أفضل الممارسات للمحولات من السلسلة Catalyst 4500/4000 و 5500/5000 و 6500/6000 التي تعمل بنظام التشغيل CatOS للتكوين والإدارة

المقدمة

يناقش هذا وثيقة التنفيذ من cisco مادة حفازة sery مفتاح في شبكتك، تحديدا المادة حفازة 4500/4000، 5500/5000، و 6500/6000 منصة. تتم مناقشة التكوينات والأوامر تحت افتراض أنك تقوم بتشغيل برنامج النشر العام Catalyst OS (CatOS) 6.4(3) أو إصدار أحدث. على الرغم من عرض بعض اعتبارات التصميم، إلا أن هذا المستند لا يغطي التصميم العام للمجمع.

المتطلبات الأساسية

المتطلبات

يفترض هذا وثيقة معرفة مع المادة حفازة 6500 sery أمر مرجع، 7،6.

وعلى الرغم من أنه ترد في جميع أجزاء الوثيقة إشارات إلى مواد عامة متاحة على الإنترنت لإجراء مزيد من القراءة، فإن هذه المراجع هي مراجع أساسية وتعليمية أخرى:

• Cisco ISP Essentials— ميزات IOS الأساسية التي يجب على كل مزود خدمة الإنترنت (ISP) أخذها في الاعتبار.

• إرشادات ربط الأحداث ومراقبة الشبكة من Cisco

• تصميم شبكة مجمع Gigabit - المبادئ والبنية

• Cisco SAFE: مخطط أمان لشبكات المؤسسات

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

معلومات أساسية

تمثل هذه الحلول سنوات من الخبرة الميدانية من مهندسي Cisco الذين يعملون مع العديد من أكبر عملائنا والشبكات المعقدة. وبالتالي، تؤكد هذه الوثيقة على عمليات التهيئة في العالم الواقعي التي تجعل الشبكات ناجحة. تقدم هذه الورقة الحلول التالية:

• حلول لها إحصائيا أوسع تعرض في المجال، وبالتالي أقل المخاطر.

• حلول بسيطة، مع مقايضة بعض المرونة بنتائج محددة.

• حلول تتسم بسهولة الإدارة والتهيئة بواسطة فرق عمليات الشبكة.

• حلول تعمل على تعزيز إمكانية التوفر الفائقة والاستقرار الفائق.

تنقسم هذه الوثيقة إلى الأقسام الأربعة التالية:

• التكوين الأساسي— الميزات المستخدمة بواسطة معظم الشبكات مثل بروتوكول الشجرة المتفرعة (STP) وإنشاء خط الاتصال.

• تكوين الإدارة— اعتبارات التصميم مع مراقبة النظام والأحداث باستخدام بروتوكول إدارة الشبكة البسيط (SNMP) والمراقبة عن بعد (RMON) و syslog وبروتوكول اكتشاف Cisco (CDP) وبروتوكول وقت الشبكة (NTP).

• تكوين الأمان— كلمات المرور وأمان المنفذ والأمان المادي والمصادقة باستخدام TACACS+.

• قائمة إختيار التكوين— ملخص قوالب التكوين المقترحة.

التكوين الأساسي

تتم مناقشة الميزات التي تم نشرها مع غالبية شبكات Catalyst في هذا القسم.

بروتوكولات مستوى التحكم Catalyst

يقدم هذا القسم البروتوكولات التي تعمل بين المحولات تحت العملية العادية. ومن المفيد التوصل إلى فهم أساسي لهذه البروتوكولات في معالجة كل قسم.

مشرف حركة مرور

تتطلب معظم الميزات الممكنة في شبكة Catalyst تعاون محولين أو أكثر، لذلك يجب أن يكون هناك تبادل متحكم لرسائل keepalive، معلمات التكوين، وتغييرات الإدارة. سواء كانت هذه البروتوكولات خاصة من Cisco، مثل CDP، أو قائمة على المعايير، مثل IEEE 802.1d (STP)، فإنها تحتوي جميعها على عناصر مشتركة معينة عند تنفيذها على سلسلة Catalyst.

في إعادة توجيه الإطارات الأساسية، تنشأ إطارات بيانات المستخدم من الأنظمة الطرفية، ولا يتم تغيير عنوان المصدر وعنوان الوجهة الخاص بها في جميع مجالات الطبقة 2 (L2) المحولة. يتم نشر جداول بحث الذاكرة القابلة للتوجيه (CAM) الخاصة بالمحتوى على كل محرك مشرف على المحول بواسطة عملية تعلم عنوان المصدر وتشير إلى منفذ المخرج الذي يجب أن يقوم بإعادة توجيه كل إطار تم تلقيه. إن العنوان يعلم عملية غير كامل (الغاية غير معروف أو الإطار معد إلى بث أو multicast عنوان)، هو أرسلت (فضت) خارج كل ميناء في أن VLAN.

كما يجب أن يتعرف المحول على الإطارات التي يجب تحويلها من خلال النظام والإطارات التي يجب توجيهها إلى وحدة المعالجة المركزية (CPU) الخاصة بالمحول (المعروفة أيضا باسم معالج إدارة الشبكة [NMP]).

يتم إنشاء مستوى التحكم في Catalyst باستخدام الإدخالات الخاصة في جدول CAM الذي يسمى إدخالات النظام لتلقي حركة مرور البيانات وتوجيهها إلى NMP على منفذ محول داخلي. وبالتالي، باستخدام البروتوكولات ذات عناوين MAC الوجهة المعروفة، يمكن فصل حركة مرور مستوى التحكم عن حركة مرور البيانات. قم بإصدار الأمر show cam system على محول لتأكيد هذا، كما هو موضح:

>show cam system

* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
X = Port Security Entry
VLAN  Dest MAC/Route Des    [CoS]  Destination Ports or VCs / [Protocol Type]
----  ------------------    -----  -------------------------------------------
1     00-d0-ff-88-cb-ff  #          1/3

!--- NMP internal port.

1     01-00-0c-cc-cc-cc  #          1/3

!--- CDP and so on.

1     01-00-0c-cc-cc-cd  #          1/3

!--- Cisco STP.

1     01-80-c2-00-00-00  #          1/3

!--- IEEE STP.

1     01-80-c2-00-00-01  #          1/3

!--- IEEE flow control.

1     00-03-6b-51-e1-82 R#          15/1

!--- Multilayer Switch Feature Card (MSFC) router.

...

تحتوي Cisco على نطاق محجوز من عناوين Ethernet MAC والبروتوكول، كما هو موضح. ستتم تغطية كل واحدة لاحقا في هذا المستند. ومع ذلك، يقدم ملخص في هذا الجدول للتيسير.

تستخدم معظم بروتوكولات التحكم من Cisco تضمين IEEE 802.3 SNAP، بما في ذلك LLC 0xAAA03، UI 0x0000C، والذي يمكن رؤيته على تتبع محلل شبكة LAN. تتضمن الخصائص المشتركة الأخرى لهذه البروتوكولات:

• وتفترض هذه البروتوكولات إمكانية الاتصال من نقطة إلى نقطة. لاحظ أن الاستخدام المتعمد لعناوين وجهة البث المتعدد يمكن محولين من الاتصال بشكل شفاف عبر محولات غير Cisco، كأجهزة لا تفهم الإطارات وتعترضها ببساطة تفيدهم. ومع ذلك، يمكن أن تؤدي الاتصالات من نقطة إلى عدة نقاط من خلال البيئات متعددة الموردين إلى سلوك غير متناسق ويجب تجنبها بشكل عام.

• وتنتهي هذه البروتوكولات في موجهات الطبقة 3 (L3)، ولكنها تعمل فقط داخل مجال محول.

• وتتلقى هذه البروتوكولات ترتيب الأولويات على بيانات المستخدم عن طريق معالجة وجدولة الدائرة المتكاملة الخاصة بالتطبيق (ASIC) عند الدخول.

بعد إدخال عناوين وجهة بروتوكول التحكم، يجب أيضا وصف عنوان المصدر للتكامل. تستخدم بروتوكولات المحول عنوان MAC مأخوذ من بنك للعناوين المتاحة التي يوفرها EPROM على الهيكل. قم بإصدار الأمر show module لعرض نطاقات العناوين المتاحة لكل وحدة نمطية عندما تصدر حركة مرور البيانات مثل وحدات بيانات بروتوكول بروتوكول بروتوكول STP (BPDUs) أو إطارات ISL.

>show module

...
Mod MAC-Address(es)                        Hw     Fw         Sw
--- -------------------------------------- ------ ---------- -----------------
1   00-01-c9-da-0c-1e to 00-01-c9-da-0c-1f 2.2    6.1(3)     6.1(1d)
    00-01-c9-da-0c-1c to 00-01-c9-da-0c-1
    00-d0-ff-88-c8-00 to 00-d0-ff-88-cb-ff

!--- MACs for sourcing traffic.

...
VLAN 1

VLAN 1

VLAN 1 له أهمية خاصة في شبكات Catalyst.

دائما ما يستخدم محرك المشرف Catalyst شبكة VLAN الافتراضية، VLAN 1، لوضع علامة على عدد من بروتوكولات التحكم والإدارة عند التوصيل، مثل CDP و VTP و PAgP. شكلت كل ميناء، بما في ذلك الداخلي sc0 قارن، افتراضيا أن يكون عضو من VLAN 1. تحمل كل شنطة VLAN 1 افتراضيا، وفي CatOS برمجية صيغة مبكر من 5،4، لا يمكن أن يمنع مستعمل معطيات في VLAN 1.

تكون هذه التعريفات ضرورية للمساعدة في توضيح بعض المصطلحات المستخدمة بشكل جيد في شبكات Catalyst:

• الإدارة VLAN حيث sc0 يقيم؛ هذا VLAN يستطيع كنت غيرت.

• ال VLAN أهلي طبيعي عينت بما أن ال VLAN أي ميناء يرجع إلى عندما لا trunking، وال untagged VLAN على 802.1Q شنطة. افتراضيا، VLAN 1 ال VLAN أهلي طبيعي.

• أصدرت in order to غيرت ال VLAN أهلي طبيعي، المجموعة vlan vlan-id mod/ميناء أمر.

  ملاحظة: قم بإنشاء شبكة VLAN قبل أن تقوم بتعيينها كشبكة VLAN الأصلية لشنطة.

هذا يتعدد سبب جيد أن ينسق شبكة ويغير السلوك ميناء في VLAN 1:

• عندما يصبح قطر شبكة VLAN 1، مثل أي شبكة VLAN أخرى، كبيرا بما يكفي ليكون خطرا على الاستقرار (وخاصة من منظور بروتوكول الشجرة المتفرعة (STP))، يلزم تشذيبه. وتتم مناقشة هذا الأمر بمزيد من التفاصيل في قسم الإدارة داخل النطاق في هذا المستند.

• يجب الاحتفاظ ببيانات مستوى التحكم على شبكة VLAN رقم 1 منفصلة عن بيانات المستخدم من أجل تبسيط أستكشاف الأخطاء وإصلاحها وزيادة دورات وحدة المعالجة المركزية (CPU) المتوفرة إلى الحد الأقصى.

• يجب تجنب حلقات L2 في شبكة VLAN 1 عندما يتم تصميم شبكات شبكات شبكات شبكات متعددة الطبقات دون بروتوكول الشجرة المتفرعة (STP)، ويظل إنشاء خط الاتصال مطلوبا إلى طبقة الوصول إذا كانت هناك شبكات VLAN متعددة وشبكات IP الفرعية. للقيام بهذا الإجراء، قم بمسح شبكة VLAN رقم 1 يدويا من منافذ خطوط الاتصال.

باختصار، لاحظ هذه المعلومات عن خطوط الاتصال:

• يتم دائما إعادة توجيه تحديثات CDP و VTP و PAgP على خطوط الاتصال باستخدام علامة VLAN رقم 1. هذا هو الحالة even if VLAN 1 يكون مسح من شنطة ولا ال VLAN أهلي طبيعي. إذا تم مسح شبكة VLAN 1 لبيانات المستخدم، فهذا لا يؤثر على حركة مرور بيانات مستوى التحكم التي لا تزال يتم إرسالها باستخدام شبكة VLAN رقم 1.

• على خط اتصال ISL، يتم إرسال حزم DTP على VLAN1. هذا هو الحالة even if VLAN 1 يكون مسح من الشنطة ولم يعد ال VLAN أهلي طبيعي. على خط اتصال 802.1Q، يتم إرسال حزم DTP على شبكة VLAN الأصلية. هذا هو الحالة even if ال VLAN أهلي طبيعي يكون مسحت من الشنطة.

• في PVST+، ال 802.1Q IEEE BPDUs أرسلت untagged على ال شائع يجسر - شجرة VLAN 1 ل interoperability مع بائع آخر، ما لم VLAN 1 يكون أمسح من الشنطة. هذا هو الحالة بغض النظر عن تكوين شبكة VLAN الأصلية. يتم إرسال وحدات بيانات بروتوكول الجسر (BPDUs) PVST+ من Cisco ووضع علامات عليها لجميع الشبكات المحلية الظاهرية (VLANs) الأخرى. راجع قسم بروتوكول الشجرة المتفرعة في هذا المستند للحصول على مزيد من التفاصيل.

• 802.1s يتعدد يجسر - شجرة (MST) BPDUs دائما يرسل على VLAN 1 على كلا من ISL و 802.1Q trunks. هذا يطبق even when VLAN 1 يكون مسح من الشنطة.

• لا يمسح أو يعجز VLAN 1 على شنطة بين MST جسر و PVST+ جسر. غير أن، في حالة أن VLAN 1 معأق، ال MST جسر ينبغي أصبحت جذر in order to كل VLANs أن يتجنب ال MST جسر يضع حده ميناء في الجذر متناقض دولة. ارجع إلى فهم بروتوكول الشجرة المتفرعة المتعددة (802.1s) للحصول على تفاصيل.

التوصيات

in order to أبقيت VLAN في up/up دولة مع ما من زبون أو مضيف يربط في أن VLAN، أنت تحتاج أن يتلقى على الأقل واحد أداة طبيعي يربط في أن VLAN. وإلا، فإن شبكة VLAN لها حالة لأعلى/أسفل. حاليا، هناك ما من أمر أن يضع VLAN قارن up/up عندما هناك ما من ميناء نشط في المفتاح ل أن VLAN.

إن لا يريد أنت أن يربط أداة، ربطت الاسترجاع توصيل في أي ميناء ل أن VLAN. كبديل، جرب كبل توصيل عكسي يربط بين منفذين في شبكة VLAN تلك على المحول نفسه. يفرض هذا طريقة الميناء up. راجع قسم توصيل الاسترجاع في إختبارات الاسترجاع لخطوط T1/56K للحصول على مزيد من المعلومات.

عندما تكون الشبكة متعددة الاستضافة إلى موفري الخدمة، تعمل الشبكة كشبكة عبور بين إثنين من موفري الخدمة. إن ال VLAN رقم يستلم في ربط يحتاج أن يكون ترجمت أو غيرت عندما يمر من واحد خدمة مزود إلى آخر خدمة مزود، هو مستحسن أن يستعمل ال QinQ سمة in order to ترجمت ال VLAN رقم.

بروتوكول قناة الاتصال لشبكة VLAN

قبل أن يخلق أنت VLANs، حددت ال VTP أسلوب أن يكون استعملت في الشبكة. VTP يتيح VLAN تشكيل تغير أن يكون خلقت مركزيا على one or much مفتاح. وتنتشر هذه التغييرات تلقائيا إلى جميع المحولات الأخرى في المجال.

نظرة عامة على العمليات

VTP هو بروتوكول مراسلة L2 يحافظ على اتساق تكوين شبكة VLAN. VTP يدير الإضافة، الحذف، وإعادة تسمية VLANs على أساس على الشبكة. VTP يقلل misconfiguration و تشكيل عدم تناسق أن يستطيع سببت عدة مشكلة، مثل مضاعفة VLAN اسم، VLAN مواصفات غير صحيح VLAN نوع، وأمان انتهاك. ال VLAN قاعدة معطيات مبرد ثنائي ويخزن في NVRAM على VTP نادل بشكل مستقل من التشكيل مبرد.

يتصل بروتوكول VTP بين المحولات التي تستخدم عنوان MAC للبث المتعدد لوجهة الإيثرنت (01-00-0c-cc-cc) ونوع بروتوكول HDLC للتوصيل السريع من Ox2003. هو لا يعمل عبر شنطة ميناء (VTP هو حمولة من isl أو 802.1Q)، لذلك رسالة يستطيع لا أرسلت إلى أن DTP أن جلب الشنطة على الإنترنت.

تتضمن أنواع الرسائل إعلانات الملخص كل خمس دقائق، إعلانات المجموعة الفرعية وإعلانات الطلب عند وجود تغييرات، وتربط عند تمكين تنقيح VTP. VTP تشكيل مراجعة رقم واحد مع كل تغيير على نادل، أي بعد ذلك ينشر الجدول جديد عبر المجال.

إن محات VLAN يكون، ميناء أن كان مرة عضو من أن VLAN يكون وضعت في دولة غير فعال. بالمثل، إن يعجز مفتاح في زبون أسلوب أن يستلم ال VTP VLAN طاولة في جزمة (إما من VTP نادل أو آخر VTP زبون)، كل ميناء في VLANs بخلاف التقصير VLAN 1 يكون أبطلت.

يزود هذا طاولة مقارنة سمة خلاصة ل مختلف VTP أسلوب:

في VTP شفاف أسلوب، VTP تجاهلت تحديث (ال VTP multicast {upper}mac address يكون أزلت من النظام حدبة أن يكون عادة استعملت أن ينتقي تحكم إطار ويوجههم إلى المشرف محرك). بما أن البروتوكول يستعمل عنوان multicast، مفتاح في أسلوب شفاف (أو آخر بائع مفتاح) ببساطة يفيض الإطار إلى آخر cisco مفتاح في المجال.

¹ CatOS برمجية إطلاق 7.1 يقدم الخيار أن يعجز VTP مع إستعمال من الإيقاف أسلوب. في VTP إيقاف أسلوب، يتصرف المفتاح بطريقة أن يكون جدا مماثل إلى ال VTP شفاف أسلوب، except أن الإيقاف أسلوب أيضا يقمع إعادة التوجيه من VTP تحديث.

يقدم هذا الجدول ملخصا للتكوين الأولي:

VTP يتضمن صيغة 2 (VTPv2) هذا المرونة الوظيفية. مهما، ليس هو interoperable مع VTP صيغة 1 (VTPv1):

• دعم Token Ring

• دعم معلومات VTP غير المعروف؛ تقوم المحولات الآن بنشر قيم لا يمكنها تحليلها.

• الوضع الشفاف المعتمد على الإصدار؛ لم يعد الوضع الشفاف يتحقق من اسم المجال. وهذا يمكن دعم أكثر من مجال عبر مجال شفاف.

• نشر رقم الإصدار؛ إذا كان VTPv2 ممكنا على جميع المحولات، يمكن تمكين جميع المحولات من خلال تكوين محول واحد.

راجع فهم بروتوكول إنشاء خط اتصال شبكات VLAN (VTP) وتكوينه للحصول على مزيد من المعلومات.

VTP الإصدار 3

يقدم برنامج CatOS، الإصدار 8.1 دعم VTP صيغة 3 (VTPv3). يوفر VTPv3 تحسينات على الإصدارات الموجودة. تتيح هذه التحسينات ما يلي:

• دعم شبكات VLAN الموسعة

• دعم لإنشاء شبكات VLAN الخاصة والإعلان عنها

• دعم لمثيلات VLAN ومثيلات نشر خريطة MST (والتي يتم دعمها في CatOS الإصدار 8.3)

• تحسين مصادقة الخادم

• الحماية من الإدراج العرضي لقاعدة البيانات "غير الصحيحة" في مجال VTP

• التفاعل مع VTPv1 و VTPv2

• القدرة على التهيئة لكل منفذ

أحد الفروق الرئيسية بين تنفيذ VTPv3 والإصدار الأقدم هو إدخال خادم VTP أساسي. نموذجيا، هناك ينبغي كنت فقط واحد نادل أساسي في VTPv3 مجال، إن لم يكن المجال مقسما. أي تغير أن أنت تجعل إلى ال VTP مجال ينبغي كنت نفذت على ال VTP أساسي نادل in order to استولدت إلى ال VTP مجال. هناك يستطيع كنت يتعدد نادل ضمن VTPv3 مجال، أي يكون أيضا معروف ب نادل ثانوي. عندما يتم تكوين محول ليكون خادما، يصبح المحول خادما ثانويا بشكل افتراضي. يمكن للخادم الثانوي تخزين تكوين المجال ولكن لا يمكنه تعديل التكوين. يمكن أن يصبح الخادم الثانوي الخادم الرئيسي مع عملية إستلام ناجحة من المحول.

تقبل المحولات التي تشغل VTPv3 فقط قاعدة بيانات VTP ذات رقم مراجعة أعلى من الخادم الأساسي الحالي. يختلف هذا عملية كثيرا من VTPv1 و VTPv2، في أي مفتاح يقبل دائما تشكيل علوي من جار في ال نفسه مجال. يزود هذا تغير مع VTPv3 حماية. مفتاح جديد أن يكون قدمت داخل الشبكة مع أعلى VTP مراجعة رقم يستطيع لا overwrite ال VLAN تشكيل من ال domain كامل.

ال VTPv3 أيضا يقدم تحسين إلى كيف ال VTP يعالج كلمة. إن يستعمل أنت ال يخفي كلمة تشكيل خيار in order to شكلت كلمة ك "مخفي"، هذا مادة يقع:

• لا تظهر كلمة المرور في النص العادي في التكوين. يتم حفظ التنسيق السداسي العشري السري لكلمة المرور في التكوين.

• إن يحاول أنت أن يشكل المفتاح كنادل أساسي، أنت حضضت ل الكلمة. إن يطابق كلمة أنت السري كلمة، المفتاح يصبح نادل أساسي، أي يسمح أنت أن يشكل المجال.

ملاحظة: من المهم ملاحظة أن الخادم الأساسي ضروري فقط عندما تحتاج إلى تعديل تكوين VTP لأي مثيل. VTP مجال يستطيع شغلت مع ما من نشط أساسي نادل لأن الخادم ثانوي يضمن إستمرارية التشكيل على reload. تم إنهاء حالة الخادم الأساسي لهذه الأسباب:

• إعادة تحميل محول

• تبديل عالي التوافر بين محركات المشرف النشطة والاحتياطية

• عملية إستلام من خادم آخر

• تغيير في تكوين الوضع

• أي تغيير في تكوين مجال VTP، مثل التغيير في:

  • الإصدار

  • اسم المجال

  • كلمة مرور المجال

VTPv3 أيضا يسمح المفتاح أن يساهم في يتعدد مثال من VTP. في هذه الحالة، ال نفسه مفتاح يستطيع كنت ال VTP نادل لواحد مثيل وزبون لآخر مثال لأن ال VTP أسلوب خاص إلى VTP مثال مختلف. على سبيل المثال، يمكن أن يعمل المحول في وضع شفاف لمثيل MST بينما يتم تكوين المحول في وضع الخادم لمثيل شبكة VLAN.

in order to تفاعل مع VTPv1 و VTPv2، التقصير تصرف في كل صيغة من VTP كان أن الصيغة مبكر من VTP ببساطة يسقط الإصدار جديد تحديث. ما لم ال VTPv1 و VTPv2 مفتاح في أسلوب شفاف، كل VTPv3 تحديث سقطت. من ناحية أخرى، بعد أن تتلقى محولات VTPv3 إطار VTPv1 أو VTPv2 قديم على خط اتصال، تقوم المحولات بتمرير إصدار مصغر من تحديث قاعدة بياناتها إلى محولات VTPv1 و VTPv2. ومع ذلك، فإن تبادل المعلومات هذا أحادي الإتجاه من حيث عدم قبول أي تحديثات من محولات VTPv1 و VTPv2 من قبل محولات VTPv3. على إتصالات خط الاتصال، تستمر محولات VTPv3 في إرسال تحديثات قابلة للخفض بالإضافة إلى تحديثات VTPv3 كاملة لتوفير وجود جيران VTPv2 و VTPv3 عبر منافذ خط الاتصال.

in order to قدمت VTPv3 دعم ل VLANs موسع، غيرت التشكيل من ال VLAN قاعدة معطيات، أي ال VTP يعين 70 بايت لكل VLAN، غيرت. يسمح التغيير بترميز القيم غير الافتراضية فقط، بدلا من نقل الحقول غير المعدلة للبروتوكولات القديمة. بسبب هذا التغيير، دعم 4K VLAN هو حجم قاعدة بيانات VLAN الناتجة.

توصية

هناك ما من توصية خاص على ما إذا أن يستعمل VTP زبون/نادل أسلوب أو VTP أسلوب شفاف. يفضل بعض العملاء سهولة إدارة وضع عميل/خادم VTP على الرغم من بعض الاعتبارات التي تمت الإشارة إليها لاحقا. التوصية هي وجود محولين في وضع الخادم في كل مجال للتكرار، وهما عادة المحولان من طبقة التوزيع. يجب تعيين باقي المحولات في المجال على وضع العميل. عندما يطبق أنت زبون/نادل أسلوب مع الإستعمالمن VTPv2، وضعت في الاعتبار أن أعلى مراجعة رقم يكون دائما مقبول في ال نفسه VTP مجال. إن قدمت مفتاح أن يكون شكلت في إما VTP زبون أو نادل أسلوب داخل ال VTP مجال ويتلقى أعلى مراجعة رقم من ال VTP نادل موجود، هذا overwrite ال VLAN قاعدة معطيات ضمن ال VTP مجال. إذا كان تغيير التكوين غير مقصود وتم حذف شبكات VLAN، فيمكن أن تتسبب الكتابة الفوقية في انقطاع كبير في الشبكة. in order to ضمنت أن زبون أو نادل مفتاح دائما يتلقى تشكيل مراجعة رقم أن يكون أقل من أن يكون من النادل، غيرت الزبون VTP domain name إلى شيء آخر غير الإسم معياري. ثم عد إلى المقياس. يعمل هذا الإجراء على تعيين مراجعة التكوين على العميل إلى 0.

هناك إيجابيات وسلبيات إلى ال VTP قدرة أن يجعل تغير بسهولة على شبكة. تفضل العديد من المؤسسات النهج الحذر لوضع VTP الشفاف لهذه الأسباب:

• وهو يشجع على ممارسة التحكم في التغيير الجيدة، نظرا لأنه يجب إعتبار المتطلب من أجل تعديل شبكة VLAN على منفذ محول أو خط اتصال محول واحد في كل مرة.

• إنه يحد من مخاطر خطأ مسؤول يؤثر على المجال بالكامل، مثل حذف شبكة VLAN بالصدفة.

• لا يوجد خطر من أن مفتاح جديد يقدم داخل الشبكة مع VTP أعلى مراجعة رقم يستطيع overwrite ال domain VLAN تشكيل كامل.

• هو يشجع VLANs أن يكون شذبت من شنطة يركض إلى مفتاح أن لا يتلقى ميناء في أن VLAN. وهذا يجعل إغراق الإطار أكثر كفاءة من حيث عرض النطاق الترددي. يكون التنقيح اليدوي مفيدا أيضا لأنه يقلل قطر الشجرة المتفرعة (راجع قسم DTP في هذا المستند). قبل تنقيح شبكات VLAN غير المستخدمة على شبكات قناة المنفذ، تأكد من تكوين أي منافذ متصلة بهواتف IP كمنافذ وصول مع شبكة VLAN الصوتية.

• ال VLAN مدى موسع في CatOS 6.x و CatOS 7.x، رقم 1025 through 4094، يستطيع فقط كنت شكلت بهذه الطريقة. ل كثير معلومة، رأيت ال VLAN موسع و {upper}mac address خفض قسم من هذا وثيقة.

• VTP شفاف ساندت أسلوب في حرم جامعي مدير 3.1، جزء من cisco Works 2000. أزلت الحصر قديم أن يتطلب على الأقل واحد نادل في VTP مجال.

ملاحظة: يؤدي تحديد شبكات VLAN باستخدام الأمر set إلى إضافة شبكات VLAN فقط ولا يقوم بمسحها. على سبيل المثال، لا يقوم الأمر set trunk x/y 1-10 بتعيين القائمة المسموح بها على شبكات VLAN فقط 1-10. قم بإصدار الأمر clear trunk x/y 11-1005 لتحقيق النتيجة المطلوبة.

على الرغم من أن تحويل حلقة الرمز المميز خارج نطاق هذا المستند، لاحظ أن وضع VTP الشفاف غير مستحسن لشبكات TR-ISL. الأساس لتحويل Token Ring هو أن المجال بأكمله يشكل جسر متعدد المنافذ موزع واحد، لذلك يجب أن يحتوي كل محول على معلومات شبكة VLAN نفسها.

خيارات أخرى

VTPv2 هو متطلب في بيئات حلقة الرمز المميز، حيث يوصى بشدة بوضع العميل/الخادم.

يوفر VTPv3 القدرة على تنفيذ مصادقة أكثر صرامة والتحكم في مراجعة التكوين. توفر VTPv3 بشكل أساسي نفس مستوى الوظائف، لكن مع المزيد من الأمان المحسن، مثل VTPv1/VTPv2 الذي يقدمه الوضع الشفاف. in addition، VTPv3 متوافق جزئيا مع القديم VTP صيغة.

تمت الدعوة في هذا المستند إلى فوائد تقسيم شبكات VLAN للحد من فيضان الإطارات غير الضروري. المجموعة vtp pruning enable يقضب أمر VLANs تلقائيا، أي يوقف فيض غير فعال من الإطارات حيث هم ليسوا بحاجة. وعلى عكس تنقية الشبكة المحلية الظاهرية (VLAN) اليدوية، لا يحد التشذيب التلقائي من قطر الشجرة المتفرعة.

من CatOS 5،1، المادة حفازة مفتاح يستطيع عينت 802.1Q VLAN رقم أكبر من 1000 إلى isl VLAN رقم. في CatOS 6.x، مادة حفازة 6500/6000 مفتاح دعم 4096 VLANs طبقا ال IEEE 802.1Q قياسي. يتم تنظيم شبكات VLAN هذه في هذه النطاقات الثلاثة، ويتم نشر بعضها فقط إلى محولات أخرى في الشبكة باستخدام VTP:

• شبكات VLAN العادية النطاق: 1-1001

• شبكات VLAN الممتدة: من 1025 إلى 4094 (يمكن نشرها فقط بواسطة VTPv3)

• شبكات محلية ظاهرية VLAN ذات نطاق محجوز: 0 و 1002—1024 و 4095

أنتج IEEE بنية مستندة إلى المعايير من أجل تحقيق نتائج مماثلة مثل VTP. كعضو في بروتوكول تسجيل السمات العامة (GARP) وفقا لمعيار 802.1Q، يسمح بروتوكول التسجيل لشبكة VLAN العامة (GVRP) بالتوافق مع إدارة شبكة VLAN بين الموردين، ولكنه يقع خارج نطاق هذا المستند.

ملاحظة: CatOS 7.x يقدم الخيار أن يثبت VTP إلى خارج أسلوب، أسلوب مماثل جدا إلى شفاف. مهما، لا يرسل المفتاح VTP إطار. يمكن أن يكون هذا مفيدا في بعض التصميمات عند التوصيل إلى محولات خارج التحكم الإداري الخاص بك.

تقليل عنوان MAC وشبكة VLAN الموسعة

تتيح ميزة خفض عنوان MAC تعريف VLAN موسع النطاق. يعجز تمكين تقليل عنوان MAC تجمع عناوين MAC التي يتم إستخدامها للشجرة المتفرعة لشبكة VLAN ويترك عنوان MAC واحد. يعرف عنوان MAC هذا المحول. يقدم برنامج CatOS الإصدار 6.1(1) دعم خفض عنوان MAC لمادة حفازة 6500/6000 ومادة حفازة 4500/4000 مفتاح أن يدعم 4096 VLANs بما يتوافق مع معيار IEEE 802.1Q.

نظرة عامة على العملية

تستخدم بروتوكولات المحولات عنوان MAC مأخوذ من بنك للعناوين المتاحة التي يوفرها EPROM على الهيكل كجزء من معرفات الجسر لشبكات VLAN التي تعمل تحت PVST+. تدعم محولات Catalyst 6500/6000 و Catalyst 4500/4000 إما عناوين MAC 1024 أو 64، والتي تعتمد على نوع الهيكل.

لا يمكن مادة حفازة مفتاح مع 1024 {upper}mac address تخفيض عنوان افتراضيا. يتم تخصيص عناوين MAC بشكل تسلسلي. عينت الأول {upper}mac address في المدى إلى VLAN 1. يعين الثاني {upper}mac address في النطاق إلى VLAN 2، وهكذا. هذا يمكن المفتاح أن يساند 1024 VLANs مع كل VLAN يستعمل فريد جسر معين.

¹ ماك عنوان مكنت خفض افتراضيا لمحولات أن يتلقى 64 {upper}mac address، والميزة يستطيع لا يكون أعجزت.

بالنسبة للمحولات من السلسلة Catalyst ذات عناوين MAC 1024، يسمح تمكين خفض عنوان MAC بدعم 4096 شبكة محلية ظاهرية (VLANs) التي تعمل ضمن مثيلات PVST+ أو 16 حالة متعددة STP (MISTP) بوجود معرفات فريدة دون زيادة في عدد عناوين MAC المطلوبة على المحول. يقلل خفض عنوان MAC عدد عناوين MAC التي تكون مطلوبة من قبل بروتوكول الشجرة المتفرعة (STP) من عنوان واحد لكل شبكة محلية ظاهرية (VLAN) أو عنوان MISTP إلى عنوان واحد لكل محول.

يوضح هذا الشكل أن خفض عنوان MAC لمعرف الجسر غير ممكن. يتكون معرف الجسر من أولوية جسر سعة 2 بايت وعنوان MAC سعة 6 بايت:

يقوم خفض عنوان MAC بتعديل جزء معرف جسر STP الخاص بوحدة بيانات بروتوكول الجسر (BPDU). يتم تقسيم حقل الأولوية الأصلي ذي 2 بايت إلى حقلين. ينتج عن هذا الانقسام حقل أولوية جسر 4-بت وامتداد معرف نظام 12-بت الذي يسمح بترقيم شبكة VLAN من 0 إلى 4095.

عندما يتلقى أنت {upper}mac address خفض يمكن على مادة حفازة مفتاح in order to استعملت مدى موسع VLANs، مكنت {upper}mac address خفض على كل مفتاح ضمن ال نفسه STP مجال. هذه الخطوة ضرورية لإبقاء حسابات جذر بروتوكول الشجرة المتفرعة (STP) متسقة على جميع المحولات. بعد تمكين خفض عنوان MAC، تصبح أولوية الجسر الرئيسي مضاعف 4096 بالإضافة إلى معرف شبكة VLAN. يمكن أن تدعي المحولات التي لا تحتوي على خفض عنوان MAC الجذر دون قصد لأن هذه المحولات تحتوي على عدة مستويات أكثر دقة في تحديد معرف الجسر.

إرشادات التكوين

أنت ينبغي اتبعت خاص guidelines عندما أنت تشكل موسع VLAN مدى. المفتاح يستطيع خصصت كتلة من VLANs من المدى موسع لأغراض داخلية. على سبيل المثال، يمكن للمحول تخصيص شبكات VLAN للمنافذ الموجهة أو وحدات WAN المرنة. يبدأ توزيع كتلة VLANs دائما من VLAN 1006 ويذهب لأعلى. إن يتلقى أنت أي VLANs ضمن المدى أن ال Flex WAN وحدة يتطلب، all the VLANs يتطلب لا يخصص لأن VLANs أبدا خصصت من المستعمل VLAN منطقة. أصدرت العرض vlan أمر أو العرض vlan خلاصة أمر على مفتاح in order to عرضت على حد سواء ال يعين مستعمل و VLANs داخلي.

>show vlan summary

Current Internal Vlan Allocation Policy - Ascending

Vlan status    Count  Vlans
-------------  -----  ------------------------------------------
VTP Active         7   1,17,174,1002-1005

Internal           7   1006-1011,1016

!--- These are internal VLANs.

>show vlan
---- -------------------------------- --------- ------- --------

1    default                          active    7       4/1-48



!--- Output suppressed.


