这是问题…我们有一个有很多思科交换机的networking。
有人插入networking中心,然后我们开始看到“怪异”的行为; 客户端与服务器之间的通信错误,networking超时,networking连接中断等等。看起来,集线器(或SOHO交换机)似乎让我们的思科3700系列交换机特别震惊。
断开该集线器或networking型SOHO交换机,并重新安顿下来。
我们正在试图为SNMP和pipe理等获得一个集中的日志logging服务器,看看我们是否可以在没有我们的知识的情况下进行这种事情时捕捉错误或缩小范围,因为事情似乎有效,大多数情况下,没有问题,我们只是在特定的交换机上出现怪异的事件,似乎没有任何解释,直到我们发现有人决定自己动手扩展其房间中的端口。
没有进入程序改变或locking端口或“在我们的组织中,他们会被解雇”的答案,有人可以解释为什么添加一个小型交换机或集线器,不一定是一个SOHO路由器(即使是一个愚蠢的集线器显然导致3700的怪胎)发送DHCP请求,会导致问题? 老板说,这是因为思科正在陷入困境,因为stream氓集线器/交换机将多个MAC / IP桥接到思科交换机的一个端口上,他们只是窒息而已,但我认为他们的路由表应该能够处理多台机器进入港口。 任何人都能看到这种行为,并对发生的事情有更清楚的解释。
我想知道将来的故障排除和更好的理解,只是挥动我的手,说“你不能”。
这是一场演出
当前configuration:25591字节
!
版本12.2
没有服务垫
服务时间戳debuggingdate时间毫秒
服务时间戳记date时间毫秒
服务密码encryption
!
主机名 ###########
!
引导启动标志物
引导结束标志
!
启用秘密5 ############
!
!
!
没有一个新的模式
交换机1提供ws-c3750g-24ps
交换机2提供ws-c3750-48ts
开关3提供ws-c3750-48ts
交换机4提供ws-c3750-48ts
切换5提供ws-c3750-48ts
系统mtu路由1500
authenticationmac-move许可证
IP子网零
IP路由
!
!
!
mls qos map policed-dscp 24 26 46 to 0
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queueinput带宽90 10
mls qos srr-queueinput阈值1 8 16
mls qos srr-queueinput阈值2 34 66
mls qos srr-queueinput缓冲区67 33
mls qos srr-queueinputcos-map队列1阈值2 1
mls qos srr-queueinputcos-map队列1阈值3 0
mls qos srr-queueinputcos-map队列2阈值1 2
mls qos srr-queueinputcos-map队列2阈值2 4 6 7
mls qos srr-queueinputcos-map队列2阈值3 3 5
mls qos srr-queueinputdscp-map队列1阈值2 9 10 11 12 13 14 15
mls qos srr-queueinputdscp-map队列1阈值3 0 1 2 3 4 5 6 7
mls qos srr-queueinputdscp-map队列1阈值3 32
mls qos srr-queueinputdscp-map队列2阈值1 16 17 18 19 20 21 22 23
mls qos srr-queueinputdscp-map队列2阈值2 33 34 35 36 37 38 39 48
mls qos srr-queueinputdscp-map队列2阈值2 49 50 51 52 53 54 55 56
mls qos srr-queueinputdscp-map队列2阈值2 57 58 59 60 61 62 63
mls qos srr-queueinputdscp-map队列2阈值3 24 25 26 27 28 29 30 31
mls qos srr-queueinputdscp-map队列2阈值3 40 41 42 43 44 45 46 47
mls qos srr-queue输出cos-map队列1阈值3 5
