Catalyst 4500/4000系列的路由模块(WS-X4232-L3)配置和概述
目录
简介
本文档介绍Cisco Catalyst 4500/4000系列交换机的WS-X4232-L3路由器模块。除了对WS-X4232-L3的体系结构和配置的说明外,本文档还提供了使用Catalyst 4500/4000系列交换机和路由器模块的配置示例。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
Cisco Catalyst OS(CatOS)5.5(1)版或更高版本
-
思科IOS®软件版本12.0(7)W5(15d)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
WS-X4232-L3的Cisco IOS软件映像文件名以“cat4232 — ”开头。 您可以在LAN交换软件的下载软件区(仅限注册客户)的Catalyst 4232部分找到该文件。
注意:当您将路由器模块与Supervisor引擎1和Supervisor引擎2结合使用时,对路由器模块的支持。但是,当您将路由器模块与Supervisor引擎2+、3、4或5结合使用时,对路由器模块不支持。
注:有关在路由器模块(WS-X4232-L3)上支持的软件功能的详细信息,请参阅Catalyst 4000第3层服务模块的安装和配置注释的功能部分。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
体系结构概述
WS-X4232-L3模块有32个快速以太网端口和2个千兆以太网端口。
这两个千兆以太网端口对应于路由器配置中的接口千兆1和千兆2。这些千兆以太网端口是路由端口。
在内部,该模块有两个千兆以太网接口(千兆3和千兆4),用于将路由器连接到交换机背板。交换机背板使用该插槽中的前两个端口连接到路由器模块。将WS-X4232-L3模块插入插槽3时,千兆以太网接口3和4连接到背板端口3/1和3/2。端口3/1和3/2是第2层端口,交换机Supervisor引擎上配置了该端口。千兆以太网接口3和4是第3层端口,路由器模块上配置了该端口。
路由器模块上有32个快速以太网端口。这些端口是第2层端口,不执行任何第3层功能。尽管这些端口在路由器模块上具有物理位置,但必须在交换机Supervisor引擎上配置端口。
此图提供了架构的直观说明。对于此设置,请将路由器模块安装在Catalyst交换机的插槽2中。
WS-X4232-L3 的配置
Supervisor 引擎
show port命令显示两个千兆端口和32个10/100 Mbps端口(编号为1到34)。
注意:您从Supervisor引擎看到的两个千兆端口不是您在前面板上看到的两个端口。您从Supervisor引擎看到的端口是连接到路由引擎的两个交换端口。您需要将物理端口配置为交换机端口。此配置类似于Catalyst 6500/6000系列交换机上多层交换模块(MSM)的配置。这些端口的更常见配置是将其设置为千兆位EtherChannel(GEC)和中继。这样,您就可以在路由器上的所有VLAN之间路由。
注意:如果发出session module#命令,则可以从Supervisor引擎访问路由器模块。此操作类似于访问Catalyst 5500/5000系列交换机中的路由交换模块(RSM)。
路由器
如果您看到路由器提示符,请查找4个千兆以太网接口(编号为1至4(千兆1、千兆2、千兆3和千兆4))和快速以太网带外接口。
这是默认配置:
Router#show run Building configuration... Current configuration: ! version 12.0 service config no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router ! ! ip subnet-zero ! ! ! interface FastEthernet1 no ip address no ip directed-broadcast shutdown ! interface gigabitEthernet1 no ip address no ip directed-broadcast !--- Output suppressed.
