan host-association 100 201 !设置团体或隔离端口,添加主次VLAN ID 跨越交换机的私用VLAN配置 将端口配置为私用VLAN:switchport private-vlan association trunk 2 201
允许的VLAN:switchport private-vlan trunk allowed vlan vlan-list
配置native vlan:switchport private-vlan trunk native vlan vlan-id
2.5 使用EtherChannel来配置链路聚集 PAgP端口汇聚协议:Cisco特有的,数据包每30秒发送一次协商配置 On-On(默认) Desirable-Auto/Desirable LACP:IEEE标准 On-On(默认) Active/Passive-Active 步骤 指定接口范围 指定协议 Switch(config-if-range)# channel-protocol { PAgP | LACP} 创建port-channel接口(端口号码本地有效):Switch(config-if-range)# channel-group number mode*** 指定参数(IP地址,VLAN等) 验证:show int f0/24 show etherchannel 1 port- show etherchannel summary 流量负载分担 port-channel load-bannace
etherchannel load-balance 三、实施生成树 3.1 生成树协议的演化 在Cisco交换机中,PVST+是在启用VLAN时的默认STP协议 对普通BID,2字节优先权(0-61440),6字节MAC地址;对于PVST,4位优先权,扩展系统ID 12位,6字节MAC地址; spanning-tree portfast default:在access端口启用portfast特性 spanning-tree portfast trunk:在trunk端口启用portfast特性 10Gbit/s 开销为1,1Gbit/s 开销为4,100Mbit/s 开销为19,10Mbit/s 开销为100; 3.4 多生成树MST 同一MST区域:同一区域名称、同一修订号、同一VLAN映射 交换机发送VLAN到实例映射表的摘要、配置修订号和名称,一旦摘要不一样,接收到BPDU端口就位于区域边界 MST的扩展系统ID:网桥优先级(4bit)+ 扩展系统ID(12bit包括MSTI号)+ MAC地址 S 3.5 生成树的增强 BPDU防护:防止交换机设备意外连接到启动Portfast特性的端口,若收到BPDU,端口进入"err-disable",端口关闭(默认是阻塞状态),可以设置超时时间重新启动 全局:spanning-tree portfast edge bpduguard default 接口:spanning-tree bpudguard enable BPDU过滤:限制交换机不向接入端口发送不必要的BPDU,若收到外界的BPDU,则关闭portfast成为转发端口
全局:spanning-tree portfast bpdufilter default 接口:spanning-tree bpdufilter enable BPDU过滤优先级高于BPDU防护 根防护:在所有的接入端口上启用根防护特性,使跟网桥不会通过这些端口建立起来,当不再接收到更优的BPDU时,转为转发状态; Show spanning-tree inconsistentports &&&&!显示不一致根的端口 3.6 避免转发环路和黑洞 环路防护:交换机将在过渡到STP转发状态前执行额外的检查,如果在启动了环路保护特性的非指定端口不能再接收到BPDU,那么交换机就会进入STP不一致状态,而不允许其经历监听、学习状态最终过度到转发状态(如果重新接收到了BPDU,可以恢复转发态) 管理人员应该在阻塞端口、根端口和替代端口上启用环路保护 接口:spanning-tree guard loop 全局:spanning-tree loopguard default 端口取消:no spanning-tree loopguard 验证:show spanning-tree int f0/1 detail 单向链路检测UDLD: UDLD是一个二层协议,它与一层机制协同工作来判断链路的物理状态,自动协商功能将照顾到物理信令和故障检测,UDLD则可以检测邻居身份和关闭连接不当的端口
