Suporte a protocolos antigos com Catalyst 4000 Supervisor III/IV

Introduction

Este documento descreve como os protocolos legados, como IPX, AppleTalk e Data-Link Switching (DLSw), têm melhor suporte em um Catalyst 4000/4500 Switch equipado com o mais novo Supervisor III/IV. Este Supervisor foi projetado para pacotes IP Versão 4 (IPv4) do switch de hardware.

Prerequisites

Requirements

Os leitores deste documento devem saber como configurar IPX, AppleTalk e DLSw. Para obter informações sobre esses protocolos, consulte estas páginas de suporte:

• Página da Suporte da Tecnologia IPX

• Página de suporte da tecnologia AppleTalk

• Página de suporte à tecnologia DLSw

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Catalyst 4507R com Supervisor IV

• Software Cisco IOS® versão 12.1(13)EW

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Routing IPX

O roteamento IPX é suportado no Cisco IOS Software Release 12.1(12c)EW e posterior. Na versão inicial, o desempenho está na faixa de 20 a 30 kpps; a partir do Cisco IOS Software Release 12.1(13)EW, ele foi aumentado para 80 a 90 kpps. Recomenda-se que você use o Cisco IOS Software Release 12.1(19)EW ou posterior devido à disponibilidade de uma correção de software para o bug da Cisco ID CSCea85204 (somente clientes registrados) . Essa taxa de encaminhamento é compartilhada por todos os fluxos que seguem pelo switch. Esse encaminhamento aumenta a carga da CPU devido ao processamento do software. Como tal, a taxa de encaminhamento alcançada depende da CPU do switch; por exemplo, quantas políticas BGP (Border Gateway Protocol), EIGRP (Enhanced Interior Gateway Routing Protocol) ou OSPF (Open Shortest Path First) e SVIs (Switched Virtual Interfaces) que o switch tem.

Observação: os pacotes IPv4 continuam a ser roteados no hardware, mesmo que os pacotes IPX sejam roteados por software.

Recursos suportados

• A Lista de Controle de Acesso MAC (ACL - MAC Access Control List) para IPX é suportada no Cisco IOS Software Release 12.1(12c)EW e posterior, que pode ser usada para controlar os pacotes IPX.

• IPX Routing Information Protocol (RIP) (Service Advertising Protocol [SAP])

• IPX Enhanced Interior Gateway Routing Protocol (EIGRP)

• compactação de cabeçalho

Observação: o IPX EIGRP é o protocolo de roteamento preferido entre roteadores para um melhor desempenho, já que o EIGRP faz atualizações SAP incrementais. O IPX EIGRP pode ser ativado em segmentos sem servidor. Para obter informações sobre o IPX EIGRP, consulte Compreendendo o IPX-EIGRP.

Limitações

• O roteamento IPX de pacotes não é assistido por hardware. Ele é realizado pelo processamento de software.

• As listas de acesso padrão Novell IPX (800-899), IPX estendido (900-999), Get Nearest Server (GNS) ou SAP (1000-1099) não são suportadas atualmente.

• Para roteamento de software IPX, não há suporte para estes:

  • Protocolo de Resolução do Próximo Salto (NHRP)

  • Netware Link Service Protocol (NLSP)

  • jumbo frames

Esta figura ilustra um cenário típico com o Catalyst 4000/4500 com roteamento IPX do Supervisor III/IV. Neste cenário, os clientes estão na VLAN 10 e os servidores estão na VLAN 20. O IPX é configurado nas interfaces VLAN 10 e 20, como mostrado neste diagrama:

Routing AppleTalk

O AppleTalk de roteamento é suportado no Cisco IOS Software Release 12.1(12c)EW e posteriores. Na versão inicial, o desempenho está na faixa de 20 a 30 kpps; a partir do Cisco IOS Software Release 12.1(13)EW, ele foi aumentado para 80 a 90 kpps. Recomenda-se que você use o Cisco IOS Software Release 12.1(19)EW ou posterior devido à disponibilidade de uma correção de software para o bug da Cisco ID CSCea85204 (somente clientes registrados) . Essa taxa de encaminhamento é compartilhada por todos os fluxos que seguem pelo switch. Esse encaminhamento aumenta a carga da CPU devido ao processamento do software. Como tal, a taxa de encaminhamento alcançada depende da CPU do switch: por exemplo, quantas políticas de BGP, rotas EIGRP ou OSPF e SVIs o switch tem.