1006 Online Diagnostic Vlan1          active    0       internal
1007 Online Diagnostic Vlan2          active    0       internal
1008 Online Diagnostic Vlan3          active    0       internal
1009 Voice Internal Vlan              active    0       internal
1010 Dtp Vlan                         active    0       internal
1011 Private Vlan Internal Vlan       suspend   0       internal
1016 Online SP-RP Ping Vlan           active    0       internal

!--- These are internal VLANs.

بالإضافة إلى ذلك، قبل إستخدام شبكات VLAN الممتدة، يجب عليك حذف أي تعيينات 802.1Q إلى ISL موجودة. أيضا، في صيغة مبكر من VTPv3، أنت ينبغي شكلت بشكل ثابت ال VLAN موسع على كل مفتاح مع الإستعمالمن VTP أسلوب شفاف. أحلت ال مدى موسع VLAN تشكيل guidelines قسم من يشكل VLANs ل كثير معلومة.

ملاحظة: في البرنامج الذي يسبق الإصدار 8.1(1) من البرنامج، لا يمكنك تكوين اسم شبكة VLAN لشبكات VLAN ذات النطاق الموسع. هذا إمكانية مستقل من أي VTP صيغة أو أسلوب.

توصية

حاول الحفاظ على تكوين خفض عنوان MAC متناسق داخل مجال STP نفسه. ومع ذلك، قد يكون فرض خفض عنوان MAC على جميع أجهزة الشبكة غير عملي عندما يتم تقديم هيكل جديد مع 64 عنوانا MAC إلى مجال STP. يتم تمكين خفض عنوان MAC بشكل افتراضي للمحولات التي لها 64 عنوانا MAC، ولا يمكن تعطيل الميزة. إدراك أنه عند تكوين نظامين باستخدام أولوية الشجرة المتفرعة نفسها، يصبح للنظام الذي لا يتطلب تقليل عنوان MAC أولوية أفضل للشجرة المتفرعة. أصدرت هذا أمر in order to مكنت أو أعجزت {upper}mac address خفض:

set spantree macreduction enable | disable

التوزيع من ال VLANs داخلي في ترتيب تصاعدي ويبدأ في VLAN 1006. عينت المستعمل VLANs أقرب إلى VLAN 4094 ممكن in order to تفاديت تعارض بين المستعمل VLANs و VLANs داخلي. مع مادة حفازة 6500 مفتاح أن يركض cisco ios ® نظام برمجية، أنت يستطيع شكلت الداخلي VLAN توزيع في ترتيب تنازلي. واجهة سطر الأوامر (CLI) المكافئة لبرنامج CatOS غير مدعومة رسميا.

التفاوض التلقائي

إيثرنت/إيثرنت سريع

تعد التفاوض التلقائي وظيفة إختيارية لمعيار IEEE Fast Ethernet (FE) (802.3u) الذي يمكن الأجهزة من تبادل المعلومات تلقائيا عبر إرتباط يرتكز على إمكانيات السرعة والإرسال ثنائي الإتجاه. تعمل التفاوض التلقائي في الطبقة الأولى (L1)، وتستهدف منافذ طبقة الوصول حيث يتصل المستخدمون العابرون مثل أجهزة الكمبيوتر بالشبكة.

نظرة عامة على العمليات

ينشأ أكثر أسباب مشاكل الأداء شيوعا على روابط إيثرنت بسرعة 10/100 ميجابت في الثانية عندما يعمل منفذ واحد على الارتباط بنظام الإرسال أحادي الإتجاه بينما يعمل المنفذ الآخر بنظام الإرسال ثنائي الإتجاه الكامل. وهذا يحدث أحيانا عندما تتم إعادة تعيين أحد المنفذين أو كليهما على رابط، ولا تؤدي عملية التفاوض التلقائي إلى حصول كلا شريكي الارتباط على التكوين نفسه. كما يحدث ذلك عند قيام المسؤولين بإعادة تكوين جانب واحد من الرابط ونسيان إعادة تكوين الجانب الآخر. الأعراض النموذجية لهذا هي زيادة تسلسل التحقق من الإطارات (FCS)، التحقق الدوري من التكرار (CRC)، المحاذاة، أو عدادات الحزم الصغيرة على المحول.

تتم مناقشة التفاوض التلقائي بالتفصيل في هذه المستندات. تتضمن هذه المستندات توضيحات لكيفية عمل التفاوض التلقائي وخيارات التكوين.

• تكوين التفاوض التلقائي أحادي/ثنائي الإتجاه الكامل لشبكة الإيثرنت بسرعة 10/100 ميجابت واستكشاف أخطاء هذه العملية وإصلاحها

• استكشاف أخطاء توافق محولات Cisco Catalyst Switches مع بطاقة واجهة الشبكة (NIC) وإصلاحها

من الأفكار الخاطئة الشائعة حول التفاوض التلقائي أنه من الممكن تكوين أحد شركاء الارتباط يدويا للإرسال ثنائي الإتجاه الكامل بسرعة 100 ميجابت في الثانية والتوصيل التلقائي إلى الإرسال ثنائي الإتجاه الكامل مع شريك الارتباط الآخر. وفي الواقع، ينتج عن محاولة القيام بهذا عدم تطابق في الإرسال ثنائي الإتجاه. وهذا يرجع إلى وجود اتصال تلقائي واحد لشركاء الارتباط، وعدم رؤية أي معلمات التفاوض التلقائي من شريك الارتباط الآخر، وعدم الإرسال أحادي الإتجاه.

تدعم معظم وحدات الإيثرنت Catalyst Ethernet modules الإرسال أحادي الإتجاه/الإرسال ثنائي الإتجاه الكامل بسرعة 10/100 ميجابت في الثانية، ولكن الأمر show port capabilities mod/port يؤكد ذلك.

فيفي

تحمي الإشارة إلى الأعطال الطرفية البعيدة (FEFI) الواجهات 100BASE-FX (الليفية) و Gigabit، بينما تحمي التفاوض التلقائي 100BASE-TX (النحاسية) ضد الأعطال المتعلقة بالطبقة المادية/الإشارات.

الخطأ الطرفي البعيد هو خطأ في الارتباط الذي يمكن لإحدى المحطات كشفه بينما لا يمكن للمحطة الأخرى كشفه، مثل سلك TX غير متصل. في هذا المثال، لا يزال بإمكان المحطة المرسلة تلقي بيانات صالحة واكتشاف أن الارتباط جيد من خلال Link-integrity-monitor. ولا تكشف عن أن المحطة الأخرى لم تستلم انتقالها. يمكن لمحطة 100BASE-FX التي تكتشف مثل هذا الخطأ عن بعد تعديل الدفق الخامل المحول لديها لإرسال نمط بت خاص (يشار إليه باسم نمط خمول FEFI) لإعلام المجاور بالخطأ عن بعد؛ فيقوم نمط FEFI-Idle لاحقا بتشغيل إيقاف تشغيل المنفذ البعيد (errdisable). أحلت ال UDLD قسم من هذا وثيقة ل كثير معلومة على خطأ حماية.

يتم دعم FEFI بواسطة هذا الجهاز وهذه الوحدات النمطية:

• مادة حفازة 5500/5000: WS-X5201R، WS-X5305، WS-X5236، WS-X5237، WS-U5538، و WS-U5539

• وحدات Catalyst 6500/6000 و 4500/4000: جميع الوحدات النمطية 100BASE-FX ووحدات GE النمطية

توصية

تعتمد إمكانية تكوين التفاوض التلقائي على إرتباطات 10/100 أو على سرعة الرمز الثابت والإرسال ثنائي الإتجاه في نهاية المطاف على نوع شريك الارتباط أو الجهاز الطرفي الذي قمت بتوصيله بمنفذ محول Catalyst. التفاوض التلقائي بين الأجهزة الطرفية ومحولات Catalyst يعمل بشكل جيد بشكل عام، وتكون محولات Catalyst متوافقة مع مواصفات IEEE 802.3u. مهما، مشكلة يستطيع نتجت عندما لا يتوافق nic أو بائع مفتاح تماما. يمكن أن يكون عدم توافق الأجهزة وغيرها من المشاكل موجودا أيضا نتيجة الميزات المتقدمة الخاصة بالمورد، مثل القطبية التلقائية أو تكامل الكابلات، والتي لم يتم وصفها في مواصفات IEEE 802.3u للوصول إلى اتصال تلقائي بسرعة 10/100 ميجابت في الثانية. ارجع إلى إشعار ميداني: مشكلة في الأداء مع بطاقات واجهة الشبكة (NIC) طراز PRO/1000T من Intel المتصلة ب CAT4K/6K كمثال على ذلك.

ترقب حدوث بعض الحالات التي تتطلب تعيين المضيف وسرعة المنفذ ووضع الإرسال ثنائي الإتجاه. بشكل عام، اتبع الخطوات الأساسية لاستكشاف الأخطاء وإصلاحها:

• تأكد من تكوين التفاوض التلقائي على كلا جانبي الارتباط أو تكوين الترميز الثابت على كلا الجانبين.

• فحصت ال CatOS إطلاق بطاقة ل عادي تحذير.

• تحقق من إصدار برنامج تشغيل بطاقة واجهة الشبكة (NIC) أو نظام التشغيل الذي تقوم بتشغيله، نظرا لأن أحدث برنامج تشغيل أو حزمة تصحيح غالبا ما تكون مطلوبة.

كقاعدة، حاول إستخدام التفاوض التلقائي أولا لأي نوع من أنواع شركاء الارتباط. هناك فوائد واضحة لتكوين التفاوض التلقائي للأجهزة العابرة مثل أجهزة الكمبيوتر المحمولة. من الناحية المثالية، يعمل التفاوض التلقائي أيضا بشكل جيد مع الأجهزة غير العابرة مثل الخوادم ومحطات العمل الثابتة أو من محول إلى محول محول ومن محول إلى موجه. ولبعض الأسباب المذكورة، يمكن أن تنشأ مسائل تتعلق بالتفاوض. في هذه الحالات، اتبع الخطوات الأساسية لاستكشاف الأخطاء وإصلاحها الموضحة في روابط TAC المقدمة.

في حالة تعيين سرعة المنفذ على تلقائي على منفذ إيثرنت بسرعة 10/100 ميجابت في الثانية، يتم التفاوض التلقائي على كل من السرعة والإرسال ثنائي الإتجاه. أصدرت هذا أمر in order to ثبتت الميناء إلى تلقائي:

set port speed port range auto

!--- This is the default.

إن يرمز صلب الميناء، أصدرت هذا تشكيل أمر:

set port speed port range 10 | 100
set port duplex port range full | half

في CatOS 8.3 والإصدارات الأحدث، قدمت Cisco الكلمة الأساسية auto-10-100 الاختيارية. أستخدم الكلمة الأساسية auto-10-100 على المنافذ التي تدعم سرعات 10/100/1000 ميجابت في الثانية ولكن في الحالات التي يكون فيها التفاوض التلقائي إلى 1000 ميجابت في الثانية غير مرغوب. يجعل إستخدام الكلمة الأساسية auto-10-100 المنفذ يتصرف بنفس الطريقة كمنفذ 10/100-Mbps أن يحتوي على السرعة المعينة على تلقائي. يتم التفاوض على السرعة والإرسال ثنائي الإتجاه للمنافذ بسرعة 10/100 ميجابت في الثانية فقط، ولا تشارك السرعة بسرعة 1000 ميجابت في الثانية في التفاوض.

set port speed port_range auto-10-100

خيارات أخرى

عندما لا يتم إستخدام التفاوض التلقائي بين المحولات، يمكن أيضا فقد إشارة الخطأ L1 بسبب مشاكل معينة. من المفيد أن يستعمل بروتوكول L2 أن يزيد كشف الفشل، مثل UDLD عنيف.

إيثرنت جيجابت

تحتوي شبكة جيجابت إيثرنت (GE) على إجراء التفاوض التلقائي (IEEE 802.3z) أكثر شمولية من ذلك الخاص بشبكة إيثرنت بسرعة 10/100 ميجابت في الثانية ويتم إستخدامه لمعلمات التحكم في التدفق التبادلي ومعلومات عن الأعطال عن بعد ومعلومات الإرسال ثنائي الإتجاه (على الرغم من أن منافذ Catalyst series GE تدعم وضع الإرسال ثنائي الإتجاه الكامل فقط).

ملاحظة: تم إستبدال معيار 802. 3z بمواصفات IEEE 802. 3:2000. ارجع إلى الاشتراك في معايير IEEE على شبكة LAN/MAN: الأرشيفات للحصول على مزيد من المعلومات.

نظرة عامة على العمليات

يتم تمكين تفاوض منفذ GE بشكل افتراضي، ويجب أن يكون للمنافذ الموجودة على كلا طرفي إرتباط GE الإعداد نفسه. بخلاف FE، لا يظهر إرتباط GE إذا كان إعداد التفاوض التلقائي يختلف على المنافذ في كل نهاية من الارتباط. ومع ذلك، فإن الشرط الوحيد المطلوب للمنفذ المعطل التفاوض التلقائي للربط هو إشارة جيجابت صالحة من الطرف البعيد. هذا السلوك مستقل عن تكوين التفاوض التلقائي للطرف البعيد. على سبيل المثال، لنفترض أن هناك جهازين، جهاز( أ) وجهاز (ب). يمكن أن يحتوي كل جهاز على التفاوض التلقائي الذي تم تمكينه أو تعطيله. هذا الجدول عبارة عن قائمة بالتكوينات المحتملة وحالات الارتباط ذات الصلة:

في GE، يتم إجراء المزامنة والتشغيل التلقائي (في حالة تمكينها) عند بدء تشغيل الارتباط من خلال إستخدام تسلسل خاص لكلمات كود الارتباط المحجوزة.

ملاحظة: يوجد قاموس للكلمات الصحيحة وليس كل الكلمات الممكنة صحيحة في GE.

يمكن وصف حياة اتصال GE بهذه الطريقة:

إن فقدان التزامن يعني أن جهاز MAC يكتشف الارتباط. ينطبق فقد المزامنة سواء تم تمكين التفاوض التلقائي أو تعطيله. تفقد المزامنة في ظل ظروف معينة فاشلة، مثل إستلام ثلاث كلمات غير صحيحة في تتابع. إذا إستمرت هذه الحالة لمدة 10 مللي ثانية، فسيتم تأكيد حالة "فشل المزامنة" ويتم تغيير الارتباط إلى حالة link_down. بعد فقدان المزامنة، يلزم وجود ثلاثة أحرف صحيحة متتابعة أخرى لإعادة التزامن. تتسبب أحداث كارثية أخرى، مثل إشارة فقدان الاستقبال (Rx)، في حدوث حدث انسداد.

التفاوض التلقائي هو جزء من عملية الربط. عندما يكون الارتباط قيد التشغيل، يكون التفاوض التلقائي قد انتهى. ومع ذلك، لا يزال المحول يراقب حالة الارتباط. إذا تم تعطيل التفاوض التلقائي على منفذ ما، فإن مرحلة "autoneg" لم تعد خيارا.

تدعم مواصفات GE النحاسية (1000BASE-T) التفاوض التلقائي من خلال تبادل الصفحة التالية. يسمح تبادل الصفحات التالية التفاوض التلقائي لسرعات 10/100/1000 ميجابت في الثانية على المنافذ النحاسية.

ملاحظة: توفر مواصفات الألياف GE أحكاما للتفاوض على الإرسال ثنائي الإتجاه والتحكم في التدفق واكتشاف الأعطال عن بعد. لا تتفاوض منافذ GE الليفية على سرعة المنفذ. راجع الأقسام 28 و 37 من مواصفات IEEE 802.3-2002 للحصول على مزيد من المعلومات حول التفاوض التلقائي.

تأخير إعادة تشغيل المزامنة هي ميزة برمجية تتحكم في الوقت الإجمالي لإصدار التفاوض التلقائي. إذا لم ينجح التفاوض التلقائي خلال هذه المرة، فسيقوم البرنامج الثابت بإعادة تشغيل التفاوض التلقائي في حالة حدوث أزمة. يكون للأمر set port sync-restart-delay تأثير فقط عند تعيين التفاوض التلقائي على التمكين.

توصية

يعد تمكين التفاوض التلقائي أمرا بالغ الأهمية في بيئة GE مقارنة ببيئة 10/100. في الواقع، يجب تعطيل التفاوض التلقائي فقط على منافذ المحول المرفقة بالأجهزة غير القادرة على دعم التفاوض أو حيث تنشأ مشاكل الاتصال من مشاكل قابلية التشغيل البيني. توصي Cisco بتمكين تفاوض جيجابت (الافتراضي) على جميع روابط المحول إلى المحول وجميع أجهزة GE بشكل عام. أصدرت هذا أمر in order to مكنت autonegoation:

set port negotiation port range enable

!--- This is the default.

هناك إستثناء معروف عند وجود اتصال بموجه محول جيجابت (GSR) الذي يشغل برنامج Cisco IOS Software قبل الإصدار 12.0(10)S، وهو الإصدار الذي أضاف التحكم في التدفق والتشغيل التلقائي. في هذه الحالة، أطفأت هذا إثنان سمة، أو المفتاح ميناء تقارير لا يربط، وال GSR يبلغ خطأ. وهذا نموذج لتسلسل الأوامر:

set port flowcontrol receive port range off
set port flowcontrol send port range off
set port negotiation port range disable

يجب النظر إلى إتصالات من محول إلى خادم على أساس كل حالة على حدة. واجه عملاء Cisco مشاكل في تفاوض Gigabit على خوادم Sun و HP و IBM.

خيارات أخرى

التحكم في التدفق هو جزء إختياري من مواصفات 802.3x ويجب أن تكون خاضعة للتفاوض إذا تم إستخدامها. يمكن للأجهزة أو لا يمكن أن تكون قادرة على إرسال و/أو الاستجابة لإطار PAUSE (المعروف جيدا MAC 01-80-C2-00-00-000F). وأيضا، لا يمكنهم الموافقة على طلب التحكم في التدفق من جارهم الطرفي البعيد. يرسل المنفذ المزود بمخزن مؤقت للإدخال يتم تعبئته إطار PAUSE (إيقاف مؤقت) إلى شريك الارتباط الخاص به، والذي يوقف الإرسال، ويحتجز أي إطارات إضافية في المخازن المؤقتة لمخرجات شريك الارتباط. وهذا لا يحل أي مشكلة تتعلق بفرط الاشتراك في الحالة الثابتة، ولكنه يجعل المخزن المؤقت للإدخال أكبر بشكل فعال بجزء من المخزن المؤقت لمخرجات الشريك أثناء فترات التشغيل.

وأفضل إستخدام لهذه الميزة هو على الارتباطات بين منافذ الوصول والمضيفين النهائيين، حيث يحتمل أن يكون المخزن المؤقت لإخراج المضيف كبيرا مثل الذاكرة الظاهرية الخاصة بهم. يتمتع إستخدام التحويل إلى محول بفوائد محدودة.

أصدرت هذا أمر in order to ضبطت هذا على المفتاح ميناء:

set port flowcontrol mod/port receive | send off |on | desired


>show port flowcontrol

 Port  Send FlowControl    Receive FlowControl   RxPause TxPause
       admin    oper       admin    oper
-----  -------- --------   -------- --------     ------- -------
 6/1   off      off        on       on           0       0
 6/2   off      off        on       on           0       0
 6/3   off      off        on       on           0       0

ملاحظة: تستجيب جميع وحدات Catalyst النمطية لإطار PAUSE (الإيقاف المؤقت) إذا تم التفاوض بشأنه. لا تقوم بعض الوحدات النمطية (على سبيل المثال، WS-X5410، WS-X4306) بإرسال إطارات PAUSE (إيقاف مؤقت) أبدا حتى إذا تفاوضت للقيام بذلك، حيث إنها غير قابلة للحظر.

بروتوكول التوصيل الديناميكي

نوع التضمين

تقوم خطوط الاتصال بمد شبكات VLAN بين الأجهزة عن طريق تعريف إطارات الإيثرنت الأصلية ووضع علامات عليها (link-local) مؤقتا، وبالتالي فإنها تمكنها من مضاعفتها عبر إرتباط واحد. هذا أيضا يضمن ال VLAN منفصل إذاعة وأمان مجال أبقيت بين مفتاح. تحافظ جداول CAM على تخطيط الإطار إلى شبكة VLAN داخل المحولات.

يتم دعم trunking على أنواع عديدة من وسائط L2، بما في ذلك ATM LANE، و FDDI 802.10، و Ethernet، رغم أنه لا يتم عرض سوى الأخير هنا.

نظرة عامة على تشغيل ISL

يستخدم نظام تعريف أو وضع علامات خاص Cisco، ISL، منذ سنوات عديدة. يتوفر أيضا معيار IEEE 802.1Q.

من خلال تضمين الإطار الأصلي بالكامل في نظام تمييز على مستويين، فإن ISL هو بروتوكول نفق بشكل فعال وله فائدة إضافية لحمل الإطارات غير إيثرنت. وهو يضيف رأس مكون من 26 بايت وهيكل FCS مكون من 4 بايت إلى إطار إيثرنت القياسي - حيث يتم توقع إطارات إيثرنت الأكبر حجما ومعالجتها بواسطة منافذ تم تكوينها لتكون خطوط اتصال. يدعم ISL 1024 شبكة VLAN.

تنسيق إطار ISL

راجع تنسيق إطار InterSwitch و IEEE 802.1Q للحصول على مزيد من المعلومات.

802.1Q نظرة عامة على التشغيل

يحدد معيار IEEE 802.1Q أكثر بكثير من أنواع التضمين، بما في ذلك تحسينات الشجرة المتفرعة، GARP (راجع قسم VTP في هذا المستند)، ووضع علامات جودة الخدمة (QoS) وفقا لمعيار 802.1p.

يحتفظ تنسيق إطار 802.1Q بعنوان مصدر الإيثرنت وعنوان الوجهة الأصلي، ولكن يجب على المحولات الآن أن تتوقع من الإطارات الصغيرة العملاقة أن يتم إستلامها، حتى على منافذ الوصول حيث يمكن للمضيفين إستخدام التمييز للتعبير عن أولوية المستخدم الخاصة بإرسال إشارات جودة الخدمة وفقا لمعيار 802.1p. العلامة هي 4 بايت، لذلك إطارات 802.1Q إثرنيت v2 هي 1522 بايت، وهو إنجاز مجموعة العمل IEEE 802.3ac. كما يدعم معيار 802. 1Q مساحة الترقيم لشبكة محلية ظاهرية (VLAN) بسرعة 4096.

كل المعطيات إطار يبث ويستلم 802.1Q-tagged ماعدا ذلك على ال VLAN أهلي طبيعي (هناك علامة ضمني يؤسس على المدخل مفتاح تشكيل ميناء). ترسل الإطارات على شبكة VLAN الأصلية دائما untagged ويستلم عادة untagged. على أي حال، هم يستطيع أيضا كنت إستلمت بطاقة.

راجع توحيد شبكات VLAN عبر IEEE 802.10 والحصول على IEEE 802 للحصول على مزيد من التفاصيل.

تنسيق الإطار 802.1Q/801.1p

توصية

بما أن جميع الأجهزة الأحدث تدعم معيار 802.1Q (وبعضها يدعم فقط معيار 802.1Q، مثل السلسلة Catalyst 4500/4000 و CSS 11000)، توصي Cisco بأن تتبع جميع عمليات التنفيذ الجديدة معايير IEEE 802.1Q القياسية والشبكات الأقدم وتهاجر تدريجيا من ISL.

يتيح معيار IEEE للبائع إمكانية التشغيل البيني. وهذا مفيد في جميع بيئات Cisco عند توفر بطاقات واجهة الشبكة (NIC) والأجهزة المضيفة الجديدة المتوافقة مع معيار 802.1p. على الرغم من أن كلا من عمليات تنفيذ ISL و 802.1Q قد نضجت، فإن معيار IEEE سيكون له في نهاية المطاف تعرض ميداني أكبر ودعم أكبر من قبل طرف ثالث، مثل دعم محلل الشبكة. كما أن تكلفة التضمين المنخفضة التي تبلغ 802.1Q مقارنة ب ISL تعد نقطة صغيرة لصالح 802.1Q أيضا.

بما أن التضمين يتم التفاوض بين نوع بين مفتاح يستعمل DTP، مع ISL يختار كفائز افتراضيا إن كلا النهائيين يدعمونه، هو ضروري أن يصدر هذا أمر in order to عينت dot1q:

set trunk mod/port mode dot1q

إذا تم مسح شبكة VLAN 1 من خط اتصال، كما هو الحال في قسم الإدارة داخل النطاق في هذا المستند، رغم عدم إرسال أي بيانات مستخدم أو استقبالها، يستمر بروتوكول NMP في تمرير بروتوكولات التحكم مثل CDP و VTP على شبكة VLAN رقم 1.

أيضا، كما هو موضح في قسم VLAN 1 من هذا المستند، يتم دائما إرسال حزم CDP و VTP و PAgP على شبكة VLAN رقم 1 عند التوصيل. عندما يستعمل dot1q عملية كبسلة، هذا تحكم إطار حددت مع VLAN 1 إن غيرت ال VLAN أهلي طبيعي من المفتاح. إن مكنت dot1q trunking إلى مسحاج تخديد غيرت ال VLAN أهلي طبيعي على المفتاح، يحتاج قارن فرعي في VLAN 1 أن يستلم ال tagged CDP إطار ويزود CDP مجاور رؤية على المسحاج تخديد.

ملاحظة: هناك إعتبار أمان محتمل مع dot1q الناتج عن التمييز الضمني لشبكة VLAN الأصلية، حيث يمكن أن يكون من الممكن إرسال إطارات من شبكة VLAN إلى أخرى دون موجه. راجع هل هناك نقاط ضعف في عمليات تنفيذ شبكات VLAN؟ للحصول على مزيد من التفاصيل. ال workaround أن يستعمل VLAN id ل ال VLAN أهلي طبيعي من الشنطة أن لا يستعمل ل مستعمل نهاية منفذ. تترك غالبية عملاء Cisco شبكة VLAN 1 كشبكة VLAN الأصلية على خط اتصال وتخصص منافذ الوصول إلى شبكات VLAN بخلاف شبكة VLAN 1 لتحقيق ذلك ببساطة.

وضع التوصيل

DTP هو الجيل الثاني من ISL الديناميكي (DISL)، وهو موجود لضمان أن المعلمات المختلفة التي تشترك في إرسال إطارات ISL أو 802.1Q، مثل نوع عملية التضمين التي تم تكوينها وشبكة VLAN الأصلية وإمكانية الأجهزة، يتم الاتفاق عليها من قبل المحولات في أي من طرفي خط الاتصال. ويساعد هذا أيضا على الحماية من المنافذ غير التابعة لشنطة الاتصال التي تغمر الإطارات التي تم وضع علامات عليها، والتي قد تشكل خطرا أمنيا خطيرا، من خلال ضمان أن المنافذ والدول المجاورة لها في حالات متناسقة.

نظرة عامة على العمليات

DTP هو بروتوكول L2 الذي يتفاوض مع معلمات التكوين بين منفذ المحول والجار له. وهو يستخدم عنوان MAC آخر متعدد البث (01-00-0c-cc-cc) ونوع بروتوكول SNAP من 0x2004. هذا الجدول هو ملخص لأوضاع التكوين:

هذه بعض من نقاط الإبراز من البروتوكول:

• يفترض DTP اتصال من نقطة إلى نقطة، وتدعم أجهزة Cisco فقط منافذ خط اتصال 802.1Q التي تكون من نقطة إلى نقطة.

• أثناء تفاوض DTP، لا تشارك المنافذ في بروتوكول الشجرة المتفرعة (STP). فقط بعد أن يصبح الميناء واحد من الثلاثة DTP نوع (منفذ، ISL، أو 802.1Q) يتم إضافة الميناء إلى STP. خلاف ذلك PAgP، إن يشكل، العملية التالية أن يركض قبل أن يساهم الميناء في STP.

• إن يكون الميناء trunking في isl أسلوب، DTP ربط أرسلت على VLAN 1، خلاف ذلك (ل 802.1Q trunking أو لا trunking ميناء) هم أرسلت على ال VLAN أهلي طبيعي.

• في الوضع المرغوب، تقوم حزم DTP بنقل اسم مجال VTP (والذي يجب أن يتطابق مع خط اتصال تم التفاوض عليه ليتم إنشاؤه)، بالإضافة إلى تكوين خط الاتصال وحالة المسؤول.

• يتم إرسال الرسائل كل ثانية أثناء التفاوض، وكل 30 ثانية بعد ذلك.

• يوقن أن يفهم أن أسلوب على، لا تنبع، وإيقاف يعين صراحة أي دولة الميناء ينتهي. قد يؤدي التكوين السيئ إلى حالة خطيرة/غير متناسقة حيث يكون أحد الجانبين متصلا بينما لا يكون الآخر متصلا.

• يرسل ميناء في وضع التشغيل، تلقائي، أو مرغوب إطارات DTP بشكل دوري. إذا لم يظهر منفذ ما في الوضع تلقائي أو مرغوب في حزمة DTP في خمس دقائق، فسيتم تعيينه على عدم خط الاتصال.

أحلت يشكل ISL trunking على مادة حفازة 5500/5000 و 6500/6000 عائلة مفتاح ل كثير تفصيل. أحلت trunking بين مادة حفازة 4500/4000، 5500/5000، و 6500/6000 sery مفتاح يستعمل 802.1Q عملية كبسلة مع cisco CatOS نظام برمجية ل كثير 802.1Q تفصيل.

توصية

توصي Cisco بتكوين خط اتصال صريح مرغوب فيه عند كلا الطرفين. في هذا الوضع، يمكن لعوامل تشغيل الشبكة الثقة في رسائل حالة سطر الأوامر و syslog أن يكون المنفذ قيد التشغيل و trunking، بخلاف في الوضع، والذي يمكن أن يجعل المنفذ يظهر حتى ولو كان المجاور غير مكون بشكل صحيح. وبالإضافة إلى ذلك، يوفر خط اتصال الوضع المرغوب فيه إستقرارا في الحالات التي لا يمكن فيها لجانب واحد من الارتباط أن يصبح خط اتصال أو أن يسقط حالة خط اتصال. أصدرت هذا أمر in order to ثبتت مرغوب أسلوب:

set trunk mod/port desirable ISL | dot1q

ملاحظة: تعيين خط الاتصال على إيقاف التشغيل على جميع المنافذ غير الخاصة بشنطة الاتصال. وهذا يساعد على تقليل وقت التفاوض المهدر عند جلب منافذ المضيف. يتم تنفيذ هذا الأمر أيضا عند إستخدام الأمر set port host؛ ارجع إلى قسم بروتوكول الشجرة المتفرعة (STP) للحصول على مزيد من المعلومات. أصدرت هذا أمر in order to أعجزت شنطة على مدى الميناء:

set trunk port range off

!--- Ports are not trunking; part of the set port host command.

خيارات أخرى

وتستخدم عملية تكوين أخرى شائعة للعملاء الوضع المرغوب فيه فقط في طبقة التوزيع والتكوين الافتراضي الأكثر بساطة (الوضع التلقائي) في طبقة الوصول.

لا تدعم بعض المحولات، مثل Catalyst 2900XL أو موجهات Cisco IOS أو أجهزة المورد الأخرى، حاليا تفاوض خط الاتصال من خلال DTP. يمكنك إستخدام وضع غير محدد الإتجاه على محولات Catalyst 4500/4000 و 5500/5000 و 6500/6000 لتعيين منفذ على خط الاتصال دون قيد أو شرط مع هذه الأجهزة، والتي يمكن أن تساعد في توحيد المعايير على إعداد مشترك عبر مجمع المباني. يمكنك أيضا تنفيذ وضع عدم الإغواء لتقليل وقت تهيئة الارتباط "الإجمالي".

ملاحظة: قد تؤثر أيضا عوامل مثل وضع القناة وتكوين بروتوكول الشجرة المتفرعة (STP) على وقت التهيئة.

أصدرت هذا أمر in order to ثبتت غير متبع أسلوب:

set trunk mod/port nonegotiate ISL | dot1q

توصي Cisco بعدم التواجد عند وجود اتصال بموجه Cisco IOS لأنه عند إجراء التوصيل، يمكن أن ترجع بعض إطارات DTP المستلمة من الوضع على منفذ خط الاتصال. عند إستلام إطار DTP، يحاول منفذ المحول إعادة التفاوض (أو جلب خط الاتصال لأسفل ولأعلى) دون ضرورة. إذا تم تمكين غير الذاتية، فإن المحول لا يرسل إطارات DTP.

بروتوكول الشجرة الممتدة

اعتبارات أساسية

يحافظ بروتوكول الشجرة المتفرعة (STP) على بيئة L2 خالية من الحلقة في الشبكات المكررة المحولة والمزودة بالجسر. بدون بروتوكول الشجرة المتفرعة (STP)، يتم تكرار الإطارات و/أو ضربها إلى أجل غير مسمى، مما يؤدي إلى انهيار الشبكة نظرا لأنه يتم مقاطعة جميع الأجهزة في مجال البث باستمرار بواسطة حركة مرور بيانات عالية.

على الرغم من أن بروتوكول الشجرة المتفرعة (STP) هو في بعض النواحي بروتوكول ناضج تم تطويره في البداية لمواصفات الجسر المستندة إلى البرامج البطيئة (IEEE 802.1D)، فقد يكون من الصعب التنفيذ بشكل جيد في الشبكات المحولة الكبيرة مع العديد من شبكات VLAN والعديد من المحولات في مجال ما ودعم موردين متعددين وتحسينات IEEE الأحدث.

من أجل مرجع مستقبلي، يستمر CatOS 6.x في إجراء تطوير STP جديد، مثل MISTP، حماية التكرار، حماية الجذر، واكتشاف انحراف وقت وصول BPDU. بالإضافة إلى ذلك، تتوفر بروتوكولات قياسية أخرى في نظام التشغيل CatOS 7.x، مثل شجرة الامتداد المشترك وفقا لمعيار IEEE 802.1s وشجرة الامتداد السريع لمعيار IEEE 802.1w.

نظرة عامة على العمليات

ويتم الفوز بعملية إختيار الجسر الرئيسي لكل شبكة محلية ظاهرية (VLAN) بواسطة المحول صاحب معرف الجسر الرئيسي الأدنى (BID). العطاء هو أولوية الجسر المدمج مع المفتاح عنوان MAC.

في البداية، يتم إرسال وحدات بيانات بروتوكول الجسر (BPDU) من جميع المحولات، التي تحتوي على العطاء الخاص بكل محول وتكلفة المسار للوصول إلى ذلك المحول. وهذا يمكن الجسر الرئيسي ومسار التكلفة الأقل إلى الجذر ليتم تحديدهما. كما أن معلمات التكوين الإضافية التي يتم نقلها في وحدات بيانات بروتوكول الجسر (BPDUs) من الجذر تتجاوز تلك التي تم تكوينها محليا بحيث تستخدم الشبكة بالكامل وحدات توقيت متناسقة.

ثم تتلاقى الطبولوجيا من خلال الخطوات التالية:

1. يتم إختيار جسر رئيسي واحد لمجال الشجرة المتفرعة بأكمله.

2. يتم إختيار منفذ جذري واحد (يواجه الجسر الرئيسي) على كل جسر غير جذري.

3. يتم إختيار منفذ معين لإعادة توجيه وحدة بيانات بروتوكول الجسر (BPDU) على كل مقطع.

4. تصبح المنافذ غير المعينة قيد الحظر.

راجع تكوين الشجرة المتفرعة للحصول على مزيد من المعلومات.

النوعان من وحدات بيانات بروتوكول الجسر (BPDUs) في بروتوكول الشجرة المتفرعة (STP) هما وحدات بيانات بروتوكول الجسر (BPDUs) الخاصة بالتكوين ووحدات بيانات بروتوكول الجسر (BPDUs) الخاصة بتغيير المخطط (TCN).