UDLD使用的MAC地址是01-00-0c-cc-cc-cc,数据包中包括发送端口的设备ID,端口ID,邻居的设备ID和端口ID 积极模式尝试与邻居建立连接关系,在连接8次都失败之后,端口的状态会成为err-disable状态,禁用端口 比较积极端口UDLD和环路保护: 环路防护可以防止由于软件问题所引起的指定端口不能发送BPDU所导致的STP故障 UDLD可以禁用etherchannel的发生故障的端口,环路保护会阻塞所有端口 Flex链路:STP的替代解决方案 Flex链路,备用链路 接口级别: switchport backup interface 3.7 生成树的推荐用法 在网络的分布层和核心层建立三层连接,只有接入层工作在二层,使用等价多路径ECMP
&在分布层交换机之间的二层端口,以及接入层交换机连接到分布交换机的上行链路端口上实施环路防护特性 在面向接入层交换机的分布层交换机端口上配置根防护特性 在从接入层交换机通往分布层交换机的上行链路端口上实施uplinkfast 从接入层到终端的端口启用BPDU防护和根防护、portfast UDLD协议 3.8 STP潜在故障 双工不匹配 单向链路失效 帧破坏 资源错误,CPU负担过大,show process cpu Portfast配置错误 Debug spanning-tree events Logging buffered 四、实施VLAN间路由 4.1 描述VLAN间路由 路由端口、SVI、BVI 路由端口(单臂路由):简单、单点故障、拥塞、延迟 SVI:远快于单臂路由、利用软件、三层交换机较昂贵
BVI:利用硬件更快 4.3 在多层交换环境中实施动态主机配置协议 申请DHCP的步骤: 客户端发送DHCPDISCOVER广播消息寻找服务器(0.0.0.0 255.255.255.255) 服务器发送OFFER信息,提供IP地址,MAC地址,域名以及IP地址的租期,DHCP不能保证IP会留给这个客户端,但是会保留直到有客户端正式请求这个地址 客户端返回正式请求,DHCPREQUEST,广播 服务器单播发给客户端DHCPACK,确认IP地址分配给了客户端 DHCP中继:ip helper-address
进入虚接口配置 在这里注意到一个问题,必须要路由器路由表包含了那个网段,才能分配地址,而且虚接口只能和封装了的路由器子接口连通 CAM表:二层交换机地址表;TCAM表:三态内容寻址存储器,主要用于快速查找ACL、路由等表项。 FIB:转发信息库;AT:邻接关系表 五、在园区网中实施高可用性和冗余性 5.1 理解高可用性 最佳的冗余性: 核心层和分布层部署冗余的交换机以及全互联链路,以此提供最高冗余性和最优收敛时间 接入层交换机与冗余的分布层交换机之间应该部署冗余的连接 5.3 实施网络监测 Syslog: UDP514端口 严重级别: FACILITY-SUBFACILITY-SEVERITY-MNEMONIC: Message-text 特性(硬件类型、协议、软件型号)、严重性(0-7)、助记码、消息文本 Service sequence-numbers:Syslog可以显示序列号 service timestamps [debug | log] [datetime uptime] [localtime | msec | show-timezone | year] 显示时间戳日期和时间 SNMP:UDP、轮询 包含三个元素:网络管理应用(SNMP管理器)、SNMP代理(运行在被管理设备内)、MIB数据库对象 网络管理应用周期性的轮询SNMP代理;代理负责收集并存储设备及自身运作的信息、响应请求、生成陷阱; 代理收集信息后保持在本地的MIB中,团体字符串Community String负责控制设备对MIB的访问 SNMP消息: Get Request:管理应用想代理请求指定MIB变量的值 Get Next Request:请求表格或列表的下一个对象 Set Request:用了设置代理上的一个MIB的变量 Get Response:代理用其来响应管理器发出的请求 Trap:代理用其向管理器主动发出告警 SNMPv1和v2无法提供安全特性,无认证也无加密,v3有三个安全等级(不需认证不加密、认证不加密、认证加密) SLA:Service-Level Agreement IP服务水平协议 sh show ip sla configuration
