IP多层交换故障排除
简介
本文档概述了排除IP多层交换(MLS)故障的基本步骤。此功能已成为通过使用专用专用专用集成电路(ASIC)提高路由性能的极其理想的方法。 传统路由通过中央CPU和软件进行。MLS将路由(数据包重写)的很大一部分卸载到硬件,这就是为什么MLS还使用术语“交换”。MLS和第3层交换是等价术语。Cisco IOS®软件的NetFlow功能不同;本文档不涵盖NetFlow。MLS还支持网际网络分组交换(IPX)MLS(IPX MLS)和组播MLS(MMLS)。 但是,本文档仅重点介绍基本MLS IP故障排除过程。
对于使用运行Cisco IOS软件的Cisco Catalyst 6500/6000系列交换机的客户,请参阅Supervisor引擎的MLS文档:
注意:本文档对Catalyst 6500/6000 Supervisor引擎2或Supervisor引擎720无效,因为这些Supervisor引擎不使用MLS。管理引擎2和管理引擎720使用思科快速转发(CEF)作为基于硬件的转发机制。有关详细信息,请参阅文档排除单播IP路由故障,该单播IP路由涉及使用Supervisor引擎2的Catalyst 6500/6000系列交换机上的CEF并运行CatOS系统软件。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档不限于特定的软件和硬件版本。
规则
有关文件规则的更多信息请参见“ Cisco技术提示规则”。
MLS 的说明
随着网络面临更大的需求,对更高性能的需求也在增加。越来越多的PC连接到LAN、WAN和Internet。用户需要通过网络、其他PC和视频流快速访问数据库、文件和网页、应用。为了保持连接快速可靠,网络必须能够快速调整以适应更改和故障,以找到最佳路径。网络还必须尽可能对最终用户保持不可见。确定最佳路径是路由协议的主要功能,这可能是一个CPU密集型过程。因此,将部分功能卸载到交换硬件后,性能显着提高。此性能提升是MLS功能的目标。
MLS的三个主要组件中有两个是MLS路由处理器(MLS-RP)和MLS交换引擎(MLS-SE)。 MLS-RP 是支持 MLS 的路由器,执行子网/VLANs 之间路由的传统功能。MLS-SE是启用MLS的交换机,通常需要路由器在子网/VLAN之间路由。但是,MLS-SE通过特殊的硬件和软件可以处理数据包的重写。当数据包经过路由接口时,当数据包逐跳前往目的地时,数据包的非数据部分的更改(重写)就会发生。此处可能会出现混淆,因为第2层设备似乎承担第3层任务。实际上,交换机只重写第3层信息,并在子网/VLAN之间“交换机”。路由器仍负责基于标准的路由计算和最佳路径确定工作。如果您在心理上保持路由和交换功能分离,特别是当它们位于同一机箱内(与内部MLS-RP一样)时,可以避免这种混淆。 将MLS视为一种更高级的路由缓存形式,将缓存与交换机上的路由器分离。MLS需要MLS-RP和MLS-SE,以及各自的硬件和软件最小值。