Observação: os pacotes IPv4 continuam a ser roteados no hardware, mesmo que os pacotes AppleTalk sejam roteados por software.

Recursos suportados

• A ACL MAC para AppleTalk é suportada no Cisco IOS Software Release 12.1(12c)EW e posterior, que pode ser usada para controlar os pacotes IPX.

• Roteamento do DDP

• Protocolo de Manutenção da Tabela de Roteamento (RTMP)

• Protocolo de associação de nomes (NBP)

• Protocolo de Eco AppleTalk (AEP)

• AppleTalk EIGRP

Observação: o EIGRP do AppleTalk é o protocolo de roteamento preferencial entre roteadores para um melhor desempenho, à medida que o EIGRP faz atualizações incrementais. Para obter mais informações sobre o AppleTalk EIGRP, consulte a seção Configuração do AppleTalk Enhanced IGRP de Configuração do AppleTalk.

Limitações

• O roteamento AppleTalk de pacotes não é assistido por hardware. Ele é realizado pelo processamento de software.

• As ACLs AppleTalk não são suportadas no momento.

• Para roteamento de software AppleTalk, não há suporte para estes:

  • Protocolo AURP (AppleTalk Update-Based Routing Protocol)

  • Protocolo de controle AppleTalk para PPP

  • jumbo frames

Roteando por meio de um roteador externo

Se a sua rede exige um melhor desempenho de roteamento dos protocolos herdados do que os mencionados anteriormente, você pode querer usar um roteador externo (dispositivo da camada 3 [L3]). Esse dispositivo L3 pode ser um Catalyst 6000 Multilayer Switch Feature Card (MSFC), Catalyst 5000 RSM, switch L3 (como 2948G-L3) ou qualquer roteador. Esses dispositivos executam o roteamento do IPX com assistência de hardware, e o desempenho é muito maior que o Supervisor III/IV. O Supervisor III/IV pode rotear o IP no caminho de switching de hardware, mas o dispositivo externo roteia os protocolos herdados.

O próximo diagrama ilustra um cenário em que o IPX é roteado no Catalyst 6500 de núcleo/distribuição no MSFC, enquanto o IP é roteado entre a VLAN 10 e a VLAN 20 no Catalyst 4500 com Supervisor III/IV. Os dois switches são truncados, o que permite as VLANs necessárias. O benefício desse tipo de projeto é a capacidade de usar ACLs IPX padrão e o aumento de desempenho devido ao encaminhamento assistido por hardware desses pacotes entre as duas VLANs. Você também pode usar protocolos de roteamento IPX no Catalyst 6500 ou no roteador externo para se comunicar com os peers para a troca de banco de dados de roteamento:

Melhorias de desempenho adicionais

Estas seções fornecem algumas melhorias de desempenho potenciais adicionais que podem ser feitas no IPX ou na comutação AppleTalk no roteador externo.

• O link entre o roteador externo e o switch Catalyst pode ser transformado em um link de canal de porta, para obter maior largura de banda entre eles e para ter redundância para o link.

• O tráfego IP pode ser filtrado do link para que toda a largura de banda seja usada para tráfego não IP. Esta é uma configuração de exemplo para filtrar o tráfego IP através da QoS (Qualidade do Serviço):

1. Emita o comando de configuração global QoS qos, para habilitar a QoS no Supervisor.

2. Defina a ACL para corresponder a todo o tráfego IP.

   access-list 101 permit ip any any

3. Defina o mapa de classe que corresponde à ACL definida na Etapa 2.

   class-map match-any ip-drops
     match access-group 101

4. Defina a política: defina um vigilante que descartará todo o tráfego para a classe definida na Etapa 3. Polícia todo o tráfego usando uma granularidade mínima de 32 kbps. O supervisor descartará todo o tráfego IP com esse vigilante além de 32 kbps (talvez os pings IP do Cisco IOS não consigam passar).

   policy-map drop-ip
     class ip-drops
       police 32000 bps 1000 byte conform-action drop exceed-action drop

5. Aplique a política de serviço de saída na interface que se conecta ao roteador externo.

   interface GigabitEthernet 1/1
       service-policy output drop-ip

Para verificar a ação de vigilância, execute o comando show policy-map interface interface-id.