تكوين تدفق BPDU

يتم الحصول على وحدات بيانات بروتوكول الجسر (BPDUs) الخاصة بالتكوين كل مرحبا-interval من كل منفذ على الجسر الرئيسي ثم يتم التدفق بعد ذلك إلى جميع المحولات الطرفية للحفاظ على حالة الشجرة المتفرعة. في الحالة الثابتة، يكون تدفق وحدة بيانات بروتوكول الجسر (BPDU) أحادي الإتجاه: تتلقى المنافذ الجذرية ومنافذ الحظر وحدات بيانات بروتوكول الجسر (BPDUs) الخاصة بالتكوين فقط، بينما تقوم المنافذ المعينة بإرسال وحدات بيانات بروتوكول الجسر (BPDUs) الخاصة بالتكوين فقط.

لكل وحدة بيانات بروتوكول الجسر (BPDU) يتم استقبالها بواسطة محول من الجذر، تتم معالجة وحدة بيانات بروتوكول الجسر (NMP) الجديدة بواسطة بروتوكول Catalyst المركزي ويتم إرسالها وتحتوي على المعلومات الجذر. وبمعنى آخر، إذا تم فقد الجسر الرئيسي أو تم فقد جميع المسارات إلى الجسر الرئيسي، تتوقف وحدات بيانات بروتوكول الجسر (BPDU) عن تلقيها (حتى يبدأ مؤقت المكدس في إعادة الاختيار).

تدفق TCN BPDU

يتم الحصول على وحدات بيانات بروتوكول الجسر (BPDUs) الخاصة ب TCN من المحولات الطرفية والتدفق نحو الجسر الرئيسي عند اكتشاف تغيير في المخطط في الشجرة المتفرعة. تقوم المنافذ الجذرية بإرسال TCNs فقط، وتستلم المنافذ المعينة TCNs فقط.

تنتقل وحدة بيانات بروتوكول الجسر (BPDU) الخاصة ببروتوكول TCN نحو الحافة الجذرية ويتم الاعتراف بها في كل خطوة، لذا فهذه آلية يمكن الاعتماد عليها. بمجرد وصولها إلى الجسر الرئيسي، يقوم الجسر الرئيسي بتنبيه المجال بأكمله إلى أن تغييرا قد حدث عن طريق توفير وحدات بيانات بروتوكول الجسر (BPDUs) الخاصة بالتكوين مع تعيين علامة TCN لوقت max + fwddelay (35 ثانية بشكل افتراضي). هذا يسبب كل مفتاح أن يغير هم عادي CAM شيخوخة وقت من خمسة دقائق (افتراضيا) إلى الفاصل الزمني يعين ب fwddelay (15 ثاني افتراضيا). راجع فهم تغييرات مخطط بروتوكول الشجرة المتفرعة للحصول على مزيد من التفاصيل.

أوضاع الشجرة الممتدة

هناك ثلاث طرق مختلفة لربط شبكات VLAN بالشجرة المتفرعة:

• بروتوكول شجرة متفرعة واحدة لجميع الشبكات المحلية الظاهرية (VLANs) أو بروتوكول الشجرة المتفرعة الأحادية، مثل IEEE 802.1Q

• شجرة متفرعة لكل شبكة VLAN، أو شجرة متفرعة مشتركة، مثل Cisco PVST

• شجرة متفرعة لكل مجموعة من شبكات VLAN، أو شجرة متفرعة متعددة، مثل Cisco MISTP و IEEE 802.1s

تسمح الشجرة المتفرعة الأحادية لجميع شبكات VLAN بمخطط واحد نشط فقط، وبالتالي لا تسمح بموازنة الأحمال. قام بروتوكول الشجرة المتفرعة (STP) بحظر كتل المنفذ لجميع شبكات VLAN ولا يحمل أي بيانات.

تسمح شجرة متفرعة واحدة لكل شبكة محلية ظاهرية (VLAN) بموازنة الأحمال ولكنها تتطلب معالجة وحدة المعالجة المركزية الخاصة بوحدة بيانات بروتوكول الجسر (BPDU) مع زيادة عدد شبكات VLAN. توفر ملاحظات إصدار CatOS إرشادات حول عدد المنافذ المنطقية الموصى بها في الشجرة المتفرعة لكل محول. على سبيل المثال، المادة حفازة 6500/6000 مشرف محرك 1 صيغة مثل:

عدد المنافذ + (عدد خطوط الاتصال * عدد شبكات VLAN على خطوط الاتصال) < 4000

يسمح Cisco MISTP والمعيار 802.1s الجديد بتعريف إثنين فقط من مثيلات/طوبولوجيا STP النشطة، وتخطيط جميع شبكات VLAN إلى أي من هاتين الشجرتين. يسمح هذا أسلوب STP أن يقيس إلى عدة آلاف من VLANs أثناء تمكين موازنة التحميل.

تنسيقات BPDU

من أجل دعم معيار IEEE 802.1Q، تم توسيع تنفيذ بروتوكول الشجرة المتفرعة (STP) الحالي من Cisco ليصبح PVST+ من خلال إضافة دعم للاتصال النفقي عبر منطقة شجرة متفرعة أحادية المستوى وفقا لمعيار IEEE 802.1Q. وبالتالي فإن PVST+ متوافق مع كل من بروتوكولات IEEE 802.1Q MST و Cisco PVST ولا يتطلب أوامر أو تكوينات إضافية. وبالإضافة إلى ذلك، يضيف PVST+ آليات التحقق من أجل ضمان عدم وجود عدم تناسق تكوين معرفات توصيل المنفذ وشبكة VLAN عبر المحولات.

هذه بعض الميزات الأساسية التشغيلية لبروتوكول PVST+:

• يعمل بروتوكول PVST+ مع شجرة الامتداد أحادية اللون وفقا لمعيار 802.1Q من خلال ما يسمى الشجرة المتفرعة الشائعة (CST) عبر خط اتصال 802.1Q. ال CST دائما على VLAN 1، لذلك هذا VLAN يحتاج أن يكون مكنت على الشنطة أن يتفاعل مع آخر بائع. يتم إرسال وحدات بيانات بروتوكول الجسر (BPDU) من CST، التي لا تحتوي على علامات تمييز دائما، إلى مجموعة IEEE Standard Bridge (عنوان MAC 01-80-c2-00-00-00 و DSAP 42 و SSAP 42). للحصول على اكتمال الوصف، يتم أيضا إرسال مجموعة متوازية من وحدات بيانات بروتوكول الجسر (BPDUs) إلى عنوان MAC للشجرة المتفرعة المشتركة ل VLAN 1 من Cisco.

• أنفاق PVST+ وحدات بيانات بروتوكول الجسر (BPDUs) الخاصة ببروتوكول الجسر (PVST) عبر مناطق شبكة محلية ظاهرية (VLAN) وفقا لمعيار 802.1Q كبيانات بث متعدد. يتم إرسال وحدات بيانات بروتوكول الجسر (BPDUs) المشتركة للشجرة المتفرعة من Cisco إلى عنوان MAC 01-00-0c-cc-cd (نوع بروتوكول HDLC المتوافق مع SNAP 0x010b) لكل شبكة VLAN على خط اتصال. BPDUs يكون untagged على ال VLAN أهلي طبيعي وحددت ل كل VLANs آخر.

• يتحقق PVST+ من عدم تناسق المنفذ وشبكة VLAN. يقوم PVST+ بحظر هذه المنافذ التي تتلقى وحدات بيانات بروتوكول الجسر (BPDUs) غير المتناسقة لمنع حلقات إعادة التوجيه. كما يقوم بإعلام المستخدمين من خلال رسائل syslog حول أي عدم تطابق في التكوين.

• PVST+ متوافق مع الإصدارات السابقة من محولات Cisco الحالية التي تقوم بتشغيل PVST على خطوط اتصال ISL. لا يزال ISL-Encapsulated BPDUs يرسل أو يستلم باستخدام عنوان IEEE MAC. وبمعنى آخر، يكون كل نوع من أنواع وحدات بيانات بروتوكول الجسر (BPDU) هو link-local، ولا توجد أي مشاكل خاصة بالترجمة.

توصية

تحتوي جميع محولات Catalyst على بروتوكول الشجرة المتفرعة (STP) الممكنة بشكل افتراضي. وهذا مستحسن حتى إذا تم إختيار تصميم لا يتضمن حلقات التكرار من المستوى الثاني بحيث لا يتم تمكين بروتوكول الشجرة المتفرعة (STP) بمعنى أنه يحافظ بشكل نشط على منفذ محظور.

set spantree enable all

!--- This is the default.

توصي Cisco بترك بروتوكول الشجرة المتفرعة (STP) ممكنا لهذه الأسباب:

• إذا كانت هناك تكرار حلقي (ناتج عن التصحيح الخاطئ والكبل التالف وما إلى ذلك)، فإن بروتوكول الشجرة المتفرعة (STP) يمنع التأثيرات الضارة على الشبكة الناجمة عن بيانات البث المتعدد والبث.

• الحماية ضد انهيار EtherChannel.

• يتم تكوين معظم الشبكات باستخدام بروتوكول الشجرة المتفرعة (STP)، مما يعطيه الحد الأقصى من التعرض للحقل. فالتعرض بشكل أكبر يعادل عموما الشفرة المستقرة.

• الحماية ضد سوء سلوك بطاقات واجهة الشبكة (NICs) المتصلة المزدوجة (أو التوصيل الذي يتم تمكينه على الخوادم).

• يرتبط البرنامج الخاص بالعديد من البروتوكولات (مثل PAgP وتطفل IGMP وإنشاء خط الاتصال) إرتباطا وثيقا ب STP. يمكن أن يؤدي التشغيل دون بروتوكول الشجرة المتفرعة (STP) إلى نتائج غير مرغوب فيها.

لا تغير وحدات التوقيت، لأن ذلك يمكن أن يؤثر سلبا على الاستقرار. لم يتم ضبط غالبية الشبكات التي تم نشرها. إن وحدات توقيت بروتوكول الشجرة المتفرعة (STP) البسيطة التي يمكن الوصول إليها من خلال سطر الأوامر، مثل hello-interval و maxage، تتألف هي نفسها من مجموعة معقدة من وحدات التوقيت المفترضة والمتأصلة الأخرى، لذلك من الصعب ضبط وحدات التوقيت والنظر في جميع التداعيات. وعلاوة على ذلك، هناك خطر تقويض حماية UDLD.

نظريا، أبق حركة مرور المستخدم بعيدا عن إدارة VLAN. خاصة مع معالجات المحولات Catalyst الأقدم، من الأفضل تجنب المشاكل مع بروتوكول الشجرة المتفرعة (STP) من خلال الحفاظ على فصل شبكة VLAN الإدارية عن بيانات المستخدم. ومن المحتمل أن تتسبب إحدى المحطات الطرفية التي تسوء التصرف في إبقاء معالج Supervisor Engine مشغولا للغاية بحزم البث التي قد تفتقد واحدة أو أكثر من وحدات بيانات بروتوكول الجسر (BPDU). ومع ذلك، تعمل المحولات الأحدث المزودة بوحدة معالجة مركزية (CPU) أقوى وعناصر التحكم في التحكم في التحكم على تخفيف هذا الاعتبار. راجع قسم الإدارة داخل النطاق في هذا المستند للحصول على مزيد من التفاصيل.

عدم الإفراط في التصميم. قد يؤدي هذا إلى كابوس أستكشاف الأخطاء وإصلاحها - تؤثر العديد من منافذ الحظر سلبا على الاستقرار طويل المدى. الاحتفاظ بالقطر الإجمالي ل SPT تحت سبع نقلات. حاول التصميم إلى نموذج Cisco متعدد الطبقات، مع نطاقاته المحولة الأصغر، ومثلثات STP، والمنافذ المحظورة قطريا (كما هو موضح في تصميم شبكة جيجابت الجامعي - المبادئ والبنية) حيثما كان ذلك ممكنا.

قم بالتأثير على وظائف الجذر والمنافذ المحظورة ومعرفة مكان إقامتها، وتوثيقها على مخطط المخطط. المنافذ المحظورة هي المكان الذي يبدأ فيه أستكشاف أخطاء بروتوكول الشجرة المتفرعة (STP) وإصلاحها - غالبا ما يكون ما جعلهم يتغيرون من الحظر إلى إعادة التوجيه هو الجزء الرئيسي من تحليل السبب الجذري. أختر التوزيع وطبقات الأساس كموقع للجذر الجذر/الجذر الثانوي، نظرا لأن هذه تعد أكثر أجزاء الشبكة إستقرارا. تحقق من وجود تغشية مثلى من المستوى الثالث و HSRP مع مسارات إعادة توجيه البيانات من المستوى الثاني. هذا الأمر عبارة عن ماكرو يقوم بتكوين أولوية الجسر، بينما يعينه الجذر أقل بكثير من الإعداد الافتراضي (32768)، بينما يعينه الجذر الثانوي بشكل معقول أقل من الإعداد الافتراضي:

set spantree root secondary vlan range

ملاحظة: يقوم هذا الماكرو بتعيين أولوية الجذر لتكون إما 8192 (بشكل افتراضي)، أو أولوية الجذر الحالية ناقص 1 (إذا كان هناك جسر جذري آخر معروف)، أو أولوية الجذر الحالية (إذا كان عنوان MAC الخاص به أقل من الجذر الحالي).

قم بتقسيم شبكات VLAN غير الضرورية خارج منافذ خطوط الاتصال (ممارسة ثنائية الإتجاه). وهذا يحد من قطر مصاريف معالجة بروتوكول الشجرة المتفرعة (STP) وبروتوكول الإنترنت (NMP) على أجزاء من الشبكة حيث لا تكون هناك حاجة إلى شبكات VLAN معينة. لا يزيل التشذيب التلقائي ل VTP بروتوكول الشجرة المتفرعة (STP) من خط اتصال. أحلت ال VTP قسم من هذا وثيقة ل كثير معلومة. التقصير VLAN 1 يستطيع أيضا كنت أزلت من شنطة يستعمل CatOS 5،4 ومتأخر.

راجع مشاكل بروتوكول الشجرة المتفرعة واعتبارات التصميم ذات الصلة للحصول على معلومات إضافية.

خيارات أخرى

تحتوي Cisco على بروتوكول STP آخر معروف باسم vlan-bridge. يعمل هذا البروتوكول باستخدام عنوان MAC للوجهة 01-00-0c-cd-cd-ce ونوع البروتوكول 0x010c.

ويكون هذا الإجراء مفيدا للغاية إذا كانت هناك حاجة إلى جسر البروتوكولات غير الموجهة أو القديمة بين شبكات VLAN دون التدخل في مثيل (مثيلات) شجرة IEEE المتفرعة التي تعمل على شبكات VLAN هذه. إذا أصبحت واجهات VLAN لحركة المرور غير المتصلة محظورة لحركة مرور L2 (ويمكن أن يحدث ذلك بسهولة إذا شاركت في بروتوكول الشجرة المتفرعة (STP) نفسه مثل شبكات VLAN الخاصة ب IP)، يتم تنقيح حركة مرور L3 المتفرعة بشكل غير مقصود كذلك - تأثير جانبي غير مرغوب. لذلك، فإن vlan-bridge هو مثيل منفصل لبروتوكول الشجرة المتفرعة (STP) للبروتوكولات المتفرعة، والذي يوفر مخطط منفصل يمكن معالجته دون التأثير على حركة مرور IP.

ال cisco يوصي أن يركض VLAN-bridge إن يتطلب جسر بين VLANs على cisco مسحاج تخديد مثل ال MSFC.

PortFast

يتم إستخدام PortFast لتجاوز عملية الشجرة المتفرعة العادية على منافذ الوصول لزيادة سرعة الاتصال بين المحطات الطرفية والخدمات التي تحتاج إلى الاتصال بها بعد تهيئة الارتباط. في بعض البروتوكولات، مثل IPX/SPX، من المهم رؤية منفذ الوصول في وضع إعادة التوجيه بعد ظهور حالة الارتباط مباشرة لتجنب مشاكل GNS.

راجع إستخدام أوامر PortFast وغيرها من الأوامر لإصلاح تأخيرات اتصال بدء تشغيل محطة العمل للحصول على مزيد من المعلومات.

نظرة عامة على العمليات

يتخطى PortFast حالات بروتوكول الشجرة المتفرعة (STP) الاستماع والتعلم العادية من خلال نقل منفذ مباشرة من الحظر إلى وضع إعادة التوجيه بعد معرفة أن الارتباط قيد التشغيل. إذا لم يتم تمكين هذه الميزة، فإن بروتوكول الشجرة المتفرعة (STP) يتجاهل جميع بيانات المستخدم حتى يقرر أن المنفذ جاهز للنقل إلى وضع إعادة التوجيه. قد يستغرق هذا الأمر ضعف وقت ForwardDelay (إجمالي 30 ثانية بشكل افتراضي).

كما يمنع وضع PortFast إنشاء STP TCN في كل مرة تتغير فيها حالة المنفذ من التعلم إلى إعادة التوجيه. لا تمثل شبكات TCN مشكلة في حد ذاتها، ولكن إذا ضربت موجة من شبكات TCN الجسر الرئيسي (في الصباح عادة عندما يشغل الناس أجهزة الكمبيوتر الخاصة بهم)، فقد تمتد فترة التقارب بشكل غير ضروري.

بروتوكول STP PortFast مهم بشكل خاص في كل من شبكات CGMP للبث المتعدد و Catalyst 5500/5000 MLS. يمكن أن تتسبب TCNs في هذه البيئات في تقادم إدخالات جدول CGMP CAM الثابت، مما ينتج عنه فقدان حزمة البث المتعدد حتى تقرير IGMP التالي، و/أو مسح إدخالات ذاكرة التخزين المؤقت MLS التي تحتاج بعد ذلك إلى إعادة بنائها وقد ينتج عنه زيادة في وحدة المعالجة المركزية للموجه، حسب حجم ذاكرة التخزين المؤقت. (لا تتأثر عمليات تنفيذ Catalyst 6500/6000 MLS وإدخالات البث المتعدد التي يتم تعلمها من التطفل على بروتوكول IGMP.)

توصية

توصي Cisco بتمكين STP PortFast لجميع منافذ المضيف النشطة وتعطيلها لارتباطات محول المحول والمنافذ غير المستخدمة.

يقني و trunking ينبغي أيضا كنت معأق لكل مضيف ميناء. كل منفذ مكنت ميناء افتراضيا ل trunking وقناة، غير أن مفتاح لا يتوقع جيران حسب تصميم على مضيف ميناء. إذا تركت هذه البروتوكولات للتفاوض، فإن التأخير اللاحق في تنشيط المنفذ يمكن أن يؤدي إلى حالات غير مرغوب فيها لا يتم إعادة توجيه الحزم الأولية من محطات العمل، مثل طلبات DHCP.

قدم CatOS 5.2 أمر ماكرو، set port host مدى المنفذ أن يطبق هذا التكوين لمنافذ الوصول ويساعد التشغيل التلقائي وأداء الاتصال بشكل ملحوظ:

set port host port range


!--- Macro command for these commands:

set spantree portfast port range enable
set trunk port range off
set port channel port range mode off

ملاحظة: لا يعني PortFast عدم تشغيل الشجرة المتفرعة على الإطلاق على هذه المنافذ. لا تزال وحدات بيانات بروتوكول الجسر (BPDU) يتم إرسالها واستقبالها ومعالجتها.

خيارات أخرى

PortFast BPDU-guard يوفر طريقة أن يمنع أنشوطة ب ينقل لا trunking ميناء داخل errdisable دولة عندما BPDU يكون إستلمت على أن ميناء.

يجب عدم تلقي حزمة BPDU أبدا على منفذ وصول تم تكوينه ل PortFast، نظرا لأنه يجب ألا تكون منافذ المضيف متصلة بالمحولات. إذا تم ملاحظة وحدة بيانات بروتوكول الجسر (BPDU)، فإنها تشير إلى تكوين غير صالح وربما خطير يحتاج إلى إجراء إداري. عندما ال BPDU-guard مكنت سمة يكون، يجسر - شجرة يعطل قارن PortFast يشكل أن يستلم BPDUs بدلا من وضعهم في ال STP يقيد دولة.

يعمل الأمر على أساس كل محول، وليس لكل منفذ، كما هو موضح:

set spantree portfast bpdu-guard enable

يتم إعلام مدير الشبكة بواسطة مصيدة SNMP أو رسالة syslog إذا تم إسقاط المنفذ. هو أيضا يمكن أن يشكل إستعادة وقت آلي ل Errdisabled ميناء. أحلت ال UDLD قسم من هذا وثيقة ل كثير تفاصيل. أحلت ل كثير معلومة، يجسر - شجرة PortFast BPDU حارس تعزيز.

ملاحظة: تم إدخال PortFast لمنافذ خطوط الاتصال في CatOS 7.x وليس لها تأثير على منافذ خطوط الاتصال في الإصدارات السابقة. تم تصميم PortFast لمنافذ خطوط الاتصال لزيادة أوقات تقارب شبكات L3. لتكملة هذه الميزة، قدم CatOS 7.x أيضا إمكانية تكوين PortFast BPDU-guard على أساس كل منفذ.

Uplinkfast

يوفر Uplinkfast تقارب STP سريعا بعد فشل الارتباط المباشر في طبقة الوصول إلى الشبكة. ولا يقوم بتعديل بروتوكول الشجرة المتفرعة (STP)، والغرض منه هو تسريع وقت التقارب في ظرف معين إلى أقل من ثلاث ثوان، بدلا من التأخير النموذجي لمدة 30 ثانية. راجع فهم ميزة توصيل Cisco السريع وتكوينها للحصول على مزيد من المعلومات.

نظرة عامة على العمليات

باستخدام نموذج التصميم متعدد الطبقات من Cisco في طبقة الوصول، في حالة فقدان وصلة إعادة التوجيه، يتم نقل وصلة الحظر على الفور إلى حالة إعادة توجيه دون انتظار حالات الاستماع والتعلم.

مجموعة الوصلات هي مجموعة من المنافذ لكل شبكة محلية ظاهرية (VLAN) يمكن التفكير فيها كمنفذ جذري ومنفذ جذر للنسخ الاحتياطي. في الظروف العادية، يقوم المنفذ (المنافذ) الجذري بتأمين الاتصال من الوصول إلى الجذر. إذا فشل اتصال الجذر الأساسي هذا لأي سبب من الأسباب، فيبدأ إرتباط جذر النسخ الاحتياطي في الدخول فورا دون الاضطرار إلى المرور عبر تأخير تقارب نموذجي يبلغ 30 ثانية.

ونظرا لأن هذا يتخطى بشكل فعال عملية معالجة تغيير مخطط بروتوكول الشجرة المتفرعة (STP) العادية (الاستماع والتعلم)، فهناك حاجة إلى آلية بديلة لتصحيح المخطط من أجل تحديث المحولات في المجال الذي يمكن فيه الوصول إلى المحطات الطرفية المحلية من خلال مسار بديل. يقوم محول طبقة الوصول الذي يشغل Uplinkfast أيضا بتوليد إطارات لكل عنوان MAC في حدته إلى عنوان MAC متعدد البث (01-00-0c-cd-cd، بروتوكول HDLC 0x200a) لتحديث جدول CAM في جميع محولات المجال باستخدام المخطط الجديد.

توصية

توصي Cisco بتمكين Uplinkfast للمحولات ذات المنافذ المحظورة، عادة في طبقة الوصول. لا تستخدم على المحولات دون معرفة المخطط الضمنية للارتباط الجذري للنسخ الاحتياطي - وعادة ما يكون التوزيع والمحولات الأساسية في تصميم Cisco متعدد الطبقات. ويمكن إضافتها دون مقاطعة شبكة إنتاج. أصدرت هذا أمر in order to مكنت Uplinkfast:

set spantree uplinkfast enable 

يعمل هذا الأمر أيضا على تعيين أولوية الجسر عالية لتقليل مخاطر أن يصبح هذا جسرا رئيسيا وارتفاع أولوية المنفذ لتقليل إمكانية التحول إلى منفذ مخصص، مما يؤدي إلى كسر الوظائف. عند إستعادة محول تم تمكين Uplinkfast عليه، يجب تعطيل الميزة ومسح قاعدة بيانات الوصلة ب "مسح الوصلة" واسترداد أولويات الجسر يدويا.

ملاحظة: تكون الكلمة الأساسية all protocols لأمر Uplinkfast مطلوبة عند تمكين ميزة تصفية البروتوكول. بما أن الجهاز يقوم بتسجيل نوع البروتوكول وكذلك معلومات MAC وشبكة VLAN عندما يكون تصفية البروتوكول ممكنة، فإن إطار Uplinkfast يحتاج أن يكون تم توليده لكل بروتوكول على كل عنوان MAC. تشير الكلمة الأساسية المعدل إلى الحزم في الثانية من إطارات تحديث مخطط Uplinkfast. ينصح بالافتراض. لا تحتاج إلى تكوين BackboneFast باستخدام بروتوكول STP السريع (RSTP) أو IEEE 802.1w لأن الآلية يتم تضمينها بشكل طبيعي ويتم تمكينها تلقائيا في RSTP.

باكبون فاست

توفر BackboneFast تقاربا سريعا من حالات فشل الارتباط غير المباشر. باستخدام الوظائف المضافة إلى بروتوكول الشجرة المتفرعة (STP)، يمكن عادة تقليل أوقات التقارب من الإعداد الافتراضي الذي يبلغ 50 ثانية إلى 30 ثانية.

نظرة عامة على العمليات

يتم بدء الآلية عندما يستقبل منفذ جذري أو منفذ محظور على محول وحدات بيانات بروتوكول الجسر (BPDU) سفلية من الجسر المعين له. ويمكن أن يحدث ذلك عندما يفقد محول تدفق البيانات من الخادم إتصاله بالجذر ويبدأ في إرسال وحدات بيانات بروتوكول الجسر (BPDUs) الخاصة به من أجل إختيار جذر جديد. تعرف وحدة بيانات بروتوكول الجسر (BPDU) الأدنى المحول على أنه كل من الجسر الرئيسي والجسر المعين.

ضمن قواعد الشجرة المتفرعة العادية، يتجاهل المحول المستقبل وحدات BPDUs سفلية للحد الأقصى لوقت التقادم الذي تم تكوينه، 20 ثانية بشكل افتراضي. ومع ذلك، باستخدام BackboneFast، يرى المحول وحدة بيانات بروتوكول الجسر (BPDU) الأدنى كإشارة إلى أن المخطط قد يتغير، ويحاول تحديد ما إذا كان لديه مسار بديل للجسر الرئيسي باستخدام وحدات بيانات بروتوكول الجسر (BPDUs) لاستعلام الارتباط الجذري (RLQ). وتتيح إضافة البروتوكول هذه للمحول التحقق مما إذا كان الجذر لا يزال متوفرا، ونقل المنفذ المحظور إلى إعادة التوجيه في وقت أقل، وإعلام المحول المعزول الذي أرسل وحدة بيانات بروتوكول الجسر (BPDU) الأدنى إلى أن الجذر لا يزال موجودا.

هذا بعض إبرازات من البروتوكول عملية:

• يرسل المحول حزمة RLQ خارج المنفذ الرئيسي فقط (أي باتجاه الجسر الرئيسي).

• يمكن للمحول الذي يستقبل RLQ الرد إما إذا كان المحول الجذري، أو إذا كان يعلم أنه فقد الاتصال بالجذر. إذا لم يكن على علم بهذه الحقائق، فيجب عليه إعادة توجيه الاستعلام خارج المنفذ الرئيسي.

• إذا فقد المحول الاتصال بالجذر، فيجب عليه الرد بالنفي على هذا الاستعلام.

• يجب إرسال الرد فقط إلى المنفذ الذي جاء منه الاستعلام.

• يجب أن يستجيب المحول الجذري دائما لهذا الاستعلام برد إيجابي.

• إذا تم إستلام الرد على منفذ غير جذري، سيتم التخلص منه.

لذلك، يمكن تقليل أوقات تقارب بروتوكول الشجرة المتفرعة (STP) لمدة تصل إلى 20 ثانية، حيث لا تحتاج maxMaxAge إلى انتهاء الصلاحية.

راجع فهم وتكوين Backbone Fast على محولات Catalyst للحصول على مزيد من المعلومات.

توصية

تتمثل توصية Cisco في تمكين BackboneFast على جميع المحولات التي تقوم بتشغيل بروتوكول الشجرة المتفرعة (STP). ويمكن إضافتها دون مقاطعة شبكة إنتاج. أصدرت هذا أمر in order to مكنت BackboneFast:

set spantree backbonefast enable

ملاحظة: يلزم تكوين الأمر العام هذا على جميع المحولات في مجال ما لأنه يضيف وظائف لبروتوكول بروتوكول الشجرة المتفرعة (STP) التي يجب أن تفهمها جميع المحولات.

خيارات أخرى

BackboneFast غير مدعوم على 2900XLs و 3500s. هو ينبغي لا يكون مكنت إن المفتاح مجال يحتوي هذا مفتاح بالإضافة إلى مادة حفازة 4500/4000، 5500/5000، و 6500/6000 مفتاح.

أنت لا تحتاج أن يشكل BackboneFast مع RSTP أو IEEE 802.1w لأن الآلية تضمنت طبيعي ومكنت تلقائيا في RSTP.

حماية تكرار الشجرة الممتدة

حماية التكرار هي تحسين Cisco خاص ل STP. يحمي حماية حماية التكرار الحلقي شبكات L2 من حلقات التكرار التي تحدث بسبب:

• واجهات الشبكة التي تعطل

• وحدات المعالجة المركزية (CPU) المشغولة

• أي شيء يمنع إعادة التوجيه العادية لوحدات بيانات بروتوكول الجسر (BPDUs)

تحدث حلقة بروتوكول الشجرة المتفرعة (STP) عندما يتم حظر منفذ في مخطط متكرر بشكل خاطئ عمليات انتقال إلى حالة إعادة التوجيه. يحدث هذا الانتقال عادة لأن أحد المنافذ في مخطط متكرر ماديا (ليس بالضرورة منفذ الحظر) توقف عن إستقبال وحدات بيانات بروتوكول الجسر (BPDUs).

يكون حماية التكرار الحلقي مفيدا فقط في الشبكات المحولة حيث تكون المحولات متصلة بواسطة إرتباطات من نقطة إلى نقطة. معظم شبكات المجمعات ومراكز البيانات الحديثة هي هذه الأنواع من الشبكات. على رابط من نقطة إلى نقطة، لا يمكن أن يختفي جسر معين إلا إذا كان يرسل وحدة بيانات بروتوكول الجسر (BPDU) سفلية أو يخفض الارتباط. تم إدخال ميزة حماية حلقة بروتوكول الشجرة المتفرعة (STP) في الإصدار 6.2(1) من CatOS لمنصات Catalyst 4000 و Catalyst 5000، وفي الإصدار 6.2(2) لمنصة Catalyst 6000.

راجع تحسينات بروتوكول الشجرة المتفرعة باستخدام ميزات "حماية التكرار الحلقي" و BPDU Skew Detection للحصول على مزيد من المعلومات حول حماية التكرار الحلقي.

نظرة عامة على العمليات

يتحقق واقي التكرار الحلقي لتحديد ما إذا كان منفذ جذري أو منفذ جذر بديل/إحتياطي يستقبل وحدات بيانات بروتوكول الجسر (BPDUs). إن لا يستلم الميناء BPDUs، أنشوطة حارس يضع الميناء داخل دولة غير متناسق (يقيد) إلى أن الميناء يبدأ أن يستلم BPDUs ثانية. لا يبث ميناء في الدولة غير متناسق BPDUs. إن يستلم هذا ميناء BPDUs ثانية، الميناء (وربط) اعتبرت usable ثانية. أزلت الحلقي-متناقض شرط من الميناء، وال STP يعين الميناء دولة لأن هذا إستعادة يكون تلقائيا.

يعزل حماية التكرار الحلقي الفشل ويتيح للشجرة المتفرعة التقارب إلى مخطط ثابت دون فشل الارتباط أو الجسر. يمنع حماية التكرار الحلقي حلقات تكرار بروتوكول الشجرة المتفرعة (STP) مع سرعة إصدار STP قيد الاستخدام. لا يوجد اعتماد على بروتوكول الشجرة المتفرعة (STP) نفسه (802.1d أو 802.1w) أو عند ضبط أجهزة توقيت بروتوكول الشجرة المتفرعة (STP). لهذه الأسباب، طبقت أنشوطة حارس بالاقتران مع UDLD في طوبولوجيا أن يعتمد على STP وحيث البرمجية يساند السمة.

عندما يعزل حماية التكرار الحلقي منفذا غير متناسق، يتم تسجيل هذه الرسالة:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated
in VLAN 77. Moved to root-inconsistent state.

عندما إستلمت ال BPDU على ميناء في أنشوطة-متناقض STP دولة، الميناء إنتقال إلى آخر STP دولة. ووفقا لوحدة بيانات بروتوكول الجسر (BPDU) المستلمة، تتم عملية الاسترداد تلقائيا، ولا يلزم أي تدخل. بعد الاسترداد، يتم تسجيل هذه الرسالة.

SPANTREE-2-LOOPGUARDUNBLOCK: port 3/2 restored in vlan 3.

التفاعل مع ميزات STP الأخرى

• حماية الجذر

  يفرض حماية الجذر تخصيص المنفذ دائما. يكون حماية التكرار الحلقي فعالا فقط إذا كان المنفذ هو المنفذ الرئيسي أو منفذ بديل. وهذه الوظائف لا علاقة لها ببعضها البعض. لا يمكن تمكين حماية التكرار الحلقي وواقي الجذر على منفذ ما في نفس الوقت.

• Uplinkfast

  حماية التكرار الحلقي متوافقة مع Uplinkfast. إذا قام حماية التكرار الحلقي بوضع منفذ جذري في حالة حظر، فإن Uplinkfast يضع منفذا رئيسيا جديدا في حالة إعادة التوجيه. أيضا، لا ينتقي Uplinkfast ميناء غير متناسق كميناء جذري.

• باكبون فاست

  حماية التكرار الحلقي متوافقة مع BackboneFast. فاستقبال وحدة بيانات بروتوكول الجسر (BPDU) سفلية والتي تأتي من جسر معين يؤدي إلى تشغيل برنامج BackboneFast. نظرا لاستلام وحدات بيانات بروتوكول الجسر (BPDUs) من هذا الارتباط، لم يتم تنشيط حماية التكرار الحلقي، لذلك يكون BackboneFast وحراسة التكرار متوافقين.

• PortFast

  يقوم PortFast بنقل منفذ ما إلى حالة إعادة التوجيه المعينة مباشرة عند الارتباط. لأن PortFast-enabled ميناء يستطيع لا يكون جذر أو بديل ميناء، أنشوطة حارس و PortFast مشترك خاص.

• PAgP

  يستخدم حماية التكرار الحلقي المنافذ المعروفة ب STP. لذلك، يمكن أن يستفيد حارس الحلقة من تجريد المنافذ المنطقية التي يوفرها PAgP. مهما، in order to شكلت قناة، all the physical ميناء أن يكون جمعت في القناة ينبغي يتلقى تشكيل متوافق. يفرض PAgP التشكيل الموحد من حماية التكرار على all the ميناء طبيعي أن يشكل قناة.

  ملاحظة: هذا تحذير عندما يشكل أنت أنشوطة حارس على EtherChannel:

  • يختار STP دائما المنفذ التنفيذي الأول في القناة in order to أرسلت ال BPDUs. إذا أصبح ذلك الرابط أحادي الإتجاه، يمنع واقي التكرار القناة، even if آخر خطوة في القناة تعمل بشكل صحيح.

  • إن ينحصر ميناء أي يكون سابقا حجبت حسب أنشوطة حارس معا in order to شكلت قناة، STP يخسر all the دولة معلومة ل أن ميناء. يمكن أن يصل منفذ القناة الجديد إلى حالة إعادة التوجيه باستخدام دور معين.

  • إذا تم حظر قناة بواسطة حماية التكرار الحلقي وانكسرت القناة، فإن بروتوكول الشجرة المتفرعة (STP) يفقد جميع معلومات الحالة. يمكن للمنافذ المادية الفردية الوصول إلى حالة إعادة التوجيه بالدور المعين، حتى إذا كان واحد أو أكثر من الارتباطات التي شكلت القناة أحادي الإتجاه.

  في آخر حالتين في هذا قائمة، هناك إمكانية أنشوطة إلى أن UDLD يكشف الفشل. ولكن حماية التكرار الحلقي غير قادرة على اكتشاف التكرار الحلقي.