MLS-RP可以是内部(安装在交换机机箱中)或外部(通过电缆连接到交换机的中继端口)。 内部MLS-RP的示例包括路由交换模块(RSM)和路由交换功能卡(RSFC)。 您将RSM或RSFC分别安装在Catalyst 5500/5000系列交换机的插槽或Supervisor引擎中。这同样适用于Catalyst 6500/6000系列的多层交换功能卡(MSFC)。外部 MLS-RP 的示例包括思科 7500、7200、4700、4500 或 3600 系列路由器的任何成员。通常,为了支持MLS IP功能,所有MLS-RP都要求11.3WA或12.0WA系列中的最低Cisco IOS软件版本。有关详细信息,请参阅Cisco IOS软件版本文档。此外,您必须启用MLS,路由器才能成为MLS-RP。
MLS-SE 是一台配备专用硬件的交换机。对于Catalyst 5500/5000系列交换机,MLS要求在Supervisor引擎上安装NetFlow功能卡(NFFC)。默认情况下,Supervisor引擎IIG和IIIG具有NFFC。此外,还要求至少使用Catalyst OS(CatOS)4.1.1软件。
注意:CatOS 4.x系列现在正在进行常规部署(GD)。 该软件通过了严格的最终用户标准和现场体验稳定性目标。有关最新版本,请参阅Cisco.com。
带有MSFC/策略功能卡(PFC)的Catalyst 6500/6000硬件和软件支持并自动启用IP MLS。(MLS的默认值在其他路由器上禁用。)
注意:IPX MLS和MMLS可能有不同的硬件和软件(Cisco IOS软件和CatOS)要求。更多思科平台支持MLS功能。此外,您必须启用MLS,交换机才能成为MLS-SE。
MLS 的第三个主要组成部分是多层交换协议 (MLSP)。 您必须了解MLSP的基本知识,以了解MLS的核心并执行有效的MLS故障排除过程。MLS-RP和MLS-SE使用MLSP相互通信。任务包括:
-
启用MLS。
-
安装MLS流(缓存信息)。
-
更新或删除流。
-
流统计的管理和导出。
注意:其他文档包括NetFlow数据导出。
MLSP还允许MLS-SE:
-
了解启用MLS的路由器接口的第2层MAC地址。
-
检查MLS-RP的流掩码。
注意: 本文档的IP MLS技术故障排除部分介绍此步骤。
-
确认MLS-RP运行正常。
使用MLSP时,MLS-RP每15秒发送一次组播“hello”数据包。如果MLS-SE遗漏了其中三个间隔,则MLS-SE会识别MLS-RP已失败或与MLS-RP的连接已丢失。
此图说明了创建快捷方式必须完成的三个基本要素(使用MLSP):候选、启用和缓存步骤。MLS-SE检查缓存MLS条目。如果MLS缓存条目和数据包信息匹配(“命中”),则数据包报头重写在交换机本地进行。此重写是路由器的快捷方式或旁路。数据包不会像通常那样转发到路由器。不匹配的数据包作为候选数据包转发到MLS-RP。这些数据包可能会发生本地交换机。在候选数据包通过MLS流掩码(IP MLS技术故障排除部分的步骤7解释了该步骤)和重写数据包报头中的信息(不与数据部分联系)后,路由器沿目的路径将数据包发送到下一跳。该数据包现在是启用码包。如果数据包返回到数据包离开的同一MLS-SE,则会创建MLS快捷方式并将其放入MLS缓存。现在,交换机硬件在本地重写该数据包以及随后的所有类似数据包(“流”),而不是路由器软件。
同一MLS-SE必须同时查看特定流的候选和启用数据包,以创建MLS快捷方式。(此要求是网络拓扑对MLS很重要的原因。) 请记住,MLS的作用是允许不同VLAN中的两台设备之间的通信路径通过同一台交换机连接绕过路由器。此操作可增强网络性能。
使用流掩码(本质上是访问列表),管理员可以调整这些数据包的相似程度。管理员可以调整以下流的范围:
-
目的地址.