dlsw

O DLSw não é suportado no Supervisor III/IV. Para redes com protocolos SNA e IP, você pode rotear o tráfego IP no Catalyst 4000 Supervisor III/IV e ligar o tráfego SNA com switching DLSw no software Cisco IOS em um roteador externo:

As próximas configurações mostram como ligar o tráfego SNA nas VLANs 10 e 20 em dois Catalyst 6500 MSFC2s em dois domínios SNA separados. Os troncos 802.1Q no Supervisor III/IV podem ser usados para transportar tráfego SNA (bridge) ou NetBIOS para um roteador Cisco ou para switches Catalyst 6500.

hostname MSFCRouter-1
interface loopback1
ip address 1.1.1.1
!

int vlan10
ip add 10.10.10.254 255.255.255.0
bridge-group 1
!
bridge 1 protocol ieee
dlsw local-peer peerid 1.1.1.1
dlsw remote-peer 0 tcp 2.2.2.2
dlsw bridge-group 1

hostname MSFCRouter-2
interface loopback1
ip address 2.2.2.2
!

int vlan20
ip add 10.10.20.254 255.255.255.0
bridge-group 2
!
bridge 2 protocol ieee
dlsw local-peer peerid 2.2.2.2
dlsw remote-peer 0 tcp 1.1.1.1
dlsw bridge-group 2

Isso mostra as configurações de rede para switches Catalyst 6500 em domínios diferentes. Se os VLANs 10 e 20 estiverem no mesmo Switch ou MSFC, o DLSw não será necessário. Grupos de ponte IEEE simples em um MSFC funcionarão.

Filtrando pacotes não IP com ACLs MAC estendidas e mapas de VLAN

O Supervisor III/IV não suporta IPX, AppleTalk ou outras ACLs de protocolo herdadas. Para filtrá-los, você pode usar uma ACL estendida por MAC combinada com um mapa de acesso de VLAN. Os mapas de VLAN podem controlar o acesso de todo o tráfego em uma VLAN. Você pode aplicar mapas de VLAN no Switch a todos os pacotes roteados entrando ou saindo de uma VLAN ou transpostos dentro de uma VLAN. Diferentemente das ACLs do roteador, os mapas de VLAN não são definidos por direção (entrada ou saída).

Neste cenário de exemplo, estes dois critérios são os objetivos de configuração:

• Impede todo o tráfego de IPX do host 000.0c00.0111 ao host 000.0c00.0211, mas permite todos os outros tráfegos de IPX e de protocolos sem IP através do VLAN 20.

• Negar todo o tráfego AppleTalk para VLAN 10.

Observação: os pacotes IP não podem ser filtrados através de uma ACL MAC.

Observação: as ACLs MAC estendidas nomeadas não podem ser aplicadas às interfaces L3.

1. Defina ACLs MAC estendidas para definir o tráfego interessante para os mapas de VLAN.

   Switch(config)# mac access-list extended denyIPXACL
   
   Switch(config-ext-macl)# permit host 000.0c00.0111 host 000.0c00.0211  protocol-family ?
     appletalk
     arp-non-ipv4
     decnet
     ipx
     ipv6
     rarp-ipv4
     rarp-non-ipv4
     vines
     xns
   
   Switch(config-ext-macl)# $00.0c00.0111 host 000.0c00.0211 protocol-family ipx
   
   Switch(config-ext-macl)# exit
   
   Switch(config)# mac access-list extended denyatalk
   
   Switch(config-ext-macl)# permit any any protocol-family appletalk
   
   Switch(config)#

2. Emita o comando show access-list access-list-name para verificar a ACL MAC estendida configurada. As ACLs no exemplo anterior são denyIPXACL e denyatalk.

   Switch# show access-lists denyIPXACL
   
   Extended MAC access list denyIPXACL
       permit   host 0000.0c00.0111 host 0000.0c00.0211 protocol-family ipx
   
   Switch# show access-lists denyatalk
   
   Extended MAC access list denyatalk
       permit any any protocol-family appletalk

3. Defina a ação com os mapas de acesso de VLAN.

   Switch(config)# vlan access-map denyIPX
   
   Switch(config-access-map)# match mac address denyIPXACL
   
   Switch(config-access-map)# action drop
   
   Switch(config-access-map)# exit
   
   Switch(config)# vlan access-map denyapple
   
   Switch(config-access-map)# match mac address denyatalk
   
   Switch(config-access-map)# action drop
   
   Switch(config-access-map)# exit
   

4. Emita o comando show vlan access-map name para verificar a definição dos mapas de acesso de VLAN.

   Switch# show vlan access-map denyIPX
   
   Vlan access-map "denyIPX"  10
     Match clauses:
       mac address: denyIPXACL
     Action:
       drop
   