مقارنة ميزة Loop Guard و UDLD

تداخل جزئي بين وظائف حماية التكرار ووظائف UDLD. يحمي كلا من ضد STP إخفاق أن {mixed}unidirectional خطوة يسببها. لكن هاتين السمتين مختلفتان في طريقة التعامل مع المشكلة وفي الوظيفة أيضا. وعلى وجه الخصوص، هناك بعض حالات الفشل أحادي الإتجاه التي لا يمكن ل UDLD الكشف عنها، مثل حالات الفشل التي تحدث بواسطة وحدة المعالجة المركزية التي لا ترسل وحدات بيانات بروتوكول الجسر (BPDUs). وبالإضافة إلى ذلك، يمكن أن يؤدي إستخدام توقيتات STP القوية ووضع RSTP إلى تكرارات حلقية قبل أن يتمكن UDLD من اكتشاف حالات الفشل.

لا يعمل حماية التكرار الحلقي على الارتباطات المشتركة أو في الحالات التي يكون فيها الارتباط أحادي الإتجاه منذ الارتباط. في حال كان الرابط أحادي الإتجاه منذ الربط، فإن المنفذ لا يستلم وحدات بيانات بروتوكول الجسر (BPDUs) أبدا ويصبح معينا. هذا تصرف يستطيع كنت عادي، لذلك أنشوطة حارس لا يغطي هذه الحالة خاص. UDLD يوفر حماية ضد هذا سيناريو.

مكنت على حد سواء UDLD وحراسة أنشوطة in order to زودت أعلى مستوى حماية. أحلت الحلقي حارس مقابل {mixed}unidirectional خطوة كشف قسم من يجسر - شجرة بروتوكول تحسين يستعمل أنشوطة حارس و BPDU تشكيل كشف سمة ل أنشوطة حارس و UDLD سمة مقارنة،.

توصية

cisco يوصي أن أنت يمكن أنشوطة حارس بشكل عام على مفتاح شبكة مع أنشوطة طبيعي. في صيغة 7.1(1) من المادة حفازة برمجية وفيما بعد، أنت يستطيع مكنت أنشوطة حارس بشكل عام على كل ميناء. بشكل فعال، مكنت السمة على كل خطوة إلى نقطة. تقوم حالة الإرسال ثنائي الإتجاه للارتباط باكتشاف الارتباط من نقطة إلى نقطة. إذا كان الإرسال ثنائي الإتجاه ممتلئا، فسيتم إعتبار الارتباط من نقطة إلى نقطة. أصدرت هذا أمر in order to مكنت شامل أنشوطة حارس:

set spantree global-default loopguard enable

خيارات أخرى

بالنسبة للمحولات التي لا تدعم تكوين واقي التكرار العالمي، قم بتمكين الميزة على جميع المنافذ الفردية، والتي تتضمن منافذ قناة المنفذ. على الرغم من عدم وجود فوائد لتمكين حماية التكرار الحلقي على منفذ معين، إلا أن هذا التمكين ليس مشكلة. وبالإضافة إلى ذلك، يمكن لإعادة تقارب الشجرة المتفرعة الصالحة بالفعل تحويل منفذ محدد إلى منفذ جذري، مما يجعل الميزة مفيدة على هذا المنفذ. أصدرت هذا أمر in order to مكنت أنشوطة حارس:

set spantree guard loop mod/port

الشبكات ذات الطوبولوجيا الخالية من الحلقة ما تزال يمكن أن تستفيد من حماية التكرار الحلقي في حالة أن حلقات التكرار تم تقديمها بشكل عرضي. ومع ذلك، قد يؤدي تمكين حماية التكرار في هذا النوع من المخطط إلى مشاكل في عزل الشبكة. أصدرت in order to بنيت librore طوبولوجيا وتجنب شبكة عملية عزل مشكلة، هذا أمر أن يعجز أنشوطة حارس بشكل عام أو بشكل منفرد. عدم تمكين حماية التكرار الحلقي على الارتباطات المشتركة.

• set spantree global-default loopguard disable
  
  !--- This is the global default.
  
  

   أو

• set spantree guard none mod/port
  
  
  !--- This is the default port configuration.
  
  

حماية جذر الشجرة الممتدة

تُوفر ميزة Root Guard طريقة لفرض إدخال الجسر الرئيسي في الشبكة. يضمن واقي الجذر أن المنفذ الذي يتم تمكين واقي الجذر عليه هو المنفذ المعين. عادةً ما تكون جميع منافذ الجسر الرئيسي عبارة عن منافذ مُعينة، ما لم يتم توصيل منفذين أو أكثر للجسر الرئيسي معًا. إذا كان الجسر يستلم وحدات بيانات بروتوكول الشجرة المتفرعة (STP) فائقة على منفذ يدعم الواقي، فإن الجسر ينقل هذا المنفذ إلى حالة STP غير متوافقة مع الجذر. إن حالة عدم اتساق الجذر هذه تساوي فعليًا حالة الاستماع (Listening State). لا تتم إعادة توجيه حركة المرور عبر هذا المنفذ. وبهذه الطريقة، يفرض حرس الجذر موقع الجسر الرئيسي. يتوفر واقي الجذر في CatOS لمادة حفازة 29xx، 4500/4000، 5500/5000، و 6500/6000 في برمجية صيغة 6.1.1 ومتأخر.

نظرة عامة على العمليات

حماية الجذر هي آلية مدمجة لبروتوكول الشجرة المتفرعة (STP). ولا يوجد لدى الحرس الجذري جهاز توقيت خاص به، وهو يعتمد على إستقبال وحدات بيانات بروتوكول الجسر (BPDU) فقط. عند تطبيق واقي الجذر على منفذ ما، لا يسمح واقي الجذر للمنفذ بأن يصبح منفذ جذري. إن يستلم من BPDU يطلق يجسر - شجرة تقارب أن يجعل يعين ميناء يصبح جذر ميناء، الميناء وضعت داخل جذر-متناقض دولة. تظهر رسالة syslog هذه الإجراء:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated
in VLAN 77. Moved to root-inconsistent state

عقب توقف الميناء أن يرسل أعلى BPDUs، الميناء يكون unblocking ثانية. من خلال بروتوكول الشجرة المتفرعة (STP)، ينتقل المنفذ من حالة الاستماع إلى حالة التعلم، وفي نهاية المطاف ينتقل إلى حالة إعادة التوجيه. الشفاء تلقائي، ولا يلزم أي تدخل بشري. توفر رسالة syslog هذه مثالا:

%SPANTREE-2-ROOTGUARDUNBLOCK: Port 1/1 restored in VLAN 77

يجبر حارس الجذر ميناء أن يكون عينت ويكون حارس الحلقة فعال فقط إن الميناء هو الجذر ميناء أو بديل ميناء. ولذلك، فإن هاتين الوظيفتين لا تنفصلان عن بعضهما البعض. لا يمكن تمكين حماية التكرار الحلقي وواقي الجذر على منفذ ما في نفس الوقت.

راجع تحسين واقي جذر بروتوكول الشجرة المتفرعة للحصول على مزيد من المعلومات.

توصية

توصيك Cisco بتمكين ميزة "الواقي الجذر" على المنافذ المتصلة بأجهزة الشبكة التي لا تكون تحت التحكم الإداري المباشر. أصدرت in order to شكلت الجذر حارس، هذا أمر:

set spantree guard root mod/port

EtherChannel

تتيح تقنيات EtherChannel التجميع المعكوس لقنوات متعددة (ما يصل إلى ثمانية على Catalyst 6500/6000) في إرتباط منطقي واحد. على الرغم من أن كل منصة تختلف عن التالية في التنفيذ، إلا أنه من المهم فهم المتطلبات المشتركة:

• خوارزمية لمضاعفة الإطارات إحصائيا عبر قنوات متعددة

• إنشاء منفذ منطقي حتى يمكن تشغيل مثيل واحد من بروتوكول الشجرة المتفرعة (STP)

• بروتوكول إدارة قناة مثل PAgP أو بروتوكول التحكم في تجميع الارتباطات (LACP)

تجميع الإطارات

يتضمن EtherChannel خوارزمية توزيع الإطارات التي تضاعف الإطارات بكفاءة عبر المكون 10/100 أو روابط جيجابت. تنشأ الاختلافات في الخوارزميات لكل نظام من قدرة كل نوع من الأجهزة على إستخلاص معلومات رأس الإطار لاتخاذ قرار التوزيع.

خوارزمية توزيع الحمل هي خيار عام لكل من بروتوكولات التحكم في القناة. يستخدم كل من PAgP و LACP خوارزمية توزيع الإطارات لأن معيار IEEE لا يتطلب أي خوارزميات توزيع معينة. ومع ذلك، تضمن أي خوارزمية توزيع أنه، عند إستلام الإطارات، لا تتسبب الخوارزمية في سوء ترتيب الإطارات التي هي جزء من أي محادثة أو تكرار للإطارات.

ملاحظة: يجب مراعاة هذه المعلومات:

• المادة حفازة 6500/6000 يتلقى أكثر حديثا تحويل جهاز من المادة حفازة 5500/5000 ويستطيع قرأت ip طبقة 4 (L4) معلومة حسب السلك in order to جعلت أكثر ذكاء عملية تجميع قرار من بسيط ماك l2 معلومة.

• تعتمد إمكانيات Catalyst 5500/5000 على وجود شريحة تجميع إيثرنت (EBC) على الوحدة النمطية. يؤكد الأمر show port capabilities mod/port ما هو ممكن لكل منفذ.

ارجع إلى هذا الجدول، الذي يوضح خوارزمية توزيع الإطارات بالتفصيل لكل نظام أساسي مدرج:

¹ FEC = Fast EtherChannel

² UDP = بروتوكول مخطط بيانات المستخدم

يشير هذا الجدول إلى طرق التوزيع المدعومة على مختلف نماذج Catalyst 6500/6000 Supervisor Engine (محرك المشرف) وسلوكها الافتراضي.

ملاحظة: باستخدام التوزيع من المستوى الرابع، تستخدم الحزمة المجزأة الأولى التوزيع من المستوى الرابع. تستخدم جميع الحزم التالية توزيع L3.

يمكن العثور على مزيد من تفاصيل دعم EtherChannel على الأنظمة الأساسية الأخرى وكيفية تكوينها واستكشاف أخطائها وإصلاحها في هذه المستندات:

• يفهم EtherChannel تحميل موازنة وتكرار على مادة حفازة مفتاح

• تكوين قناة EtherChannel بين مُبدلات Catalyst 4500/4000 و5500/5000 و6500/6000 التي تعمل ببرنامج نظام CatOS

• تكوين LACP (802.3ad) بين Catalyst 6500/6000 وCatalyst 4500/4000

• تكوين الطبقة 3 والطبقة 2 EtherChannel

توصية

تجري المحولات Catalyst 6500/6000 series switches موازنة الأحمال حسب عنوان IP بشكل افتراضي. يوصى بهذا في CatOS 5.5، بافتراض أن IP هو البروتوكول السائد. أصدرت هذا أمر in order to ثبتت حمل موازنة:

set port channel all distribution ip both

!--- This is the default.

يكون توزيع إطار السلسلة Catalyst 4500/4000 و 5500/5000 بواسطة عنوان MAC من المستوى الثاني مقبولا في معظم الشبكات. ومع ذلك، يتم إستخدام نفس الرابط لجميع حركات المرور إذا كان هناك جهازان رئيسيان فقط يتحدثان عبر قناة ما (مثل SMAC و DMAC ثابتان). عادة ما يكون هذا مشكلة خاصة بالنسخ الاحتياطي للخادم وعمليات نقل الملفات الكبيرة الأخرى أو لمقطع النقل بين موجهين.

على الرغم من أنه يمكن إدارة منفذ التجميع المنطقي (AGPORT) بواسطة SNMP كمثيل منفصل وإحصائيات الخرج الكلي التي تم جمعها، لا تزال Cisco توصي بإدارة كل من الواجهات المادية بشكل منفصل للتحقق من كيفية عمل آليات توزيع الإطارات وما إذا كان يتم تحقيق موازنة الأحمال الإحصائية.

أمر جديد، العرض قناة حركة مرور ، في CatOS 6.x يستطيع عرضت نسبة توزيع إحصائيات بسهولة أكثر من إن يفحص أنت فرد ميناء عدادات مع العرض عدادات mod/ميناء أمر أو العرض mac mod/ميناء في CatOS 5.x. أمر آخر جديد، العرض قناة تجزئة ، في CatOS 6.x يسمح أنت أن يتحقق، بناء على التوزيع أسلوب، أي ميناء يكون انتقيت كميناء خارج ل خاص عنوان و/أو ميناء رقم. الأوامر المكافئة لقنوات LACP هي الأمر show lacp-channel traffic والأمر show lacp-channel hash.

خيارات أخرى

هذه خطوات ممكنة أن تتخذ إذا كان التقييدات النسبية لمادة حفازة 4500/4000 أو مادة حفازة 5500/5000 baser خوارزميات ماك مشكلة، ولم يتم تحقيق موازنة حمل إحصائي جيد:

• نقطة نشر مادة حفازة 6500/6000 مفتاح

• قم بزيادة النطاق الترددي بدون تحويل بواسطة التحويل، على سبيل المثال، من العديد من منافذ FE إلى منفذ GE واحد، أو من العديد من منافذ GE إلى منفذ 10 GE واحد

• إعادة توجيه أزواج المحطات الطرفية مع تدفقات كبيرة الحجم

• توفير روابط/شبكات محلية ظاهرية (VLAN) مخصصة للأجهزة ذات النطاق الترددي العالي

قيود وإرشادات تكوين EtherChannel

يتحقق EtherChannel من خصائص أيسر على كل ميناء طبيعي قبل أن يجمع هو ميناء متوافق إلى ميناء منطقي وحيد. تختلف إرشادات وقيود التكوين الخاصة بمنصات المحولات المختلفة. اتبعوا الارشادات لتجنب مشاكل التجميع. على سبيل المثال، إذا تم تمكين جودة الخدمة، فإن EtherChannels لا تشكل عند تجميع وحدات تحويل Catalyst 6500/6000 series مع إمكانيات جودة الخدمة المختلفة. في cisco ios برمجية، أنت يستطيع أعجزت ال QoS ميناء سمة تدقيق على EtherChannel يجمع مع ال ما من mls qos قناة تناسق قارن أمر. أمر مكافئ in order to أعجزت ال QoS ميناء سمة تدقيق لا يتوفر في CatOS. يمكنك إصدار الأمر show port capabilities mod/port لعرض إمكانية منفذ جودة الخدمة وتحديد ما إذا كانت المنافذ متوافقة.

اتبع هذه الإرشادات لمنصات العمل المختلفة لتجنب مشاكل التكوين:

• القناة تشكيل guidelines قسم من يشكل EtherChannel (مادة حفازة 6500/6000)

• EtherChannel تشكيل guidelines وقيود قسم من يشكل Fast EtherChannel و gigabit EtherChannel (مادة حفازة 4500/4000)

• EtherChannel تشكيل guidelines وقيود قسم من يشكل Fast EtherChannel و gigabit EtherChannel (مادة حفازة 5000)

ملاحظة: الحد الأقصى لعدد قنوات المنافذ التي يدعمها المحول Catalyst 4000 هو 126. مع برمجية إطلاق 6.2(1) وما قبله، ال 6-slot و 9-slot مادة حفازة 6500 sery دعم بحد أقصى 128 EtherChannels. في الإصدار 6.2(2) من البرنامج والإصدارات الأحدث، تتعامل ميزة الشجرة المتفرعة مع معرف المنفذ. لذلك، فإن الحد الأقصى لعدد قنوات EtherChannels مع الدعم هو 126 لهيكل مكون من ست أو تسع فتحات و 63 لهيكل مكون من 13 فتحة.

بروتوكول تجميع المنفذ

PAgP هو بروتوكول إدارة يتحقق من اتساق المعلمة في أي من طرفي الارتباط ويساعد القناة في التكيف مع فشل الارتباط أو الإضافة. لاحظ هذه الحقائق حول PAgP:

• يتطلب PAgP أن ينتسب كل ميناء في القناة إلى ال نفسه VLAN أو يكون شكلت كشنطة ميناء. (لأن شبكات VLAN الديناميكية يمكن أن تفرض التغيير من ميناء إلى VLAN مختلف، هم لا يتضمن في EtherChannel مشاركة.)

• عندما حزمة بالفعل يتواجد والتشكيل من واحد ميناء عدلت (مثل يغير VLAN أو trunking أسلوب)، كل ميناء في الحزمة عدلت أن يماثل أن تشكيل.

• لا يقوم PAgP بتجميع المنافذ التي تعمل بسرعات مختلفة أو الإرسال ثنائي الإتجاه للمنفذ. إن غيرت سرعة ومزدوج يكون عندما حزمة يتواجد، PAgP يغير سرعة أيسر وزواج لكل ميناء في الحزمة.

نظرة عامة على العمليات

يتحكم منفذ PAgP في كل منفذ مادي (أو منطقي) فردي ليتم تجميعه. يتم إرسال حزم PAgP باستخدام نفس عنوان MAC لمجموعة البث المتعدد التي يتم إستخدامها لحزم CDP، 01-00-0c-cc-cc. قيمة البروتوكول هي 0x0104. هذا ملخص لعملية البروتوكول:

• ما دام المنفذ الفعلي قيد التشغيل، يتم إرسال حزم PAgP كل ثانية أثناء الكشف وكل 30 ثانية في حالة ثابتة.

• يستمع البروتوكول لحزم PAgP التي تثبت أن المنفذ الفعلي به اتصال ثنائي الإتجاه إلى جهاز آخر قادر PAgP.

• إذا تم إستلام حزم البيانات ولكن لا يتم إستلام حزم PAgP، يفترض أن المنفذ متصل بجهاز غير قادر PAgP.

• بمجرد إستلام حزمتين PAgP على مجموعة من المنافذ المادية، فإنه يحاول تكوين منفذ مجمع.

• إذا توقفت حزم PAgP لفترة من الزمن، فسيتم تقسيم حالة PAgP.

معالجة عادية

ويجب تعريف هذه المفاهيم للمساعدة في فهم سلوك البروتوكول:

• agport—منفذ منطقي يتكون من جميع المنافذ المادية في نفس التجميع، يمكن تحديده بواسطة SNMP ifIndex الخاص به. لذلك، لا يحتوي المنفذ على منافذ غير عاملة.

• القناة—تجميع يفي بمعايير التكوين؛ وبالتالي قد يحتوي على منافذ غير عاملة (المنافذ هي مجموعة فرعية من القنوات). تعمل البروتوكولات بما في ذلك بروتوكول الشجرة المتفرعة (STP) وبروتوكول الشجرة المتفرعة (VTP)، ولكن باستثناء بروتوكول CDP و DTP، فوق PAgP عبر المنافذ. لا يمكن لأي من هذه البروتوكولات إرسال الحزم أو استقبالها إلى أن يقوم PAgP بإرفاق موصلاتها بمنفذ فعلي واحد أو أكثر.

• قدرة المجموعة—يحتوي كل منفذ ومنفذ مادي على معلمة تكوين تسمى قدرة المجموعة. يمكن تجميع منفذ فعلي بمنفذ مادي آخر إذا كان لديهم نفس إمكانية المجموعة فقط.

• إجراء التجميع- عندما يصل المنفذ الفعلي إلى حالات UpData أو UpPAgP، يتم ربطه بمنفذ مناسب. وعندما تترك أيا من هاتين الدولتين لدولة أخرى، فإنها تنفصل عن النزاع.

ترد تعريفات الحالات وإجراءات الإنشاء في هذا الجدول:

يجب أن يتفق كلا طرفي الوصلتين على ما سيكون عليه التجميع، والذي يتم تعريفه كأكبر مجموعة من المنافذ في المنفذ المسموح بها من قبل طرفي الاتصال.

عندما يصل المنفذ الفعلي إلى حالة UpPAgP، يتم تعيينه إلى المنفذ الذي يحتوي على منافذ أعضاء مادية تطابق قدرة مجموعة المنفذ الفعلي الجديد والتي تكون في حالات BiDir أو UpPAgP. (يتم نقل أي من منافذ BiDir هذه إلى حالة UpPAgP في نفس الوقت.) إذا لم يكن هناك أي ميناء تكون معلمات المنفذ الفعلي المكون له متوافقة مع المنفذ الفعلي الجاهز حديثا، يتم تعيينه إلى ميناء به معلمات مناسبة ليس له منافذ فعلية مقترنة.

يمكن أن تحدث مهلة PAgP على آخر جار معروف على المنفذ الفعلي. أزلت الميناء توقيت خارج من الميناء. في الوقت نفسه، تتم إزالة جميع المنافذ المادية الموجودة على المنفذ نفسه الذي انتهت مهلة مؤقتته أيضا. وهذا يمكن السفينة التي ماتت طرفها الآخر من أن تنهار كلها مرة واحدة، بدلا من ميناء مادي واحد في كل مرة.

سلوك فاشل

إذا فشل إرتباط في قناة موجودة، (على سبيل المثال، منفذ غير متصل، محول واجهة جيجابت [GBIC] تمت إزالته، أو الألياف المكسورة)، يتم تحديث المنفذ ويتم تجزئة حركة مرور البيانات عبر الارتباطات المتبقية خلال ثانية واحدة. لا تعاني أي حركة مرور لا تحتاج إلى إعادة حزمها بعد الفشل (حركة المرور التي تستمر في الإرسال على نفس الارتباط) من أي خسارة. تؤدي إستعادة الارتباط الفاشل إلى تشغيل تحديث آخر على المنفذ، ويتم تجزئة حركة مرور البيانات مرة أخرى.

ملاحظة: قد يكون السلوك عند فشل إرتباط في قناة بسبب إيقاف التشغيل أو إزالة وحدة نمطية مختلفا. بحكم التعريف، هناك يحتاج أن يكون إثنان ميناء طبيعي إلى قناة. في حال فقد منفذ واحد من النظام في قناة ذات منفذين، فإن المنفذ المنطقي يتم مزقه ويتم إعادة تهيئة المنفذ الفعلي الأصلي فيما يتعلق بالشجرة المتفرعة. وهذا يعني أنه يمكن تجاهل حركة مرور البيانات حتى يسمح بروتوكول الشجرة المتفرعة (STP) للمنفذ بأن يصبح متاحا للبيانات مرة أخرى.

هناك إستثناء إلى هذا قاعدة على المادة حفازة 6500/6000. في الإصدارات الأقدم من CatOS 6.3، لا يتم مزقة المنفذ أثناء إزالة الوحدة النمطية إذا كانت القناة مكونة من منافذ على الوحدات النمطية 1 و 2 فقط.

وهذا الاختلاف في وضعي الفشل مهم عند تخطيط صيانة الشبكة، حيث يمكن أن يكون هناك STP TCN للأخذ في الاعتبار عند إجراء إزالة عبر الإنترنت أو إدخال وحدة نمطية. وكما ذكرنا، من المهم إدارة كل رابط مادي في القناة مع نظام إدارة الشبكة (NMS) لأن المنفذ يمكن أن يظل غير مضطرب من خلال الفشل.

هذا يقترح steps in order to خففت غير مرغوب طبولوجيا تغير على المادة حفازة 6500/6000:

• إذا تم إستخدام منفذ واحد لكل وحدة نمطية لتكوين قناة، فيجب إستخدام ثلاث وحدات نمطية أو أكثر (ثلاثة منافذ أو أكثر إجمالي).

• إذا امتدت القناة عبر وحدتين، فيجب إستخدام منفذين على كل وحدة نمطية (إجمالي أربعة منافذ).

• إن يحتاج إثنان ميناء قناة عبر إثنان بطاقة، يستعمل فقط المشرف محرك ميناء.

• قم بالترقية إلى CatOS 6.3، والذي يعالج إزالة الوحدة النمطية بدون إعادة حساب STP للقنوات التي تم تقسيمها عبر الوحدات النمطية.

خيارات التكوين

يمكن تكوين EtherChannels في أوضاع مختلفة، كما هو موجز في هذا الجدول:

تؤثر الإعدادات الصامتة/غير الصامتة على كيفية تفاعل المنافذ مع الحالات التي تتسبب في حركة مرور موحدة الإتجاه أو كيفية تحقيق عملية تجاوز الفشل. عندما ميناء يعجز أن يبث (بسبب فشل طبقة فرعية طبيعي [PHY] أو كبل أو ليف مكسور، مثلا)، هذا يستطيع بعد تركت المجاور ميناء في حالة عملية. يستمر الشريك في إرسال البيانات، ولكن يتم فقد البيانات، نظرا لتعذر تلقي حركة مرور الإرجاع. كما يمكن أن تتكون حلقات الشجرة المتفرعة بسبب طبيعة الارتباط أحادي الإتجاه.

لبعض منافذ الألياف القدرة المرغوبة على جلب المنفذ إلى حالة عدم التشغيل عندما يفقد إشارة الاستقبال (FEFI). وهذا يتسبب في أن يكون منفذ الشريك غير عامل ويتسبب بشكل فعال في تعطل المنافذ الموجودة على كلا طرفي الارتباط.

عند إستخدام الأجهزة التي تنقل البيانات (مثل وحدات بيانات بروتوكول الجسر (BPDUs) ولا يمكنها اكتشاف الظروف أحادي الإتجاه، يجب إستخدام الوضع غير الصامت للسماح بأن تظل المنافذ غير عاملة حتى تتوفر بيانات الاستلام ويتم التحقق من الارتباط ليكون ثنائي الإتجاه. الوقت الذي يستغرقه PAgP لاكتشاف إرتباط أحادي الإتجاه هو حوالي 3.5 * 30 ثانية = 105 ثانية، حيث 30 ثانية هي الوقت بين رسالتين متتاليتين PAgP. يوصى UDLD ككاشف أكثر سرعة للروابط أحادية الإتجاه.

عند إستخدام الأجهزة التي لا ترسل أي بيانات، يجب إستخدام الوضع الصامت. هذا يجبر الميناء أن يصبح يربط ويعمل بغض النظر عما إذا إستلمت معطيات وجود أو لا. وبالإضافة إلى ذلك، لتلك المنافذ التي يمكن أن تكشف وجود شرط أحادي الإتجاه، مثل الأنظمة الأساسية الأحدث التي تستخدم L1 FEFI و UDLD، يتم إستخدام الوضع الصامت بشكل افتراضي.

التحقق

يتضمن الجدول ملخصا لجميع سيناريوهات وضع تحويل PAgP المحتملة بين محولين متصلين مباشرة (المحول A والمحول B). بعض من هذا خليط يستطيع سببت STP أن يضع الميناء على ال يقني جانب داخل ال errdisable دولة (أن يكون، بعض من التركيبات يعطل الميناء على ال يقني جانب).

توصية

توصي Cisco بتمكين PAgP على جميع إتصالات قناة من محول إلى محول، مع تجنب وضع التشغيل. الطريقة المفضلة هي تعيين الوضع المرغوب فيه في كلا طرفي الرابط. التوصية الإضافية هي ترك الكلمة الأساسية الصامتة/غير الصامتة في الوضع الافتراضي - صامتة على محولات Catalyst 6500/6000 و 4500/4000، غير صامتة على منافذ الألياف Catalyst 5500/5000.

كما هو موضح في هذا المستند، فإن التكوين الصريح للقناة خارج على جميع المنافذ الأخرى يكون مفيدا لإعادة توجيه البيانات السريعة. يجب تجنب الانتظار حتى 15 ثانية ل PAgP للمهلة على منفذ لا يمكن إستخدامه للقنوات، خاصة وأنه يتم بعد ذلك تسليم المنفذ إلى STP، والذي يمكن أن يستغرق هو نفسه 30 ثانية للسماح بإعادة توجيه البيانات، بالإضافة إلى أحتمالية 5 ثوان ل DTP لإجمالي 50 ثانية. تتم مناقشة الأمر set port host بمزيد من التفاصيل في قسم بروتوكول الشجرة المتفرعة (STP) في هذا المستند.

set port channel port range mode desirable

set port channel port range mode off

!--- Ports not channeled; part of the set port hostcommand.

يقوم هذا الأمر بتعيين القنوات ورقم مجموعة الإدارة، الذي يظهر باستخدام الأمر show channel group. يمكن بعد ذلك إدارة إضافة وإزالة منافذ القناة إلى المنفذ نفسه بواسطة رقم المسؤول إذا كان ذلك مطلوبا.

خيارات أخرى

من التكوين الشائع الآخر للعملاء الذين لديهم نموذج الحد الأدنى من الإدارة في طبقة الوصول هو تعيين الوضع إلى مرغوب فيه في التوزيع والطبقات الأساسية، وترك محولات طبقة الوصول عند التكوين التلقائي الافتراضي.

عندما يقني إلى أداة أن لا يساند PAgP، القناة يحتاج أن يكون شكلت على. ينطبق هذا على أجهزة مثل الخوادم، والمدير المحلي، ومحولات المحتوى، الموجهات، والمحولات باستخدام البرامج القديمة، ومحولات Catalyst XL، و Catalyst 8540s. قم بإصدار هذا الأمر:

set port channel port range mode on

من المرجح أن يحل معيار IEEE LACP الجديد وفقا لمعيار 802.3ad، والمتوفر في CatOS 7.x، محل PAgP على المدى الطويل لأنه يجلب فوائد الأنظمة المتعددة وقابلية التشغيل البيني للموردين.

بروتوكول التحكم في تجميع الارتباطات

LACP هو بروتوكول يسمح للمنافذ ذات الخصائص المماثلة بتكوين قناة من خلال التفاوض الديناميكي باستخدام المحولات المجاورة. PAgP هو بروتوكول خاص من Cisco يمكن تشغيله فقط على محولات Cisco وتلك المحولات التي يتم إصدارها بواسطة موردين مرخصين. ولكن LACP، والذي تم تعريفه في IEEE 802.3ad، يسمح لمحولات Cisco بإدارة قناة الإيثرنت باستخدام أجهزة تطابق مواصفات 802.3ad. إصدارات البرنامج CatOS 7.x المقدمة دعم LACP.

ولا يوجد فرق يذكر بين بروتوكول التحكم في تجميع الارتباطات (LACP) وبروتوكول الوصول إلى نقطة الخدمة (PAgP) من منظور وظيفي. يدعم كلا البروتوكولين بحد أقصى ثمانية منافذ في كل قناة، ونفس خصائص المنفذ يتم فحصها قبل تكوين الحزمة. تتضمن خصائص المنفذ هذه:

• السرعة

• الإرسال ثنائي الاتجاه

• شبكة VLAN الأصلية

• نوع التوصيل

والاختلافات الملحوظة بين بروتوكول التحكم في تجميع الارتباطات (LACP) وبروتوكول الوصول إلى الخدمات (PAgP) هي:

• يمكن تشغيل LACP فقط على منافذ الإرسال ثنائي الإتجاه الكامل، ولا يدعم LACP منافذ الإرسال أحادي الإتجاه.

• يدعم بروتوكول التحكم في تجميع الارتباطات (LACP) منافذ الاستعداد السريع. يحاول بروتوكول LACP دائما تكوين الحد الأقصى لعدد المنافذ المتوافقة في قناة ما، حتى الحد الأقصى للعدد الذي يسمح به الجهاز (ثمانية منافذ). إن لا يستطيع LACP أن يجمع all the ميناء أن يكون متوافق، all the ميناء أن يستطيع لا يكون تضمنت بشكل نشط في القناة وضعت في وضع إستعداد ساخن واستعملت فقط إن واحد من ال يستعمل ميناء يفشل. ومن الأمثلة على الحالة التي لا يستطيع فيها بروتوكول LACP تجميع جميع المنافذ المتوافقة ما إذا كان النظام البعيد به قيود أكثر تقييدا على الأجهزة.

ملاحظة: في CatOS، الحد الأقصى لعدد المنافذ التي يمكن تعيين نفس المفتاح الإداري لها هو ثمانية. في cisco ios برمجية، ال LACP يحاول أن يشكل العدد الأقصى من ميناء متوافق في EtherChannel، up the العدد الأقصى أن الجهاز يسمح (ثمانية ميناء). يمكن تكوين ثمانية منافذ إضافية كمنافذ إحتياطية فعالة.

نظرة عامة على العمليات

يتحكم بروتوكول LACP في كل منفذ مادي (أو منطقي) فردي يتم تجميعه. يتم إرسال حزم LACP باستخدام عنوان MAC لمجموعة البث المتعدد، 01-80-c2-00-00-02. قيمة النوع/الحقل هي 0x8809 مع نوع فرعي 0x01. فيما يلي ملخص لعملية البروتوكول:

• يعتمد البروتوكول على الأجهزة للإعلان عن إمكانيات التجميع الخاصة بها ومعلومات الحالة. وترسل عمليات الإرسال على أساس منتظم ودوري على كل وصلة "قابلة للتجميع".

• ما دام المنفذ الفعلي قيد التشغيل، يتم إرسال حزم LACP كل ثانية أثناء الكشف وكل 30 ثانية في حالة ثابتة.

• يستمع الشركاء الموجودون على رابط "قابل للتجميع" إلى المعلومات المرسلة ضمن البروتوكول ويقررون الإجراءات التي ينبغي إتخاذها.

• يتم تكوين المنافذ المتوافقة في قناة ما، حتى الحد الأقصى لعدد المنافذ الذي يسمح به الجهاز (ثمانية منافذ).

• ويتم الحفاظ على التجميعات من خلال التبادل المنتظم وفي الوقت المناسب لمعلومات حديثة عن الحالة بين شركاء الارتباط. إذا تغير التكوين (بسبب فشل الارتباط، على سبيل المثال)، ينتهي وقت شركاء البروتوكول ويتخذون الإجراء المناسب على أساس الحالة الجديدة للنظام.

• وبالإضافة إلى عمليات الإرسال الدورية لوحدة بيانات بروتوكول التحكم في الوصول إلى شبكة LACP (LACPDU)، إذا حدث تغيير في معلومات الحالة، يقوم البروتوكول بإحالة وحدة بيانات بروتوكول التحكم في الوصول إلى المنفذ (LACPDU) الموجهة حسب الحدث إلى الشريك. يتخذ الشركاء في البروتوكول الإجراء المناسب على أساس الحالة الجديدة للنظام.

معلمات LACP

للسماح ب LACP لتحديد ما إذا كانت مجموعة من الارتباطات متصلة بنفس النظام وإذا كانت هذه الارتباطات متوافقة من وجهة نظر التجميع، فإن القدرة على إنشاء هذه المعلمات ضرورية:

• معرف فريد عمومي لكل نظام يشارك في تجميع الارتباطات

  يجب تعيين أولوية لكل نظام يقوم بتشغيل بروتوكول التحكم في الوصول للبنية الأساسية (LACP) يمكن إختياره إما تلقائيا أو بواسطة المسؤول. الأولوية الافتراضية للنظام هي 32768. يتم إستخدام أولوية النظام بشكل رئيسي بالاقتران مع عنوان MAC الخاص بالنظام لتكوين معرف النظام.

• وسيلة لتحديد مجموعة القدرات المرتبطة بكل منفذ وبكل مجمع، بحسب فهم النظام لها

  يجب تعيين أولوية لكل منفذ في النظام إما تلقائيا أو من قبل المسؤول. الافتراضي هو 128. يتم إستخدام الأولوية بالاقتران مع رقم المنفذ لتكوين معرف المنفذ.

• وسيلة لتحديد مجموعة تجميع روابط والمجمع المرتبط بها

  يتم تلخيص قدرة المنفذ على التجميع مع منفذ آخر بواسطة معلمة عدد صحيح بسيطة 16 بت تكون أكبر تماما من الصفر. يسمى هذا المعامل "المفتاح". تحدد عوامل مختلفة كل مفتاح، مثل:

  • الخصائص المادية للمنفذ، والتي تتضمن:

    • معدل البيانات

    • إزدواج

    • من نقطة إلى نقطة أو وسط مشترك

  • قيود التكوين التي يؤسسها مسؤول الشبكة

  يرتبط مفتاحان بكل منفذ:

  • مفتاح إداري- يسمح هذا المفتاح للإدارة بالتلاعب بالقيم الأساسية. يمكن للمستخدم إختيار هذا المفتاح.

  • مفتاح تشغيلي - يستخدم النظام هذا المفتاح لتكوين التجميعات. يتعذر على المستخدم إختيار هذا المفتاح أو تغييره مباشرة.

