Catalyst 4000 6000配置经验谈（一）

　　在一个交换网络中绝大多数特性需要两台或更多台的交换机配合才能实现，所以必须对存活信息、配置参数和管理的改变进行控制。这些协议包括cisco的私有协议如CDP，或者是标准的协议如802.1d(生成树协议)，在Catalyst系列交换机中实现这些协议中有一些相通的地方。

　　首先，我们来复习一下基础的帧转发。从端结点发出的用户数据帧在通过第二层交换域时，它所包含的源MAC地址和目的MAC地址并不会改变。每个交换机上的超级引擎将根据帧的目的MAC地址在地址内容表（CAM）中查找发出端口。如果帧的目的地址未在cam表中找到，或者目的地址是一个广播或组播地址，将转发到该VLAN的所有端口。

　　交换机还必须确认哪些帧直接进行转发，哪些帧需要发送到交换机自身的CPU（通常被称为网络管理器或NMP）。

　　Catalyst 控制面是一个交换机内部端口，通过在CAM表中叫System entries的特殊条目创建，用于和NMP之间的流量传输。这样，协议使用一个周知的目的MAC地址，控制面流量可以和数据流量分离。在交换机上使用show cam system，可以看到如下信息：

　　S4B-6006> (enable) sh cam system

　　* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.

　　X = Port Security Entry $ = Dot1x Security Entry

　　VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type]

　　---- ------------------ ----- -------------------------------------------

　　1 00-30-b6-4a-eb-ff # 1/3

　　1 01-00-0c-cc-cc-cc # 1/3

　　1 01-00-0c-cc-cc-cd # 1/3

　　1 01-80-c2-00-00-00 # 1/3

　　1 01-80-c2-00-00-01 # 1/3

　　2 01-00-0c-cc-cc-cc # 1/3

　　2 01-00-0c-cc-cc-cd # 1/3

　　2 01-80-c2-00-00-00 # 1/3

　　2 01-80-c2-00-00-01 # 1/3

　　3 01-00-0c-cc-cc-cc # 1/3

　　3 01-00-0c-cc-cc-cd # 1/3

　　3 01-80-c2-00-00-00 # 1/3

　　3 01-80-c2-00-00-01 # 1/3

　　4 01-00-0c-cc-cc-cc # 1/3

　　4 01-00-0c-cc-cc-cd # 1/3

　　4 01-80-c2-00-00-00 # 1/3

　　4 01-80-c2-00-00-01 # 1/3

　　5 01-00-0c-cc-cc-cc # 1/3

　　5 01-00-0c-cc-cc-cd # 1/3

　　5 01-80-c2-00-00-00 # 1/3

　　5 01-80-c2-00-00-01 # 1/3

　　6 01-00-0c-cc-cc-cc # 1/3

　　Cisco保留了一段MAC地址和协议地址用于设备通讯。如下表所示：

　　主要的cisco控制控制协议均使用802.3 SNAP封装，包括LLC 0xAAAA03,OUI 0x00000C，可以被LAN协议分析议跟踪到。这些协议的其它一些通用属性如下：

　　u使用点对点连接的情况下，为了使用两台cisco交换机能顺利通过中间的非Cisco交换机，故意使用multicast的目的地址，这样中间的设备就不能理解或截获这些帧，只会简单的转发它们。然而，在多供应商环境下的点对多点连接下，会起不一致的现象并一般可以避免。

　　u 这些协议仅在交换域内有效，终结于第三层的路由器。

　　u 这些协议在入口ASIC的处理和调度中具备比普通用户数据更高的优先权。

　　介绍完了控制协议的目的地址，现在我们来介绍这些协议的源地址，交换协议从机箱上EPROM所提供的一段MAC地址取用MAC地址。使用show module命令可以看到每个模块在发起如stp bpdu或ISL帧时可能使用到的源地址范围：

　　S4B-6006> (enable) sh module

　　………………

　　Mod MAC-Address(es) Hw Fw Sw

　　--- -------------------------------------- ------ ---------- -----------------

　　1 00-30-96-1a-72-00 to 00-30-96-1a-72-01 5.0 5.2(1) 6.3(4a)

　　00-30-96-1a-72-02 to 00-30-96-1a-72-03

　　00-30-b6-4a-e8-00 to 00-30-b6-4a-eb-ff

　　2 00-30-b6-30-5a-1c to 00-30-b6-30-5a-4b 1.1 4.2(0.24)V 6.3(4a)

　　3 00-d0-bc-eb-a8-04 to 00-d0-bc-eb-a8-33 1.1 4.2(0.24)V 6.3(4a)

　　4 00-30-b6-30-4a-d0 to 00-30-b6-30-4a-ff 1.1 4.2(0.24)V 6.3(4a)

　　VLAN 1

　　VLAN1在Catalyst交换网络中有着特殊的意义。

　　在有trunking存在时，Catalsy超级引擎通常使用缺省VLAN――VLAN1，用来标记一系列的控制和管理协议。诸哪CDP，VTP和PagP。所有的端口，包括内部的SC0，都被配置成VLAN1的成员。所有的trunk链路在缺省情况下都包括VLAN1。在CatOS5.4以前，不能阻断VLAN1中的数据。