   Switch# show vlan access-map denyapple
   
   Vlan access-map "denyapple"  10
     Match clauses:
       mac address: denyatalk
     Action:
       drop

5. Emita o comando vlan filter name vlan-list vlan-list para mapear o mapa da VLAN para as VLANs. Neste exemplo, você deseja filtrar o IPX entre hosts específicos na VLAN 20 e negar o AppleTalk na VLAN 10.

   Switch(config)# vlan filter denyIPX vlan-list 20
   
   Switch(config)# vlan filter denyapple vlan-list 10
   

6. Emita o comando show vlan filter vlan vlan-id para verificar se os filtros da VLAN estão instalados.

   Switch# show vlan filter vlan 20
   
   Vlan 20 has filter denyIPX.
   
   Switch# show vlan filter vlan 10
   
   Vlan 10 has filter denyapple.

Outros recursos não suportados

O Supervisor III/IV não suporta estes recursos:

• Fallback Bridging ou Inter-VLAN Bridging para bridge de protocolos não roteáveis

• DECnet Routing

Consulte a seção anterior para ver um exemplo de como usar um roteador externo para atingir essa funcionalidade.

CPU de Alto Desempenho após Habilitação do IPX Routing ou AppleTalk

Depois de habilitar o roteamento IPX ou AppleTalk, o uso da CPU aumentará com base na quantidade de tráfego IPX ou AppleTalk que está sendo roteado no software através do switch. Se você executar o comando show processor cpu, a saída poderá mostrar que o processo Cat4k Mgmt LoPri está usando a CPU. Isto indica que os pacotes estão sendo comutados por processo.

Switch# show processes cpu

CPU utilization for five seconds: 99%/0%; one minute: 86%; five minutes: 54%
 PID  Runtime(ms)  Invoked  uSecs    5Sec   1Min   5Min TTY Process
   1           8       607     13   0.00%  0.00%  0.00%   0 Load Meter
   2         496      4549    109   0.00%  0.01%  0.00%   0 Spanning Tree
   3           0         1      0   0.00%  0.00%  0.00%   0 Deferred Events
   4        4756       480   9908   0.00%  0.08%  0.11%   0 Check heaps
   5           0         1      0   0.00%  0.00%  0.00%   0 Chunk Manager
   6           0         1      0   0.00%  0.00%  0.00%   0 Pool Manager
   7           0         2      0   0.00%  0.00%  0.00%   0 Timers
   8           4         2   2000   0.00%  0.00%  0.00%   0 Serial Backgroun
   9           4        64     62   0.00%  0.00%  0.00%   0 ARP Input
  10          24         3   8000   0.00%  0.00%  0.00%   0 Entity MIB API
  11           0         1      0   0.00%  0.00%  0.00%   0 SERIAL A'detect
  12           0         1      0   0.00%  0.00%  0.00%   0 Critical Bkgnd
  13       25436       864  29439   0.00%  0.00%  0.00%   0 Net Background
  14           0        58      0   0.00%  0.00%  0.00%   0 Logger
  15          52      2607     19   0.00%  0.00%  0.00%   0 TTY Background
  16         440      2666    165   0.00%  0.00%  0.00%   0 Per-Second Jobs
  17      112328    410885    273   1.66%  2.37%  2.74%   0 Cat4k Mgmt HiPri
  18     1197172     21536  55589  98.56% 84.14% 49.15%   0 Cat4k Mgmt LoPri
  19           0         1      0   0.00%  0.00%  0.00%   0 Routekernel Proc

Observação: se você não tiver o roteamento IPX ou AppleTalk habilitado, mas ainda vir Cat4k Mgmt LoPri usando CPU alta, talvez seja necessário solucionar os problemas de quais pacotes são enviados para a CPU para processamento. Entre em contato com o Suporte Técnico da Cisco, se precisar de mais assistência.

Informações Relacionadas

• Configurando a segurança de rede com ACLs
• Páginas de suporte do Catalyst 4500
• Páginas de Suporte de Produtos de LAN
• Página de suporte da switching de LAN
• Suporte Técnico e Documentação - Cisco Systems