    يقال إن مجموعة المنافذ في نظام يشترك في نفس قيمة مفتاح التشغيل هي أعضاء في نفس مجموعة المفاتيح.

إذا كان لديك نظامان ومجموعة من المنافذ بنفس المفتاح الإداري، يحاول كل نظام تجميع المنافذ. يبدأ كل نظام من المنفذ بأولوية قصوى في النظام ذي الأولوية القصوى. وهذا السلوك ممكن لأن كل نظام يعرف أولويته الخاصة، والتي قام المستخدم أو النظام بتعيينها، وأولوية شريكه، التي تم اكتشافها من خلال حزم LACP.

سلوك فاشل

سلوك الفشل ل LACP هو نفسه السلوك ل PAgP. في حالة فشل إرتباط ما في قناة موجودة، يتم تحديث المنفذ ويتم تجزئة حركة مرور البيانات عبر الارتباطات المتبقية خلال ثانية واحدة. قد يفشل الرابط لهذه الأسباب وغيرها:

• المنفذ غير متصل

• GBIC أزلت

• ألياف مكسورة

• فشل الأجهزة (الواجهة أو الوحدة النمطية)

لا تعاني أي حركة مرور لا تحتاج إلى إعادة حزمها بعد الفشل (حركة المرور التي تستمر في الإرسال على نفس الارتباط) من أي خسارة. تؤدي إستعادة الارتباط الفاشل إلى تشغيل تحديث آخر على المنفذ، ويتم تجزئة حركة مرور البيانات مرة أخرى.

خيارات التكوين

يمكن تكوين LACP EtherChannels في أوضاع مختلفة، حيث يلخص هذا الجدول:

التحقق (LACP و LACP)

يصف الجدول الموجود في هذا القسم ملخصا لجميع سيناريوهات وضع توجيه LACP المحتمل بين محولين متصلين مباشرة (المحول A والمحول B). بعض من هذا خليط يستطيع سببت STP أن يضع الميناء على ال يقني جانب داخل ال errdisable دولة. هذا يعني أن بعض من التشكيل عطلت الميناء على ال يقني جانب.

التحقق (LACP و PAgP)

يصف الجدول الموجود في هذا القسم ملخصا لجميع سيناريوهات وضع تحويل LACP إلى PAgP المحتملة بين محولين متصلين مباشرة (المحول A والمحول B). بعض من هذا خليط يستطيع سببت STP أن يضع الميناء على ال يقني جانب داخل ال errdisable دولة. هذا يعني أن بعض من التشكيل عطلت الميناء على ال يقني جانب.

توصية

cisco يوصي أن يمكن أنت PAgP على قناة توصيل بين cisco مفتاح. عند التحويل إلى أجهزة لا تدعم PAgP ولكنها تدعم LACP، قم بتمكين LACP من خلال تكوين LACP النشط على كلا طرفي الأجهزة. إذا لم تكن هناك أي من طرفي الأجهزة تدعم LACP أو PAgP، يلزمك ترميز القناة إلى تشغيل ترميزا ثابتا.

• 
  set channelprotocol lacp module 
  
  

  على مفتاح أن يركض CatOS، كل ميناء على مادة حفازة 4500/4000 ومادة حفازة 6500/6000 يستعمل قناة بروتوكول PAgP افتراضيا، بما أن ذلك، لا يركض LACP. in order to شكلت ميناء أن يستعمل LACP، أنت تحتاج أن يثبت القناة بروتوكول على الوحدة نمطية إلى LACP. لا يمكن تشغيل LACP و PAgP على نفس الوحدة النمطية على المحولات التي تعمل بنظام التشغيل CatOS.

• set port lacp-channel port_range admin-key
  
  

  يتم تبادل معلمة مفتاح المسؤول (المفتاح الإداري) في حزمة LACP. قناة فقط يشكل بين ميناء أن يتلقى ال نفسه إدارة مفتاح. يقوم الأمر set port lacp-channel port_range admin-key بتعيين القنوات رقم مفتاح المسؤول. يعرض الأمر show lacp-channel group الرقم. يعين الأمر set port lacp-channel port_range admin-key نفس مفتاح الإدارة إلى كل ميناء في مدى المنفذ. يتم تعيين مفتاح الإدارة بشكل عشوائي في حالة عدم تكوين مفتاح محدد. بعد ذلك، أنت يستطيع أحلت ال مدير مفتاح، إن يريد، in order to يدير الإضافة وإزالة من يقني ميناء إلى ال نفسه ميناء.

• set port lacp-channel port_range mode active
  

  يغير الأمر set port lacp-channel port_range mode active وضع القناة إلى نشط لمجموعة من المنافذ التي تم تعيينها سابقا ل نفسه مفتاح الإدارة.

وبالإضافة إلى ذلك، يستخدم LACP مؤقت الفاصل الزمني بزمن 30 ثانية (slow_periodic_time) بعد إنشاء قنوات EtherChannels الخاصة ب LACP. يبلغ عدد الثواني التي تسبق إبطال معلومات LACPDU المستلمة باستخدام فترات انتهاء المهلة الطويلة (3 × Slow_Periodic_Time) 90. استعملت UDLD، أي يكون أسرع كاشف من خطوة أحادي إتجاه. لا يمكنك ضبط وحدات توقيت LACP، واليوم لا يمكنك تكوين المحولات لاستخدام إرسال PDU السريع (كل ثانية) للحفاظ على القناة بعد تكوين القناة.

خيارات أخرى

إذا كان لديك نموذج الإدارة الدنيا في طبقة الوصول، فإن التكوين العام هو ضبط الوضع على نشط في التوزيع والطبقات الأساسية. أترك محولات طبقة الوصول في التكوين الخامل الافتراضي.

اكتشاف الروابط أحادي الإتجاه

UDLD هو بروتوكول Cisco خاص وخفيف الوزن الذي تم تطويره لاكتشاف مثيلات الاتصالات أحادي الإتجاه بين الأجهزة. على الرغم من وجود طرق أخرى لاكتشاف الحالة الثنائية الإتجاه لوسائط البث، مثل FEFI، هناك حالات معينة تكون فيها آليات اكتشاف L1 غير كافية. قد تؤدي هذه السيناريوهات إلى حدوث أي من هذه الحالات:

• التشغيل غير المتوقع ل STP

• فيض الحزم غير صحيح أو مفرط

• التعتيم الأسود لحركة المرور

ال UDLD نويت سمة أن يواجه هذا خطأ حالة على ليف ونحاس إثرنيت قارن:

• راقبت تشكيل كابلات طبيعي وإيقاف عمل أي ميناء miswired كerrdisable.

• الحماية ضد الروابط أحادية الإتجاه. عندما كشفت خطوة أحادي إتجاه، بسبب وسائط أو ميناء/قارن خلل، ال يتأثر ميناء عطلت بما أن errdisable، ومتوافق syslog رسالة يخلق.

• علاوة على ذلك، يتحقق وضع UDLD العدواني من أن الرابط الذي كان يعتبر سابقا ثنائي الإتجاه لا يفقد الاتصال أثناء الازدحام ويصبح غير قابل للاستخدام. UDLD يجري إختبار اتصال مستمر عبر الرابط. الغرض الأساسي من UDLD عدواني أسلوب أن يتجنب التعتيم الأسود لحركة المرور في حالات معينة فشلت.

وكانت الشجرة المتفرعة، مع تدفق وحدات بيانات بروتوكول الجسر (BPDU) أحادي الإتجاه الثابت، هي الأكثر معاناة من هذه الإخفاقات. من السهل أن ترى كيف يمكن أن يكون المنفذ غير قادر على إرسال وحدات بيانات بروتوكول الجسر (BPDUs)، مما يتسبب في تغيير حالة بروتوكول الشجرة المتفرعة (STP) من الحظر إلى إعادة التوجيه على الجهاز المجاور. يخلق هذا تغير أنشوطة، بما أن الميناء بعد يمكن أن يستلم.

نظرة عامة على العمليات

UDLD هو بروتوكول L2 يعمل فوق طبقة LLC (غاية MAC 01-00-0c-cc-cc، snap HDLC نوع البروتوكول 0x0111). عندما يركض UDLD مع ال FEFI و autonegotiation L1 آلية، من الممكن التحقق من السلامة المادية (L1) والمنطقية (L2) لارتباط.

UDLD يتلقى أحكام لسمة وحماية أن FEFI والتشغيل التلقائي يستطيع لا يعمل، أي كشف وتخزين مؤقت من معلومة مجاور، القدرة أن يوقف أي ميناء misconnected، واكتشاف قارن منطقي/ميناء خلل أو خطأ على خطوة أن ليس نقطة إلى نقطة (أن يجتاز وسائط محول أو محور).

يوظف UDLD آليتين أساسيتين، هو يعرف عن الجيران، ويبقي المعلومات محدثة في ذاكرة تخزين مؤقت محلي، ويرسل قطار من UDLD مسبار/صدى (مرحبا) رسالة عندما يكتشف جار جديد أو عندما يطلب جار إعادة تزامن ذاكرة التخزين المؤقت.

UDLD يرسل باستمرار مسبار رسالة على كل ميناء على أي UDLD يكون مكنت. عندما إستلمت خاص "يطلق" UDLD رسالة على ميناء، كشف مرحلة و صحة عملية يبدأ. إذا تم في نهاية هذه العملية استيفاء جميع الشروط الصالحة، فلن يتم تغيير حالة المنفذ. in order to استوفت الشرط، الميناء ينبغي كنت ثنائي إتجاه وأسلاك بشكل صحيح. خلاف ذلك، الميناء errdisable، و syslog رسالة عرض. ال syslog رسالة مماثل إلى هذا رسالة:

• UDLD-3-disable: خطوة أحادي إتجاه كشفت على ميناء [dec]/[dec]. المنفذ معطل

• UDLD-4-ONEway: إرتباط أحادي الإتجاه من ميناء [dec]/[dec] إلى ميناء

  تم الكشف عن [dec]/[dec] جهاز [chars]

أحلت رسالة وإجراءات إستعادة (مادة حفازة sery مفتاح، 7،6) لقائمة كامل من نظام رسالة حسب المرفق، أي يتضمن UDLD حادث.

بعد أن يتم تأسيس رابط وتصنيفه كثنائي الإتجاه، UDLD يستمر في الإعلان عن مسبار/صدى رسالة في فترة افتراضية من 15 ثاني. يمثل هذا طاولة صحيح UDLD خطوة دولة كما يبلغ في الإنتاج من العرض udld ميناء أمر:

• صيانة ذاكرة التخزين المؤقت المجاورة— يرسل UDLD دوريا حزم تحقيق/صدى على كل واجهة نشطة، in order to حافظت على تكامل ذاكرة التخزين المؤقت المجاورة ل UDLD. كلما تم تلقي رسالة ترحيب، يتم تخزينها مؤقتا ويتم حفظها في الذاكرة لفترة قصوى معرفة باسم وقت الانتظار. عند انتهاء صلاحية وقت الانتظار، يكون إدخال ذاكرة التخزين المؤقت الخاص به قديما. إذا تم تلقي رسالة ترحيب جديدة خلال فترة الانتظار، فإن الرسالة الجديدة تستبدل الإدخال الأقدم ويتم إعادة تعيين وحدة توقيت فترة البقاء المقابلة.

• للحفاظ على سلامة ذاكرة التخزين المؤقت ل UDLD، كلما تم تعطيل واجهة UDLD الممكنة أو تمت إعادة تعيين جهاز، يتم مسح جميع إدخالات ذاكرة التخزين المؤقت الموجودة للواجهات المتأثرة بتغيير التكوين ويرسل UDLD رسالة واحدة على الأقل لإعلام الجيران المعنيين بتفريغ إدخالات ذاكرة التخزين المؤقت المقابلة.

• آلية اكتشاف ECHO— تشكل آلية الصدى أساس خوارزمية الكشف. عندما يعلم جهاز UDLD عن جار جديد أو يستلم طلب إعادة مزامنة من جار خارج التزامن، فإنه يبدأ/يعيد تشغيل نافذة الكشف على جانبه من الاتصال ويرسل دفعة من رسائل الصدى في الرد. وبما ان هذا التصرف يجب ان يكون هو نفسه في كل الجيران، يتوقع مرسل الصدى ان يتلقى الصدى في الرد. إذا انتهت نافذة الكشف ولم يتم إستلام رسالة رد صحيحة، يعتبر الارتباط أحادي الإتجاه، ويمكن تشغيل عملية إعادة إنشاء الارتباط أو إيقاف تشغيل المنفذ.

وقت التقارب

in order to منعت أنشوطة STP، CatOS 5.4(3) خفض ال UDLD تقصير رسالة فاصل من 60 ثاني إلى 15 ثاني in order to عطلت خطوة أحادي إتجاه قبل أن يمنع ميناء كان يستطيع أن ينتقل إلى دولة forwarding.

ملاحظة: تحدد قيمة الفاصل الزمني للرسالة المعدل الذي يرسل عنده الجار مسابر UDLD بعد مرحلة الربط أو الكشف. لا يلزم تطابق فاصل الرسالة على كلا طرفي إرتباط، رغم أن التكوين المتناسق مرغوب فيه حيثما كان ذلك ممكنا. عندما UDLD خلقت مجاور، ال يشكل رسالة فاصل أرسلت وال تعطيل فاصل ل أن نظير حسبت أن يكون (3 * رسالة_interval). لذلك تفتقد علاقة النظير بعد ثلاثة إختبارات متتالية (أو مسابير). مع أختلاف فواصل الرسالة على كل جانب، تختلف قيمة المهلة هذه على كل جانب.

الوقت التقريبي أن يكون ضروري ل UDLD أن يكشف إخفاق أحادي إتجاه تقريبا (2.5 * message_interval + 4 ثاني)، أو حوالي 41 ثاني مع إستعمال من التقصير رسالة فاصل من 15 ثاني. وهذا أقل بكثير من ال 50 ثانية التي تكون عادة ضرورية لإعادة تقارب بروتوكول الشجرة المتفرعة (STP). إذا كانت وحدة المعالجة المركزية لبروتوكول NMP تحتوي على بعض الدورات الاحتياطية وإذا قمت بمراقبة مستوى إستخدامها بعناية، فيمكنك تقليل الفاصل الزمني للرسالة (حتى) إلى أقل من 7 ثوان. يساعد هذا الفاصل الزمني للرسالة على تسريع الكشف بعامل هام.

لذلك، UDLD يفترض تبعية على التقصير يجسر - شجرة وقت. إن ينسق أنت STP أن يتلاقى بسرعة أكبر من UDLD، ضع في الاعتبار آلية بديلة، مثل CatOS 6،2 أنشوطة حارس سمة. ضع في الاعتبار أيضا آلية بديلة عند تنفيذ بروتوكول RSTP (IEEE 802.1w) لأن بروتوكول RSTP له خصائص تقارب في المللي ثانية، والتي تعتمد على المخطط. ل هذا مثال، استعملت أنشوطة حارس بالاقتران مع UDLD، أي يزود معظم حماية. يمنع واقي أنشوطة أنشوطة أنشوطة STP مع السرعة من ال STP صيغة أن يكون قيد الاستخدام، و UDLD يكتشف توصيل أحادي إتجاه على فرد EtherChannel خطوة أو في حالات حيث BPDUs لا يتدفق على طول الإتجاه مكسور.

ملاحظة: UDLD لا يمسك كل حالة فشل STP، مثل حالات الفشل التي تحدث بسبب وحدة المعالجة المركزية التي لا ترسل وحدات بيانات بروتوكول الجسر (BPDUs) لوقت أكبر من (2 * FwdDelay + MaxAge). لهذا السبب، cisco يوصي أن يطبق أنت UDLD بالاقتران مع أنشوطة حارس (أي كان قدمت في CatOS 6.2) في طوبولوجيا أن يعتمد على STP.

تحذير: احترز من إطلاق مبكر UDLD أن يستعمل غير تشكيل 60 ثاني رسالة فاصل. وتكون هذه الإصدارات عرضة لظروف تكرار الشجرة المتفرعة.

وضع UDLD العدائي

تم إنشاء UDLD العدواني من أجل معالجة تلك الحالات (القليلة) تحديدا التي يكون فيها من الضروري إختبار مستمر للاتصال ثنائي الإتجاه. على هذا النحو، توفر ميزة الوضع العدواني حماية محسنة ضد شروط الارتباط أحادي الإتجاه الخطيرة في هذه المواقف:

• عندما يكون الفقدان UDLD PDUs متماثل وكلا ينتهي وقت خارج، لا يكون ميناء errdisabled.

• جانب واحد من خطوة يتلقى ميناء التصق (على حد سواء يبث [tx] و Rx).

• يبقى جانب واحد من الرابط مرتفع بينما الجانب الآخر من الرابط انخفض.

• تم تعطيل التفاوض التلقائي أو آلية أخرى لاكتشاف الأخطاء من المستوى الأول.

• ومن المستصوب تخفيض الاعتماد على آليات L1 FEFI.

• يلزم توفير أقصى حماية ضد حالات فشل الارتباط أحادي الإتجاه على إرتباطات من نقطة إلى نقطة FE/GE. وعلى وجه التحديد، عندما لا يكون الفشل مقبولا بين جارتين، يمكن إعتبار التحقيقات العدوانية في UDLD "دقات القلب"، التي يضمن وجودها صحة الرابط.

أكثر حالة شيوعا لتنفيذ UDLD عدواني in order to أنجزت الموصولية تدقيق على عضو من حزمة عندما autonegotiation أو آخر L1 كشف خطأ آلية معأق أو غير usable. وهذا صحيح بشكل خاص مع إتصالات EtherChannel لأن PAgP/LACP، حتى إذا تم تمكينه، لا يستخدم مؤقتات الترحيب المنخفضة جدا في حالة مستقرة. وفي هذه الحالة، يتمتع UDLD العدواني بميزة إضافية تتمثل في منع حلقات التكرار المحتملة للشجرة المتفرعة.

يصعب تحديد الظروف التي تساهم في الفقدان المتماثل لحزم مسبار UDLD. أنت ينبغي فهمت أن UDLD عادي يفحص ل {mixed}unidirectional خطوة شرط، even after خطوة يبلغ وضع ثنائي إتجاه. يهدف UDLD أن يكشف مشاكل L2 أن يسبب حلقات STP، وتلك المشاكل عادة ما تكون أحادي الإتجاه لأن BPDUs يتدفق فقط في إتجاه واحد في حالة ثابتة. لذلك، غالبا ما يكون إستخدام UDLD عادي بالاقتران مع التفاوض التلقائي وواقي التكرار (للشبكات التي تعتمد على بروتوكول الشجرة المتفرعة (STP) كافيا. ومع ذلك، فإن أسلوب UDLD العدواني مفيد في الحالات التي يتأثر فيها الازدحام على نحو متساو في كلا الاتجاهين، مما يتسبب في فقدان مسابر UDLD في كلا الاتجاهين. على سبيل المثال، هذا فقد من إختبارات UDLD يستطيع وقعت إن يكون إستخدام وحدة المعالجة المركزية على كل نهاية من الرابط مرتفع. وتتضمن الأمثلة الأخرى على فقدان الاتصال ثنائي الإتجاه خطأ أحد هذه الأجهزة:

• جهاز إرسال/إستقبال انقسام طول الموجة الكثيف (DWDM)

• محول وسائط

• موزع

• جهاز L1 آخر

  ملاحظة: لا يمكن اكتشاف الخطأ بواسطة التفاوض التلقائي.

عدواني UDLD يعجز خطأ الميناء في هذا إخفاق حالة. ضع في حسبانك التداعيات بعناية عندما تقوم بتمكين وضع UDLD العدواني على الروابط التي ليست من نقطة إلى نقطة. الارتباطات بمحولات الوسائط أو لوحات التوزيع أو الأجهزة المماثلة ليست من نقطة إلى نقطة. أداة متوسط يستطيع منعت forwarding من UDLD ربط وإجبار خطوة أن يكون عطلت دون ضرورة.

بعد أن ينتهي كل جيران الميناء، فإن UDLD أسلوب عدواني (إن مكنت) يعيد الربط تسلسل في محاولة لإعادة التزامن مع أي جيران خارج التزامن المحتمل. يتم هذا الجهد إما في مرحلة الإعلان أو الكشف. إن بعد قطار سريع من رسالة (ثماني عمليات إعادة محاولة فاشلة) الربط بعد اعتبرت "غير محدد"، الميناء بعد ذلك وضعت داخل دولة errdisable.

ملاحظة: بعض المحولات لا تدعم UDLD بقوة. حاليا، المادة حفازة 2900xl ومادة حفازة 3500xl يتلقى رمز رسالة فاصل من 60 ثاني. لا يعتبر هذا الفاصل الزمني سريعا بما يكفي للحماية من حلقات تكرار بروتوكول الشجرة المتفرعة (STP) المحتملة (باستخدام معلمات STP الافتراضية).

UDLD على الروابط الموجهة

لأغراض هذه المناقشة، يكون الارتباط الموجه أحد نوعين من أنواع الاتصال:

• نقطة إلى نقطة بين عقدتي موجه

  يتم تكوين هذا الارتباط باستخدام قناع شبكة فرعية من 30 بت.

• شبكة VLAN ذات منافذ متعددة ولكنها تدعم الاتصالات الموجهة فقط

  والمثال على ذلك هو مخطط أساسي L2 منفصل.

لكل بروتوكول توجيه العبارة الداخلية (IGRP) خصائص فريدة فيما يتعلق بكيفية معالجته لعلاقات الجوار وتقارب المسار. الخصائص، التي يناقشها هذا قسم، موافق عندما أنت تناقض إثنان من أكثر بروتوكول توجيه شائع أن يكون استعملت اليوم، فتح أقصر مسار أولا (OSPF) بروتوكول وتحسين IGRP (EIGRP).

لاحظ أولا أن فشل L1 أو L2 في أي شبكة موجهة من نقطة إلى نقطة يؤدي إلى الإنهاء شبه المباشر لاتصال L3. لأن المنفذ الوحيد للمحول في تلك الانتقالات إلى حالة غير متصلة على فشل L1/L2، فإن ميزة MSFC auto-state تتزامن حالات المنفذ من المستوى الثاني و L3 في ثانيتين تقريبا. تضع هذه المزامنة واجهة شبكة VLAN من المستوى الثالث في حالة إرتفاع/انخفاض (مع تعطل بروتوكول الخط).

افتراض قيم المؤقت الافتراضية. يرسل OSPF رسائل ترحيب كل 10 ثوان وبه فترة فاصلة ميتة قدرها 40 ثانية (4 * مرحبا). تكون وحدات التوقيت هذه متوافقة مع شبكات البث من نقطة إلى نقطة الخاصة ب OSPF. ولأن بروتوكول فتح أقصر مسار أولا (OSPF) يتطلب الاتصال ثنائي الإتجاه لتشكيل عملية تجاور، فإن وقت تجاوز الفشل الأسوأ هو 40 ثانية. ويكون هذا الفشل هو الحال حتى إذا كان فشل L1/L2 غير محض على اتصال من نقطة إلى نقطة، مما يترك سيناريو نصف عملياتي يجب أن يتعامل معه بروتوكول L3. لأن اكتشاف وقت UDLD مماثل جدا إلى الوقت من OSPF رميت وقت أن ينتهي (حوالي 40 ثاني)، والمزايا من تشكيل UDLD عادي أسلوب على OSPF L3 نقطة إلى نقطة خطوة محدود.

وفي العديد من الحالات، يتلاقى بروتوكول EIGRP بشكل أسرع من OSPF. ومع ذلك، يجب عليك ملاحظة أن الاتصال ثنائي الإتجاه غير ضروري لتبادل معلومات التوجيه بين الجيران. في سيناريوهات فشل نصف عملياتية محددة للغاية، يكون بروتوكول EIGRP عرضة للاختراق الأسود لحركة المرور التي تستمر حتى يؤدي حدث آخر إلى جعل المسارات التي تمر عبر ذلك الجار "نشطة". UDLD عادي أسلوب يستطيع خففت الظروف أن هذا قسم يلاحظ. UDLD عادي يكشف أسلوب ال unidirectional خطوة إخفاق وخطأ يعجز الميناء.

بالنسبة للاتصالات الموجهة من المستوى الثالث التي تستخدم أي بروتوكول توجيه، فإن UDLD normal لا يزال يوفر الحماية ضد المشاكل عند تنشيط الرابط الأولي. وتتضمن هذه المشكلات توصيل كبلات غير متقنة أو الأجهزة المعيبة. وبالإضافة إلى ذلك، يوفر وضع UDLD القوي هذه المزايا على الاتصالات الموجهة L3:

• يمنع التعتيم الأسود غير الضروري لحركة المرور

  ملاحظة: يلزم توفر الحد الأدنى من وحدات التوقيت في بعض الحالات.

• يضع خطوة رفرفة خطوة داخل ال errdisable دولة

• يحمي ضد أنشوطة أن ينتج من L3 EtherChannel تشكيل

السلوك الافتراضي ل UDLD

UDLD معأق بشكل عام ومكنت في إستعداد على ليف ميناء افتراضيا. لأن UDLD يكون بنية بروتوكول أن يكون ضروري بين مفتاح فقط، UDLD أعجزت افتراضيا على نحاسي ميناء. وتميل منافذ النحاس إلى إستخدامها للوصول إلى المضيف.

ملاحظة: يجب تمكين UDLD بشكل عام وعلى مستوى الواجهة قبل أن يتمكن الجيران من تحقيق الحالة ثنائية الإتجاه. في CatOS 5.4(3) وفيما بعد، التقصير رسالة فاصل 15 ثاني وهو قابل للتكوين بين 7 و 90 ثاني.

Errdisable أعجزت إستعادة بشكل عام افتراضيا. عقب مكنت هو بشكل عام، إن يذهب ميناء داخل errdisable دولة، الميناء reenabled تلقائيا بعد زمنية محددة فاصل. التقصير وقت 300 ثاني، أي يكون عمومي مؤقت ويحفظ لكل ميناء في مفتاح. أنت يستطيع يدويا منعت ميناء reenable إن أنت ثبتت ال errdisable تعطيل ل أن ميناء أن يعجز. أصدرت المجموعة ميناء errdisable-timeout mod/port disable أمر.

ملاحظة: يعتمد إستخدام هذا الأمر على إصدار البرنامج الخاص بك.

ضع في الاعتبار إستخدام ميزة تعطيل errdisable عندما تقوم بتنفيذ وضع UDLD العدائي مع عدم وجود قدرات إدارة شبكة خارج النطاق، وخاصة في طبقة الوصول أو على أي جهاز يمكن أن يصبح معزولا من الشبكة في حالة حالة وضع errdisable.

راجع تكوين تحويل الإيثرنت والإيثرنت السريع وإيثرنت جيجابت وإيثرنت 10 جيجابت للحصول على مزيد من التفاصيل حول كيفية تكوين فترة المهلة للمنافذ الموجودة في حالة errdisable.

توصية

الوضع العادي UDLD كافي في الغالبية العظمى من الحالات إن أنت أستخدمته بشكل صحيح وباقتران مع السمة المناسب وبروتوكولات. وتتضمن هذه الميزات/البروتوكولات ما يلي:

• فيفي

• التفاوض التلقائي

• حماية التكرار الحلقي

عندما تقوم بنشر UDLD، ضع في حسبانك إذا كان من الضروري إختبار اتصال ثنائي الإتجاه (وضع عدواني). في العادة، إذا تم تمكين التفاوض التلقائي، فإن الوضع العدواني ليس ضروريا لأن التفاوض التلقائي يعوض عن اكتشاف الأعطال في L1.

cisco يوصي التمكين ال UDLD أسلوب عادي على كل نقطة إلى نقطة FE/GE خطوة بين cisco مفتاح في أي ال UDLD رسالة ثبتت فاصل إلى ال 15 ثاني تقصير. يفترض هذا التكوين وحدات توقيت الشجرة الممتدة الافتراضية 802.1d. وبالإضافة إلى ذلك، أستخدم UDLD بالاقتران مع حماية التكرار الحلقي في الشبكات التي تعتمد على بروتوكول الشجرة المتفرعة (STP) للتكرار والتقارب. تنطبق هذه التوصية على الشبكات التي يوجد فيها منفذ واحد أو أكثر في حالة حظر بروتوكول الشجرة المتفرعة (STP) في المخطط.

أصدرت هذا أمر in order to مكنت UDLD:

set udld enable

!--- After global enablement, all FE and GE fiber !--- ports have UDLD enabled by default.


set udld enable port range


!--- This is for additional specific ports and copper media, if needed.

أنت ينبغي يدويا مكنت ميناء أن يكون خطأ يعجز بسبب {mixed}unidirectional خطوة عرض. قم بإصدار الأمر set port enable.

راجع فهم ميزة بروتوكول اكتشاف الارتباط أحادي الإتجاه (UDLD) وتكوينها للحصول على مزيد من التفاصيل.

خيارات أخرى

للحصول على أقصى حماية ضد الأعراض التي تنتج من روابط أحادي الإتجاه، قم بتكوين الوضع العدائي UDLD:

set udld aggressive-mode enable port_range

بالإضافة إلى ذلك، أنت يستطيع ضبطت ال UDLD رسالة فاصل قيمة بين 7 و 90 ثاني في كل نهاية، حيث يكون مدعوم، من أجل تقارب أسرع:

set udld interval time

نظرت يستعمل من ال errdisable تعطيل سمة على أي أداة أن يستطيع أصبحت يعزل من الشبكة في حالة errdisable حالة. عادة ما يصح هذا الموقف من طبقة الوصول وعندما تقوم بتنفيذ وضع UDLD العدواني بدون إمكانيات إدارة الشبكة خارج النطاق.

إن وضعت ميناء يكون في errdisable دولة، الميناء يبقى أسفل افتراضيا. أنت يستطيع أصدرت هذا أمر، أي reenable ميناء بعد مهلة فاصل:

ملاحظة: الفاصل الزمني للمهلة هو 300 ثانية بشكل افتراضي.

>set errdisable-timeout enable ?
bpdu-guard

!--- This is BPDU port-guard.


channel-misconfig

!--- This is a channel misconfiguration.


duplex-mismatch
udld
other

!--- These are other reasons.


all

!--- Apply errdisable timeout to all reasons.

إذا لم يكن جهاز الشريك قادرا على UDLD، مثل مضيف نهائي أو موجه، فلا تقوم بتشغيل البروتوكول. قم بإصدار هذا الأمر:

set udld disable port_range

إختبار ومراقبة UDLD

UDLD ليس سهل أن يختبر دون خطأ حقيقي/مكون أحادي الإتجاه في المختبر، مثل GBIC معيب. وقد صمم البروتوكول لاكتشاف سيناريوهات فشل أقل شيوعا من تلك السيناريوهات التي تستخدم عادة في المختبر. على سبيل المثال، إن ينجز أنت إختبار بسيط ويفصل واحد خيط من ليف in order to رأيت ال errdisable مرغوب دولة، أنت تحتاج أن يكون أوقفت L1 autonegoation. خلاف ذلك، يذهب الميناء طبيعي إلى أسفل، أي يعيد UDLD رسالة إتصال. ينتقل النهاية البعيدة إلى الحالة غير المحددة في UDLD عادي. إن يستعمل أنت UDLD عدواني أسلوب، البعيد نهاية ينقل إلى ال errdisable دولة.

هناك إضافي إختبار طريقة أن يحاكي مجاور PDU خسارة ل UDLD. أستخدم مرشحات طبقة MAC لحظر عنوان جهاز UDLD/CDP مع السماح لعناوين أخرى بالتمرير.

أصدرت in order to راقبت UDLD، هذا أمر:

>show udld

UDLD              : enabled
Message Interval  : 15 seconds


>show udld port 3/1

UDLD              : enabled
Message Interval  : 15 seconds
Port      Admin Status  Aggressive Mode  Link State
--------  ------------  ---------------  ----------------
	3/1      enabled       disabled         bidirectional

أيضا من enable أسلوب، أنت يستطيع أصدرت العرض المخفي udld مجاور أمر in order to فحصت ال UDLD ذاكرة تخزين مؤقت محتويات (في الطريقة أن CDP يفعل). مقارنة بين ذاكرة التخزين المؤقت ل UDLD إلى ذاكرة التخزين المؤقت ل CDP للتحقق من ما إذا كان هناك وضع شاذ خاص بالبروتوكول يكون غالبا مفيدا. وعندما يتأثر بروتوكول CDP أيضا، تتأثر جميع وحدات بيانات بروتوكول الجسر/وحدات بيانات بروتوكول الجسر (BPDUs) عادة. لذلك، تحقق من بروتوكول الشجرة المتفرعة (STP) أيضا. على سبيل المثال، تحقق من تغييرات هوية الجذر الحديثة أو تغييرات وضع المنفذ الجذري/المعين.

>show udld neighbor 3/1

Port  Device Name            Device ID    Port-ID OperState
----- ---------------------  ------------ ------- ----------
	3/1   TSC07117119M(Switch)   000c86a50433 3/1     bidirectional

علاوة على ذلك، أنت يستطيع راقبت UDLD وضع وتشكيل تناسق مع إستعمال من ال cisco UDLD SNMP mib متغير.

إطار Jumbo

حجم إطار وحدة الإرسال القصوى الافتراضية (MTU) هو 1518 بايت لجميع منافذ الإيثرنت، والتي تتضمن GE و 10 GE. تتيح ميزة الإطار كبير الحجم للواجهات إمكانية تبديل الإطارات الأكبر من حجم إطار إيثرنت القياسي. وتعتبر هذه الميزة مفيدة لتحسين أداء الخادم إلى الخادم ودعم التطبيقات مثل تحويل التسمية متعدد البروتوكولات (MPLS) وإنشاء قنوات 802.1Q النفقي و L2 tunneling protocol الإصدار 3 (L2TPv3)، مما يزيد من حجم الإطارات الأصلية.

نظرة عامة على العمليات

تعرف مواصفات IEEE 802.3 القياسية حجم إطار إيثرنت الأقصى 1518 بايت للإطارات العادية و 1522 بايت للإطارات المغلفة ل 802.1Q. يشار أحيانا إلى الإطارات المغلفة بمقياس 802.1Q باسم "صغار العمالقة". بشكل عام، يتم تصنيف الحزم كإطارات عملاقة عندما تتجاوز الحزم الحد الأقصى لطول شبكة إيثرنت المحدد لاتصال إيثرنت معين. تعرف الحزم العملاقة أيضا بإطارات ضخمة.

هناك أسباب مختلفة قد تؤدي إلى تجاوز حجم وحدة الحد الأقصى للنقل (MTU) لبعض الإطارات 1518 بايت. هذه بعض الأمثلة:

• المتطلبات الخاصة بالمورد—يمكن للتطبيقات وبطاقات واجهة شبكة (NICs) معينة تحديد حجم وحدة الحد الأقصى للنقل (MTU) خارج الكمية القياسية التي تبلغ 1500 بايت. ويرجع الميل إلى تحديد أحجام وحدات الحد الأقصى للنقل (MTU) هذه إلى الدراسات التي أجريت، والتي تثبت أن زيادة حجم إطار شبكة إيثرنت يمكن أن تزيد من متوسط الإنتاجية.

• trunking—لحمل معلومات معرف شبكة VLAN بين المحولات أو أجهزة الشبكة الأخرى، تم إستخدام trunking لزيادة إطار الإيثرنت القياسي. اليوم، أكثر شكلين شيوعا التوصيل هما تضمين ISL الخاص من Cisco و IEEE 802.1Q.

• MPLS—بعد تمكين MPLS على واجهة، فإنها تمتلك القدرة على زيادة حجم إطار الحزمة. تعتمد هذه الزيادة على عدد التسميات في رصة التسمية للحزمة MPLS-tagged. الحجم الإجمالي للتسمية هو 4 بايت. الحجم الإجمالي لمكدس التسمية هو n x 4 بايت. إذا تم تكوين مكدس تسميات، فإن الإطارات يمكن أن تتجاوز MTU.

• 802.1Q tunneling — تحتوي حزم الاتصال النفقي وفقا لمعيار 802.1Q على علامتين وفقا لمعيار 802.1Q، منها علامة واحدة فقط في كل مرة تكون عادة مرئية للأجهزة. وبالتالي، تضيف العلامة الداخلية 4 بايت إلى قيمة MTU (حجم الحمولة).