-
目的地址和源地址。
-
目标、源和第4层信息。
注意:流的第一个数据包始终通过路由器。从那时开始,流在本地交换。每个流都是单向的。例如,PC 之间的通信需要设置和使用两个快捷方式。MLSP的主要用途是设置、创建和维护这些快捷方式。
这三个组件(MLS-RP、MLS-SE和MLSP)允许其他网络组件承担某些路由器功能,从而释放了重要的路由器资源。对于某些拓扑和配置,MLS提供了一种简单且高效的方法来提高LAN中的网络性能。
排除IP MLS技术故障
本部分包含基本IP MLS故障排除的流程图。该图从客户通过思科技术支持发出的最常见的MLS-IP服务请求类型中派生。MLS是一项强大的功能,您应该不会遇到任何问题。但是,如果确实出现问题,本部分应帮助您解决问题。要进行故障排除,以下项目必须正确:
-
您熟悉并完成了在路由器和交换机上启用IP MLS所需的基本配置步骤。有关详细信息,请参阅本文档的相关信息部分。
-
您已在MLS-RP上启用IP路由(默认)。 如果命令no ip routing显示在show run命令的全局配置中,则IP路由关闭。在这种情况下,IP MLS不起作用。
-
MLS-RP和MLS-SE之间存在IP连接。从交换机Ping路由器的IP地址。然后,查看感叹号(扬声)的显示。
-
MLS-RP接口在路由器上处于“up/up”状态。在路由器上发出show ip interface brief命令以确认状态。
注意:每当对要永久保存的路由器进行配置更改时,请记住使用copy running-config starting-config命令保存这些更改。此命令的较短版本包括copy run start和write memory。如果路由器重新加载或您重置路由器,则任何配置修改都会丢失。RSM、RSFC和MSFC是路由器,而不是交换机。相反,当更改在Catalyst 5500/5000或6500/6000系列交换机的交换机提示符下进行时,会自动保存更改。
排除流程图和步骤故障
注:流程图下方显示的过程提供了有关流程图中每个步骤的更多详细信息。
-
是否满足最低硬件和软件要求?
升级MLS-RP和MLS-SE以满足最低软件和硬件要求。对于MLS-RP,无需额外硬件。虽然可以在非中继接口上配置MLS,但通常通过VLAN接口(如RSM)或支持中继来连接MLS-SE。(如果在交换机端口和路由器接口上配置交换机间链路协议[ISL]或IEEE 802.1Q中继,您还可以配置中继以支持多个VLAN上的MLS。) 此外,只有Cisco 7500、7200、4700、4500和3600系列路由器的成员在外部支持MLS。目前,只有这些外部路由器和适合Catalyst 5500/5000或6500/6000交换机系列的路由器可以是MLS-RP。(示例包括Catalyst 5500/5000系列的RSM和RSFC,以及Catalyst 6500/6000系列的MSFC或MSFC2。) MSFC也需要PFC。您必须在Catalyst 6500/6000 Supervisor引擎上同时安装这两个组件。IP MLS现在是Cisco IOS软件版本12.0及更高版本中的标准功能。早于Cisco IOS软件版本12.0的Cisco IOS软件通常需要特殊培训。要获得此类IP MLS支持,请在Cisco IOS软件版本11.3中安装文件名中带有字母“WA”的最新映像。
对于MLS-SE,Catalyst 5500/5000系列成员需要NFC。您将此卡安装在Catalyst交换机的Supervisor引擎模块中。较新的Catalyst 5500/5000系列管理引擎(自1999年起)将该卡作为标准硬件。管理引擎I和II不支持NFC;NFC是早期Supervisor引擎III的选项。此外,您至少需要CatOS 4.1.1,用于IP MLS。相反,对于带Supervisor引擎1或1A的Catalyst 6500/6000系列交换机,支持第一个CatOS软件版本5.1.1中的IP MLS。(事实上,IP MLS是此软件高性能的必要和默认组成部分。) 随着支持IP MLS的新平台和软件的发布,您需要检查文档和版本说明。通常,在符合您功能要求的最低系列中安装最新版本。请务必查看版本说明,并咨询您当地的思科销售部,了解最新的 MLS 支持和功能开发信息。
要确定已安装的硬件和软件,请在路由器上使用show version命令,在交换机上使用show module命令。
注意:Catalyst 6500/6000系列交换机不支持外部MLS-RP。MLS-RP必须是MSFC。
-
不同VLAN中的源设备和目的设备是否位于同一MLS-SE中,共享一个通用MLS-RP?