5.5 实施冗余的Supervisor引擎 RPR:路由处理器冗余性 发生情况:活跃的Supervisor引擎上的RP,SP发生故障,通过CLI手动切换,活跃的Supervisor引擎被拆除,Supervisor引擎之间的时钟同步失败 SSO:状态化故障倒换 5.6 理解FHRP(首跳冗余性协议 FHRP:First hop redundancy protocols HSRP:热备份路由器协议 HSRP:Cisco开发,提供网关的冗余性,无需在子网终端设备上进行任何额外的配置,一组路由器被视为一个虚拟路由器,共享IP地址和MAC地址 HSRP路由器组中的路由使用hello相互通信,224.0.0.2的UDP1985端口,所有路由器都需要建立L2邻接关系 一个HSRP路由器组可以有2台以上的路由器,但只有活跃路由器和备用路由器各一台,其他路由器保持在初始状态,当活跃路由器和备份路由器都发生故障时,其他路由器会竞争活跃路由器和备用路由器 五种状态 初始:还未运行HSRP、启用HSRP的接口第一次进入Up状态 监听:指导虚拟IP地址,但不是活跃或备份路由器,只会监听hello消息 宣告:发送周期性hello,参与竞选 备用,发送周期性hello 活跃,发送周期性hello 优先级,默认100,相同优先级路由IP高的成为活跃 当同时启用了STP和HSRP,必须保证STP根网桥和HSRP活跃路由器相同,不然会出现次优路径(因为某些端口被STP阻塞,无法直接到达HSRP活跃路由器) HSRP配置: Standby group-number ip ip-address&&&&!配置组号和虚拟IP地址 Standby group-number priority value&&&&!配置优先级(抢占和非抢占模式,默认是0,0-255,越高越可能) Standby group-number preempt&&&&!配置抢占模式 Standby group-number authentication ****&&&&!配置认证 standby 150 track Ethernet0&&&&!定义追踪端口 VRRP:虚拟路由器冗余性协议
&HSRPVRRPGLBPCisco 专有IEEE标准Cisco专有最多支持16个组最多支持255个组最多支持1024个组1个活跃路由1个备份多个候选1个活跃若干个备份1个AVG、若干AVF虚拟IP和真实IP不同虚拟IP和真实IP相同虚拟IP地址与AVG和AVF真实IP不同使用224.0.0.2使用224.0.0.18使用224.0.0.102默认计时器:hello3秒,保持时间10秒小于HSRP,默认hello一秒默认和HSRP一样可以追踪接口或对象只可以追踪对象只可以追踪对象使用认证,默认cisco支持明文认证,后取消,但cisco设备可用支持认证、每个AVG/AVF有一个虚拟MAC地址 &VRRP都是抢占的,优先级0-255,255一定是活跃,0一定不活跃,只有主用路由器才发送Hello公告 VRRP转换过程: 公告间隔 主用失效间隔,3*公告间隔+时滞时间 时滞时间 256-(优先级/256) 配置VRRP Vrrp group-number ip virtual-gateway-address Vrrp group-number priority *** GLBP:网关负载分担协议 GLBP AVG活跃虚拟网关、GLBP AVF活跃虚拟转发者 一个GLBP组中最多可以有四个组成员 VRRP和HSRP都只能设定一个门限值,GLBP设定两个门限值,当路由器加权下降到下限时,不再成为AVF,上升到一个较高的门限时,成为AVF 在VLAN跨越多台交换机的环境中,建议管理员选择HSRP作为首跳冗余性协议,选择活跃路由器作为根网桥 5.6 Cisco IOS服务器负载分担 唯一能支持Cisco IOS SLB的Catalyst交换机是Catalyst 6500交换机 配置SLB ip slb serverfarm serverfarm-name&&&&!定义服务器群 real ***&&&&!关联真实服务器地址 inservice&&&&!启用真实服务器群 ip slb vserver vserver-name&&&&!定义虚拟服务器 virtual ip-address net-mask ***&&&&!配置虚拟IP serverfarm 优选服务器 backup 次选服务器 六、保障园区网设备安全 6.1 交换机安全基础 MAC层攻击:MAC地址泛洪 解决方法:端口安全 在必要的端口上阻塞单播泛洪 switchport block {unicast | multicast}