注意:在此配置中,千兆3和千兆4是连接到背板的连接。千兆1和千兆2是前面板上的用户端口(路由端口)。 与MSM一样,大多数情况下,您将端口3和端口4配置为同一接口端口通道的一部分。此外,您还可以在该通道上配置子接口(使用交换机间链路协议[ISL]或IEEE 802.1Q封装)。 与在MSM上一样,路由器模块上千兆3和千兆4的配置需要与交换机端口slot/1和slot/2的配置保持一致。如果发出show interface port-channel或show interface gigabitethernet命令,则可以检查路由器和交换机之间的流量。
WS-X4232-L3 对访问列表的支持
WS-X4232-L3路由器模块支持访问控制列表(ACL),但本文档讨论的配置示例不支持ACL。有关支持WS-X4232-L3模块的ACL配置的详细信息,请参阅在Catalyst 4000系列的WS-X4232-L3路由器模块上配置ACL。
示例配置
示例配置包含此列表中的元素。(请参阅网络图。)
-
Bang — 在插槽3中配有路由器模块的Catalyst 4500/4000系列交换机。
-
Liki — 连接到路由器模块上千兆以太网1的路由器。
-
Donald — 连接到Bang端口3/3上VLAN 2的路由器。端口3/3是路由器模块的第2层端口之一。
-
Daniella — 连接到Bang端口2/3上VLAN 3的路由器。
此配置包括路由器模块与Catalyst 4500/4000系列交换机之间的GEC连接。在GEC上配置中继,以允许多个VLAN通过路由器进行VLAN间路由。此GEC配置是标准配置。特定于此设置的所有命令都将移至端口通道子接口。
使用第3层模块时,请记住,到达本征VLAN上的路由器的所有流量都在软件中路由。这种情况对交换机的性能有不利影响。WS-X4232-L3上的微码不处理802.1Q数据包,这些数据包进入本征VLAN时没有标记。相反,数据包会转到CPU,CPU会处理数据包。如果CPU在本征VLAN子接口上以高速率接收不带标记的数据包,则此过程会导致CPU使用率较高。因此,创建虚拟VLAN(不包含任何用户流量)作为本征VLAN。在此配置示例(网络图)中,VLAN 99用作本征VLAN。仅在路由器和交换机之间的GEC上配置本征VLAN。请勿在此虚拟VLAN中配置交换机上的任何其他端口。
注意:在路由器和交换机之间的中继链路上创建虚拟VLAN作为本征VLAN。CPU在软件中路由本征VLAN上发送的所有流量,这对交换机的性能有不利影响。创建一个您不在网络中其他位置使用的附加VLAN,并使此VLAN成为路由器和交换机之间中继链路的本征VLAN。
网络图
本文档的交换机Supervisor引擎配置和路由器模块配置部分显示了某些show命令的配置和输出。这些配置位于Catalyst 4500/4000系列交换机和路由器模块的Supervisor引擎上。这允许在三个子网(VLAN 1、VLAN 2和连接到千兆以太网1的路由器)之间进行路由。
交换机Supervisor引擎配置
路由器交换机卡在show module命令中显示34个端口。这34个端口包括32个到前面板的交换端口和2个直接连接到两个路由器端口的千兆位交换端口。以下是示例:
bang> (enable) show module Mod Slot Ports Module-Type Model Sub Status --- ---- ----- ------------------------- ------------------- --- -------- 1 1 0 Switching Supervisor WS-X4012 no ok 2 2 34 10/100/1000 Ethernet WS-X4232 no ok 3 3 34 Router Switch Card WS-X4232-L3 no ok Mod Module-Name Serial-Num --- ------------------- -------------------- 1 JAB02380AYG 2 JAB03210B6Y 3 JAB0417055S Mod MAC-Address(es) Hw Fw Sw --- -------------------------------------- ------ ---------- ----------------- 1 00-50-73-2a-f3-00 to 00-50-73-2a-f6-ff 1.0 4.5(1) 5.5(1) 2 00-50-73-42-a9-68 to 00-50-73-42-a9-89 1.6 3 00-01-42-06-73-a8 to 00-01-42-06-73-c9 1.0 12.0(7)W5( 12.0(7)W5(14.90
Catalyst 4000端添加的唯一配置与路由器模块的GEC中继相关,如以下示例所示:
bang> (enable) show config # ***** NON-DEFAULT CONFIGURATION ***** ! ! ! ! ! set port channel all distribution mac both ! #ip set interface sl0 down set interface me1 down ! #set boot command set boot config-register 0x102 set boot system flash bootflash:cat4000.5-5-1.bin ! #port channel set port channel 3/1-2 156 ! #module 1 : 0-port Switching Supervisor ! #module 2 : 34-port 10/100/1000 Ethernet set VLAN 3 2/3 ! #module 3 : 34-port Router Switch Card set VLAN 2 3/3 set VLAN 99 3/1-2 !--- This interface has a configuration for 802.1Q routing. !--- The interface uses VLAN 99 as the native VLAN. The native VLAN on the !--- router switch must match the one that you have configured on the router. !--- VLAN 99 is a dummy native VLAN. For more information, !--- see the note in the Sample Configurations section. set trunk 3/1 nonegotiate dot1q 1-1005 !--- Note: Trunk mode needs to be in no-negotiate status !--- because the router module does not support Dynamic Trunking Protocol (DTP). set trunk 3/2 nonegotiate dot1q 1-1005 set port channel 3/1-2 mode on !--- Note: You need to force the channel mode to on because !--- the router module does not support Port Aggregation Protocol (PAgP). end
在交换机上,show cdp neighbor 命令显示路由器模块,就像该模块是通过千兆端口3/1和3/2上的GEC中继连接的外部路由器一样。以下是示例:
bang> (enable) show cdp neighbor
* - indicates vlan mismatch.