MLS的基本拓扑要求是路由器有通往每个VLAN的路径。请记住,MLS的目的是在两个VLAN之间创建快捷方式,以便交换机可以在两个终端设备之间执行“路由”。然后,路由器可以自由执行其他任务。交换机实际上不会路由,但会重写帧,使终端设备看起来能通过路由器通信。如果两台设备位于同一VLAN中,MLS-SE将本地交换帧,而无需使用MLS,就像交换机在透明桥接环境中所做的那样。因此,没有创建MLS快捷方式。网络中可以有多台交换机和路由器,甚至可以沿流路有多台交换机。但是,要为其提供MLS快捷方式的两个终端设备之间的路径必须在该VLAN中包含该路径的单个MLS-RP。换句话说,从源到目的地的流必须跨过同一MLS-RP上的VLAN边界;此外,同一MLS-SE必须看到候选和启用码包对,以便创建MLS快捷方式。如果拓扑不符合这些条件,则数据包通常不使用MLS进行路由。有关支持和不支持的网络拓扑的图解和讨论,请参阅本文档的“相关信息”部分。
-
在全局配置和接口配置下,MLS-RP 是否都包含 mls rp ip 语句?
如果没有,请在 MLS-RP 上适当添加 mls rp ip 语句。除了自动启用IP MLS的路由器(如Catalyst 6500/6000 MSFC和MSFC2)外,配置需要执行此步骤。对于大多数MLS-RP(您为IP MLS配置的路由器),mls rp ip语句必须同时出现在全局配置和接口配置下。
注意:配置MLS-RP时,还要记住在MLS-RP的IP MLS接口之一下发出mls rp management-interface命令。此必需步骤告知MLS-RP应在哪个接口上发送MLSP消息以与MLS-SE通信。同样,您只需在一个接口下发出此命令。
-
MLS-RP 上是否配置了在该接口上自动禁用 MLS 的任何功能?
路由器上有多个与MLS不兼容的配置选项。这些选项包括IP记帐、加密、压缩、IP安全、网络地址转换(NAT)和承诺访问速率(CAR)。 有关详细信息,请参阅本文档相关信息部分中与IP MLS配置相关的链接。通过您配置了上述任何功能的路由器接口的数据包必须正常路由;不会创建MLS快捷方式。要使MLS工作,必须在MLS-RP接口上禁用这些功能。
影响 MLS 的另一项重要功能是访问列表,包括输入和输出。本部分的步骤7中将进一步讨论此选项。
-
MLS-SE 是否识别 MLS-RP 地址?
为使MLS正常运行,交换机必须将路由器识别为MLS-RP。安装了内部MLS-RP的MLS-SE可自动识别MLS-RP。(内部MLS-RP的示例包括Catalyst 5500/5000系列交换机中的RSM或RSFC,以及Catalyst 5500/5000系列交换机中的MSFC2catalyst 6500/6000系列交换机。) 对于外部MLS-RP,您必须明确通知交换机路由器地址。此地址来自路由器接口上的IP地址列表,实际上不是IP地址。地址只是路由器ID。对于内部MLS-RP,MLS-ID通常不是路由器上的IP地址。ID通常是环回地址(127.0.0.x),因为会自动包含内部MLS-RP。要使 MLS 正常工作,请将在 MLS-RP 上找到的 MLS-ID 包含在 MLS-SE 上。
在路由器上使用show mls rp命令查找MLS-ID。然后,使用set mls include MLS-ID命令在交换机上配置该ID。使用外部MLS-RP时,配置需要此步骤。
注意:如果更改MLS-RP接口的IP地址,然后重新加载路由器,则路由器上的MLS进程可能会选择新的MLS-ID。此新MLS-ID可能与您手动包括在MLS-SE上的MLS-ID不同,这可能导致MLS停止工作。问题不是软件故障,而是交换机尝试与不再有效的MLS-ID通信的影响。请务必在交换机上包含此新MLS-ID,以使MLS再次运行。您可能还必须禁用/启用IP MLS。 注意:当MLS-SE未直接连接到MLS-RP时,MLS-SE上要包含的地址可能显示为本步骤中提到的环回地址:连接MLS-SE和MLS-RP的交换机。即使 MLS-RP 位于内部,您也必须包括 MLS-ID。对于第二台交换机,MLS-RP显示为外部路由器,因为MLS-RP和MLS-SE不在同一机箱中。
-
MLS-RP接口和MLS-SE是否位于同一启用的VLAN中继协议(VTP)域中?