6.2 理解和防御VLAN攻击 交换机端口默认启用自动Auto模式的链路聚集协议,攻击者可以发送恶意DTP帧建立Trunk 使用双层标签实现VLAN跳转攻击
解决方法: 把未使用的端口设置为Access端口,并把他们放人同一个不使用的VLAN中,建立Trunk时设置承载VLAN范围 配置VLAN ACL 6.3 理解和防御欺骗攻击 DHCP欺骗:两方面,一个是DoS,一个是中间人 解决方法: DHCP侦听:把端口分为可信端口和不可信端口,可信端口可以发送任何DHCP消息,不可信端口只能发送请求 可信链路上直连着DHCP服务器,或者是连接DHCP服务器的上行链路 启用 option 82:ip dhcp snooping information option !在转发DHCP请求数据包时插入源端口信息 ARP欺骗攻击(无故ARP) 解决方法: 动态ARP检测协议(DAI) 需先启动DHCP侦听 交换机会拦截不可信端口的所有ARP请求和应答,和原来的映射表进行对比 把所有Access端口设为不可信端口,把连接交换机的端口设置为可信端口 IP欺骗(使用邻居IP地址发送信息) 解决方法: IP源防护(IPSG):在DHCP不可信端口启动IP源防护(也是利用DHCP绑定表) 6.4 保障网络交换机的安全 Telnet漏洞,明文传输,DoS攻击 配置SSH Username *** password *** Ip domail- Crypto key generate rsa Ip ssh version 2 Line vty 0 4 Login local Transport input ssh AAA 认证授权审计 IEEE 802.1x 6.6 性能和连通性排错 SPAN 目的端口不会参与生成树,目的端口不应该连另一台交换机,否则可能产生回路 PSRAN 使用RSPAN VLAN,只要道路中的都有RSPAN VLAN,并配置源和出口,以及Trunk就行 七、在园区网架构中规划高级服务 7.2 理解QoS 网络可以符合IETF(Internet工程任务组)的IntServ(集成服务)模型,也可以满足DiffServ(区分服务)模型 QoS特性包括:流量分类与标记、流量调节、拥塞避免和拥塞管理
QoS服务的三个基本等级: 尽力而为的服务:没有任何保证的标准连接方式,FIFO 集成服务IntServ:严格的预订服务 区分服务DiffServ:统计优先,区分服务可以将通信流分类,然后将它们加入到效率不同的队列 流量分类与标记 DSCP 二层帧使用3个比特来实现分类,0—7,成为Cos,class of service,服务类别 三层IP包头的Tos的前6 bit为DHCP字段,最后2 bit 为ECN,早期拥塞通知,IP优先级为前3 bit QoS信任,将Cos乘以8映射到内部DSCP,不信任端口CoS为0 拥塞管理 FIFO队列 加权轮训队列WRR,Weighted round robin 自定义队列CQ,Custom Queuing 拥塞避免 尾部丢弃:容易抖动,浪费带宽 WRED,加权随机早期检测,在输出缓冲区达到指定的门限值后开始随机的丢弃某些类别的数据包 7.3 在园区网中实施IP组播 组播IP地址的结构224.0.0.0---239.255.255.255 保留的链路本地地址:224.0.0.0---224.0.0.255 全局范围地址:224.0.1.0---238.255.255.255 指定信源组播地址 SSM:232.0.0.0 --- 232.255.255.255
!PIM的一种(S,G) GLOP地址:233.0.0.0 --- 233.255.255.255
!拥有自主系统号的组织静态定义用途 有限范围地址:239.0.0.0 --- 239.255.255.255 &&&&!相当于内部IP,学校、公司内部用 224.0.0.1 所有主机 224.0.0.2 所有路由器 组播MAC地址,前24位 01-00-5E,25为0,IP剩下28位取后23位补齐,32个IP对应一个Mac 反向路径转发RPF 组播转发树:源树、共享树(RP,rendezvous point) 7.3.6 IP组播协议 PIM,protocol independent multicast,协议无关组播 IGMP,internet 组管理协议 PIM密集 PIM-DM PIM稀疏 PIM-SM
