疑難排解IP多層次交換
簡介
本文概述了排除IP多層交換(MLS)故障的基本步驟。此功能已成為通過使用專用專用專用積體電路(ASIC)提高路由效能的一種非常理想的方法。 傳統路由通過中央CPU和軟體實現。MLS將路由的重要部分(資料包重寫)解除安裝到硬體,這就是為什麼MLS也使用「交換」一詞。MLS和第3層交換是等效術語。Cisco IOS®軟體的NetFlow功能截然不同;本文檔不涉及NetFlow。MLS還包括對網際網路封包交換(IPX)MLS(IPX MLS)和多點傳送MLS(MMLS)的支援。 但是,本文檔僅側重於基本的MLS IP故障排除過程。
對於使用運行Cisco IOS軟體的Cisco Catalyst 6500/6000系列交換機的客戶,請參閱您的Supervisor Engine的MLS文檔:
註:本檔案對Catalyst 6500/6000 Supervisor Engine 2或Supervisor Engine 720無效,因為這些Supervisor Engine不使用MLS。Supervisor Engine 2和Supervisor Engine 720使用Cisco Express Forwarding(CEF)作為硬體型轉送機制。如需詳細資訊,請參閱使用Supervisor Engine 2且執行CatOS系統軟體的Catalyst 6500/6000系列交換器上涉及CEF的單播IP路由疑難排解檔案。
必要條件
需求
本文件沒有特定需求。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
MLS的說明
隨著網路面臨更高的需求,對更高效能的需求也隨之增加。越來越多的PC連線到LAN、WAN和Internet。使用者需要快速訪問資料庫、檔案和網頁、通過網路的應用程式、其他PC和影片流。為了保持快速可靠的連線,網路必須能夠快速調整以適應變化和故障,從而找到最佳路徑。網路還必須對終端使用者保持儘可能的隱形。確定最佳路徑是路由協定的主要功能,這可能是CPU密集型過程。因此,當將該功能的一部分解除安裝到切換硬體時,效能顯著提高。此效能提升是MLS功能的目標。
MLS的三個主要元件中的兩個是MLS路由處理器(MLS-RP)和MLS交換引擎(MLS-SE)。 MLS-RP是啟用MLS的路由器,它執行子網/VLAN之間路由的傳統功能。MLS-SE是啟用MLS的交換機,通常需要路由器在子網/VLAN之間進行路由。但是,使用特殊的硬體和軟體,MLS-SE可以處理資料包的重寫。當資料包經過路由介面時,當資料包逐跳到達目的地時,資料包的非資料部分會發生更改(重寫)。這裡可能會出現混淆,因為第2層裝置似乎承擔了第3層任務。實際上,交換機只重寫子網/VLAN之間的第3層資訊和「交換機」。路由器仍負責基於標準的路由計算和最佳路徑確定。如果您將路由和交換功能分隔開來,尤其是當它們位於同一機箱中(如使用內部MLS-RP),就可以避免這種混亂。 可以將MLS看成一種更高級的路由快取形式,它將快取與交換機上的路由器分隔開來。MLS要求MLS-RP和MLS-SE,以及相應的硬體和軟體最小值。