MLS要求MLS组件(包括终端站)位于同一VTP域中。VTP是第2层协议,用于从中央交换机管理多台Catalyst交换机上的VLAN。VTP允许管理员在域内的所有交换机上创建或删除VLAN,而无需在该域内的每台交换机上创建或删除VLAN。MLS-SE和MLS-RP用于相互通信的MLSP不跨过VTP域边界。如果在交换机上启用了VTP,请在交换机上使用show vtp domain命令来确定MLS-SE的VTP域位置。(在Catalyst 5500/5000和6500/6000系列交换机上启用了VTP的默认设置。)
完成以下步骤,将VTP域添加到每个路由器MLS接口。(这些步骤的性能例外是Catalyst 6500/6000 MSFC和MSFC2,MLS实质上是“即插即用”功能。) 此过程允许MLSP组播在MLS-RP和MLS-SE之间移动,因此允许MLS运行。
-
发出命令no mls rp ip。
这会在修改VTP域之前禁用受影响MLS-RP接口上的MLS。
-
发出命令mls rp vtp-domain VTP-domain-name。
已启用MLS的每个接口上的VTP域名必须与交换机的域名匹配。
-
发出命令mls rp vlan-id VLAN-ID-number。
这仅对非ISL中继和外部MLS-RP接口是必需的。
-
发出命令mls rp management-interface。
在MLS-RP上仅对一个接口发出此命令。此必需步骤告知MLS-RP MLS-RP应将MLSP消息发送到哪个接口。
-
发出命令mls rp ip。
此命令在MLS-RP的接口上启用MLS。
要更改MLS-SE的VTP域名,请在交换机启用提示符下发出以下命令:
-
设置vtp域名VTP域名
要使MLS正常工作,请确保您已使用以下命令在交换机上启用VTP:
-
set vtp enable
-
-
流掩码是否在 MLS-RP 和 MLS SE 上达成一致?
流掩码是网络管理员配置的过滤器。MLS使用过滤器确定是否需要创建快捷方式。该过程与访问列表的过程类似,如果您详细设置了条件,则MLS进程必须深入查看数据包,以验证数据包是否满足这些条件。要调整MLS创建的快捷方式范围,可以使流掩码更具体或更不具体。流掩码实质上是“调整”设备。三种IP MLS模式为:
-
destination-ip
-
source-destination-ip
-
full-flow-ip
当您尚未将访问列表应用到已启用MLS的路由器接口时,目标IP模式(默认)正在使用。在MLS-RP上应用标准访问列表时,源 — 目标 — IP模式正在使用,如果扩展访问列表在MLS-RP上使用,则full-flow-ip模式生效。应用到接口的访问列表类型隐式确定MLS-RP上的MLS模式。相反,MLS-SE上的MLS模式是显式配置。选择适当的模式时,可以配置MLS,使以下语句之一为真:
-
创建MLS快捷方式时,只有目标地址必须匹配。
-
源和目的信息,甚至TCP/用户数据报协议(UDP)端口号等第4层信息,都必须匹配。
MLS模式可在MLS-RP和MLS-SE上配置。通常,模式必须匹配。但是,如果您认为源 — 目标 — ip或全流 — ip MLS模式是必要的,则应通过适当访问列表的应用在路由器上配置该模式。MLS 始终选择最具体的掩码。MLS优先于MLS-RP上的流掩码,而优先于MLS-SE上的流掩码。如果更改交换机的MLS模式(默认目的IP),请小心。您应确保MLS模式与路由器上的模式匹配,MLS才能正常工作。对于source-destination-ip和full-flow-ip模式,请记住将访问列表应用到相应的路由器接口。如果不应用访问列表,则模式只是默认目标IP,即使您配置了MLS模式。