　　澄清交换网络中的两个概念：

　　u SC0所在的是管理VLAN，这个VLAN可以被改变

　　u Native VLAN是在802.1Q trunk上定义的一个用户传送未打标记的VLAN。

　　调整VLAN1时需要注意如下几个事项：

　　u VLAN1的直径，和其它VLAN一样，直径太大将使网络的稳定性降低。在STP透视中这个问题特别显著。这将在带内管理一节中做详细的论述。

　　u VLAN1中的控制面数据和用户数据保持分离极大的简化故障诊断程序和解放CPU。

　　u 在设计没有STP的多层交换网络时，一定要注意避免在VLAN1中形成第二层的环，当然如果在访问层有多个VLAN/IP子网，则trunk是仍然需要的。在这种情况下，从trunk端口上手工清除VLAN1。

　　小结，在trunk链路上，如下部分是很有价值的：

　　u Trunk链路上的CDP、VTP和PagP更新通常都通过VLAN1进行，就算VLAN1在trunk上被清除了或VLAN1不再是native vlan也不例外。不允许VLAN1传输数据与控制面流量继续使用VLAN1进行发送之间并不冲突。

　　u 802.1Q IEEE BPDUs通过在VLAN1（通用生成树）上转发未标记的帧来实现和其它厂商设备的通过。直到VLAN1在trunk上被清除为止。Cisco每VLAN生成树（PVST+）的BPDU打过标记后在其它的VLAN中发送。在本文中生成树协议一节中有更详细的描述。

　　VLAN Trunking协议（VTP）

　　在创建VLAN前，应该决定在网络中使用何种VTP模式。在启用VTP的情况下，在一台交换机上对VLAN配置做出的改变将自动的繁殖到同一个VTP域中的其它交换机上。

　　操作概述

　　VTP是一个在第二层维护VLAN配置的消息协议，可以管理VLAN的添加、删除和重命名。VTP最大限度的减少了错误配置所引起的一系列问题：如果重复的VLAN名字、错误的VLAN类型定义、安全策略失效等　。VLAN数据库是一个存放在VTP server上的二进制文件，它和配置文件是分开存放的。

　　交换机之间的VTP协议通讯采用一个ethernet组播目的地址（01-00-0c-cc-cc-cc），SNAP HDLC协议类型为0x2002。它不会在非trunk口上支持（VTP是ISL或802.1Q的有效荷载）。所有在DTP使trunk在线之前是不会有消息发送的。

　　消息类型包括：每5分钟发送一次的"汇总通告"，当有改变发生时的"子集通告和请求通告"，配置了VTP修剪时的"加入"。每当VTP服务器有一个改变发生，VTP配置版本号加1，并自动繁殖到整个VTP域中。

　　如果一个VLAN被删除了，该VLAN中的端口将全部进入不活动（inactive）状态。与此类似地，一台在client模式的交换机在不能收到VTP的VLAN表之前，除了VLAN1的所有端口均将处于一种非活动状态。

　　VTP第二版包括下列灵活的特性，但和VTP第一版无法进行互操作：

　　u 支持令牌环

　　u 交换可以繁殖他不能解析的参数值

　　u 基于版本的透明模式：透明模式不再检查VTP域名，这支持多个VTP域穿越一个透明域

　　u 版本号可以得到繁殖：如果所有的交换机都支持V2，那个在一个交换机上配置v2模式，同一VTP域内所有交换机都可以启用v2模式。

　　更多的信息请参见：理解和配置VTP

　　推荐

　　对于使用VTP Client/Server或透明模式没有特殊的推荐，一般情况下在分布层交换机中采用两台VTP server。

　　大部分企业基于如下原因，都先采用VTP透明模式将交换机接入网络后。然后再修改为server或client模式：

　　u 使用VTP后，删除一个VLAN将在整个VTP域中删除它，误操作的风险很高。使用透明模式则不存在这个问题

　　u 没有新加入一个VTP修订版本更高的交换机时将引起整个VTP域内的VLAN配置信息丢失的风险

　　u 　修剪了不必要的VLAN信息，带宽利用率更高。手工修剪也可以减小生成树的直径。

　　u 在CatOS6.x中开始支持的扩展VLAN范围（1025－4094），只能用于透明模式

　　u Campus manager3.1开始支持VTP透明模式，在此以前，在VTP域中至少要求有一个VTP server.

　　注意:在set trunk x/y 1-10命令中并没有设定在此trunk链路上仅允许VLAN1－10通过。需要用clear trunk x/y 11-1005来显式地指定。

　　其它选项：

　　在令牌环中，需要VTP　v2，强烈推荐使用Client或server模式。

　　Set vtp pruning enable命令可以自动修剪VLAN，但和手工修剪不同，自动修剪不会改变生成树的直径。

　　从CatOS 6.x开始，Catalyst系列交换机和IEEE802.1Q保持一致，支持4096个VLAN，这些VLAN分成三部分，其中只有部分能通过VTP进行管理：

　　normal-range VLANs：1-1001

　　Extended-range VLANs：1025-4094，不能被VTP管理

　　Reserved-range VLANs：0,1002-1024,4095

　　IEEE组织提出了一个效果和VTP类似的标准，做为802.1Q通用属性注册协议（GARP）的一部分，通用VLAN注册协议（GVRP）允许在不同厂商的设备之间实现VLAN管理的互操作，它走出了本文档的范围。

　　在CatOS 7.x中，可以关闭VTP，关闭VTP后和VTP透明模式很类似，但交换机不再转发VTP的帧。这是一个相当有用的特性。

　　待续