MLS-RP可以是內部(安裝在交換機機箱中)或外部(通過電纜連線到交換機上的中繼埠)。 內部MLS-RP的示例包括路由交換模組(RSM)和路由交換功能卡(RSFC)。 您可以將RSM或RSFC分別安裝在Catalyst 5500/5000系列交換器的插槽或Supervisor Engine中。這同樣適用於Catalyst 6500/6000系列的多層次交換功能卡(MSFC)。外部MLS-RP的示例包括Cisco 7500、7200、4700、4500或3600系列路由器的任何成員。通常,為了支援MLS IP功能,所有MLS-RP在11.3WA或12.0WA系列中都需要最低的Cisco IOS軟體版本。有關詳細資訊,請參閱Cisco IOS軟體版本文檔。此外,還必須啟用路由器的MLS以成為MLS-RP。
MLS-SE是具有特殊硬體的交換機。若是Catalyst 5500/5000系列交換器,MLS需要在Supervisor Engine上安裝NetFlow功能卡(NFFC)。預設情況下,Supervisor引擎IIG和IIIG具有NFFC。此外,還至少需要具備Catalyst OS(CatOS)4.1.1軟體。
注意:CatOS 4.x系列現在處於常規部署(GD)狀態。 該軟體通過了嚴格的終端使用者標準和現場體驗目標,以實現穩定性。請參閱Cisco.com以取得最新版本。
採用MSFC/原則功能卡(PFC)的Catalyst 6500/6000硬體和軟體支援和自動啟用IP MLS。(其他路由器上已停用MLS的預設值。)
注意:IPX MLS和MMLS可能具有不同的硬體和軟體(Cisco IOS軟體和CatOS)要求。更多思科平台支援MLS功能。此外,還必須為交換機啟用MLS,使其成為MLS-SE。
MLS的第三個主要元件是多層交換協定(MLSP)。 您必須瞭解MLSP的基本知識,才能瞭解MLS的核心問題並執行有效的MLS故障排除過程。MLS-RP和MLS-SE使用MLSP相互通訊。任務包括:
-
啟用MLS。
-
安裝MLS流(快取資訊)。
-
更新或刪除流。
-
管理和匯出流統計資訊。
注意:其他文檔包括NetFlow資料匯出。
MLSP還允許MLS-SE:
-
瞭解啟用MLS的路由器介面的第2層MAC地址。
-
檢查MLS-RP的流掩碼。
附註: 本檔案的疑難排解IP MLS技術一節說明此程式。
-
確認MLS-RP運行正常。
使用MLSP,MLS-RP每15秒傳送一次組播「hello」資料包。如果MLS-SE錯過了這三個間隔,則MLS-SE會識別MLS-RP出現故障或與MLS-RP的連線丟失。
此圖說明了建立快捷方式必須完成的三個要素(使用MLSP):候選、啟用和快取步驟。MLS-SE檢查快取MLS條目。如果MLS快取條目和資料包資訊匹配(「命中」),則資料包報頭重寫將在交換機本地進行。此重寫是路由器的快捷方式或旁路。封包不會像正常情況轉送到路由器。不匹配的資料包將作為候選資料包轉發到MLS-RP。這些封包可能會發生本機交換器。候選資料包通過MLS流掩碼(排除IP MLS技術故障一節的步驟7說明了這一點)以及資料包報頭中的資訊重寫(不與資料部分聯絡)之後,路由器將資料包沿目標路徑傳送到下一跳。該資料包現在是啟用資料包。如果資料包返回到資料包所離開的同一MLS-SE,則會建立MLS快捷方式並將其放入MLS快取中。現在,交換器硬體會在本地重寫該封包及隨後的所有類似封包(「流」),而不是路由器軟體。
同一個MLS-SE必須同時看到用於建立MLS快捷方式的特定流的候選資料包和啟用資料包。(此要求是網路拓撲對MLS重要的原因。) 請記住,MLS的用途是允許位於不同VLAN中的兩台裝置之間的通訊路徑(通過關閉同一台交換器的連線)繞過路由器。此操作可增強網路效能。
使用flowmask(本質上是訪問清單)時,管理員可以調整這些資料包的相似度。管理員可以調整這些流的範圍:
-
目的地位址.