# - indicates duplex mismatch.
Port Device-ID Port-ID Platform
-------- ------------------------------- ------------------------- ------------
2/3 daniella Ethernet0 cisco 2500
3/3 donald Ethernet0 cisco 2500
bang> (enable) show trunk
* - indicates vtp domain mismatch
Port Mode Encapsulation Status Native vlan
-------- ----------- ------------- ------------ -----------
3/1 nonegotiate dot1q trunking 99
3/2 nonegotiate dot1q trunking 99
Port Vlans allowed on trunk
-------- ---------------------------------------------------------------------
3/1 1-1005
3/2 1-1005
Port Vlans allowed and active in management domain
-------- ---------------------------------------------------------------------
3/1 1-3, 99
3/2 1-3, 99
Port Vlans in spanning tree forwarding state and not pruned
-------- ---------------------------------------------------------------------
3/1 1-3, 99
3/2 1-3, 99
如果您有来自Cisco设备的show trunk命令的输出,则可以使用Output Interpreter Tool 
(仅限注册的客户)来显示潜在问题和修复。
bang> (enable) show port channel
Port Status Channel Admin Ch
Mode Group Id
----- ---------- -------------------- ----- -----
3/1 connected on 156 833
3/2 connected on 156 833
----- ---------- -------------------- ----- -----
Port Device-ID Port-ID Platform
----- ------------------------------- ------------------------- ----------------
3/1 bang-rp GigabitEthernet3 cisco Cat4232
3/2 Not directly connected to switch
----- ------------------------------- ------------------------- ----------------
如果从Cisco设备获得show port channel命令的输出,则可以使用Output Interpreter Tool (仅限注册客户)来显示潜在问题和修复。
路由器模块配置
bang-rp#show verify Cisco Internetwork Operating System Software IOS (tm) L3 Switch/Router Software (CAT4232-IN-M), Version 12.0(7)W5(14.90) INTERIM TEST SOFTWARE Copyright (c) 1986-2000 by cisco Systems, Inc. Compiled Fri 26-May-00 15:26 by integ Image text-base: 0x60010928, data-base: 0x605C8000 ROM: System Bootstrap, Version 12.0(7)W5(15b) RELEASE SOFTWARE bang-rp uptime is 1 day, 22 hours, 7 minutes System restarted by power-on System image file is "bootflash:cat4232-in-mz.120-7.W5.14.90" cisco Cat4232 (R5000) processor with 57344K/8192K bytes of memory. R5000 processor, Implementation 35, Revision 2.1 Last reset from power-on 1 FastEthernet/IEEE 802.3 interface(s) 4 Gigabit Ethernet/IEEE 802.3z interface(s) 123K bytes of non-volatile configuration memory. 16384K bytes of Flash internal SIMM (Sector size 256K). Configuration register is 0x1 bang-rp#show run Building configuration... Current Configuration: ! version 12.0 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname bang-rp ! ! ip subnet-zero ! ! ! interface Port-channel1 no ip redirects no ip directed-broadcast hold-queue 300 in ! interface Port-channel1.2 !--- The configuration of this interface is for 802.1Q routing. !--- The interface uses a VLAN 2 tag. encapsulation dot1Q 2 ip address 2.2.2.2 255.255.255.0 no ip redirects no ip directed-broadcast ! interface Port-channel1.3 !--- The configuration of this interface is for 802.1Q routing. !