• تتضمن واجهة النقل العالمي (UTI)/L2TPv3-UTI/L2TPv3 بيانات L2 التي يجب إعادة توجيهها عبر شبكة IP. يمكن أن يزيد التضمين من حجم الإطار الأصلي حتى 50 بايت. يحتوي الإطار الجديد على رأس IP جديد (20 بايت) ورأس L2TPv3 (12 بايت) ورأس L2 جديد. تتكون حمولة L2TPv3 من إطار L2 الكامل، والذي يتضمن رأس L2.

تعتمد قدرة مختلف محولات Catalyst على دعم مختلف أحجام الإطارات على العديد من العوامل، والتي تتضمن الأجهزة والبرامج. يمكن أن تدعم وحدات معينة أحجام إطارات أكبر من غيرها، حتى ضمن نفس النظام الأساسي.

• المادة حفازة 5500/5000 يزود مفتاح دعم ل jumbo إطار في CatOS 6،1 إطلاق. عند تمكين ميزة الإطارات كبيرة الحجم على منفذ ما، يزداد حجم وحدة الحد الأقصى للنقل (MTU) إلى 9216 بايت. في بطاقات الخط المستندة إلى زوج مجدول غير محمي (UTP) بسرعة 10/100 ميجابت في الثانية، يكون الحد الأقصى لحجم الإطار المدعوم 8092 بايت فقط. هذا القيد هو حد ASIC. لا توجد قيود بشكل عام في تمكين ميزة حجم الإطار كبير الحجم. أنت يستطيع استعملت هذا سمة مع trunking/nontrunking وقني/unchanneling.

• لا تدعم محولات Catalyst 4000 (Supervisor Engine 1 [WS-X4012] و Supervisor Engine 2 [WS-X4013]) إطارات Jumbo بسبب حد ASIC. ومع ذلك، فإن الاستثناء هو توصيل 802.1Q.

• يمكن أن يدعم النظام الأساسي Catalyst 6500 series أحجام الإطارات كبيرة الحجم في CatOS الإصدار 6.1(1) والإصدارات الأحدث. ومع ذلك، يعتمد هذا الدعم على نوع بطاقات الخط التي تستخدمها. لا توجد قيود بشكل عام في تمكين ميزة حجم الإطار كبير الحجم. أنت يستطيع استعملت هذا سمة مع trunking/nontrunking وقني/unchanneling. الحجم الافتراضي لوحدة الحد الأقصى للنقل (MTU) هو 9216 بايت بعد تمكين دعم الإطارات الكبيرة على المنفذ الفردي. وحدة الحد الأقصى للنقل (MTU) الافتراضية غير قابلة للتكوين باستخدام CatOS. ومع ذلك، قدم برنامج Cisco IOS الإصدار 12.1(13)E الأمر system jumbomtu من أجل تجاوز وحدة الحد الأقصى للنقل (MTU) الافتراضية.

راجع دعم الإطارات الكبيرة/العملاقة في مثال تكوين محولات Catalyst للحصول على مزيد من المعلومات.

يصف هذا طاولة ال MTU حجم أن يكون ساندت ب مختلف خط بطاقة لمادة حفازة 6500/6000 sery مفتاح:

ملاحظة: يشير حجم وحدة الحد الأقصى للنقل (MTU) أو حجم الحزمة فقط إلى حمولة الإيثرنت.

دعم إطار Jumbo من المستوى الثالث

مع CatOS أن يركض على المشرف محرك و cisco ios برمجية أن يركض على ال MSFC، المادة حفازة 6500/6000 يزود مفتاح أيضا L3 jumbo إطار دعم في cisco ios ® برمجية إطلاق 12.1(2)E وفيما بعد مع الإستعمالمن PFC/MSFC2، PFC2/MSFC2، أو جهاز متأخر. إن شكلت على حد سواء مدخل ومخرج VLANs يكون ل jumbo إطار، all the ربط يكون جهاز يحول ب ال PFC بسرعة سلكية. إن شكلت المدخل VLAN يكون ل jumbo إطار و المخرج VLAN لا يشكل، هناك إثنان سيناريو:

• إطار كبير الحجم يتم إرساله بواسطة المضيف الطرفي مع مجموعة بت عدم تجزئة (DF) (لاكتشاف وحدة الحد الأقصى للنقل (MTU) للمسار)—يتم إسقاط الحزمة وعدم إمكانية الوصول إلى بروتوكول رسائل التحكم في الإنترنت (ICMP) إلى المضيف الطرفي مع الحاجة إلى جزء رمز الرسالة وتعيين DF.

• إطار كبير الحجم يتم إرساله بواسطة المضيف النهائي مع بت DF غير مضبوط—يتم إختبار الحزم على MSFC2/MSFC3 لتجزئتها ويتم تحويلها في البرنامج.

يلخص هذا الجدول دعم جهاز jumbo من المستوى الثالث للأنظمة الأساسية المختلفة:

¹ RSM = وحدة تحويل المسار النمطية

² RSFC = بطاقة ميزة تحويل المسار

إعتبار أداء الشبكة

تمت دراسة أداء بروتوكول TCP عبر شبكات WAN (الإنترنت) بشكل مكثف. توضح هذه المعادلة كيف يحتوي إخراج بروتوكول TCP على حد أعلى يستند إلى:

• الحد الأقصى لحجم المقطع (MSS)، وهو طول MTU ناقص طول رؤوس TCP/IP

• وقت الذهاب والعودة (RTT)

• فقدان الحزمة

وفقا لهذه الصيغة، يتناسب الحد الأقصى لإنتاجية بروتوكول TCP الذي يمكن تحقيقه بشكل مباشر مع نظام MSS. مع RTT الثابت وفقدان الحزمة، يمكنك مضاعفة سعة معالجة TCP إذا قمت بمضاعفة حجم الحزمة. وبالمثل، عند إستخدام إطارات ضخمة بدلا من الإطارات سعة 1518 بايت، يمكن أن تؤدي زيادة الحجم بمقدار ستة أضعاف إلى تحسين سعة معالجة بروتوكول TCP لاتصال إيثرنت محتمل بمقدار ستة أضعاف.

ثانيا، تتطلب متطلبات الأداء المتزايدة باستمرار لمزارع الخوادم وسائل أكثر فعالية لضمان معدلات بيانات أعلى باستخدام مخططات بيانات نظام ملفات الشبكة (NFS) UDP. تعتبر NFS آلية تخزين البيانات الأكثر انتشارا لنقل الملفات بين الخوادم القائمة على UNIX، وتتميز بمخططات بيانات سعة 8400 بايت. بافتراض وحدة الحد الأقصى للنقل (MTU) الموسعة بسرعة 9 كيلو بايت من شبكة إيثرنت، فإن الإطار كبير الحجم بدرجة كافية لحمل مخطط بيانات تطبيقات بسرعة 8 كيلوبايت (على سبيل المثال، NFS) بالإضافة إلى رأس الحزمة. وبالمصادفة، تسمح هذه الإمكانية بعمليات نقل أكثر فعالية للوصول المباشر إلى الذاكرة (DMA) على الأجهزة المضيفة لأن البرامج لا تحتاج إلى أي أكثر من ذلك لتجزئة كتل NFS إلى مخططات بيانات UDP منفصلة.

توصية

عندما تريد دعم إطار كبير الحجم، قم بقصر إستخدام الإطارات كبيرة الحجم على مناطق من الشبكة تدعم فيها جميع وحدات المحول (من المستوى الثاني) والواجهات (من المستوى الثالث) الإطارات كبيرة الحجم. يمنع هذا التكوين التجزئة في أي مكان في المسار. يؤدي تكوين الإطارات كبيرة الحجم الأكبر من طول الإطار المدعوم في المسار إلى إزالة أي مكاسب يتم تحقيقها باستخدام الميزة لأن التجزئة مطلوبة. كما تظهر الجداول في قسم إطارات كبيرة هذا، يمكن أن تختلف الأنظمة الأساسية المختلفة وبطاقات الخط تبعا للحد الأقصى لأحجام الحزم المدعومة.

قم بتكوين الأجهزة المضيفة واسعة النطاق المتوافقة مع الإطار باستخدام حجم MTU الذي هو الحد الأدنى للمقام المشترك الذي تدعمه أجهزة الشبكة، لشبكة VLAN من المستوى الثاني بالكامل حيث يتواجد الجهاز المضيف. لتمكين دعم الإطارات كبيرة الحجم للوحدات النمطية المزودة بدعم الإطارات كبيرة الحجم، قم بإصدار هذا الأمر:

set port jumbo mod/port enable

وبالإضافة إلى ذلك، إذا كنت ترغب في دعم الإطارات الكبيرة عبر حدود L3، فقم بتكوين أكبر قيمة متوفرة لوحدة الحد الأقصى للنقل (MTU) وهي 9216 بايت على جميع واجهات شبكات VLAN القابلة للتطبيق. قم بإصدار الأمر mtu ضمن واجهات VLAN:

interface vlan vlan#
mtu 9216

يضمن هذا التكوين أن وحدة الحد الأقصى للنقل (MTU) الخاصة بالإطار السريع من المستوى الثاني التي تدعمها الوحدات النمطية تكون دائما أقل من، أو تساوي، القيمة التي يتم تكوينها لواجهات L3 التي تجتاز حركة مرور البيانات. وهذا يمنع التجزئة عند توجيه حركة مرور البيانات من شبكة VLAN عبر واجهة L3.

تكوين الإدارة

تتم مناقشة الاعتبارات الخاصة بالمساعدة في التحكم في شبكة Catalyst وتوفيرها واستكشاف أخطائها وإصلاحها في هذا القسم.

مخططات الشبكة

تعد مخططات الشبكة الواضحة جزءا أساسيا من عمليات الشبكة. وتصبح هذه المكونات شديدة الأهمية أثناء أستكشاف المشكلات وحلها، كما أنها تمثل الوسيلة الوحيدة الأكثر أهمية لإيصال المعلومات عند التصعيد إلى البائعين والشركاء أثناء انقطاع العمل. ولا ينبغي لنا أن نستخف باستعدادهم، واستعدادهم، وإمكانية الوصول إليهم.

توصية

cisco يوصي أن أنت تخلق هذا ثلاثة رسم بياني:

• الرسم التخطيطي العام — حتى بالنسبة للشبكات الأكبر حجما، يعد الرسم التخطيطي الذي يوضح الاتصال المادي والمنطقي من نهاية إلى نهاية أمرا مهما. يمكن أن يكون شائعا للمؤسسات التي قامت بتنفيذ تصميم هرمي لتوثيق كل طبقة بشكل منفصل. ومع ذلك، أثناء التخطيط وحل المشكلات، يكون من المفيد في كثير من الأحيان معرفة كيفية إرتباط المجالات ببعضها البعض وهو ما يمثل أهمية.

• الرسم التخطيطي الفعلي — يعرض جميع أجهزة وكابلات المحولات والموجهات. يجب عنونة خطوط الاتصال والروابط والسرعات ومجموعات القنوات وأرقام المنافذ والفتحات وأنواع الهياكل والبرامج ومجالات VTP والجسر الرئيسي وأولوية الجسر الرئيسي للنسخ الاحتياطي وعنوان MAC والمنافذ المحظورة لكل شبكة VLAN. من الأوضح غالبا وصف الأجهزة الداخلية، مثل المادة حفازة 6500/6000 MSFC، كموجه على عصا متصلة عن طريق شنطة.

  

• الرسم التخطيطي المنطقي— يعرض وظائف L3 فقط (الموجهات ككائنات، شبكات VLAN كشرائح إيثرنت). يجب عنونة عناوين IP والشبكات الفرعية والعنونة الثانوية وميزة HSRP النشطة والاحتياطية وطبقات توزيع مركز الوصول ومعلومات التوجيه.

  

الإدارة داخل النطاق

بناء على التشكيل، المفتاح داخل النطاق (داخلي) إدارة قارن (يعرف باسم sc0) يستطيع كنت عالجت هذا معطيات:

• بروتوكولات إدارة المحول مثل SNMP و Telnet وبروتوكول طبقة الأمان (SSH) و syslog

• بيانات المستخدم مثل عمليات البث والبث المتعدد

• بروتوكولات التحكم في المحول مثل وحدات بيانات بروتوكول الجسر (BPDUs) لبروتوكول الشجرة المتفرعة (STP) و VTP و DTP و CDP وما إلى ذلك

هو ممارسة المشتركة في ال cisco متعدد طبقات تصميم أن يشكل إدارة VLAN أن يمتد عبر يحول مجال ويحتوي على كل sc0 قارن. وهذا يساعد على فصل حركة مرور الإدارة عن حركة مرور المستخدم ويزيد من أمان واجهات إدارة المحول. يصف هذا قسم السمة ومشاكل المحتملة من يستعمل التقصير VLAN 1 وتشغيل إدارة حركة مرور إلى المفتاح في ال نفسه VLAN بما أن مستعمل حركة مرور.

نظرة عامة على العمليات

المخاوف الأساسية حول إستخدام شبكة VLAN 1 لبيانات المستخدم هي أن مشرف محرك NMP بشكل عام لا يحتاج إلى أن يتم مقاطعته بالكثير من حركة مرور البث المتعدد والبث التي يتم إنشاؤها بواسطة المحطات الطرفية. الأجهزة الأقدم Catalyst 5500/5000، Supervisor Engine I و Supervisor Engine II بشكل خاص، لها موارد محدودة للتعامل مع حركة المرور هذه، رغم أن المبدأ ينطبق على جميع محركات المشرف. إذا كانت وحدة المعالجة المركزية (CPU) الخاصة بالمحرك المشرف أو المخزن المؤقت أو القناة داخل النطاق الترددي للوحة الخلفية مشغولة بالكامل بالإصغاء لحركة المرور غير الضرورية، فمن الممكن فقد فقد إطارات التحكم. في أسوأ الحالات، هذا يمكن أن يؤدي إلى يجسر - شجرة أنشوطة أو EtherChannel إخفاق.

إن العرض قارن وأبديت ip دولة يكون أصدرت أمر على المادة حفازة، هم يستطيع أعطت بعض الإشارة من النسبة من بث إلى unicast حركة مرور ونسبة ال ip إلى غير IP حركة مرور (لا يرى عادة في إدارة VLANs).

تدقيق سلامة إضافي لجهاز Catalyst 5500/5000 قديم أن يفحص الإنتاج من عرض داخل النطاق | biga (أمر مخفي) لأخطاء الموارد (RscrcErrors)، مشابهة لعمليات إسقاط المخزن المؤقت في موجه. إذا إستمرت أخطاء الموارد هذه في الارتفاع، فلن تتوفر الذاكرة لتلقي حزم النظام، ربما بسبب وجود مقدار كبير من حركة مرور البث في شبكة VLAN الخاصة بالإدارة. قد يعني خطأ مورد واحد أن Supervisor Engine (محرك المشرف) غير قادر على معالجة حزمة مثل وحدات بيانات بروتوكول الجسر (BPDUs)، وهو ما يمكن أن يصبح مشكلة بسرعة لأن البروتوكولات مثل الشجرة المتفرعة لا تعيد إرسال وحدات بيانات بروتوكول الجسر (BPDUs) المفقودة.

توصية

كما هو موضح في قسم تحكم cat من هذا وثيقة، VLAN 1 هو VLAN خاص أن يميز ويعالج معظم من التحكم مستوى حركة مرور. VLAN 1 مكنت على كل شنطة افتراضيا. مع شبكات المجمعات الأكبر، يجب توخي الحذر من قطر مجال بروتوكول الشجرة المتفرعة (STP) للشبكة المحلية الظاهرية (VLAN) رقم 1؛ قد يؤثر عدم الاستقرار في جزء واحد من الشبكة على شبكة VLAN رقم 1، وبالتالي يؤثر على إستقرار مستوى التحكم وبالتالي إستقرار بروتوكول الشجرة المتفرعة (STP) لجميع الشبكات المحلية الظاهرية (VLANs) الأخرى. في CatOS 5،4 وفيما بعد، كان من الممكن تقييد VLAN 1 من حمل بيانات المستخدم وتشغيل STP باستخدام هذا الأمر:

clear trunk mod/port vlan 1

هذا لا يوقف تحكم ربط يكون أرسلت من مفتاح أن يحول في VLAN 1، كما رأيت مع شبكة محلل. ومع ذلك، لا تتم إعادة توجيه أي بيانات، ولا يتم تشغيل بروتوكول الشجرة المتفرعة (STP) عبر هذا الارتباط. لذلك، هذا أسلوب يستطيع كنت استعملت أن يكسر VLAN 1 فوق داخل أصغر إخفاق مجال.

ملاحظة: لا يمكن حاليا مسح خطوط اتصال شبكة VLAN رقم 1 على 3500s و 2900xlS.

حتى إذا تم توخي الحذر مع تصميم الجامعة لتقييد شبكات VLAN الخاصة بالمستخدم إلى مجالات محول صغيرة نسبيا وما يقابل ذلك من حدود صغيرة للفشل/L3، لا يزال بعض العملاء يستسلمون لإغراء معالجة شبكة VLAN الخاصة بالإدارة بشكل مختلف ومحاولة تغطية الشبكة بالكامل باستخدام شبكة فرعية واحدة للإدارة. لا يوجد سبب فني يدعو إلى أن يكون تطبيق NMS المركزي متابعا للأجهزة التي يديرها، كما أن هذا الأمر لا يعد حجة أمان مؤهلة. cisco يوصي أن يقلل أنت قطر الإدارة VLANs إلى ال نفسه يوجه مجال بنية بما أن مستعمل VLANs ويضع في الاعتبار خارج النطاق إدارة و/أو CatOS 6.x SSH دعم كوسيلة أن يزيد شبكة إدارة أمن.

خيارات أخرى

ومع ذلك، هناك اعتبارات تصميم لتوصيات Cisco هذه في بعض المخططات. على سبيل المثال، يعد التصميم متعدد الطبقات المرغوب فيه والشائع من Cisco أحد التصميمات التي تتجنب إستخدام الشجرة المتفرعة النشطة. هذا يتطلب أن تقوم بتقييد كل شبكة فرعية/شبكة VLAN لبروتوكول IP بمحول واحد من طبقة الوصول أو مجموعة من المحولات. في هذه التصميمات، لا يمكن أن يكون هناك توصيل مكون حتى طبقة الوصول.

لا توجد إجابة سهلة على السؤال المتعلق بما إذا كان سيتم إنشاء شبكة VLAN إدارة منفصلة وتمكينها من التوصيل لنقلها بين طبقات الوصول إلى المستوى الثاني وطبقات التوزيع من المستوى الثالث. هؤلاء خياران لمراجعة التصميم باستخدام مهندس Cisco الخاص بك:

• خيار 1: شنطة إثنان أو ثلاثة VLANs فريد من الطبقة توزيع إلى كل مفتاح طبقة وصول. وهذا يسمح ل بيانات VLAN، صوت VLAN، وإدارة VLAN، على سبيل المثال، ولا يزال يتلقى الفائدة أن STP يكون غير نشط. (لاحظ أنه إذا تم مسح شبكة VLAN 1 من خطوط الاتصال، فهناك خطوة تكوين إضافية.) في هذا الحل، هناك أيضا نقاط تصميم لأخذها في الاعتبار لتجنب التعتيم المؤقت لحركة المرور الموجهة أثناء إسترداد الفشل: بروتوكول الشجرة المتفرعة (STP) PortFast للشبكات (CatOS 7.x والإصدارات الأحدث) أو مزامنة الحالة التلقائية لشبكة VLAN مع إعادة توجيه STP (الأحدث من CatOS 5.5[9]).

• خيار 2:VLAN وحيد للبيانات والإدارة يستطيع كنت مقبول. مع أجهزة المحول الأحدث، مثل وحدات المعالجة المركزية (CPU) الأكثر قوة وعناصر التحكم التي تحدد معدل مستوى التحكم، بالإضافة إلى تصميم بمجالات بث صغيرة نسبيا كما يدعو إليه التصميم متعدد الطبقات، فإن الواقع بالنسبة للعديد من العملاء هو أن الحفاظ على واجهة sc0 منفصلة عن بيانات المستخدم أصبح أقل أهمية مما كانت عليه في السابق. وقد يتم إتخاذ قرار نهائي على أفضل نحو مع فحص ملف تعريف حركة مرور البث لشبكة VLAN تلك ومناقشة إمكانات أجهزة المحول مع مهندس Cisco الخاص بك. إذا كانت شبكة VLAN الإدارية تحتوي بالفعل على جميع المستخدمين على محول طبقة الوصول هذا، فيوصى بشدة باستخدام عوامل تصفية إدخال IP لتأمين المحول من المستخدمين، كما هو الحال في قسم تكوين الأمان في هذا المستند.

الإدارة خارج النطاق

بأخذ الحجج الواردة في القسم السابق خطوة أخرى أبعد، يمكن زيادة إتاحة إدارة الشبكة بإنشاء بنية أساسية إدارية منفصلة حول شبكة الإنتاج بحيث يمكن الوصول إلى الأجهزة عن بعد دائما بغض النظر عن الأحداث التي تؤثر على حركة المرور أو لوحة التحكم. هذان النهجان نموذجيان:

• إدارة خارج النطاق مع شبكة LAN حصرية

• إدارة خارج النطاق مع خوادم طرفية

نظرة عامة على العمليات

يمكن توفير كل موجه ومحول في الشبكة بواجهة إدارة إيثرنت خارج النطاق على شبكة VLAN للإدارة. شكلت واحد إثرنيت ميناء على كل أداة في الإدارة VLAN وكبل خارج الإنتاج شبكة إلى منفصل يحول إدارة شبكة من خلال ال sc0 قارن. لاحظ أن مادة حفازة 4500/4000 مفتاح يتلقون قارن خاص me1 على المشرف محرك أن يكون استعملت للإدارة خارج النطاق فقط، لا كمفتاح ميناء.

وبالإضافة إلى ذلك، يمكن تحقيق اتصال الخادم الطرفي من خلال تكوين المحول Cisco 2600 أو 3600 باستخدام كبلات RJ-45 إلى التسلسلية للوصول إلى منفذ وحدة التحكم لكل موجه ومحول في التخطيط. كما يتجنب الخادم الطرفي الحاجة إلى تكوين سيناريوهات النسخ الاحتياطي، مثل أجهزة المودم على المنافذ المساعدة لكل جهاز. يمكن تكوين مودم واحد على المنفذ المساعد للخادم الطرفي لتوفير خدمة الطلب الهاتفي للأجهزة الأخرى أثناء فشل اتصال الشبكة.

توصية

باستخدام هذا الترتيب، يمكن إستخدام مسارين خارج النطاق لكل محول وموجه بالإضافة إلى العديد من المسارات داخل النطاق، مما يتيح إدارة الشبكة عالية التوفر. يكون خارج النطاق مسؤولا عن:

• تعمل خارج النطاق على فصل حركة مرور الإدارة عن بيانات المستخدم.

• تتضمن خارج النطاق عنوان IP الخاص بالإدارة في شبكة فرعية منفصلة وشبكة VLAN والمحول الخاص بالأمان الأعلى.

• توفر خارج النطاق ضمانا أعلى لتوفير بيانات الإدارة أثناء حالات فشل الشبكة.

• لا تحتوي خارج النطاق على شجرة متفرعة نشطة في شبكة VLAN الخاصة بالإدارة. التكرار ليس أمرا بالغ الأهمية.

إختبارات النظام

تشخيصات التمهيد

أثناء تحميل النظام، يتم إجراء عدد من العمليات لضمان توفر نظام أساسي يمكن الاعتماد عليه وتشغيله حتى لا تتسبب الأجهزة المعيبة في تعطيل الشبكة. يتم تقسيم تشخيصات تمهيد Catalyst بين الاختبار الذاتي عند التشغيل (POST) والتشخيصات عبر الإنترنت.

نظرة عامة على العمليات

واعتمادا على تهيئة النظام الأساسي والأجهزة، يتم إجراء تشخيصات مختلفة أثناء التمهيد وعند تبديل البطاقة دون إيقاف التشغيل في الهيكل. يؤدي إرتفاع مستوى التشخيصات إلى اكتشاف عدد أكبر من المشاكل ولكن دورة تمهيد تشغيل أطول. يمكن تحديد هذه المستويات الثلاثة من تشخيصات POST (تقوم جميع الاختبارات بفحص DRAM، و RAM، و وجود ذاكرة التخزين المؤقت وحجمها وتهيئتها):

التشخيصات عبر الإنترنت

تحقق هذه الاختبارات من مسارات الحزمة داخليا في المحول. ومن المهم ملاحظة أن التشخيصات على الإنترنت هي بالتالي إختبارات على نطاق المنظومة، وليست مجرد إختبارات للمنافذ. على مادة حفازة 5500/5000 و 6500/6000 مفتاح، أنجزت إختبار أولا من الاستعداد مشرف محرك، ومرة أخرى من الأساسي مشرف محرك. يعتمد طول التشخيصات على تهيئة النظام (عدد الفتحات والوحدات النمطية والمنافذ). وهناك ثلاث فئات للاختبارات:

• إختبار الاسترجاع — يتم إرسال الحزم من Supervisor Engine NMP إلى كل منفذ، ثم يتم إرجاعها إلى NMP وفحصها بحثا عن أخطاء.

• يتم إنشاء قنوات إختبار التجميع- تصل إلى ثمانية منافذ ويتم إجراء إختبارات الاسترجاع إلى المنفذ للتحقق من التجزئة على روابط معينة (راجع قسم EtherChannel في هذا المستند للحصول على مزيد من المعلومات).

• إختبار Enhanced Address Recognition Logic (EARL) - يتم إختبار كل من Central Supervisor Engine (محرك المشرف) ومحركات إعادة الكتابة لوحدة الإيثرنت الخطية L3. يتم إنشاء إدخالات إعادة توجيه الأجهزة والمنافذ الموجهة قبل إرسال حزم نموذجية (لكل نوع تضمين بروتوكول) من بروتوكول NMP من خلال جهاز التحويل على كل وحدة نمطية والعودة إلى بروتوكول NMP. هذا ل مادة حفازة 6500/6000 PFC وحدة نمطية و أحدث.

قد يستغرق إكمال التشخيصات عبر الإنترنت دقيقتين تقريبا. الحد الأدنى من التشخيص لا ينجز حزمة أو يعيد كتابة إختبار على وحدة نمطية آخر بعد ذلك المشرف محرك، ويمكن أن يأخذ تقريبا 90 ثاني.

أثناء إختبار الذاكرة، عندما يعثر على أختلاف في النمط الذي تتم قراءته سابقا مقارنة بالنمط الذي تتم كتابته، تتغير حالة المنفذ إلى خطأ. يمكن ملاحظة نتائج هذه الاختبارات إذا تم إصدار الأمر show test، متبوعا برقم الوحدة النمطية الذي سيتم فحصه:

>show test 9

Diagnostic mode: complete (mode at next reset: complete)

!--- Configuration setting.

Module 9 : 4-port Multilayer Switch
Line Card Status for Module 9 : PASS
Port Status :
  Ports 1  2  3  4
  -----------------
        .  .  .  .
Line Card Diag Status for Module 9 (. = Pass, F = Fail, N = N/A)
 Loopback Status [Reported by Module 1] :
  Ports 1  2  3  4
  -----------------
        .  . F  .

!--- Faulty.

 Channel Status :
  Ports 1  2  3  4
  -----------------
        .  .  .  .

توصية

توصي Cisco بتعيين جميع المحولات لاستخدام التشخيصات الكاملة لتوفير الحد الأقصى لاكتشاف الأعطال ومنع حالات انقطاع الاتصال أثناء العمليات العادية.

ملاحظة: لا يسري هذا التغيير حتى المرة التالية التي يتم فيها تمهيد الجهاز. أصدرت هذا أمر in order to ثبتت كامل تشخيصات:

set test diaglevel complete 

خيارات أخرى

وفي بعض الحالات، قد يكون من الأفضل أن يتجاوز وقت بدء التشغيل السريع الانتظار لتشغيل التشخيص الكامل. هناك عوامل أخرى وتوقيتات مرتبطة بتربية النظام، ولكن في الإجمال فإن التشخيص المباشر (POST) والتشخيص عبر الإنترنت يضيف حوالي الثلث مرة أخرى في الوقت المناسب. في الاختبار باستخدام هيكل معبأ بالكامل أحادي المحرك المشرف Supervisor Engine ذو تسع فتحات مع محول Catalyst 6509، كان إجمالي وقت التمهيد حوالي 380 ثانية مع التشخيصات الكاملة، وحوالي 300 ثانية مع الحد الأدنى من التشخيصات، و 250 ثانية فقط مع تجاوز التشخيصات. أصدرت هذا أمر أن يشكل مجرى جانبي:

set test diaglevel bypass

ملاحظة: تقبل المادة حفازة 4500/4000 أن يكون شكلت للحد الأدنى من التشخيص، رغم أن هذا لا يزال ينتج في إختبار كامل جار. يمكن دعم الوضع الأدنى في المستقبل على هذا النظام الأساسي.

تشغيل تشخيصات الوقت

بمجرد تشغيل النظام، يقوم محرك المشرف على المحول بإجراء مراقبة مختلفة على الوحدات النمطية الأخرى. إذا لم تكن الوحدة النمطية قابلة للوصول إليها من خلال رسائل الإدارة (بروتوكول التحكم التسلسلي [SCP] الذي يعمل عبر ناقل الإدارة خارج النطاق)، يحاول Supervisor Engine (محرك المشرف) إعادة تشغيل البطاقة أو إتخاذ إجراء آخر حسب الاقتضاء.

نظرة عامة على العمليات

يقوم Supervisor Engine (محرك المشرف) بتنفيذ عمليات مراقبة مختلفة تلقائيا، ولا يتطلب هذا أي تكوين. ل المادة حفازة 5500/5000 و 6500/6000، هذا مكون من المفتاح monitore:

• نائب برلماني من خلال لجنة مراقبة

• أخطاء شريحة إيرل المحسنة

• قناة داخل النطاق من Supervisor Engine (محرك المشرف) إلى اللوحة الخلفية

• الوحدات النمطية من خلال رسائل تنشيط الاتصال عبر قناة خارج النطاق (Catalyst 6500/6000)

• تتم مراقبة Supervisor Engine (محرك المشرف) في الوضع النشط بواسطة Supervisor Engine (محرك المشرف) في وضع الاستعداد للحالة (Catalyst 6500/6000)

اكتشاف أخطاء النظام والأجهزة

نظرة عامة على العمليات

في CatOS 6.2 والإصدارات الأحدث، تمت إضافة وظائف أخرى لمراقبة المكونات الهامة على مستوى النظام والأجهزة. يتم دعم مكونات الأجهزة الثلاثة هذه:

• داخل النطاق

• عداد المنافذ

• ذاكرة

عندما مكنت السمة كشفت خطأ شرط، المفتاح يلد syslog رسالة. تعلم الرسالة المسؤول بوجود مشكلة قبل حدوث انخفاض ملحوظ في الأداء. في إصدارات CatOS 6.4(16)، 7.6(12)، 8.4(2) والإصدارات الأحدث، تغير الوضع الافتراضي لجميع المكونات الثلاثة من معطل إلى ممكن.

داخل النطاق

إذا تم الكشف عن خطأ داخل النطاق الترددي، تخبرك رسالة syslog بوجود مشكلة قبل حدوث انخفاض ملحوظ في الأداء. يعرض الخطأ نوع تكرار فشل النطاق الداخلي. بعض الأمثلة هي:

• علق داخل النطاق

• أخطاء المورد

• فشل داخل النطاق أثناء بدء التشغيل

عند اكتشاف فشل إختبار الاتصال داخل النطاق الترددي، تقوم الميزة أيضا بالإعلام عن رسالة syslog إضافية مع لقطة لمعدل Tx و Rx الحالي على الاتصال داخل النطاق الترددي ووحدة المعالجة المركزية (CPU) وتحميل اللوحة الخلفية للمحول. تمكنك هذه الرسالة من تحديد ما إذا كانت النطاق الداخلي غير متصل (لا Tx/Rx) أو محمل بشكل زائد (Tx/Rx زائد) بشكل صحيح. يمكن أن تساعدك هذه المعلومات الإضافية في تحديد سبب حالات فشل إختبار الاتصال داخل النطاق.

عداد منافذ

عندما تقوم بتمكين هذه الميزة، فإنها تقوم بإنشاء عملية وتبدأ منها لتصحيح أخطاء عدادات المنفذ. يراقب عداد المنفذ دوريا تحديد عدادات أخطاء المنفذ الداخلي. تحدد بنية بطاقة الخط، وبشكل أكثر تحديدا ASICs على الوحدة النمطية، أي عدادات للاستعلامات الخاصة بالميزة. يمكن حينئذ للدعم التقني أو هندسة التطوير من Cisco إستخدام هذه المعلومات لاستكشاف المشاكل وإصلاحها. لا تقوم هذه الميزة باستطلاع عدادات الأخطاء مثل FCS و CRC والمحاذاة والحزم الصغيرة المرتبطة مباشرة باتصال شريك الارتباط. رأيت EtherChannel/Link خطأ معالجة قسم من هذا وثيقة in order to تضمنت هذا إمكانية.

يتم تنفيذ عملية الاقتراع كل 30 دقيقة ويتم تشغيلها في الخلفية الخاصة بعدادات الأخطاء المحددة. إذا ارتفع العدد بين استطلاعين تاليين على نفس المنفذ، تقوم رسالة syslog بالإبلاغ عن الحادث وتعطي الوحدة النمطية/المنفذ وتفاصيل عداد الأخطاء.

لا يساند الأيسر عداد خيار على المادة حفازة 4500/4000 منصة.

ذاكرة

يجري تمكين هذه الميزة مراقبة الخلفية واكتشاف حالات تلف DRAM. وتتضمن حالات تلف الذاكرة هذه ما يلي:

• توزيع

• إفراجا

• خارج النطاق

• محاذاة غير صحيحة

توصية

قم بتمكين جميع ميزات اكتشاف الأخطاء، والتي تتضمن النطاق الداخلي وعدادات المنافذ والذاكرة، حيث تكون مدعومة. يحقق تمكين هذه الميزات تشخيصات تحذير محسنة للنظام والأجهزة الاستباقية للنظام الأساسي للمحول Catalyst. أصدرت هذا أمر in order to مكنت كل ثلاثة خطأ كشف سمة:

set errordetection inband enable

!--- This is the default in CatOS 6.4(16), 7.6(12), 8.4(2), and later.


set errordetection portcounters enable

!--- This is the default in CatOS 6.4(16), 7.6(12), 8.4(2), and later.


set errordetection memory enable

!--- This is the default in CatOS 6.4(16), 7.6(12), 8.4(2), and later.

أصدرت هذا أمر in order to أكدت أن كشف خطأ يكون مكنت:

>show errordetection

Inband error detection:                   enabled
Memory error detection:                   enabled
Packet buffer error detection:            errdisable
Port counter error detection:             enabled
Port link-errors detection:               disabled
Port link-errors action:                  port-failover
Port link-errors interval:                30 seconds

معالجة أخطاء EtherChannel/Link

نظرة عامة على العمليات

في CatOS 8،4 وفيما بعد، قدمت سمة جديد in order to زودت آلي فشل حركة مرور من واحد ميناء في EtherChannel إلى آخر ميناء في ال نفسه EtherChannel. يحدث تجاوز فشل المنفذ عندما يتجاوز أحد المنافذ في القناة حد خطأ قابل للتكوين داخل الفاصل الزمني المحدد. يقع الميناء تجاوز فقط إن هناك يكون ميناء عملياتي يسار في EtherChannel. إن failed ميناء يكون آخر ميناء في EtherChannel، الميناء لا يدخل ال port-failover دولة. يستمر هذا ميناء أن يمر حركة مرور، regardless of نوع الخطأ أن يكون إستلمت. وحيد، لا يقني ميناء داخل ال ميناء-فشل دولة. هذا ميناء يذهبون داخل ال errdisable دولة عندما الخطأ تجاوزت عتبة ضمن ال يعين فاصل.

تكون هذه الميزة فعالة فقط عندما تقوم بتمكين تعيين عدادات نقاط الكشف عن الأخطاء. تستند أخطاء الارتباط التي سيتم مراقبتها إلى ثلاثة عدادات:

• InErrors

• RxCRCs (CRCAlignErrors)

• TxCRCs

قم بإصدار الأمر show counters على محول لعرض عدد عدادات الأخطاء. وفيما يلي مثال على هذا:

>show counters 4/48

.......