mls qos srr-queue输出cos-map队列2阈值3 3 6 7
mls qos srr-queue输出cos-map队列3阈值3 2 4
mls qos srr-queue输出cos-map队列4阈值2 1
mls qos srr-queue输出cos-map队列4阈值3 0
mls qos srr-queue输出dscp-map队列1阈值3 40 41 42 43 44 45 46 47
mls qos srr-queue输出dscp-map队列2阈值3 24 25 26 27 28 29 30 31
mls qos srr-queue输出dscp-map队列2阈值3 48 49 50 51 52 53 54 55
mls qos srr-queue输出dscp-map队列2阈值3 56 57 58 59 60 61 62 63
mls qos srr-queue输出dscp-map队列3阈值3 16 17 18 19 20 21 22 23
mls qos srr-queue输出dscp-map队列3阈值3 32 33 34 35 36 37 38 39
mls qos srr-queue输出dscp-map队列4阈值1 8
mls qos srr-queue输出dscp-map队列4阈值2 9 10 11 12 13 14 15
mls qos srr-queue输出dscp-map队列4阈值3 0 1 2 3 4 5 6 7
mls qos队列集输出1阈值1 138 138 92 138
mls qos队列设置输出1阈值2 138 138 92 400
mls qos queue-set output 1 threshold 3 36 77 100 318
mls qos queue-set output 1 threshold 4 20 50 67 400
mls qos queue-set output 2 threshold 1 149 149 100 149
mls qos queue-set output 2 threshold 2 118 118 100 235
mls qos队列集输出2阈值3 41 68 100 272
mls qos队列设置输出2阈值4 42 72 100 242
mls qos队列设置输出1缓冲区10 10 26 54
mls qos queue-set输出2个缓冲区16 6 17 61
mls qos
!
!
!
!
!
生成树模式pvst
生成树etherchannel后卫错误configuration
生成树扩展system-id
!
vlan内部分配策略升序
!
!
class-map匹配全部AutoQoS-VoIP-RTP-Trust
匹配ip dscp等
class-map匹配全部AutoQoS-VoIP-Control-Trust
匹配ip dscp cs3 af31
!
!
政策地图AutoQoS-Police-CiscoPhone
class AutoQoS-VoIP-RTP-Trust
设置dscp等
警方320000 8000超行动警察传送
class AutoQoS-VoIP-Control-Trust
设置dscp cs3
警方32000 8000超出行动policed-dscp传输
!
!
!
!
接口GigabitEthernet1 / 0/1
switchport中继封装dot1q
switchport trunk native vlan 11
switchport模式中继
生成树portfast
!
!
!
接口GigabitEthernet5 / 0/1
!
接口GigabitEthernet5 / 0/2
!
接口GigabitEthernet5 / 0/3
!
接口GigabitEthernet5 / 0/4
!
接口Vlan1
IP地址############## 255.255.0.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 ##############
没有ip http服务器
没有IP http安全服务器
!
!
ip sla启用反应警报
!
!
!
线路con 0
行vty 0 4
密码7 ############
login
行vty 5 15
密码7 ############
login
!