--- The interface uses a VLAN 3 tag. encapsulation dot1Q 3 ip address 1.1.1.2 255.255.255.0 no ip redirects no ip directed-broadcast ! interface Port-channel1.99 !--- The configuration of this interface is for 802.1Q routing. !--- The interface uses VLAN 99 as the native VLAN. The native VLAN on the router !--- must match the one that you have configured on the switch. VLAN 99 is a dummy !--- native VLAN. For more information, see the note !--- in the Sample Configurations section. encapsulation dot1Q 99 native no ip address no ip redirects no ip directed-broadcast ! interface FastEthernet1 !--- You can use this out-of-band interface for management. no ip address no ip directed-broadcast shutdown ! interface GigabitEthernet1 ip address 3.3.3.2 255.255.255.0 no ip directed-broadcast ! interface GigabitEthernet2 no ip address no ip directed-broadcast shutdown ! interface GigabitEthernet3 no ip address no ip directed-broadcast no negotiation auto channel-group 1 !--- Both Gigabit Ethernet 3 and Gigabit Ethernet 4 !--- are part of channel group 1. ! interface GigabitEthernet4 no ip address no ip directed-broadcast no negotiation auto channel-group 1 !--- Both Gigabit Ethernet 3 and Gigabit Ethernet 4 !--- are part of channel group 1. ! router eigrp 1 passive-interface FastEthernet1 network 1.0.0.0 network 2.0.0.0 network 3.0.0.0 ! ip classless ! arp 127.0.0.2 0050.732a.f300 ARPA ! line con 0 transport input none line aux 0 line vty 0 4 login ! end bang-rp#show cdp neighbor Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID liki Gig 1 160 T S WS-C3508G-Gig 0/1 !--- Liki connects to gigabit 1 on the router. !--- You can only see Liki from the router; you cannot !--- see Liki from the Supervisor Engine. JAB02380AYG(bang)Port-channel1 148 T S WS-C4003 3/2 JAB02380AYG(bang)Port-channel1 147 T S WS-C4003 3/1
故障排除
从Supervisor到4232-L3模块的会话在运行一段时间后不工作
交换机运行一段时间后,从Supervisor到4232-L3模块的会话失败,并显示以下错误消息:
4006> (enable) session 2 Trying IntlgLineCard-2... session: Unable to tunnel to IntlgLineCard-2 (57)
造成这种情况的最可能原因是管理引擎模块地址解析协议(ARP)表中4232-L3模块带内MAC地址的邻接关系不正确。
通过将系统软件升级到不受Cisco Bug ID CSCdx30617(仅限注册客户)影响的CatOS版本,可以解决此问题。
如果无法升级系统软件,您可以尝试以下解决方法:
-
不会对模块进行会话,而是通过telnet访问模块上配置的任何IP地址。
-
重置4232-L3模块可以暂时恢复问题。
-
将sc0接口移入不同的VLAN也可以解决此问题。
定期从4232-L3发出TFTP请求
4232-L3模块会持续尝试从网络加载配置并显示以下错误消息:
%Error opening tftp://255.255.255.255/network-config (Timed out)
当您发出service config命令时,可以将L3模块配置为从TFTP服务器自动下载配置文件。将配置文件存储在TFTP服务器上,并在启动时下载。当配置文件的大小大于设备上NVRAM的大小时,这非常有用。
当L3模块使用service config命令进行配置时,它会生成TFTP请求,以从TFTP服务器下载其配置。
在使用IPS/IDS的场景中,您可能会看到路由器持续发送tftp广播。这由源的IP地址确认,目的地址为255.255.255.255,流量为UDP 69(TFTP)。
要停止生成日志消息,请发出以下命令:
Router#config terminal Router(config)#no service config Router(config)#exit Router#copy running-config startup-config
结论和提示
在Catalyst 4500/4000上配置路由模块时,请记住以下要点:
-
您在前面板上看到的千兆接口与您从Supervisor引擎发出show port 命令时看到的千兆接口不同。前面板上的接口是路由器上名为gigabit 1和gigabit 2的接口。
-
确保交换机和路由器之间中继的本征VLAN是虚拟VLAN。CPU在软件中路由本征VLAN上的所有流量。因此,请创建一个您不在其他位置使用的附加VLAN,并将该VLAN设置为交换机和路由器之间链路上的本征VLAN。
反馈