32 bit counters

0  rxCRCAlignErrors           =          0
.......

6  ifInErrors                 =          0
.......

12 txCRC                      =          0

هذا الجدول هو قائمة بمعلمات التكوين المحتملة والتكوين الافتراضي الخاص بها:

إذا تم تمكين الميزة ووصل عدد الأخطاء لمنفذ ما إلى القيمة العالية للعتبة القابلة للتكوين داخل فترة عدد العينات المحددة، فإن الإجراء القابل للتكوين يكون إما تعطيل الخطأ أو تجاوز فشل المنفذ. يعجز الخطأ إجراء يضع الميناء داخل ال errdisable دولة. إن يشكل أنت المنفذ فاشل إجراء، القناة ميناء وضع في الاعتبار. الميناء خطأ يعجز فقط إن الميناء يكون في قناة غير أن أن ميناء ليس آخر عملية ميناء في القناة. وبالإضافة إلى ذلك، إذا كان الإجراء الذي تم تكوينه هو تجاوز فشل المنفذ والميناء هو منفذ واحد أو غير يقني، يتم وضع المنفذ في دولة errdisable عندما يصل عدد أخطاء المنفذ إلى القيمة العالية للعتبة.

الفاصل الزمني هو ثابت مؤقت لقراءة عدادات أخطاء المنفذ. القيمة الافتراضية لفاصل أخطاء الارتباط هي 30 ثانية. النطاق المسموح به بين 30 و 1800 ثانية.

هناك خطر من تعطيل خطأ عارض لمنفذ ما بسبب حدث غير متوقع دفعة واحدة. لتقليل هذا الخطر، يتم إتخاذ الإجراءات إلى منفذ ما فقط عندما تستمر الحالة من خلال عدد العينات المتتابع هذا. القيمة الافتراضية لأخذ العينات هي 3 والنطاق المسموح به هو من 1 إلى 255.

الحد هو رقم مطلق ليتم فحصه استنادا إلى الفاصل الزمني للأخطاء الارتباط. الحد الأدنى الافتراضي لخطأ الارتباط هو 1000 والنطاق المسموح به هو من 1 إلى 65535. الحد الأعلى الافتراضي لخطأ الارتباط هو 1001. عندما يصل العدد المتتابع لأوقات العينة إلى الحد المنخفض، يتم إرسال syslog. إذا وصلت أوقات النسخ المتتالية إلى الحد الأعلى، يتم إرسال syslog ويتم تشغيل إجراء تعطيل خطأ أو تجاوز فشل المنفذ.

ملاحظة: أستخدم تكوين اكتشاف خطأ المنفذ نفسه لجميع المنافذ في قناة. أحلت هذا قسم من المادة حفازة 6500 sery برمجية تشكيل مرشد ل كثير معلومة:

• يشكل EtherChannel/خطوة خطأ معالجة قسم من يفحص وضع واتصال

• قسم تكوين اكتشاف خطأ المنفذ من تكوين إيثرنت، إيثرنت سريع، إيثرنت جيجابت، تحويل 10-جيجابت إيثرنت

التوصيات

نظرا لأن الميزة تستخدم رسائل SCP لتسجيل البيانات ومقارنتها، يمكن أن تكون الأعداد الكبيرة من المنافذ النشطة مكثفة لوحدة المعالجة المركزية. ويكون هذا السيناريو أكثر تركيزا على وحدة المعالجة المركزية (CPU) عند تعيين الفاصل الزمني للعتبة على قيمة صغيرة جدا. مكنت هذا سمة مع تقدير للميناء أن يكون عينت ك خطوة مهم ويحمل حركة مرور لتطبيقات حساس. أصدرت هذا أمر in order to مكنت خطوة كشف خطأ بشكل عام:

set errordetection link-errors enable

أيضا، ابدأ بالعتبة الافتراضية، الفاصل الزمني، ومعلمات العينات. واستخدم الإجراء الافتراضي، تجاوز فشل المنفذ.

أصدرت هذا أمر in order to طبقت الشامل خطوة خطأ معلم إلى ميناء فرد:

set port errordetection mod/port inerrors enable

set port errordetection mod/port rxcrc enable

set port errordetection mod/port txcrc enable

أنت يستطيع أصدرت هذا أمر in order to دققت ال link-errors تشكيل:

show errordetection

show port errordetection {mod | mod/port}

تشخيصات مخزن الحزم المؤقت Catalyst 6500/6000

في CatOS صيغة 6.4(7)، 7.6(5)، و 8.2(1)، المادة حفازة 6500/6000 ربط مصد قدمت تشخيصات. تقوم تشخيصات الحزمة المخزن المؤقت، والتي يتم تمكينها بشكل افتراضي، باكتشاف حالات فشل مخزن الحزم المؤقت التي تحدث بسبب حالات فشل ذاكرة الوصول العشوائي الثابتة العابرة (SRAM). الكشف موجود على وحدات الخط ذات 48 منفذ وبسرعة 10/100 ميجابت في الثانية التالية:

• WS-X6248-RJ45

• WS-X6248-RJ21

• WS-X6348-RJ45

• WS-X6348-RJ21

• WS-X6148-RJ45

• WS-X6148-RJ21

عند حدوث حالة الفشل، يستمر 12 منفذا من أصل 48 منفذ سرعة 10/100 ميجابت في الثانية في البقاء على اتصال ويمكن أن تواجه مشاكل اتصال عشوائية. الطريقة الوحيدة للاسترداد من هذا الشرط هي تشغيل الوحدة النمطية للخط.

نظرة عامة على العمليات

تحقق تشخيصات الحزمة المخزن المؤقت من البيانات التي يتم تخزينها في قسم محدد من المخزن المؤقت للحزمة لتحديد ما إذا كان قد تعرض للتلف بواسطة حالات فشل SRAM العابرة. إذا استرجعت العملية شيئا مختلفا عما كتبته، فإنها تنفذ خيارين محتملين للتعافي وقابلين للتكوين:

1. الإجراء الافتراضي هو تعطيل منافذ بطاقة الخط المتأثرة بفشل المخزن المؤقت.

2. الخيار الثاني هو تشغيل بطاقة الخط.

تمت إضافة رسالتين من syslog. يزود الرسالة تحذير من الخطأ عجز من الميناء أو الطاقة دورة من الوحدة نمطية بسبب ربط مصد خطأ:

%SYS-3-PKTBUFFERFAIL_ERRDIS:Packet buffer failure detected.
Err-disabling port 5/1.
%SYS-3-PKTBUFFERFAIL_PWRCYCLE: Packet buffer failure detected.
Power cycling module 5.

في إصدارات CatOS الأقدم من 8.3 و 8.4، يكون وقت دورة طاقة بطاقة الخط بين 30 و 40 ثانية. تم تقديم ميزة التمهيد السريع في CatOS، الإصدار 8.3 و 8.4. تقوم الميزة بتنزيل البرامج الثابتة تلقائيا إلى بطاقات الخط المثبتة أثناء عملية التمهيد الأولية لتقليل وقت بدء التشغيل. تعمل ميزة التمهيد السريع على تقليل وقت دورة الطاقة إلى 10 ثوان تقريبا.

توصية

cisco يوصي التقصير خيار من errdisable. هذا الإجراء له أقل تأثير على خدمة الشبكة أثناء ساعات الإنتاج. إن أمكن، انقل التوصيل أن يكون متأثر بالمنافذ handicapé إلى آخر يتوفر مفتاح ميناء in order to أحيات خدمة. جدولة دورة طاقة يدوية لبطاقة الخط أثناء إطار الصيانة. أصدرت ال reset وحدة نمطية mod أمر in order to إستردت بالكامل من ال يفسد ربط مصد شرط.

ملاحظة: إذا إستمرت الأخطاء بعد إعادة تعيين الوحدة النمطية، فحاول إعادة تثبيت الوحدة النمطية.

أصدرت هذا أمر in order to مكنت ال errdisable خيار:

set errordetection packet-buffer errdisable

!--- This is the default.

خيار آخر

نظرا لأن دورة طاقة بطاقة الخط ضرورية لاسترداد جميع المنافذ التي واجهت فشل SRAM بشكل كامل، فإن إجراء الاسترداد البديل هو تكوين خيار دورة الطاقة. يكون هذا الخيار مفيدا في الظروف التي يكون فيها الانقطاع في خدمات الشبكة الذي يمكن أن يستمر بين 30 و 40 ثانية مقبولا. وهذا الطول من الوقت هو الوقت اللازم لوحدة خط ما لتشغيل دورة الطاقة بشكل كامل وإعادة وضع نفسها في الخدمة مرة أخرى دون ميزة التمهيد السريع. يمكن لميزة التمهيد السريع تقليل وقت انقطاع خدمات الشبكة إلى 10 ثوان مع خيار دورة الطاقة. أصدرت هذا أمر in order to مكنت الطاقة دورة خيار:

set errordetection packet-buffer power-cycle

تشخيصات المخزن المؤقت للحزمة

هذا إختبار لمادة حفازة 5500/5000 مفتاح فقط. تم تصميم هذا الاختبار للعثور على أجهزة فاشلة على محولات Catalyst 5500/5000 التي تستخدم وحدات إيثرنت مع أجهزة معينة توفر اتصال 10/100 ميجابت في الثانية بين منافذ المستخدم واللوحة الخلفية للمحول. بما أنهم لا يستطيعون إجراء فحص CRC للإطارات المجزأة، إذا أصبح مخزن حزم المنفذ المؤقت معطلا أثناء وقت التشغيل، يمكن أن تصبح الحزم تالفة وتتسبب في أخطاء CRC. لسوء الحظ، قد يؤدي ذلك إلى نشر إطارات سيئة بشكل أكبر في شبكة Catalyst 5500/5000 ISL، مما يؤدي إلى حدوث أعطال في مستوى التحكم وعواصف البث في أسوأ السيناريوهات.

قامت الوحدات النمطية Catalyst 5500/5000 الأحدث والأنظمة الأساسية الأخرى بتحديث فحص أخطاء الأجهزة المضمنة ولا تحتاج إلى إختبارات مخزن الحزمة المؤقت، لذلك لا يوجد خيار لتكوينها.

الوحدات النمطية للخط التي تحتاج إلى تشخيصات المخزن المؤقت للحزمة هي WS-X5010، WS-X5011، WS-X5013، WS-X5020، WS-X5111، WS-X5114، WS-X5201، WS-X5203، WS-X5213، WS-X 5223 و WS-X5224 و WS-X5506 و WS-X5509 و WS-U5531 و WS-U5533 و WS-U5535.

نظرة عامة على العمليات

يتحقق هذا التشخيص من أن البيانات المخزنة في قسم محدد من المخزن المؤقت للحزمة لا يتم تفريقها بشكل عرضي بواسطة جهاز معيب. إن يقرأ العملية شيء مختلف من هو كتب، هو يعطل الميناء في فشل أسلوب، بما أن أن أن ميناء يستطيع أفسدت معطيات. لا توجد عتبة للأخطاء المطلوبة. يتعذر تمكين المنافذ الفاشلة مرة أخرى حتى تتم إعادة تعيين الوحدة النمطية (أو إستبدالها).

هناك وضعان لاختبارات المخزن المؤقت للحزم: مجدول وعند الطلب. عندما يبدأ الاختبار، يتم إنشاء رسائل syslog للإشارة إلى الطول المتوقع للاختبار (تقريب إلى أقرب دقيقة) وحقيقة بدء الاختبار. يختلف الطول الدقيق للاختبار حسب نوع المنفذ وحجم المخزن المؤقت ونوع تشغيل الاختبار.

وتتسم الاختبارات حسب الطلب بأنها شديدة الفعالية من أجل إتمامها في غضون دقائق قليلة. بما أن هذه الاختبارات تتداخل بشكل نشط مع ذاكرة الحزمة، يجب إيقاف تشغيل المنافذ إداريا قبل الاختبار. أصدرت هذا أمر in order to عطلت الميناء:

> (enable) test packetbuffer 4/1
Warning: only disabled ports may be tested on demand - 4/1 will be skipped.
> (enable) set port disable 4/1
> (enable) test packetbuffer 4/1
Packet buffer test started. Estimated test time: 1 minute.
%SYS-5-PKTTESTSTART:Packet buffer test started
%SYS-5-PKTTESTDONE:Packet buffer test done. Use 'show test' to see test results

إن الاختبارات المجدولة أقل حدة من الاختبارات عند الطلب، وهي تنفذ في الخلفية. يتم إجراء الاختبارات بشكل متواز عبر وحدات متعددة ولكن على منفذ واحد لكل وحدة نمطية في كل مرة. يحفظ الاختبار، يكتب، ويقرأ مقاطع صغيرة من ذاكرة مصد الحزم قبل إستعادة بيانات مصد حزم المستخدم، وبالتالي يولد لا أخطاء. ومع ذلك، نظرا لأن الاختبار يكتب إلى ذاكرة التخزين المؤقت، فإنه يمنع الحزم الواردة لبضع مللي ثانية ويتسبب في بعض الفقدان على الارتباطات المشغولة. بشكل افتراضي، هناك إيقاف مؤقت لمدة ثماني ثوان بين كل إختبار كتابة في المخزن المؤقت لتقليل أي فقدان للحزم، ولكن هذا يعني أن النظام المزود بوحدات نمطية تحتاج إلى إختبار مخزن الحزمة المؤقت يمكن أن يستغرق أكثر من 24 ساعة لكي يكتمل الاختبار. يتم تمكين هذا الاختبار المجدول بشكل افتراضي للعمل أسبوعيا في 03:30 في أيام الأحد من CatOS 5.4 أو ما بعده، ويمكن تأكيد حالة الاختبار باستخدام هذا الأمر:

>show test packetbuffer status


!--- When test is running, the command returns !--- this information:

Current packet buffer test details
Test Type           : scheduled
Test Started        : 03:30:08 Jul 20 2001
Test Status         : 26% of ports tested
Ports under test    : 10/5,11/2
Estimated time left : 11 minutes

!--- When test is not running, !--- the command returns this information:

Last packet buffer test details
Test Type           : scheduled
Test Started        : 03:30:08 Jul 20 2001
Test Finished       : 06:48:57 Jul 21 2001

توصية

ال cisco يوصي أن يستعمل أنت الربط مجدول مصد إختبار سمة لمادة حفازة 5500/5000 نظام، بما أن الفائدة من اكتشاف مشكلة على وحدة نمطية يتجاوز خطر منخفض ربط فقدان.

وبعد ذلك، يجب جدولة الوقت الأسبوعي القياسي عبر الشبكة الذي يسمح للعميل بتغيير الارتباطات من المنافذ المعيبة أو وحدات RMA حسب الضرورة. بما أن هذا الاختبار يمكن أن يتسبب في بعض فقدان الحزمة، بناء على حمل الشبكة، يجب جدولته لأوقات الشبكة الأكثر هدوءا، مثل الإعداد الافتراضي من الساعة 3:30 صباحا في صباح يوم الأحد. أصدرت هذا أمر in order to ثبتت الاختبار وقت:

set test packetbuffer Sunday 3:30

!--- This is the default.

ما إن يمكن (كما عندما CatOS يكون حسنت إلى 5،4 ومتأخر لأول مرة)، هناك فرصة أن يخفي سابقا ذاكرة/جهاز مشكلة، ويقفل ميناء تلقائيا نتيجة لذلك. يمكنك مشاهدة هذه الرسالة:

%SYS-3-PKTBUFBAD:Port 1/1 failed packet buffer test

خيارات أخرى

إذا لم يكن من المقبول المخاطرة بمستوى منخفض من فقدان الحزمة لكل منفذ على أساس أسبوعي، يوصى باستخدام الميزة حسب الطلب أثناء حالات انتهاء الخدمة المجدولة. أصدرت هذا أمر in order to بدأت هذا سمة يدويا على أساس لكل مدى (رغم أن الميناء ينبغي كنت معأق إداريا أولا):

test packetbuffer port range

تسجيل دخول النظام

تعد رسائل syslog خاصة ب Cisco وجزءا أساسيا من الإدارة الاستباقية للأعطال. يتم الإبلاغ عن مجموعة أوسع من حالات الشبكة والبروتوكول باستخدام syslog مقارنة بما هو ممكن من خلال بروتوكول SNMP الموحد. تحقق منصات الإدارة، مثل Cisco Resource Manager Essentials (RMEs) ومجموعة أدوات تحليل الشبكة (NATkit) إستخداما قويا لمعلومات syslog لأنهم يؤدون هذه المهام:

• تقديم التحليل حسب الخطورة والرسالة والجهاز وما إلى ذلك

• تمكين تصفية الرسائل الواردة للتحليل

• التنبيه بوجود زناد، مثل أجهزة النداء، أو جمع المخزون عند الطلب وتغيرات التهيئة

توصية

إحدى نقاط التركيز المهمة هي مستوى معلومات التسجيل الذي يجب إنشاؤه محليا وإقامته في المخزن المؤقت للمحول مقارنة بذلك الذي يتم إرساله إلى خادم syslog (باستخدام الأمر set logging server severity value). تقوم بعض المؤسسات بتسجيل مستوى مرتفع من المعلومات بشكل مركزي، في حين يذهب البعض الآخر إلى المحول نفسه للنظر في السجلات الأكثر تفصيلا لحدث ما أو تمكين مستوى أعلى من التقاط syslog فقط أثناء أستكشاف الأخطاء وإصلاحها.

يختلف تصحيح الأخطاء على الأنظمة الأساسية لنظام التشغيل CatOS عن برنامج Cisco IOS، ولكن يمكن تمكين تسجيل النظام التفصيلي لكل جلسة باستخدام تمكين جلسة تسجيل الدخول دون تغيير ما تم تسجيله بشكل افتراضي.

توصيك Cisco بشكل عام بالارتقاء بمرافق spantree و syslog للنظام إلى المستوى 6، نظرا لأنها ميزات إستقرار أساسية للتعقب. وبالإضافة إلى ذلك، بالنسبة لبيئات البث المتعدد، يوصى برفع مستوى تسجيل مرفق البث إلى 4 حتى يتم إنتاج رسائل syslog إذا تم حذف منافذ الموجه. لسوء الحظ، قبل CatOS 5.5(5) هذا يمكن أن يؤدي إلى تسجيل رسائل syslog لوصلات IGMP وأوراقها، وهو أمر مزعج جدا للمراقبة. أخيرا، إذا تم إستخدام قوائم إدخال IP، فيوصى بمستوى تسجيل أدنى يبلغ 4 لالتقاط محاولات تسجيل الدخول غير المصرح بها. أصدرت هذا أمر in order to ثبتت هذا خيار:

set logging buffer 500

!--- This is the default.

set logging server syslog server IP address
set logging server enable

!--- This is the default.

set logging timestamp enable
set logging level spantree 6 default

!--- Increase default STP syslog level.

set logging level sys 6 default

!--- Increase default system syslog level.

set logging server severity 4

!--- This is the default; !--- it limits messages exported to syslog server.

set logging console disable

قم بإيقاف تشغيل رسائل وحدة التحكم للحماية من مخاطر تعليق المحول لأنه ينتظر إستجابة من وحدة طرفية بطيئة أو غير موجودة عندما يكون حجم الرسالة مرتفعا. يعد تسجيل وحدة التحكم أولوية عالية تحت CatOS ويتم إستخدامه بشكل رئيسي لالتقاط الرسائل النهائية محليا عند أستكشاف الأخطاء وإصلاحها أو في سيناريو تعطل المحول.

يزود هذا طاولة الفرد تسجيل ميناء، تقصير مستوى، يوصي تغير ل المادة حفازة 6500/6000. ولكل منصة مرافق مختلفة قليلا، حسب الميزات المدعومة.

¹ في نظام التشغيل CatOS 7.x والإصدارات الأحدث، يحل رمز التسهيلات العرقية محل رمز تسهيلات PaP من أجل عكس دعم بروتوكول التحكم في تجميع الارتباطات (LACP).

ملاحظة: حاليا، تسجل محولات Catalyst رسالة تغيير التكوين syslog level-6 لكل مجموعة أو clear أمر يتم تنفيذه، على عكس برنامج Cisco IOS software، والذي يشغل الرسالة فقط بعد خروجك من وضع التكوين. إذا كنت بحاجة إلى وحدات بنية معلومات الإدارة (RMEs) لإجراء نسخ إحتياطي للتكوينات في الوقت الفعلي على هذا المشغل، حينئذ يلزم إرسال هذه الرسائل أيضا إلى خادم syslog لأنظمة إدارة البنية الأساسية (RMEs). بالنسبة لمعظم العملاء، تكون عمليات النسخ الاحتياطي الدورية للتكوين لمحولات Catalyst كافية، ولا يلزم إجراء أي تغيير في خطورة تسجيل الخادم الافتراضية.

إذا قمت بضبط تنبيهات NMS، راجع دليل رسائل النظام.

بروتوكول إدارة الشبكة البسيط

يتم إستخدام SNMP لاسترداد الإحصائيات والعدادات والجداول المخزنة في قواعد معلومات إدارة أجهزة الشبكة (MIB). يمكن إستخدام المعلومات التي تم تجميعها من قبل NMSs (مثل OpenView من HP) من أجل إنشاء تنبيهات في الوقت الفعلي، وقياس مدى التوفر، وإنتاج معلومات تخطيط السعة، فضلا عن المساعدة في إجراء عمليات فحص التكوين واستكشاف الأخطاء وإصلاحها.

نظرة عامة على العمليات

باستخدام بعض آليات الأمان، يمكن لمحطة إدارة الشبكة إسترداد المعلومات في قواعد معلومات الإدارة باستخدام بروتوكول SNMP الحصول على الطلبات التالية والحصول عليها، وتغيير المعلمات باستخدام الأمر set. وبالإضافة إلى ذلك، يمكن تكوين جهاز شبكة لإنشاء رسالة ملائمة ل NMS للتنبيه في الوقت الفعلي. يستخدم إستطلاع بروتوكول SNMP منفذ IP UDP 161 ومنافذ SNMP المنفذ 162.

تدعم Cisco إصدارات SNMP التالية:

• SNMPv1: معيار الإنترنت RFC 1157، باستخدام أمان سلسلة مجتمع النص الواضح. تحدد قائمة التحكم في الوصول إلى عنوان IP وكلمة المرور مجتمع المديرين القادرين على الوصول إلى قاعدة معلومات الإدارة للوكيل.

• SNMPv2C: مزيج من SNMPv2، ومشروع معيار إنترنت معرف في RFCs 1902 حتى 1907، و SNMPv2C، وهو إطار إداري قائم على المجتمع ل SNMPv2 يكون مشروع تجريبي معرف في RFC 1901. وتتضمن الفوائد آلية للاسترداد المجمع تدعم إسترجاع الجداول والكميات الكبيرة من المعلومات، وتقلل إلى أدنى حد عدد الرحلات ذهابا وإيابا المطلوبة، وتحسن معالجة الأخطاء.

• SNMPv3: يوفر المشروع المقترح ل RFC 2570 الوصول الآمن إلى الأجهزة من خلال مزيج من المصادقة وتشفير الحزم عبر الشبكة. ميزات الأمان المتوفرة في SNMPv3 هي:

  • تكامل الرسالة: يضمن أنه لم يتم التلاعب بالحزمة أثناء النقل

  • المصادقة: يحدد أن الرسالة من مصدر صالح

  • التشفير: يتعطل محتويات الحزمة لمنع عرضها بسهولة من قبل مصدر غير مصرح به

يحدد هذا الجدول مجموعات نماذج الأمان:

ملاحظة: تذكر هذه المعلومات حول كائنات SNMPv3:

• ينتمي كل مستخدم إلى مجموعة.

• تقوم مجموعة بتعريف نهج الوصول لمجموعة من المستخدمين.

• يحدد نهج الوصول ما هي كائنات SNMP التي يمكن الوصول إليها للقراءة والكتابة والإنشاء.

• تحدد المجموعة قائمة الإعلامات التي يمكن لمستخدميها إستلامها.

• كما تحدد المجموعة نموذج الأمان ومستوى الأمان لمستخدميها.

توصية ملائمة SNMP

SNMP هو أساس جميع إدارة الشبكة ويتم تمكينه واستخدامه على جميع الشبكات. يجب تعيين وكيل SNMP على المحول لاستخدام إصدار SNMP الذي تدعمه محطة الإدارة. ونظرا لأن الوكيل يمكن أن يتصل بعدة مديرين، فمن الممكن تكوين البرنامج لدعم الاتصال بمحطة إدارة واحدة باستخدام بروتوكول SNMPv1 وأخرى باستخدام بروتوكول SNMPv2، على سبيل المثال.

تستخدم معظم محطات NMS SNMPv2C اليوم ضمن هذا التكوين:

set snmp community read-only string


!--- Allow viewing of variables only.


set snmp community read-write string


!--- Allow setting of variables.


set snmp community read-write-all string
      
      

!--- Include setting of SNMP strings. 

توصي Cisco بتمكين إختبارات SNMP لجميع الميزات المستخدمة (يمكن تعطيل الميزات غير المستخدمة إذا كان ذلك مطلوبا). بمجرد تمكين الملائمة، يمكن إختبارها باستخدام أمر إختبار SNMP وإعداد المعالجة المناسب على NMS للخطأ (مثل تنبيه جهاز النداء أو الإعداد المنبثق).

يتم تعطيل جميع الملائمات بشكل افتراضي ويلزم إضافتها إلى التكوين، إما بشكل فردي أو باستخدام المعلمة all، كما هو موضح:

set snmp trap enable all
set snmp trap server address read-only community string

تتضمن الملائمات المتوفرة في CatOS 5.5:

ملاحظة: يرسل مصيدة syslog جميع رسائل syslog التي تم إنشاؤها بواسطة المحول إلى NMS كمصيدة SNMP أيضا. إذا كان تنبيه syslog يتم إجراؤه بالفعل بواسطة محلل مثل Cisco Works 2000 RMEs، فلا يكون من الضروري تلقي هذه المعلومات مرتين.

على عكس برنامج Cisco IOS، يتم تعطيل إختبارات SNMP على مستوى المنفذ بشكل افتراضي لأن المحولات يمكن أن تحتوي على مئات من الواجهات النشطة. وبالتالي، توصي Cisco بأن يكون للمنافذ الأساسية، مثل روابط البنية الأساسية للموجهات والمحولات والخوادم الرئيسية، ملائمات SNMP على مستوى المنفذ التي تم تمكينها. لا يلزم توفر منافذ أخرى، مثل منافذ مضيف المستخدم، مما يساعد على تبسيط إدارة الشبكة.

set port trap port range enable

!--- Enable on key ports only.

توصية إستطلاع SNMP

يوصى بإجراء مراجعة لإدارة الشبكة لمناقشة الاحتياجات المحددة بالتفصيل. ومع ذلك، يتم سرد بعض فلسفات Cisco الأساسية لإدارة الشبكات الكبيرة:

• افعل شيئا بسيطا، وأفعله جيدا.

• تقليل حمل الموظفين الزائد بسبب الإفراط في إستطلاع البيانات وجمعها والأدوات والتحليل اليدوي.

• يمكن إدارة الشبكة باستخدام عدد قليل من الأدوات، مثل OpenView من HP كبرنامج NMS و Cisco RMEs كتكوين و syslog و inventory و software manager و Microsoft Excel كمحلل بيانات NMS و CGI كطريقة للنشر على الويب.

• فنشر التقارير على شبكة الإنترنت يسمح للمستخدمين، مثل كبار المديرين والمحللين، بمساعدة أنفسهم في الحصول على المعلومات من دون إثقال كاهل موظفي العمليات بالعديد من الطلبات الخاصة.

• تعرف على ما يعمل بشكل جيد على الشبكة واتركه وشأنه. ركز على ما لا يعمل.

يجب أن تكون المرحلة الأولى من تنفيذ نظام إدارة الشبكة (NMS) هي وضع خط أساس لأجهزة الشبكة. يمكن إستنتاج الكثير حول سلامة الجهاز والبروتوكول من وحدة المعالجة المركزية (CPU) البسيطة والذاكرة واستخدام المخزن المؤقت على الموجهات ووحدة المعالجة المركزية (CPU) لبروتوكول إدارة الشبكة (NMP) والذاكرة واستخدام اللوحة الخلفية على المحولات. فقط بعد الخط الأساسي للأجهزة يتم تنفيذ حمل حركة مرور البيانات من المستوى الثاني والمستوى الثالث، ذروة ومتوسط خطوط الأساس ذات المعنى الكامل. يتم إنشاء خطوط الأساس عادة على مدى عدة أشهر لإبراز الاتجاهات اليومية والأسبوعية والربع سنوية وفقا لدورة الأعمال الخاصة بالشركة.

تعاني العديد من الشبكات من مشاكل في أداء بطاقات NMS وسعتها نتيجة للاستطلاع الزائد. لذلك يوصى، بمجرد تحديد خط الأساس، بوضع حدود RMON للإنذار والحدث على الأجهزة نفسها لتنبيه NMS بالتغييرات غير العادية، وبالتالي إزالة الاستطلاعات. وهذا يمكن الشبكة من إبلاغ المشغلين عندما يكون شيء ما غير عادي بدلا من التحقق المستمر لمعرفة ما إذا كان كل شيء طبيعيا أم لا. يمكن تعيين الحدود استنادا إلى قواعد مختلفة، مثل القيمة القصوى بالإضافة إلى النسبة المئوية أو الانحراف المعياري عن الوسيط، وهي خارج نطاق هذا المستند.

تتمثل المرحلة الثانية من تنفيذ بروتوكول إدارة الشبكة (NMS) في إستطلاع مناطق معينة من الشبكة بمزيد من التفاصيل باستخدام بروتوكول SNMP. وهذا يشمل مناطق الشك، المناطق التي قبل التغيير، أو المناطق التي توصف بأنها تعمل بشكل جيد. أستخدم أنظمة NMS كمصباح بحث لمسح الشبكة بالتفصيل وإضاءة النقاط الساخنة (لا تحاول إضاءة الشبكة بالكامل).

تقترح المجموعة الاستشارية لإدارة الشبكة من Cisco قواعد معلومات الإدارة (MIB) الأساسية هذه للأخطاء التي يجب تحليلها أو مراقبتها في شبكات المجمعات. راجع إرشادات مراقبة شبكة Cisco وارتباط الأحداث للحصول على مزيد من المعلومات (حول قواعد معلومات الإدارة (MIB) للأداء لاستطلاع الرأي، على سبيل المثال).

راجع Cisco Network Management Toolkit - MIB للحصول على مزيد من المعلومات حول دعم Cisco MIB.

ملاحظة: تفترض بعض قواعد معلومات الإدارة (MIB) القياسية أن كيان SNMP معين يحتوي على مثيل واحد فقط من قاعدة معلومات الإدارة. وبالتالي، لا تحتوي قاعدة معلومات الإدارة القياسية على أي فهرس يسمح للمستخدمين بالوصول مباشرة إلى مثيل معين لقاعدة معلومات الإدارة. وفي هذه الحالات، يتم توفير فهرسة سلسلة المجتمع للوصول إلى كل مثيل من قاعدة معلومات الإدارة (MIB) القياسية. الإعراب هو [سلسلة المجتمع]@[رقم المثيل]، حيث يكون المثيل عادة رقم شبكة VLAN.

خيارات أخرى

تعني جوانب الأمان ل SNMPv3 أنه من المتوقع أن يتجاوز إستخدامه SNMPv2 في الوقت المناسب. توصي Cisco بأن يقوم العملاء بالتحضير لهذا البروتوكول الجديد كجزء من إستراتيجية NMS الخاصة بهم. تتمثل الفوائد في إمكانية تجميع البيانات بشكل آمن من أجهزة SNMP دون خوف من التلاعب أو الفساد. يمكن تشفير المعلومات السرية، مثل حزم أوامر مجموعة SNMP التي تغير تكوين محول، لمنع تعرض محتوياتها على الشبكة. بالإضافة إلى ذلك، يمكن أن يكون لمجموعات المستخدمين المختلفة امتيازات مختلفة.

ملاحظة: يختلف تكوين SNMPv3 بشكل ملحوظ عن سطر أوامر SNMPv2، ومن المتوقع زيادة حمل وحدة المعالجة المركزية على Supervisor Engine (محرك المشرف).

المراقبة عن بعد

يسمح RMON بمعالجة بيانات قاعدة معلومات الإدارة مسبقا بواسطة جهاز الشبكة نفسه، إستعدادا للاستخدامات الشائعة أو تطبيق تلك المعلومات من قبل مدير الشبكة، مثل تنفيذ تحديد خط الأساس القديم وتحليل الحد.

يتم تخزين نتائج معالجة RMON في قواعد معلومات الإدارة (MIB) الخاصة ب RMON لتجميعها لاحقا بواسطة نظام إدارة الشبكة (NMS)، كما هو محدد في RFC 1757 .

نظرة عامة على العمليات

تدعم محولات Catalyst تقنية RMON الصغيرة في الأجهزة على كل منفذ، والتي تتألف من أربع مجموعات RMON-1 أساسية: الإحصائيات (المجموعة 1)، والتاريخ (المجموعة 2)، والتنبيهات (المجموعة 3)، والأحداث (المجموعة 9).

الجزء الأقوى من RMON-1 هو آلية الحد الأدنى التي توفرها مجموعات الإنذار والحدث. وكما هو موضح، يسمح تكوين حدود RMON للمحول بإرسال فخ SNMP عند حدوث حالة شاذة. وبمجرد تحديد منافذ المفتاح، يمكن إستخدام SNMP من أجل عدادات الاستطلاع أو مجموعات محفوظات RMON وإنشاء خطوط أساس لتسجيل نشاط حركة المرور العادي لتلك المنافذ. بعد ذلك، يمكن تعيين حدي الارتفاع والهبوط في RMON وتهيئة التنبيهات عندما يكون هناك أختلاف محدد من الخط الأساسي.

يتم إجراء تكوين الحدود على أفضل نحو باستخدام حزمة إدارة RMON، نظرا لأن عملية الإنشاء الناجحة لصفوف المعلمات في جداول التنبيه والأحداث شاقة. تتضمن حزم RMON NMS التجارية، مثل مدير حركة مرور Cisco، وهو جزء من Cisco Works 2000، واجهة المستخدم الرسومية (GUIs) التي تجعل إعداد حدود RMON أكثر بساطة.

لأغراض الأساس، توفر مجموعة EtherStats نطاق مفيد من إحصائيات حركة مرور L2. يمكن إستخدام الكائنات الموجودة في هذا الجدول للحصول على إحصائيات حول حركة مرور البث الأحادي والبث المتعدد والبث بالإضافة إلى مجموعة متنوعة من أخطاء L2. كما يمكن تكوين وكيل RMON على المحول لتخزين هذه القيم التي تم نسخها في مجموعة المحفوظات. وتتيح هذه الآلية خفض عدد الاستقصاءات دون تخفيض معدل العينة. يمكن أن توفر تواريخ RMON خطوط أساس دقيقة دون تكبد نفقات كبيرة للاستطلاع. ومع ذلك، كلما زاد عدد السجلات التي تم تجميعها، زاد عدد موارد المحول التي يتم إستخدامها.

بينما توفر المحولات أربع مجموعات أساسية فقط من RMON-1، فمن المهم عدم نسيان باقي RMON-1 و RMON-2. يتم تحديد جميع المجموعات في RFC 2021، بما في ذلك UsrHistory (المجموعة 18) و ProbeConfig (المجموعة 19). يمكن إسترداد L3 والمعلومات الأعلى من المحولات مع الفسحة بين دعامتين ميناء أو VLAN ACL إعادة توجيه ميزات أن يتيح لك نسخ حركة المرور إلى SwitchProbe خارجي RMON أو وحدة تحليل شبكة داخلية (NAM).

تدعم NAMs جميع مجموعات RMON ويمكنها حتى فحص بيانات طبقة التطبيق، بما في ذلك بيانات NetFlow المصدرة من Catalyst عند تمكين MLS. يعني تشغيل MLS أن الموجه لا يحول جميع الحزم في تدفق، لذلك فقط NetFlow data-export ولا تمنح عدادات الواجهة محاسبة VLAN موثوقة.