阅读(3808)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
在LOFTER的更多文章
loftPermalink:'',
id:'fks_',
blogTitle:'CCNP SWITCH 学习笔记',
blogAbstract:'寒假之前借了SWITCH这本书,行李太多也没带回家去了,电子书看了刺眼,所以直到回校才看。原本以为是介绍数据链路层的一本书,后来才知道是讲园区网的,因为是自学,而且很多PT模拟不了,GNS3开两个路由器CPU就100%了,所以没辙,许多实验做不了,很多知识,像SNMP、SLA、AAA、组播、QoS都没怎么仔细了解。希望以后在Cisco Team或者其他书籍渠道能把NP巩固得更好一些。笔记做得较简略,只能做提纲吧作为备忘,明天开始可以看CCNP Route了。
&一、分析Cisco企业园区架构 1.1 企业园区网设计概述 ',
blogTag:'',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:6,
publishTime:6,
permalink:'blog/static/',
commentCount:1,
mainCommentCount:1,
recommendCount:2,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'我是个好人',
hmcon:'1',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人:
{list a as x}
{if !!b&&b.length>0}
他们还推荐了:
{list b as y}
转载记录:
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}比特客户端
您的位置:
详解大数据
详解大数据
详解大数据
详解大数据
单向链路检测模式消除交换机误诊断
大部分都会有自我诊断的功能。
当交换机或者交换机端口由于某些原因出现故障的时候,都会通过指示灯来告知管理员存在的错误。不过有些时候交换机也会存在误诊断的情况。如交换机的端口明明表示正常,但是用户却反映网络不通。
如果只是普通的用户,问题还不是很大。但是如果这个端口恰巧是用来进行备份的,那么情况就会比较糟。
为了避免这种情况,在实际工作中很多网络管理员采用交换机的UDLD模式来消除交换机的这种误诊断。
一、什么情况下会出现误诊断?
误诊断的情形主要是即使当链路或者交换机的端口指示灯正常的(即端口的状态是UP的),但是接口仍然无法正常传递数据流量。通常情况才将这种错误称之为单向链路。
一般情况下,当出现接口故障、软件故障、硬件失效或者其他异常原因的时候,就会出现这种错误。凭现在的技术手段,交换机还不能够从根本上避免这种错误的发生。
为此只有采取其他的方式,加强对交换机端口的检测,以尽早发现这种错误。在系列的交换机上,就采用了UDLD模式来解决这种情况下的误诊断。
UDLD从理论上来说,其是在第二层工作的协议。不过从实际情况来看,其往往跟第一层的内容有很深的关系。也就是说,UDLD模式不光光在第二层运作,其还会跟第一层的相关机制协同工作,才能够完成。其主要的思路就是UDLD协议运行在第一、二层之间,最终确定链路的实际工作状态。当发现有“链路UP状态正常,但是没有传递流量”的时候,UDLD协议会马上报警。
具体的说,在第一层中通过自动协商功能来观测物理信令等相关的参数运作。而UDLD协议则会完成一些自动协商机制不能够执行的任务。让自动协商发现物理信令有异常的时候,不会自动将端口从UP状态转换为其他状态,从而导致了单向链路的故障。
而UDLD协议能够接受来自自动协商机制传递来的参数,然后再发现故障的时候及时的将交换机端口处于关闭状态。可见,UDLD模式所采用的不只只是一种协议,而是UDLD协议与自动协商机制相互作用的结果。
如果网络管理员要启动UDLD模式的话,那么就必须要同时启用UDLD协议和自动协商机制,在第一层与第二层中通过他们的各司其责、协同工作,来防止物理上或者逻辑上的单向连接,从而从根本上消除交换机的误诊断。
网络管理员需要明白的是,UDLD并不是交换机原有诊断体系的补充,而是一种独立的诊断方法。也就是说,它是从另一个角度对交换机各个端口的运行状态进行自我诊断。两者之间基本上没有冲突或者重叠的地方。在实际工作中,传统的诊断方法与UDLD模式经常是同时使用。