结束
我们使用几个networking实现第三方连接连接到集中的思科骨干(即多租户设置)。 我可以说我已经看到了一些连接到Catalyst平台的多种(好的,贫民窟)设备,如果我学到了一件事情,那就是思科平台对这些事情是非常有弹性的。
然而,有一个致命弱点 – 正确configuration的廉价集线器很容易导致整个networking出现广播风暴,甚至不是思科平台的错。 我在一个生产configuration中发现了这一点,我唯一真正的研究是为这个中心find最接近的垃圾桶,但是这是如何发生的:
一切顺利, 直到工作站发出广播通知。 虽然集线器和思科的智能足以防止其他广播数据包上的广播风暴,但是集线器并不足够智能,无法检测到其中的两个端口是相互连接的,并且将几乎100%的处理能力以无限循环的方式广播该数据包,以及所有其他端口(即上行链路到您的思科)。
如果您的configuration属于这种情况,您会注意到,在整个networking中,该广播VLAN上的所有端口都将处于死机状态,直到集线器无法维持容量并丢弃神奇的循环数据包(可能是一对分钟取决于竞争的stream量),然后一切恢复正常。
在这种情况下,SNMP不会帮助你,因为该VLAN上的所有端口都随着stream量而疯狂。 然而,Wireshark在这里是你的朋友,因为捕获哪个IP(有时是机器名称,如果它是一个广播数据包)引起循环,并且迅速find违规设备,很容易。
可能并不是你正在经历的确切情况,但是这一点可能会让我们陷入困境,可能会给你一些想法来研究你的情况。
琐碎的一点,但我还没有看到他们提到:
确保您的交换机端口不是强制全双工,因为如果它们是集线器,它们将不能使用。 来想一想 – 如果他们的双工或他们的速度被迫,他们可能不会正确地连接到一个Netgeartypes开关想要自动协商
确保您的用户不要将交换机连接到两个networkingsockets“来增加他们的带宽”。
思科交换机曾经(也许还有 – 我现在不在这个行业)有一个名为“Faststart”的function。 对于启用了Faststart的任何端口,交换机将不会执行完整的生成树分析,并启用pipe理员“承诺”的function,而不将交换机或集线器连接到该端口。 这样做的原因是为了避免客户端计算机的DHCP请求在思科认为安全启用端口之前超时。 你可能也想看看。 (如果我完全错误地记住了这一切,我提前道歉,希望有更多最新知识的人会纠正我)
如果您在端口上使用端口安全性,则只要给定端口上的MAC数量超过预期数量,就会出现问题。 把交换中心坚持到交换networking的主要问题是,你最终会遇到更大的冲突域(而不是“交换机+terminal单元”,最后是“交换机+集线器下游的所有东西”),你可能会导致交换环路如果一个集线器连接到两台交换机上),那么最终的networking可能足够大,从而导致广播域“太宽”(LAN的绝对要求足够小,以至于从一个端点到另一个端点的数据包将会在以太网前面看到,因为集线器越来越难以让数据包以更快的速度(更便宜和更便宜)进行,最终可能会被违反)。
如果你有一个更大的冲突域,任何试图与冲突域通信的任何事情都将导致低吞吐量。
如果您有交换环路,则随着生成树closures转发端口,您将面临广播风暴和端口随机不转发stream量的风险。
如果您的广播域太宽,最终会因为发生迟到而发生虚假重传。
这是一个经典的切换问题。
如果你做cisco ccnp或者只是研究生成树协议,答案就会变得明显。
生成树防止循环 – >它通过最初确定一个“根桥” – >
这是由最低的交换机优先级决定 – >如果有一个平局,那么交换机的mac地址进行比较 – >经常旧的交换机相当于低mac地址 – >networking上的所有stream量通过旧的交换机! =通过设置速度最快,连接最集中的交换机,使硬编码优先级低于默认值,来修复崩溃。
默认情况下,cisco使用per-vlan-spanning-tree(pvst +)命令:spanning-tree vlan 1-666 priority 24576
我推荐使用快速生成树“spanning-tree mode rapid-pvst”,它基本上可以加快速度
从维基百科( http://en.wikipedia.org/wiki/Spanning_tree_protocol )
生成树的根桥是具有最小(最低)桥ID的桥。 每个网桥都有一个唯一的标识符(ID)和一个可configuration的优先级号码; 网桥ID包含两个数字。 为了比较两个网桥ID,首先比较优先级。 如果两个网桥具有相同的优先级,则将MAC地址进行比较。 例如,如果交换机A(MAC = 0200.0000.1111)和B(MAC = 0200.0000.2222)的优先级都是10,则select交换机A作为根桥。 如果networkingpipe理员希望交换机B成为根桥,则必须将其优先级设置为小于10。
我在非思科环境中发生了这种情况。 一个集线器插入一个networking端口,然后有三台计算机连接到它。 一个用户,没有问题。 当其他人进来玩它开始杀死terminal服务器的RDP连接。 拔出集线器,问题消失。