注意:无论在MLS-RP还是MLS-SE上,只要更改流掩码,都会清除所有缓存MLS流,MLS进程将重新启动。在路由器上发出命令clear ip route-cache时,也会发生清除操作。如果发出全局路由器配置命令no ip routing,则该命令会导致清除并禁用MLS。(no ip routing 命令会关闭IP路由,并将路由器实质上转换为透明网桥。) 路由是MLS的前提条件。这些操作都可能暂时但严重影响生产网络中的路由器性能。由于路由器处理交换机之前处理的所有流,因此路由器在创建新的快捷方式之前会经历路由器负载高峰。注意:请避免广泛使用您配置了第4层信息的流掩码,特别是将Catalyst 5500/5000系列交换机用作MLS-SE时。如果强制路由器深入对等接口上的每个数据包,则会绕过MLS的许多预期优势。当您将Catalyst 6500/6000系列交换机用作MLS-SE时,流掩码的广泛使用远不是问题;使用6500/6000作为MLS-SE时,交换机端口可以识别第4层信息。
注意:直到最近,MLS还不支持在MLS-RP接口上配置入站流掩码,而仅支持出站配置。现在,除了路由器接口上的普通MLS-RP配置命令外,还支持使用mls rp ip input-acl命令的入站流掩码。
-
-
交换机上是否连续看到多个MLS“移动太多”错误消息?
如第7步所述,如果更改流掩码、清除路由缓存或全局关闭IP路由,该操作将导致缓存清除。其他情况也可能导致完全清除或多次单条清除。然后,MLS表示“移动太多”。 这条消息有几种形式,但每种形式都包含这三个单词。当交换机在同一VLAN中获取多个相同的以太网MAC地址时,会发生此错误的另一个最常见原因。根据以太网标准,不允许同一 VLAN 中存在相同的 MAC 地址。如果您不经常看到错误,或者只连续看到几次,则没有理由担心。MLS是一项强大的功能。正常网络事件(例如端口之间PC连接的移动)可能会导致此消息。但是,如果您连续看到错误几分钟,则该消息可能是更严重问题的症状。
当出现这种情况时,常见的根本原因是存在两个具有相同MAC地址的设备与VLAN连接,或VLAN内的物理环路。(如果跨这些广播域桥接,另一种可能是多个VLAN。) 使用生成树故障排除和下面的提示查找并消除环路。此外,任何快速拓扑更改都可能导致临时网络(和MLS)不稳定。示例包括抖动或网络接口卡(NIC)损坏的路由器接口。
提示:在交换机上使用show mls notification和show looktable命令指向重复的MAC地址或物理环路。show mls notification 命令提供表地址 (TA) 值。show looktable TA-value 命令返回可能的 MAC 地址,您可以用它来追踪问题的根源。
命令或屏幕截图
有关IP MLS路由器和交换机命令的详细说明和示例,请参阅本文档的相关信息部分。
在联系思科技术支持之前
在与思科技术支持部门联系之前,请务必阅读本文档并完成文档建议的针对系统问题的操作。
此外,请完成以下项目并记录结果,以获得更好的帮助:
-
从所有受影响的交换机捕获show module命令的输出。
-
从所有受影响的交换机捕获show vtp domain命令的输出。
-
从所有受影响的端口捕获show trunk mod_number/port_number命令的输出。
-
从所有受影响的端口捕获show trunk mod_number/port_number capabilities命令的输出。
-
从MLS-RP捕获show tech-support命令的输出。
-
捕获MLS-RP上show mls rp命令的输出,以及MLS-SE上show mls和show mls include命令的输出。
-
根据问题的性质,根据需要捕获其他命令的输出。
清晰的网络拓扑和拨入或Telnet访问也大大有助于有效解决问题。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
09-Dec-2005 |
初始版本 |
反馈