-
目的地址和源地址。
-
目標、源和第4層資訊。
注意:流的第一個資料包始終通過路由器。從那時起,流在本地交換。每個流都是單向的。例如,PC之間的通訊需要設定和使用兩個快捷方式。MLSP的主要目的是設定、建立和維護這些快捷方式。
這三個元件(MLS-RP、MLS-SE和MLSP)通過允許其他網路元件承擔某些路由器功能而釋放重要的路由器資源。對於某些拓撲和配置,MLS提供了一種簡單而高效的方法來提高LAN中的網路效能。
IP MLS技術故障排除
本部分包括基本IP MLS故障排除的流程圖。此圖來自客戶通過Cisco技術支援發出的最常見的MLS-IP服務請求型別。MLS是一個強健的功能,您應該不會遇到問題。但是,如果確實出現問題,本節應幫助您解決問題。若要疑難排解,下列專案必須為true:
-
您熟悉並完成了啟用路由器和交換機上的IP MLS所必需的基本配置步驟。有關詳細資訊,請參閱本文檔的相關資訊部分。
-
您已在MLS-RP上啟用IP路由(預設)。 如果show run命令的全域性配置中顯示命令no ip routing,則IP routing為off。在這種情況下,IP MLS無法正常工作。
-
MLS-RP和MLS-SE之間存在IP連線。從交換機ping路由器的IP地址。然後,查詢所顯示的感歎號(感歎號)。
-
路由器上的MLS-RP介面處於「up/up」狀態。在路由器上發出show ip interface brief 命令以確認狀態。
注意:每當對要永久使用的路由器進行配置更改時,請記得使用copy running-config starting-config命令儲存這些更改。此命令的較短版本包括copy run start和write memory。如果路由器重新載入或重置路由器,所有配置修改都將丟失。RSM、RSFC和MSFC是路由器,而不是交換機。相反,當在Catalyst 5500/5000或6500/6000系列交換器的交換器提示處進行變更時,就會自動儲存變更。
流程圖和步驟故障排除
註:流程圖下顯示的過程提供了有關流程圖中每個步驟的詳細資訊。
-
是否滿足最低硬體和軟體要求?
升級MLS-RP和MLS-SE,以滿足最低的軟體和硬體要求。對於MLS-RP,無需其他硬體。雖然可以在非中繼介面上配置MLS,但到MLS-SE的連線通常通過VLAN介面(與RSM一樣)或支援中繼。(如果在交換機埠和路由器介面上配置了交換機間鏈路協定[ISL]或IEEE 802.1Q中繼,則還可以配置中繼以支援多個VLAN上的MLS。) 此外,只有Cisco 7500、7200、4700、4500和3600系列路由器的成員在外部支援MLS。目前,只有這些外部路由器和適用於Catalyst 5500/5000或6500/6000交換機系列的路由器可以是MLS-RP。(範例包括Catalyst 5500/5000系列的RSM和RSFC,以及Catalyst 6500/6000系列的MSFC或MSFC2。) MSFC也需要使用PFC。您必須將兩者都安裝在Catalyst 6500/6000 Supervisor Engine上。IP MLS現在是Cisco IOS軟體版本12.0和更新版本的標準功能。低於Cisco IOS軟體版本12.0的Cisco IOS軟體通常需要特殊培訓。要獲得此類IP MLS支援,請在Cisco IOS軟體版本11.3中安裝檔名中帶有字母「WA」的最新映像。
對於MLS-SE,Catalyst 5500/5000系列的成員需要NFFC。將此卡安裝在Catalyst交換器的Supervisor Engine模組中。較新的Catalyst 5500/5000系列管理引擎(自1999年起)將卡作為標準硬體。管理引擎I和II不支援NFFC;NFFC是早期管理引擎III的一個選項。此外,IP MLS至少需要CatOS 4.1.1。相反,對於搭載Supervisor Engine 1或1A的Catalyst 6500/6000系列交換器,從第一個CatOS軟體版本5.1.1開始支援IP MLS。(實際上,IP MLS是此軟體高效能的必要和預設成分。) 隨著支援IP MLS的新平台和軟體的發佈,您需要檢視文檔和發行說明。通常,將最新版本安裝到滿足功能要求的最低系列中。請務必檢視發行說明,並諮詢您當地的思科銷售辦公室,瞭解新的MLS支援和功能開發。
要確定已安裝的硬體和軟體,請在路由器上使用show version命令,在交換機上使用show module命令。
註:Catalyst 6500/6000系列交換器不支援外部MLS-RP。MLS-RP必須是MSFC。
-
不同VLAN中的源裝置和目的裝置是否來自共用單個公用MLS-RP的同一MLS-SE?
MLS的基本拓撲要求是路由器具有到每個VLAN的路徑。請記住,MLS的用途是在兩個VLAN之間建立快捷方式,以便交換機可以在兩個終端裝置之間執行「路由」。然後,路由器可以自由執行其他任務。交換機實際上不會路由,但會重寫幀,以便終端裝置看起來能夠通過路由器通訊。如果兩台裝置位於同一個VLAN中,則MLS-SE無需使用MLS即可在本地交換該幀,在這樣一個透明橋接環境中,交換機會這樣做。因此,不會建立MLS快捷方式。網路中可以有多個交換機和路由器,甚至沿流路徑有多個交換機。但是,兩個終端裝置之間的路徑必須包含一個MLS-RP,對於該路徑,您需要MLS快捷方式。換句話說,從源到目的地的流量必須穿過同一MLS-RP上的VLAN邊界;此外,同一個MLS-SE必須看到候選和啟用程式資料包對才能建立MLS快捷方式。如果拓撲不滿足這些條件,則資料包通常不使用MLS進行路由。請參閱本檔案的相關資訊一節,以取得有關支援和缺少支援之網路拓撲的圖表和討論。
-
MLS-RP在其全域性和介面配置下是否包含mls rp ip語句?
如果沒有,則在MLS-RP上適當新增mls rp ip語句。除了自動啟用IP MLS的路由器(例如Catalyst 6500/6000 MSFC和MSFC2)外,組態需要此步驟。對於大多數MLS-RP(為IP MLS配置的路由器),mls rp ip語句必須同時出現在全域性配置中和介面配置下。
注意:配置MLS-RP時,也請記得在MLS-RP的一個IP MLS介面下發出mls rp management-interface命令。此必需步驟告知MLS-RP應在哪個介面上傳送MLSP消息以與MLS-SE通訊。同樣,您只需要在一個介面下發出此命令。
-
MLS-RP上是否配置了自動禁用該介面上MLS的功能?
路由器上有多個配置選項與MLS不相容。這些選項包括IP記帳、加密、壓縮、IP安全、網路地址轉換(NAT)和承諾訪問速率(CAR)。 有關詳細資訊,請參閱本文檔的相關資訊部分中的與IP MLS配置相關的連結。使用以上任一功能配置的路由器介面中經過的資料包必須正常路由;不會建立MLS快捷方式。要使MLS工作,必須在MLS-RP介面上禁用這些功能。
影響MLS的另一個重要功能是存取清單,包括輸入和輸出。有關此選項的進一步討論請參見本節的步驟7。
-
MLS-SE是否識別MLS-RP地址?
要使MLS正常工作,交換機必須將路由器識別為MLS-RP。安裝了內部MLS-RP的MLS-SE會自動識別MLS-RP。(內部MLS-RP的示例包括Catalyst 5500/5000系列交換機中的RSM或RSFC,以及Catalyst 6500/6000系列交換機中的MSFC/MSFC2。) 對於外部MLS-RP,您必須將路由器地址明確通知交換機。此地址來自路由器介面上的IP地址清單,實際上不是IP地址。地址只是路由器ID。對於內部MLS-RP,MLS-ID通常不是路由器上的IP地址。ID通常是環回地址(127.0.0.x),因為會自動包含內部MLS-RP。要使MLS正常工作,請在MLS-SE上包括在MLS-RP上找到的MLS-ID。
在路由器上使用show mls rp命令查詢MLS-ID。然後,使用set mls include MLS-ID 命令在交換機上配置該ID。使用外部MLS-RP時,配置需要此步驟。
注意:如果更改MLS-RP介面的IP地址,然後重新載入路由器,則路由器上的MLS進程可能會選擇新的MLS-ID。這個新的MLS-ID可能與您手動包括在MLS-SE上的MLS-ID不同,這可能導致MLS停止運行。問題不是軟體故障,而是交換機嘗試與不再有效的MLS-ID通訊的結果。請確保在交換機上包含此新MLS-ID,以使MLS重新運行。您可能還必須禁用/啟用IP MLS。 注意:當MLS-SE沒有直接連線到MLS-RP時,MLS-SE上要包含的地址可能顯示為以下步驟中提到的環回地址:連線MLS-SE和MLS-RP之間的交換機。即使MLS-RP是內部的,也必須包括MLS-ID。對於第二台交換機,MLS-RP顯示為外部路由器,因為MLS-RP和MLS-SE不在同一機箱中。
-
MLS-RP介面和MLS-SE是否位於相同的啟用VLAN中繼協定(VTP)域中?
MLS要求MLS元件(包括終端站)位於同一個VTP域中。VTP是第2層協定,它從一個中央交換機管理多台Catalyst交換機上的VLAN。VTP允許管理員在域中的所有交換機上建立或刪除VLAN,而無需在該域中的每個交換機上建立或刪除VLAN。MLS-SE和MLS-RP用於相互通訊的MLSP不會越過VTP域邊界。如果在交換機上啟用了VTP,請在交換機上使用show vtp domain命令確定MLS-SE的VTP域位置。(Catalyst 5500/5000和6500/6000系列交換機上啟用了VTP的預設設定。)
完成以下步驟,將VTP域新增到每個路由器MLS介面。(Catalyst 6500/6000 MSFC和MSFC2是這些步驟效能的例外情況,MLS實質上是一個「即插即用」功能。) 此過程允許MLSP組播在MLS-RP和MLS-SE之間移動,因此允許MLS運行。
-
發出命令no mls rp ip 。
在修改VTP域之前,這會禁用受影響的MLS-RP介面上的MLS。
-
發出命令mls rp vtp-domain VTP-domain-name 。
您已啟用MLS的每個介面上的VTP域名必須與交換機的域名匹配。
-
發出命令mls rp vlan-id VLAN-ID-number 。
這僅適用於非ISL中繼和外部MLS-RP介面。
-
發出命令mls rp management-interface。
僅對MLS-RP上的一個介面發出此命令。此必需步驟告知MLS-RP應該將MLSP消息傳送到哪個介面。
-
發出命令mls rp ip。
此命令在MLS-RP的介面上啟用MLS。
要更改MLS-SE的VTP域名,請在交換機啟用提示符下發出以下命令:
-
set vtp domain name VTP-domain-name
要使MLS正常工作,請確保您已使用以下命令在交換機上啟用VTP:
-
set vtp enable
-
-
flowmask是否同意MLS-RP和MLS-SE?
flowmask是網路管理員配置的過濾器。MLS使用過濾器來確定是否需要建立快捷方式。這個過程與訪問清單的過程相似,因為如果您以非常詳細的條件來設定條件,則MLS過程必須深入檢查資料包,以驗證資料包是否滿足這些條件。要調整MLS建立的快捷方式的範圍,可以使flowmask或多或少地具體。流罩實質上是一種「調諧」裝置。三種IP MLS模式是:
-
destination-ip
-
source-destination-ip
-
full-flow-ip
如果尚未將存取清單套用到您已啟用MLS的路由器介面,則會使用destination-ip模式(預設值)。當您在MLS-RP上應用標準訪問清單時,source-destination-ip模式正在使用中,並且如果在MLS-RP上使用擴展訪問清單,則全流IP模式生效。應用於介面的訪問清單型別隱式確定MLS-RP上的MLS模式。相反,MLS-SE上的MLS模式是顯式配置。選擇適當的模式時,可以將MLS配置為使以下語句之一為真:
-
只有目標地址必須與建立MLS快捷方式相匹配。
-
來源和目的地資訊,甚至是第4層資訊(例如TCP/使用者資料包通訊協定(UDP)連線埠號碼)必須相符。
MLS模式可在MLS-RP和MLS-SE上配置。一般來說,模式必須匹配。但是,如果您認為有必要使用source-destination-ip或full-flow-ip MLS模式,則應通過應用適當的訪問清單在路由器上配置模式。MLS始終選擇最具體的掩碼。MLS使MLS-RP上的流掩碼優先於MLS-SE上找到的流掩碼。如果從預設目的地IP變更交換器的MLS模式,請小心。您應該確保MLS模式與路由器上的模式匹配,以使MLS正常工作。對於source-destination-ip和full-flow-ip模式,請記住將訪問清單應用於相應的路由器介面。如果不應用任何訪問清單,則模式只是預設目標IP,即使您另外配置MLS模式也是如此。
注意:無論是在MLS-RP還是MLS-SE上更改流掩碼時,都會清除所有快取MLS流,並且MLS進程將重新啟動。在路由器上發出clear ip route-cache指令時,也可能發生清除。如果您發出全域性路由器配置命令no ip routing,該命令會清除並禁用MLS。(no ip routing命令會關閉IP路由,並從本質上將路由器轉換為透明網橋。) 路由是MLS的先決條件。這些操作中的每一個都可能暫時地嚴重地影響生產網路中的路由器效能。由於路由器處理交換機以前處理過的所有資料流,因此路由器負載會急劇增加,直到建立新的快捷方式。注意:避免使用已配置第4層資訊的流掩碼(尤其是使用Catalyst 5500/5000系列交換機作為MLS-SE)。如果您強制路由器深入對等介面上的每個資料包,則會繞過MLS的許多預期優點。將Catalyst 6500/6000系列交換器用作MLS-SE時,流量遮罩的廣泛使用問題會小得多;使用6500/6000作為MLS-SE,交換機埠可以識別第4層資訊。
注意:直到最近,MLS才支援MLS-RP介面上具有入站配置的流掩碼,但僅支援出站配置。現在,除了路由器介面上的正常MLS-RP配置命令外,還支援使用mls rp ip input-acl命令進行入站流掩碼。
-
-
交換機上是否連續出現超過幾條MLS「Too many moves」錯誤消息?
如步驟7所述,如果更改流掩碼、清除路由快取或全域性關閉IP路由,該操作將導致快取清除。其他情況也可能導致完全清除或多次單一輸入清除。然後MLS指示「移動過多」。 此消息有多種形式,但每種形式都包含這三個詞。當交換機獲知同一個VLAN中的多個相同的乙太網MAC地址時,出現此錯誤的另一個最常見原因。乙太網標準不允許在同一個VLAN內使用相同的MAC地址。如果錯誤不經常出現,或者連續出現幾次,則無需擔心。MLS是一個強大的功能。正常的網路事件(例如PC連線埠之間的移動)可能導致出現該消息。但是,如果您連續看到此錯誤數分鐘,則此消息很可能是更嚴重問題的症狀。
出現這種情況時,常見的根本原因是存在兩台具有相同MAC地址並連線到VLAN的裝置,或VLAN中的物理環路。(另一種可能是多個VLAN,如果跨這些廣播域進行橋接。) 使用生成樹故障排除和下面的提示查詢並消除環路。此外,任何快速拓撲更改都可能導致臨時網路(和MLS)不穩定。例如擺動或網路介面卡(NIC)故障的路由器介面。
提示:在交換機上使用show mls notification和show looktable命令以指向重複的MAC地址或物理環路。show mls notification 命令會提供一個表格位址 (TA) 值。show looktable TA 值命令會傳回一個可能的 MAC 位址,您可以將其追蹤到問題的根源。
命令或螢幕截圖
有關IP MLS路由器和交換機命令的詳細說明和示例,請參閱本文檔的相關資訊部分。
在聯絡思科技術支援之前
在聯絡思科技術支援之前,請確定您已閱讀本檔案並完成檔案就您的系統問題建議的動作。
此外,請完成以下專案並記錄結果,以獲得更好的幫助:
-
從所有受影響的交換機捕獲show module命令的輸出。
-
從所有受影響的交換機捕獲show vtp domain命令的輸出。
-
從所有受影響的埠捕獲show trunk mod_number/port_number 命令的輸出。
-
從所有受影響的埠捕獲show trunk mod_number/port_number capabilities命令的輸出。
-
從MLS-RP捕獲show tech-support命令的輸出。
-
捕獲MLS-RP上show mls rp命令的輸出,以及MLS-SE上show mls和show mls include命令。
-
根據需要,捕獲其他命令的輸出,這取決於問題的性質。
清晰的網路拓撲和撥入或Telnet訪問也有助於有效地解決問題。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
09-Dec-2005 |
初始版本 |
意見