أنت يستطيع استعملت فسحة بين دعامتين ميناء ومفتاح تحقيق أن على قبض ربط تيار لميناء خاص، شنطة، أو VLAN وتحميل الربط أن يفك مع RMON إدارة حزمة. الفسحة بين دعامتين ميناء يكون snmp-control من خلال الفسحة بين دعامتين مجموعة في ال cisco-stack-mib، لذلك هذا عملية سهلة أن أتمتة. يستخدم مدير حركة المرور هذه الميزات مع ميزة "الوكيل المتجول" الخاصة به.

هناك تحذير أن يجسر كامل VLAN. even if يستعمل أنت 1Gbps تحقيق، الربط تدفق كامل من واحد VLAN أو حتى واحد 1Gbps full-duplex ميناء يستطيع تجاوزت النطاق الترددي من الفسحة بين دعامتين ميناء. إن الفسحة بين دعامتين يكون ميناء يكون يركض باستمرار على نطاق ترددي كامل، الفرصة يكون معطيات خسرت. أحلت يشكل المادة حفازة يحول محلل أيسر (فسحة بين دعامتين) سمة ل كثير معلومة.

توصية

توصي Cisco بنشر حدود RMON والتنبيه من أجل المساعدة في إدارة الشبكة بطريقة أكثر ذكاء من اقتراع SNMP وحده. وهذا يقلل التكاليف الإضافية لحركة مرور بيانات إدارة الشبكة ويسمح للشبكة بالتنبيه بذكاء عند تغير شيء ما عن الخط الأساسي. يجب أن يتم توجيه مراقبة الشبكة عن بعد (RMON) بواسطة وكيل خارجي مثل مدير حركة المرور؛ لا يوجد دعم واجهة سطر الأوامر. أصدرت هذا أمر in order to مكنت RMON:

set snmp rmon enable
set snmp extendedrmon netflow enable mod


!--- For use with NAM module only.

من المهم تذكر أن الوظيفة الأساسية للمحول هي إعادة توجيه الإطارات، وليس للعمل كمسبار RMON كبير متعدد المنافذ. لذلك، وأنت تقوم بإعداد التواريخ والحدود على منافذ متعددة لظروف متعددة، تذكر أنه يتم إستهلاك الموارد. ضع في الاعتبار وحدة NAM إذا كنت تقوم بتوسيع RMON. تذكر أيضا القاعدة الحرجة للمنافذ: الاستقصاء فقط وتعيين الحدود على المنافذ المحددة على أنها مهمة في مرحلة التخطيط.

متطلبات الذاكرة

يظل إستخدام ذاكرة RMON ثابتا عبر جميع منصات المحولات المتعلقة بالإحصاءات والسجلات والتنبيهات والأحداث. يستخدم RMON دلوا لتخزين السجلات والإحصائيات على وكيل RMON (المحول، في هذه الحالة). يتم تحديد حجم الدلو على تحقيق RMON (Switch Probe) أو تطبيق RMON (مدير حركة المرور)، ثم يتم إرساله إلى المحول من أجل تعيينه. عادة، تكون قيود الذاكرة مجرد إعتبار على محركات المشرف القديمة التي تحتوي على أقل من 32 ميجابايت من DRAM. ارجع إلى الإرشادات التالية:

• تتم إضافة ما يقرب من 450 ألف مساحة رمز إلى صورة بروتوكول إدارة الشبكة (NMP) لدعم بروتوكول Mini-RMON (الذي يمثل أربع مجموعات من مراقبة الشبكة عن بعد (RMON): الإحصائيات والتاريخ والتنبيهات والأحداث). تختلف متطلبات الذاكرة الديناميكية ل RMON لأنها تعتمد على تكوين وقت التشغيل. يتم شرح معلومات إستخدام ذاكرة RMON الخاصة بوقت التشغيل لكل مجموعة RMON صغيرة هنا:

  • مجموعة إحصائيات الإيثرنت — تأخذ 800 بايت لكل واجهة إيثرنت/FE محولة.

  • مجموعة المحفوظات—لواجهة الإيثرنت، يتطلب كل إدخال تحكم في المحفوظات تم تكوينه يحتوي على 50 محلا مساحة ذاكرة تبلغ 3.6 كيلوبايت تقريبا و 56 بايت تقريبا لكل مستودع إضافي.

  • مجموعات الإنذار والأحداث - تتطلب 2.6 كيلوبايت لكل إنذارات تم تكوينها وإدخالات الحدث المقابلة لها.

• لحفظ التكوين المرتبط ب RMON، يلزم نحو 20 ألف NVRAM من المساحة إذا كان إجمالي حجم ذاكرة NVRAM للنظام هو 256 ألف أو أكثر و 10 آلاف NVRAM من المساحة إذا كان الحجم الإجمالي لذاكرة NVRAM 128 ألف لفة في الدقيقة.

بروتوكول وقت الشبكة

تعمل بروتوكول وقت الشبكة (NTP)، المعيار RFC 1305 ، على مزامنة عملية حفظ الوقت بين مجموعة من خوادم الوقت الموزعة والعملاء، كما تسمح بربط الأحداث عند إنشاء سجلات النظام أو حدوث أحداث أخرى خاصة بالوقت.

يوفر NTP دقة وقت العميل، بشكل خاص ضمن مللي ثانية على شبكات LAN وما يصل إلى بضع عشرات من المللي ثانية على شبكات WAN، مقارنة بخادم أساسي متزامن مع التوقيت العالمي المنسق (UTC). تستخدم عمليات التهيئة النموذجية لبروتوكول وقت الشبكة (NTP) خوادم إحتياطية متعددة ومسارات شبكة متنوعة للحصول على دقة وموثوقية عاليتين. تتضمن بعض التكوينات المصادقة المشفرة لمنع هجمات البروتوكولات العرضية أو الضارة.

نظرة عامة على العمليات

تم توثيق بروتوكول وقت الشبكة (NTP) لأول مرة في RFC 958 ، ولكنه تطور من خلال RFC 1119 (الإصدار 2 من بروتوكول وقت الشبكة (NTP) وهو الآن في إصداره الثالث كما هو محدد في RFC 1305 . هو يركض فوق ال UDP ميناء 123. جميع إتصالات NTP تستخدم التوقيت العالمي المنسق، وهو نفس الوقت مثل توقيت جرينتش المركزي.

الوصول إلى خوادم الوقت العام

تتضمن الشبكة الفرعية ل NTP حاليا أكثر من 50 خادوما أساسيا عاما متزامنا مباشرة مع UTC عن طريق الراديو أو القمر الصناعي أو المودم. عادة، لا تقوم محطات العمل والخوادم العميلة التي تحتوي على عدد صغير نسبيا من العملاء بالمزامنة مع الخوادم الأساسية. يوجد حوالي 100 خادم ثانوي عام متزامنة مع الخوادم الأساسية التي توفر المزامنة لأكثر من 100000 عميل وخوادم على الإنترنت. ويتم الاحتفاظ بالقوائم الحالية في صفحة "قائمة خوادم NTP العامة"، التي يتم تحديثها بشكل منتظم. هناك العديد من الخادمات الخاصة الأساسية والثانوية التي لا تتوفر عادة للجمهور أيضا. للحصول على قائمة بخوادم NTP العامة ومعلومات حول كيفية إستخدامها، راجع موقع خادم مزامنة وقت جامعة Dell على الويب.

ونظرا لعدم وجود ضمان بأن تكون خوادم الإنترنت العامة NTP هذه متاحة أو أنها توفر الوقت الصحيح، ينصح بشدة بالنظر في خيارات أخرى. ويمكن أن يشمل ذلك إستخدام أجهزة مختلفة مستقلة من الخدمة العالمية لتحديد المواقع (GPS) متصلة مباشرة بعدد من الموجهات.

خيار آخر ممكن هو إستخدام موجهات متنوعة تم تكوينها كأساسيات Stratum 1، بالرغم من أنه لا يوصى بذلك.

طبقة

يعتمد كل خادم من خوادم NTP إستراتيجية تشير إلى مدى بعد الخادم عن مصدر خارجي للوقت. تتمتع خوادم Stratum 1 بالوصول إلى نوع ما من مصدر الوقت الخارجي، مثل ساعة الراديو. تحصل خوادم Stratum 2 على تفاصيل الوقت من مجموعة مختارة من خوادم Stratum 1، بينما تحصل خوادم Stratum 3 على تفاصيل الوقت من خوادم Stratum 2 وهكذا.

علاقة نظير الخادم

• الخادم هو الخادم الذي يستجيب لطلبات العميل، ولكنه لا يحاول دمج أي معلومات تاريخ من مصدر وقت العميل.

• النظير هو النظير الذي يستجيب لطلبات العملاء، ولكنه يحاول إستخدام طلبات العميل كمرشح محتمل للحصول على مصدر وقت أفضل وللمساعدة على تثبيت تردد ساعة المعالج.

• لكي يكون كلا جانبي الاتصال نظيرا حقيقيا، يجب إدخال علاقة نظير بدلا من وجود نظير لمستخدم واحد والمستخدم الآخر خادم. ويوصى أيضا بأن يتبادل النظراء المفاتيح بحيث لا يتكلم إلا المضيفون الموثوق بهم مع بعضهم البعض كنظراء.

• في طلب العميل إلى خادم، يجيب الخادم على العميل وينسى أن العميل قد سأل سؤالا في أي وقت؛ وفي طلب العميل إلى نظير، يجيب الخادم على العميل ويحتفظ بمعلومات الحالة حول العميل لتعقب مدى عمله في الوقت المحدد وخادم الطبقة الأساسية الذي يقوم بتشغيله.

  ملاحظة: يمكن أن يعمل CatOS فقط كعميل NTP.

لا توجد مشكلة لخادم NTP في معالجة عدة آلاف من العملاء. ومع ذلك، فإن التعامل مع المئات من الأجهزة النظيرة له تأثير على الذاكرة، كما أن صيانة الدولة تستهلك المزيد من موارد وحدة المعالجة المركزية (CPU) في العبوة بالإضافة إلى النطاق الترددي.

إستبيان

يسمح بروتوكول NTP للعميل باستعلام خادم في أي وقت يريد. في الواقع، عند تكوين بروتوكول وقت الشبكة (NTP) لأول مرة في جهاز Cisco، فإنه يرسل ثمانية استعلامات في تسلسل سريع في فواصل زمنية NTP_MINPOLL (24 = 16 ثانية). مدة NTP_MAXPOLL هي 214 ثانية (وهي 16384 ثانية أو 4 ساعات و 33 دقيقة و 4 ثواني)، الحد الأقصى للوقت المستغرق قبل عمليات إستطلاع NTP مرة أخرى للحصول على إستجابة. في الوقت الحالي، لا تمتلك Cisco طريقة لفرض تعيين وقت الاستقصاء يدويا بواسطة المستخدم.

يبدأ عداد إستطلاع NTP في ²⁶ (64) ثانية وترتفع باستخدام قوى من إثنين (عند تزامن الخادمين مع بعضهما)، إلى 2¹⁰. وهذا يعني، يمكنك توقع إرسال رسائل المزامنة في فترة زمنية تبلغ 64 أو 128 أو 256 أو 512 أو 1024 ثانية لكل خادم أو نظير تم تكوينه. يختلف الوقت بين 64 ثانية و 1024 ثانية كقوة من ثانيتين بناء على المرحلة-lock-loop أن يرسل ويستلم ربط. وإذا كان هناك الكثير من الارتباك في ذلك الوقت، فإنها تستطلع الرأي في كثير من الأحيان. إذا كانت الساعة المرجعية دقيقة واتصال الشبكة متناسق، سترى التقارب بين أوقات الاستقصاء في 1024 ثانية بين كل إستقصاء.

في العالم الحقيقي، يعني ذلك تغيير الفاصل الزمني لاستطلاع NTP مع تغير الاتصال بين العميل والخادم. وكلما كان الاتصال أفضل، كلما طالت فترة الاستقصاء، مما يعني أن عميل NTP قد تلقى ثمانية استجابات لطلباته الثمانية الأخيرة (ثم تضاعف فترة الاستقصاء). تتسبب إستجابة واحدة فائتة في تقليل الفاصل الزمني للاستطلاع إلى النصف. تبدأ فترة الاستقصاء في 64 ثانية وتنتهي إلى 1024 ثانية كحد أقصى. باحسن الاحوال يستغرق الفاصل الزمني للاستطلاع أكثر من ساعتين بقليل ليتحول من 64 ثانية إلى 1024 ثانية.

إذاعات

لا يتم إعادة توجيه عمليات بث NTP أبدا. يتسبب أمر بث NTP في قيام الموجه بإنشاء عمليات بث NTP على الواجهة التي تم تكوينها عليها. يتسبب الأمر ntp broadcastClient في قيام الموجه أو المحول بالاستماع إلى عمليات بث NTP على الواجهة التي تم تكوينها عليها.

مستويات حركة مرور NTP

النطاق الترددي المستخدم من قبل NTP هو الحد الأدنى، نظرا لأن الفاصل الزمني بين رسائل الاقتراع المتبادلة بين النظراء عادة ما يرجع إلى ما لا يزيد عن رسالة واحدة كل 17 دقيقة (1024 ثانية). ومع التخطيط الدقيق، يمكن الحفاظ على ذلك داخل شبكات الموجهات عبر إرتباطات شبكة WAN. يجب أن تكون عملاء NTP نظيرة إلى خوادم NTP المحلية، وليس طوال الطريق عبر شبكة الاتصال واسعة النطاق إلى الموجهات الأساسية للموقع المركزي التي ستكون خوادم الطبقة 2.

يستخدم عميل NTP المجمع ما يقرب من 0.6 بت/ثانية لكل خادم.

توصية

العديد من العملاء لديهم بروتوكول وقت الشبكة (NTP) الذي تم تكوينه في وضع العميل اليوم على الأنظمة الأساسية CatOS الخاصة بهم، وتمت مزامنته من عدة موجز ويب موثوق به من الإنترنت أو ساعة راديو. ومع ذلك، هناك بديل أبسط لوضع الخادم عند تشغيل عدد كبير من المحولات وهو تمكين NTP في وضع عميل البث على شبكة VLAN الإدارية في مجال محول. يسمح هذا آلية مجال كامل من مادة حفازة أن يستلم ساعة من واحد بث رسالة. ومع ذلك، فإن دقة حفظ الوقت تنخفض بشكل هامشي لأن تدفق المعلومات يكون في إتجاه واحد.

إستخدام عناوين الاسترجاع كمصدر للتحديثات يمكن أن يساعد أيضا في التناسق. يمكن معالجة المخاوف الأمنية بطريقتين:

• تصفية تحديثات الخادم

• المصادقة

وتربط الوقت بين الأحداث أمر قيم للغاية في حالتين: أستكشاف الأخطاء وإصلاحها ومراجعة الحسابات الأمنية. يجب توخي الحذر لحماية مصادر الوقت والبيانات، كما يتم التوصية بالتشفير حتى لا يتم محو الأحداث الرئيسية سواء بشكل مقصود أو غير مقصود.

توصي Cisco بهذه التكوينات:

set ntp broadcastclient enable
set ntp authentication enable
set ntp key key    

!--- This is a Message Digest 5 (MD5) hash.

set ntp timezone 
         
         
           set ntp summertime 
           
         

!--- This more traditional configuration creates !--- more configuration work and NTP peerings.

set ntp client enable
set ntp server IP address of time server
set timezone zone name
set summertime date change details

!--- This is a sample router configuration to distribute !--- NTP broadcast information to the Catalyst broadcast clients.

ntp source loopback0
ntp server IP address of time server
ntp update-calendar
clock timezone zone name
clock summer-time date change details ntp authentication key key
ntp access-group access-list


!--- To filter updates to allow only trusted sources of NTP information.

Interface to campus/management VLAN containing switch sc0
        ntp broadcast

بروتوكول أستكشاف Cisco

يتبادل CDP المعلومات بين الأجهزة المجاورة عبر طبقة إرتباط البيانات وهو مفيد للغاية في تحديد مخطط الشبكة والتكوين المادي خارج الطبقة المنطقية أو IP. تتمثل الأجهزة المدعومة في الغالب في المحولات والموجهات وهواتف بروتوكول الإنترنت (IP). يسلط هذا القسم الضوء على بعض تحسينات الإصدار 2 من بروتوكول CDP عبر الإصدار 1.

نظرة عامة على العمليات

يستخدم CDP تضمين SNAP مع رمز النوع 2000. على الإيثرنت، ATM، و FDDI، يتم إستخدام عنوان البث المتعدد للوجهة 01-00-0c-cc-cc، نوع بروتوكول HDLC 0x2000. في حلقات الرمز المميز، يتم إستخدام العنوان الوظيفي c000.0800.0000. يتم إرسال إطارات CDP بشكل دوري كل دقيقة بشكل افتراضي.

تحتوي رسائل CDP على رسالة فرعية واحدة أو أكثر تتيح للأجهزة الوجهة جمع وتخزين معلومات حول كل جهاز مجاور.

يدعم الإصدار 1 من CDP المعلمات التالية:

في الإصدار 2 من CDP، تم إدخال حقول بروتوكول إضافية. يدعم CDP الإصدار 2 أي حقل، لكن تلك المدرجة يمكن أن تكون مفيدة بشكل خاص في البيئات المحولة ويتم إستخدامها في CatOS.

ملاحظة: عندما يقوم محول بتشغيل CDPv1، فإنه يسقط إطارات V2. عندما يستقبل محول يشغل CDPv2 إطار CDPv1 على واجهة، فإنه يبدأ في إرسال إطارات CDPv1 من تلك الواجهة بالإضافة إلى إطارات CDPv2.

توصية

يتم تمكين بروتوكول CDP بشكل افتراضي وهو أساسي للحصول على إمكانية رؤية الأجهزة المجاورة واستكشاف الأخطاء وإصلاحها. كما تستخدم من قبل تطبيقات إدارة الشبكة لإنشاء خرائط طبولوجيا L2. أصدرت هذا أمر in order to setup CDP:

set cdp enable

!--- This is the default.

set cdp version v2

!--- This is the default.

في أجزاء الشبكة التي يتطلب فيها مستوى عالي من الأمان (مثل المنطقة المنزوعة السلاح التي تواجه الإنترنت)، يجب إيقاف تشغيل بروتوكول CDP على هذا النحو:

set cdp disable port range

يعرض الأمر show cdp neighbors جدول CDP المحلي. تشير الإدخالات التي تم وضع علامة نجمية عليها (*) إلى عدم تطابق في شبكة VLAN، بينما تشير الإدخالات التي تم وضع علامة # إلى عدم تطابق مزدوج. يمكن أن يكون ذلك مساعدة قيمة لاستكشاف الأخطاء وإصلاحها.

>show cdp neighbors

* - indicates vlan mismatch.
# - indicates duplex mismatch.
Port  Device-ID          Port-ID Platform
----- ------------------ ------- ------------
 3/1  TBA04060103(swi-2) 3/1     WS-C6506
 3/8  TBA03300081(swi-3) 1/1     WS-C6506
15/1  rtr-1-msfc         VLAN 1  cisco    Cat6k-MSFC
16/1  MSFC1b             Vlan2   cisco    Cat6k-MSFC

خيارات أخرى

يتلقى بعض مفتاح، مثل المادة حفازة 6500/6000، القدرة أن يزود الطاقة عن طريق كبلات UTP إلى هواتف IP. تساعد المعلومات الواردة عن طريق بروتوكول CDP إدارة الطاقة على المحول.

بما أن هواتف IP يمكن أن يكون لها جهاز كمبيوتر متصل بها، وكلا الجهازين يتصل بنفس المنفذ على المادة حفازة، فإن المحول لديه القدرة على وضع هاتف VoIP في شبكة VLAN منفصلة، المساعدة. وهذا يسمح للمحول بتطبيق جودة خدمة (QoS) مختلفة بسهولة لحركة مرور VoIP.

بالإضافة إلى ذلك، إذا تم تعديل شبكة VLAN المساعدة (على سبيل المثال، لإجبار الهاتف على إستخدام شبكة VLAN معينة أو طريقة وضع علامة محددة)، يتم إرسال هذه المعلومات إلى الهاتف عن طريق بروتوكول CDP.

ملاحظة: لا تدعم محولات Catalyst 2900 و 3500XL حاليا CDPv2.

تكوين الأمان

من الناحية المثالية، قام العميل بالفعل بإنشاء سياسة أمان للمساعدة في تحديد الأدوات والتقنيات المؤهلة من Cisco.

ملاحظة: يتم التعامل مع أمان برنامج Cisco IOS Software، في مقابل CatOS، في العديد من المستندات، مثل Cisco ISP Essentials.

ميزات الأمان الأساسية

كلمات المرور

قم بتكوين كلمة مرور على مستوى المستخدم (تسجيل الدخول). تكون كلمات المرور حساسة لحالة الأحرف في CatOS 5.x والإصدارات الأحدث، ويمكن أن يكون طولها من 0 إلى 30 حرفا، بما في ذلك المسافات. ثبتت ال enable كلمة:

set password password
set enablepass password

يجب أن تفي جميع كلمات المرور بمعايير الحد الأدنى للطول (على سبيل المثال، الحد الأدنى من ستة أحرف ومزيج من الأحرف والأرقام والحروف الكبيرة والصغيرة) لتسجيل الدخول وتمكين كلمات المرور عند إستخدامها. يتم تشفير كلمات المرور هذه باستخدام خوارزمية تجزئة MD5.

للسماح بالمزيد من المرونة في إدارة أمان كلمة المرور والوصول إلى الجهاز، توصي Cisco باستخدام خادم TACACS+. راجع قسم TACACS+ في هذا المستند للحصول على مزيد من المعلومات.

القشرة الآمنة

أستخدم تشفير SSH لتوفير الأمان لجلسات عمل Telnet والاتصالات عن بعد الأخرى بالمحول. يتم دعم تشفير SSH لعمليات تسجيل الدخول عن بعد إلى المحول فقط. لا يمكنك تشفير جلسات عمل برنامج Telnet التي يتم بدؤها من المحول. يدعم SSH الإصدار 1 في CatOS 6.1، وأضيف دعم الإصدار 2 في CatOS 8.3. يدعم SSH الإصدار 1 طرق تشفير معيار تشفير البيانات (DES) و 3DES (3-DES)، بينما يدعم الإصدار 2 من SSH طرق التشفير المتوافقة مع معيار التشفير المتقدم (DES) والإصدار 3-DES. يمكنك إستخدام تشفير SSH مع مصادقة RADIUS و TACACS+. يتم دعم هذه الميزة مع صور SSH (k9). راجع كيفية تكوين SSH على محولات Catalyst التي تشغل CatOS للحصول على تفاصيل.

set crypto key rsa 1024

من أجل تعطيل إتصالات الإصدار 1 الاحتياطية وقبول الإصدار 2، قم بإصدار هذا الأمر:

set ssh mode v2

عوامل تصفية تصريح IP

هذه عوامل تصفية لحماية الوصول إلى واجهة Management sc0 من خلال برنامج Telnet والبروتوكولات الأخرى. وهذا مهم بشكل خاص عندما تحتوي شبكة VLAN المستخدمة للإدارة أيضا على مستخدمين. أصدرت هذا أمر in order to مكنت عنوان ومنفذ ييصفي:

set ip permit enable
set ip permit IP address mask Telnet|ssh|snmp|all

ومع ذلك، إذا تم تقييد وصول Telnet باستخدام هذا الأمر، يمكن الوصول إلى أجهزة CatOS فقط من خلال بعض المحطات الطرفية الموثوق بها. يمكن أن يكون هذا الإعداد عقبة في أستكشاف الأخطاء وإصلاحها. تذكر أنه من الممكن انتحال عناوين IP وتجاهل الوصول الذي تمت تصفيته، لذلك فهذه هي الطبقة الأولى فقط من الحماية.

أمان المنفذ

فكر في إستخدام أمان المنفذ للسماح لواحد فقط أو عدة عناوين MAC معروفة بتمرير البيانات على منفذ معين (من أجل منع محطات النهاية الثابتة من التبديل إلى محطات جديدة دون تغيير التحكم، على سبيل المثال). هذا ممكن باستخدام عناوين MAC الثابتة.

set port security mod/port enable MAC address

ويمكن أيضا تعلم عناوين MAC المقيدة بشكل ديناميكي.

set port security port range enable 

يمكن تكوين هذه الخيارات:

• set port security mod/port age time value — يحدد المدة التي يتم فيها تأمين العناوين على المنفذ قبل التعرف على عنوان جديد. الوقت الصالح بالدقائق هو 10 - 1440. الافتراضي ليس شيخوخة.

• ثبتت أيسر securitymod/ميناء الأقصى قيمة — الكلمة المفتاح أن يعين العدد الأقصى من ماك عنوان أن يؤمن على الميناء. القيم الصالحة هي 1 (الافتراضي) - 1025.

• set أيسر أمن mod/ميناء انتهاك إيقاف عمل — يعطل ميناء (تقصير) إن يقع انتهاك فضلا عن يرسل syslog رسالة (تقصير) ويرفض الحركة مرور.

• set أيسر أمن mod/ميناء إيقاف عمل قيمة وقت — المدة ل أي ميناء يبقى معأق. القيم الصالحة هي من 10 إلى 1440 دقيقة. الإعداد الافتراضي هو إيقاف التشغيل بشكل دائم

مع CatOS 6.x والإصدارات الأحدث، قدمت Cisco مصادقة 802.1x التي تسمح للعملاء بالمصادقة على خادم مركزي قبل أن يمكن تمكين المنافذ للبيانات. لا تزال هذه الميزة في المراحل الأولى من الدعم على الأنظمة الأساسية مثل Windows XP، ولكن يمكن اعتبارها إتجاها إستراتيجيا من قبل العديد من المؤسسات. راجع تكوين أمان المنفذ للحصول على معلومات حول كيفية تكوين أمان المنفذ على المحولات التي تعمل ببرنامج Cisco IOS Software.

شعارات تسجيل الدخول

قم بإنشاء لافتات أجهزة مناسبة للإشارة تحديدا إلى الإجراءات المتخذة للوصول غير المصرح به. عدم الإعلان عن اسم الموقع أو بيانات الشبكة التي يمكن أن توفر معلومات للمستخدمين غير المصرح لهم. وتوفر هذه اللافتات سبل الانتصاف في حالة تعرض جهاز ما للخطر وقبض على مرتكب الجريمة:.

# set banner motd ^C
*** Unauthorized Access Prohibited ***
***  All transactions are logged   ***
------------- Notice Board -------------
----Contact Joe Cisco at 1 800 go cisco for access problems----
^C

الأمان المادي

يجب ألا تكون الأجهزة قابلة للوصول إليها فيزيائيا من دون الحصول على ترخيص مناسب، لذا يجب أن تكون المعدات في مساحة خاضعة للتحكم (مغلقة). ومن أجل ضمان إستمرار تشغيل الشبكة وعدم تأثرها بالعبث الضار بالعوامل البيئية، يجب أن يكون لجميع المعدات عدم انتظام ذاتي (مصادر إحتياطية حيثما أمكن) ومراقبة درجة الحرارة (تكييف الهواء). تذكر أنه إذا قام شخص ما باختراق الوصول المادي بنية خبيثة، فإن العرقلة من خلال إسترداد كلمة المرور أو غيرها من الطرق تكون أكثر إحتمالا.

نظام مراقبة الدخول إلى وحدة تحكم الوصول إلى المحطة الطرفية

بشكل افتراضي، تكون كلمات مرور الوضع غير ذي الامتيازات والامتيازات عامة ويتم تطبيقها على كل مستخدم يصل إلى المحول أو الموجه، إما من منفذ وحدة التحكم أو من خلال جلسة عمل Telnet عبر الشبكة. كما أن تنفيذها على أجهزة الشبكة يستغرق وقتا طويلا وغير مركزي. كما أنه من الصعب تنفيذ قيود الوصول باستخدام قوائم الوصول التي يمكن أن تكون عرضة لأخطاء التكوين.

تتوفر ثلاثة أنظمة أمان للمساعدة في التحكم بوصول الشرطة إلى أجهزة الشبكة. وتستخدم هذه الوحدات بنى العميل/الخادم لوضع جميع معلومات الأمان في قاعدة بيانات مركزية واحدة. أنظمة الأمان هذه هي:

• TACACS+

• RADIUS

• Kerberos

TACACS+ هو نشر شائع في شبكات Cisco وهو بؤرة هذا الفصل. إنه يوفر الميزات التالية:

• المصادقة - عملية التعريف والتحقق الخاصة بالمستخدم. يمكن إستخدام العديد من الطرق لمصادقة مستخدم ما، ولكن الأكثر شيوعا تتضمن مجموعة من اسم المستخدم وكلمة المرور.

• التفويض- من أوامر مختلفة يمكن منحها بمجرد مصادقة المستخدم.

• المحاسبة - تسجيل ما يقوم به المستخدم أو ما قام به على الجهاز.

راجع تكوين TACACS+ و RADIUS و Kerberos على محولات Cisco Catalyst للحصول على مزيد من التفاصيل.

نظرة عامة على العمليات

يعمل بروتوكول TACACS+ على إعادة توجيه أسماء المستخدمين وكلمات المرور إلى الخادم المركزي، المشفرة عبر الشبكة باستخدام تجزئة MD5 أحادية الإتجاه (RFC 1321 ). إنه يستخدم منفذ TCP رقم 49 كبروتوكول النقل الخاص به، وهذا يوفر هذه المزايا عبر UDP (المستخدم بواسطة RADIUS):

• النقل الموجه للاتصال

• إقرار منفصل باستلام طلب (TCP ACK)، بغض النظر عن كيفية تحميل آلية مصادقة النهاية الخلفية حاليا

• الإشارة الفورية إلى تعطل الخادم (حزم RST)

أثناء جلسة العمل، إذا كانت هناك حاجة إلى فحص تفويض إضافي، يتحقق المحول من خلال TACACS+ لتحديد ما إذا كان المستخدم قد تم منحه الإذن باستخدام أمر معين. وهذا يوفر تحكم أكبر على الأوامر التي يمكن تنفيذها على المحول أثناء فك الارتباط من آلية المصادقة. باستخدام محاسبة الأوامر، من الممكن تدقيق الأوامر التي قام مستخدم معين بإصدارها أثناء إرفاقها بجهاز شبكة معين.

عندما يحاول المستخدم تسجيل دخول ASCII بسيط من خلال المصادقة إلى جهاز شبكة باستخدام TACACS+، تحدث هذه العملية عادة:

• عند تأسيس الاتصال، يتصل المحول بالجهاز المساعد TACACS+ للحصول على مطالبة اسم المستخدم، والتي يتم عرضها بعد ذلك على المستخدم. يدخل المستخدم اسم مستخدم، ويتصل المحول بالجهاز المساعد TACACS+ للحصول على مطالبة كلمة مرور. يعرض المفتاح الكلمة رسالة حث إلى المستعمل، الذي بعد ذلك يدخل كلمة أن يكون أيضا أرسلت إلى ال TACACS+ مساعد.

• يستقبل جهاز الشبكة أخيرا أحد هذه الاستجابات من برنامج TACACS+ الخدمي:

  • ACCEPT—تتم مصادقة المستخدم ويمكن بدء الخدمة. في حالة تكوين جهاز الشبكة بحيث يتطلب تخويل، يبدأ التخويل في هذا الوقت.

  • REJECT—فشل المستخدم في المصادقة. يمكن منع المستخدم من الوصول مرة أخرى أو تتم مطالبته بإعادة محاولة تسلسل تسجيل الدخول وفقا للخوارزمية TACACS+.

  • خطأ—حدث خطأ في وقت ما أثناء المصادقة. هذا يستطيع كنت إما في المادة حفازة أو في الشبكة توصيل بين الأداة المساعدة والمحول. في حالة تلقي إستجابة خطأ، يحاول جهاز الشبكة عادة إستخدام طريقة بديلة لمصادقة المستخدم.

  • المتابعة—تتم مطالبة المستخدم بمعلومات مصادقة إضافية.

• يجب على المستخدمين إكمال مصادقة TACACS+ بنجاح أولا قبل المتابعة إلى تفويض TACACS+.

• إذا كان تفويض TACACS+ مطلوبا، فسيتم الاتصال بالجهاز المساعد TACACS+ مرة أخرى وإرجاع إستجابة تفويض قبول أو رفض. إذا تم إرجاع إستجابة ACCEPT، تحتوي الاستجابة على بيانات في شكل سمات يتم إستخدامها لتوجيه EXEC أو جلسة عمل الشبكة لذلك المستخدم، كما تحدد الأوامر التي يمكن للمستخدم الوصول إليها.

توصية

توصي Cisco باستخدام TACACS+، حيث يمكن تنفيذه بسهولة باستخدام CiscoSecure ACS ل NT أو Unix أو برامج الطرف الثالث الأخرى. وتتضمن ميزات TACACS+ المحاسبة التفصيلية لتوفير إحصائيات حول إستخدام الأوامر واستخدام النظام وخوارزمية تشفير MD5 والتحكم الإداري في عمليات المصادقة والتفويض.

في هذا المثال، تستخدم أوضاع تسجيل الدخول والتمكين خادم TACACS+ للمصادقة ويمكن أن ترجع إلى المصادقة المحلية إذا كان الخادم غير متاح. هذا باب خلفي مهم لتركه في معظم الشبكات. أصدرت هذا أمر in order to setup TACACS+:

set tacacs server server IP primary
set tacacs server server IP


!--- Redundant servers are possible.

set tacacs attempts 3

!--- This is the default.

set tacacs key key


!--- MD5 encryption key.

set tacacs timeout 15

!--- Longer server timeout (5 is default).

set authentication login tacacs enable
set authentication enable tacacs enable
set authentication login local enable
set authentication enable local enable

!--- The last two commands are the default; they allow fallback !--- to local if no TACACS+ server available.

خيارات أخرى

من الممكن إستخدام تفويض TACACS+ للتحكم في الأوامر التي يمكن لكل مستخدم أو مجموعة مستخدمين تنفيذها على المحول، ولكن من الصعب تقديم توصية لأن جميع العملاء لديهم متطلبات فردية في هذه المنطقة. راجع التحكم في الوصول إلى المحول باستخدام المصادقة والتفويض والحساب للحصول على مزيد من المعلومات.

وأخيرا، توفر أوامر المحاسبة وسيلة للتدقيق لما يكتبه كل مستخدم وما تم تكوينه. هذا مثال يستخدم الممارسة الشائعة لتلقي معلومات التدقيق في نهاية الأمر:

set accounting connect enable start-stop tacacs+
set accounting exec enable start-stop tacacs+
set accounting system enable start-stop tacacs+
set accounting commands enable all start-stop tacacs+
set accounting update periodic 1

يتضمن هذا التكوين الميزات التالية:

• يتيح الأمر connect حساب أحداث الاتصال الصادرة على المحول مثل Telnet.

• يمكن أمر exec حساب جلسات تسجيل الدخول على المحول مثل موظفي العمليات.

• يتيح الأمر system حساب أحداث النظام على المحول مثل reload أو reset.

• الأمر يمكن محاسبة ما تم إدخاله على المحول، لكل من أوامر show وconfiguration.

• تكون التحديثات الدورية التي يتم إجراؤها كل دقيقة على الخادم مفيدة لتسجيل ما إذا كان المستخدمون لا يزالون يقومون بتسجيل الدخول.

قائمة إختيار التكوين

يقدم هذا القسم ملخصا للتكوينات الموصى بها، باستثناء تفاصيل الأمان.

من المفيد للغاية تسمية جميع المنافذ. أصدرت هذا أمر in order to عينت الميناء:

set port description descriptive name

أستخدم هذا المفتاح بالاقتران مع جداول الأوامر المدرجة:

أوامر التكوين العام

أوامر تكوين منافذ المضيف

أوامر تكوين الخادم

أوامر تكوين المنافذ غير المستخدمة

منافذ البنية الأساسية (المحول والمحول والموجه)

معلومات ذات صلة

• رسائل أخطاء CatOS الشائعة على مبدّلات Catalyst 4500/4000 Series Switches
• رسائل أخطاء CatOS الشائعة على مبدّلات Catalyst 5000/5500 Series Switches
• رسائل أخطاء CatOS الشائعة على مبدّلات Catalyst 6500/6000 Series Switches
• دعم منتجات المحولات
• دعم تقنية تحويل شبكات LAN
• الدعم التقني والمستندات - Cisco Systems