二、合理配置UDLD模式下的各种参数
如果同时启用了UDLD协议与自动协商机制,就启动了UDLD模式,在这种情况下,交换机的某个接口会定期的向邻近的端口发送UDLD协议数据报。在正常情况下,交换机的这个接口会在预定计时器到期之前接收到回应的数据包。如果在这个计时器到期之前,交换机发送UDLD数据包的接口还没有收到回应信息,则UDLD协议就会认为出现了故障,即发生了单向链路的故障(其实更加精确的说,应该是自动协商发现了这个故障并告知了UDLD协议)。当 UDLD知道这种情况后,会马上关闭有问题的交换机接口。
在UDLD配置的时候,首先需要考虑这个计时器。也就是说,将这个时间设置为多少为好。如果时间设置的比较短,不仅会造成不必要的数据流量,而且也有可能因为数据延迟等原因导致无法在合理的时间内接到回应的数据包。
而如果将这个计时器的时间设置的比较长的话,那么就可能无法在短时间内发现问题。要知道,可能一分钟对于用户来说,没有多少感觉。
但是对于数据网络传输来说,这个时间就很长了。默认情况下,这个计时器是15秒。
在实际工作中,网络管理员可能需要根据不同的情况来合理设置这个参数。如需要根据网络的复杂情况、的长短来考虑。
如根据以前的情况,企业可能经常会遇到网络堵塞等情况,而这种堵塞也是暂时的,那么要适当延长这个计时器等等。
笔者的建议是在刚开始的时候可以将这个计时器设置的长一点,然后慢慢的减短。最后得到一个合理的数值。
三、提高端口的适用性
在采用普通接口的情况下,当某个接口因为接收不到UDLD回应消息时,接口就会关闭。这也有一种缺陷。如企业可能会有网络拥塞,如因为临时备份等等导致拥塞等等。此时在发送端可能无法在计时器到期之前收到回应的信息。
那么遇到这种情况时,如果将交换机的端口就设置为关闭,显然就会引起不比要的麻烦。网络管理员希望能够给网络“改错”的机会。
为此在原有UDLD模式的基础上,思科交换机又提出了积极UDLD模式的概念。两个模式的差异主要就在于后者给了网络一个改错的机会。
在积极UDLD模式下,当交换机接口发现无法正常收到UDLD回应信息的时候,并不会马上将这个端口设置为关闭状态,而会继续发送UDLD数据包。通常情况下,UDLD数据包会发送八次。如故发送八次之后仍然无法收到UDLD数据包的话,那么UDLD协议就会将这个端口状态改为Err- disable状态。
如果在这个间断的时间内,发送端口能够收到任何一个回应信息,就会认为是正常的。很显然,如果采用积极UDLD模式,就可能有效的避免因为网络拥塞而导致的误判问题。
采用积极UDLD模式的另外一个原因就是路由黑洞。什么叫做路由黑洞呢?这个定义不怎么好说,笔者就举一个例子。如第3层或者路由接口正在经历单向链路时,此时接口汇保持在UP状态,所以交换机就会继续将流量转换到这个接口。但是最终的结果是数据包将永远达不到远端设备的对应接口之上。这就是路由黑洞的一个简单例子。如果采用传统的UDLD模式,还不能够很好的避免这种情况下。相反,如果采用积极UDLD模式,就可以有效的避免路由黑洞导致的网络故障。
积极的UDLD模式除了在发送信息的次数上比较特殊之外,还有以下两个特殊的地方。
一是当链路的一侧端口发送拥塞时,积极模式的UDLD协议也会将端口设置为Error状态,并显示相关的措施信息。而采用传统UDLD模式对这种情况不会有任何反应。
二是当链路的一侧端口处于UP状态,而另一侧处于Down状态时,如果采用的是积极UDLD模式,则会显示错误信息,并将端口设置为错误状态。而如果采用传统UDLD模式的话,则不会有任何反应。这也正是笔者上面所讲的通过积极UDLD模式来解决上路有黑洞的原因。
四、故障恢复后重新启动交换机接口
无论采用的是传统的UDLD模式,还是采用的是积极的UDLD模式,有一个共同点,即只要将端口设置为Error-disable状态后,即使故障解决了,交换机也无法自动恢复接口。换句话说,当出现这种情况时,网络管理员需要手工恢复接口。一般的做法是,先将端口利用命令shutdown关闭掉,然后再利用命令no shutdown进行启用。
总之,只要交换机支持,就启用UDLD模式,甚至可以启用积极UDLD模式,就可以有效的避免单向链路的误诊情况。特别是采用积极模式的UDLD,那么路由黑洞这个网络难题也可以迎刃而解。
[ 责任编辑:babycorn ]
新经济、新业态环境下,数据量呈…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte
