Перевод документации по оборудованию Cisco. Оригинальная статья: Best Practices for Catalyst 6500/6000 Series and Catalyst 4500/4000 Series Switches Running Cisco IOS Software. >>
Перевод: Горазд, Зарёна

Содержание

Введение
Краткий обзор
      Предпосылки
      Ссылки
      Базовая конфигурация
      Служебные протоколы
      VLAN 1
Настройка стандартных функций
      VLAN Trunk Protocol
      Автоопределение Fast Ethernet
      Автоопределение Gigabit Ethernet
      DTP
      STP
      EtherChannel
      Однонаправленное обнаружение связи
      Многоуровневая коммутация
Настройка безопасности Cisco IOS
      Основные функции безопасности
      Службы безопасности AAA
      TACACS+
Настройка управления
      Диаграммы сети
      Интерфейс управления коммутатором и собственный (native) VLAN
      Внеполосное управление
      Журналирование событий
      SNMP
      NTP
      CDP
Сводный список команд настройки
      Общие команды
      Команды настройки интерфейсов
Дополнительная информация

   В этом документе рассматриваются лучшие (или рекомендуемые) методы работы с коммутаторами Cisco серии Catalist 6500/6000 и серии Catalyst 4500/4000 под управлением операционной системы Cisco IOS.

   Коммутаторы Catalyst серий 6500/6000 и 4500/4000 могут работать под управлением одной из двух операционных систем, запущенных в основном модуле устройства (Supervisor Engine): Catalyst OS (далее CatOS) или Cisco IOS. При использовании CatOS существует возможность запуска Cisco IOS на карте расширения маршрутизатора, или на дополнительном модуле, таком как Multilayer Switching Feature Card (MSFC) в коммутаторах Catalyst 6500/6000, или на модуле 4232 Layer 3 (L3) в коммутаторах Catalyst 4500/4000. В такой конфигурации придётся использовать два различных интерфейса командной строки: интерфейс CatOS для настройки функций коммутатора, а интерфейс Cisco IOS для настройки функций маршрутизации. То есть, CatOS является системной программой, работающей на основном модуле устройства (Supervisor Engine), а Cisco IOS дополнительной программой, работающей на модуле маршрутизации, как расширение к CatOS, если требуется использовать функциональность маршрутизатора.

   При использовании Cisco IOS в качестве основной операционной системы будет использован только один интерфейс командной строки для настройки, так как функциональность CatOS интегрирована в Cisco IOS. То есть, в этом режиме Cisco IOS является системной программой на основном модуле устройства и полностью замещает собой CatOS.

   Обе операционные системы - и CatOS, и Cisco IOS, используются на коммутаторах в сетях с критической нагрузкой. CatOS (c Cisco IOS на картах расширения или модулях, если требуется) поддерживается в коммутаторах Catalyst серий 6500/6000, 5500/5000, и 4500/4000. Cisco IOS поддерживается на коммутаторах Catalyst серий 6500/6000 и 4500/4000. Для информации по работе с CatOS на этих коммутаторах, Вы можете обратиться к документу Best Practices for Catalyst 4500/4000, 5500/5000, and 6500/6000 Series Switches Running CatOS Configuration and Management .

   Решения будут рассматриваться на примере настройки коммутатора Catalyst 6513, заводские установки которого предполагают работу под управлением Cisco IOS Release 12.1(13)E. Данный документ так разбит на разделы, чтобы каждый из них можно было использовать независимо и изменения настроек могли осуществляться поэтапно. Чтение этого документа предполагает наличие у читателя базовых знаний и навык работы в командной строке Cisco IOS. Перед представленным материалом не ставилась цель покрыть всю плоскость вопросов проектирования сетей.

Краткий обзор

Предпосылки

   Решения, предлагаемые здесь, основаны на многолетнем боевом опыте инженеров Cisco, работающих с наикрупнейшими клиентами Cisco и сложными сетями. Эти решения отражают реальные мировые конфигурации для наиболее эффективной и оптимальной работы в сетях. Представленные решения:

Ссылки

   Существует множество сайтов посвящённых коммутаторам Catalyst 6500/6000 и Catalyst 4500/4000. Здесь подобраны ссылки на информацию, которая использовалась в качестве исходного материала при составлении данного документа и может послужить более глубокому пониманию обсуждаемых тем.

(прим. перев.) На момент перевода в оригинальном документе стояла битая ссылка, поэтому мы заменили её на реальную, ведущую к указанному документу. Кстати, рекомендуем зайти и ознакомится с ним. Там описаны основы технологии, имеются неплохие примеры для различных коммутаторов Cisco.

Базовая конфигурация

   В этой секции обсуждаются особенности, используемые в большинстве сетей, построенных на коммутаторах Catalyst.

Служебные протоколы

   Мы рассмотрим здесь протоколы, служащие для взаимодействия между коммутаторами. Понимание этих протоколов поможет лучше понять остальные секции документа.

   В большинстве сетей на коммутаторах Catalyst встречается ситуация, когда два или более коммутатора работают в тесном контакте, что подразумевает обмен служебными сообщениями, параметрами конфигурации и сигналами управления. Все служебные протоколы, вне зависимости от того, являются ли они специфическими протоколами Cisco, например, Cisco Discovery Protocol, или стандартными протоколами, например, IEEE 802.1d (Spanning Tree Protocol), все они имеют некоторые общие элементы в рамках реализации на коммутаторах Catalyst.

   Каждый кадр данных, поступающий в коммутатор несёт в себе информацию о происхождении - MAC адрес узла-источника (SA) и MAC адрес узла-получателя (DA). Таблица соответствия, расположенная в памяти Content Addressable Memory (CAM) основного модуля (Supervisor Engine), составляется на основе анализа MAC адреса узла-источника. Сопоставлением этому MAC адресу номера порта, с которого кадр поступил, происходит обучение таблицы соответствия или, иначе, составление топологии сети. Для принятия решения об обработке кадра анализируется MAC адрес узла-получателя кадра. Кадр фильтруется, если найдено соответствие порта анализируемому MAC-адресу, и кадр поступил с того порта, номер которого был найден при анализе (узел отправителя и получателя находятся на одном и том же порту). Кадр пересылается в порт, если найдено соответсвие порта анализируемому MAC адресу, и кадр поступил с порта, отличного от номера порта, который был найден при анализе (узлы отправителя и получателя находятся по разным портам). Кадр пересылается по всем портам в текущем VLAN (затопление кадра), если соответствие порта анализируемому кадру не найдено или если адрес назначения является групповым или широковещательным.

   В таблице соответствия имеются специальные записи, называемые системными записями, которые используются для приёма и передачи трафика в Network Management Processor (NMP) на внутреннем порту коммутатора. Таким образом, при использовании предопределённых MAC адресов узла-получателя, служебный трафик может быть отделён от потока обычных данных.

   Cisco имеет зарезервированный для служебного использования диапазон MAC-адресов и протоколов. Каждый из них будет рассмотрен далее в этом документе.

   Большинство служебных протоколов Cisco используют протокол IEEE 802.3 Subnetwork Access Protocol (SNAP), включая протокол Logical Link Control (LLC) 0xAAAA03 и OUI 0x00000C, что позволяет отследить их в обычной LAN.

   Эти протоколы предполагают тип соединения точка-точка. Учтите, что нужно как следует подумать перед использованием группового адреса получателя при прозрачном подключении двух коммутаторов Catalyst через не-Cisco коммутаторы, поскольку они не будут понимать кадры служебных протоколов, что может привести к затоплению (flood) этих коммутаторов. Такая схема подключения может привести к различным проблемам и следует вообще избегать таких ситуаций. Данные протоколы могут работать только на канальном уровне в пределах одной зоны коммутации, так как L3 маршрутизаторы не пропускают их через себя. Эти протоколы имеют приоритет перед остальными данными при обработке коммуттором.

   После того, как мы подробно обсудили адрес узла-получателя DA, обратимся к адресу узла-источника SA. В качестве адреса узла-источника, коммутатор использует адрес, взятый из банка, имеющегося в ПЗУ каждой платформы. Команда show module покажет диапазоны адресов для каждого модуля коммутатора. Приведём пример вывода этой команды:

>show module
-

Mod MAC-Address(es)                        Hw     Fw         Sw
--- -------------------------------------- ------ ---------- -----------------
1   00-01-c9-da-0c-1e to 00-01-c9-da-0c-1f 2.2    6.1(3)     6.1(1d)
    00-01-c9-da-0c-1c to 00-01-c9-da-0c-1  
        00-d0-ff-88-c8-00 to 00-d0-ff-88-cb-ff 
	
	
!--- MACs for sourcing traffic.

VLAN 1

   VLAN 1 имеет особое значение в сетях коммутаторов Catalist.

   Catalyst всегда использует "VLAN по умолчанию", VLAN 1, для разметки в транке кадров данных некоторых служебных протоколов, таких как CDP, VTP, и PAgP. Все порты, включая внутренний интерфейс sc0 (serial console), по умолчанию находятся в VLAN 1. Все транки по умолчанию передают и принимают кадры, размеченные VLAN 1.

   Резюмируя, отметим, что протоколы CDP, VTP, и PAgP на транках всегда помечаются тэгом VLAN 1. Это верно даже в том случае, если VLAN 1 не является собственным VLAN и был очищен с транкового порта. Очистка VLAN 1 для пользовательских данных в реальности никак не влияет на работу служебных протоколов, посылающих свои кадры в VLAN1.

   Кадры 802.1q IEEE BPDU отправляются не размеченными в общее дерево охвата (spanning tree) VLAN 1 для совместимости с другими производителями, пока VLAN 1 не очищен с транка. Кадры Cisco Per-VLAN Spanning Tree (PVST+) BPDU посылаются размеченными для любых других VLAN.

   В этом разделе рассматриваются базовые функции коммутации, общие для любой среды. Эти функции должны быть настроены на всех коммутаторах Catalyst под управлением Cisco IOS.

   Протокол VTP разработан с целью позволить делать изменения конфигурации VLAN центрально на одном или более коммутаторах, а затем автоматически распространять конфигурацию VLAN по всем коммутаторам сети в текущем домене VTP. VTP домен, также именуемый доменом управления VLAN, состоит из одного и более связанных через транк коммутаторов, которые разделяют то же самое название домена. Каждый коммутатор может находиться только в одном VTP домене.

   VTP - протокол L2, который поддерживает устойчивость конфигурации VLAN, управляя дополнением, удалением, и переименовывая VLAN. VTP минимизирует дробление и несогласованности конфигурации, которые могут привести к множеству проблем, вроде двойных названий VLAN, неправильных спецификаций типов VLAN, и нарушений безопасности.

   По умолчанию коммутатор находится в режиме сервера VTP и в состоянии не домена управления, до тех пор, пока не получит оповещение для домена через транк-соединение или пока не будет сконфигурирован управляющий домен.

   VTP общается между коммутаторами, используя известный групповой MAC-адрес (01-00-0c-cc-cc-cc) и тип протокола SNAP High-Level Data Link Control (HDLC) - 0x2003. Подобно другим внутренним протоколам, VTP также использует инкапсуляцию IEEE 802.3 SNAP, включая LLC 0xAAAA03, OUI 0x00000C. VTP не работает по нетранковым портам. Поэтому VTP сообщения не будут отправляться, пока DTP не поднял транк на порту (то есть, VTP является полезной нагрузкой ISL или 802.1q).

   Сообщения VTP включают в себя суммарные оповещения каждые 300 секунд, сокращённые оповещения и оповещения запросов, когда есть изменения, и соединения, когда сокращение VTP разрешено. Номер версии конфигурации VTP увеличивается с каждым изменением на сервере и распространяется вдоль всего домена VTP.

   Когда удаляется VLAN, все порты, находившиеся в этом VLAN, переходят в неактивное состояние. Точно так же, если коммутатор в режиме клиента не способен получить по VTP таблицу VLAN при загрузке (от VTP сервера или другого VTP клиента), все порты в VLAN кроме VLAN 1 будут деактивированы.