使用高级特性增强网络稳定性探究
2010-11-17 11:26
155 查看
我们在组建多层交换网络,通过使用一些交换特性可有效增强网络安全性与稳定性,可以防止网络环路,非授权设备,设备故障等导致的网络中断。下面我们就一个一个举例看下:
1.第三层协议过滤:能防止在属于特定的第3层协议的vlan中转发广播和未知单播流量,例如仅配置ip协议的端口,既不转播任何ipx和appletalk的广播和未知单播流量。对于ip协议默认是on,其他协议auto,在设置auto端口不仅转发正常一些的流量还装发其他协议的广播和未知单播。
conf t
protocol-filtering
int f1/2
sw protocol appletalk off
sw protocol ip on
sw protocol ipx off
2.抑制广播风暴特性:
广播数据包有一个很重要的特征,就是广播域中每台网络设备,包括PC或者交换机都需要处理广播数据包。可见,如果某个广播域中存在比较多的广播流量,那么所有的相关设备都会受到影响,因为他们必须抽出一定的资源来处理这些广播数据包。同时,这些广播数据包还会占用宝贵的带宽资源,如果网络中存在过多的广播数据包,则可能会导致网络拥塞,大大降低网络的性能与安全等级。所以,在网络设计中应当防止过量的广播流量所导致的非正常功能故障,同时需要注意由此可能带来的安全隐患。总之,在网络中如果发生意外情况,那么异常的设备就会发送大量的广播数据包流量。如果在每秒之内发生的广播数据报流量过多,那么就会直接导致交换机等网络设备的CPU利用率高,设置利用率会达到100%从而导致网络中断。为此一个安全的网络设计,都会采用各种各样的措施来抑制广播数据包的流量。 为了缓解过量的广播数据报对网络带来的不利影响,思科系列的交换机特别设计了广播抑制特性。简单的说,交换机操作系统会自动监测经过其设备的网络流量。如果发现广播数据包比较多的话,这交换机会采取两个措施:要么是丢弃过量的广播数据包;要么就是禁用接收过量的流量端口。
Router(config)# storm-control ?
broadcast Broadcast address storm control
multicast Multicast address storm control
unicast Unicast address storm control
Router(config)# storm-control broadcast th
Router(config)# storm-control broadcast threshold ?
<1-100> Threshold number 1 - 100
Router(config)# storm-control broadcast threshold 5
Router(config)# storm-control mu
Router(config)# storm-control multicast ?
threshold Configure Threshold for storm control
Router(config)# storm-control multicast th
Router(config)# storm-control multicast threshold ?
<1-100> Threshold number 1 - 100
Router(config)# storm-control multicast threshold 5
3.小巨人帧的尺寸与标准的以太网帧相比要大一点。一般情况下小巨人帧可以容纳1600字节的各种封装。其实小巨人帧在实际应用中有很大的使用价值。如虚拟专用网络、第二层隧道协议、多协议标签交换等等应用场景中,都可以见到小巨人帧的身影。 在思科交换机上要启用对小巨人帧与巨型帧的支持,主要是通过mtu命令。如需要在基于IOS软件的交换机上配置小巨人帧的支持特性,可以通过使用命令system mut size来实现。当然,如果在具有硬件支持的情况下,还可以在系统中的所有接口上配置MTU尺寸。如此的话,就不用一个个接口去配置。不过这里需要注意的是,在接口级别的设置会覆盖全局的MTU设置。也就是说,如果即在全局进行设置,又在接口层面进行设置,那么接口级别的设置优先性要比全局级别要高。
1、必须源接口与目标接口都支持这个小巨人帧和巨型帧
2、路由器上必须配置能够接受巨型帧
Router(config)#vlan 10
Router(config-vlan)#name qq
Router(config-vlan)#mtu 9818
Router#show vlan-switch
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/0, Fa1/1, Fa1/2, Fa1/3
Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/10, Fa1/11
Fa1/12, Fa1/13, Fa1/14, Fa1/15
10 qq active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 1002 1003
10 enet 100010 9818 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 1 1003
1003 tr 101003 1500 1005 0 - - srb 1 1002
1004 fdnet 101004 1500 - - 1 ibm - 0 0
1005 trnet 101005 1500 - - 1 ibm - 0 0
4.通过error-disable 特性,在错误状态影响到全局前,交换机能检测特定端口的错误状态禁用该端口。
能检测到下列错误状态: bpduguard Enable error detection on bpdu-guard
dtp-flap Enable error detection on dtp-flapping
link-flap Enable error detection on linkstate-flapping
pagp-flap Enable error detection on pagp-flapping
rootguard Enable error detection on root-guard
udld Enable error detection on udld
如果要使用手工恢复策略的话,主要需要用到两个命令。首先是使用shutdown命令,将出现故障的接口关闭掉。然后再使用no shutdown命令启用这个端口,就可以实现从error-diable状态中恢复。不过这里需要注意的是,无论是手工恢复还是自动恢复,只要这个导致交换机处于Error-Disable状态的原因没有真正消除,交换机仍然会将这个端口设置为Error-Disable状态。只有真正找到问题的根本原因才能够避免接口重新进入到这个故障状态.
router(config)#errdisable ?
detect Error disable detection
recovery Error disable recovery
outer(config)#errdisable detect cause ?
all Enable error detection on all cases
bpduguard Enable error detection on bpdu-guard
dtp-flap Enable error detection on dtp-flapping
link-flap Enable error detection on linkstate-flapping
pagp-flap Enable error detection on pagp-flapping
rootguard Enable error detection on root-guard
udld Enable error detection on udld
Router(config)#errdisable detect cause all
Router(config)#errdisable recovery cause all
Router(config)#errdisable recovery interval 60
5. UDLD (UniDirectional Link Detection 单向链路检测):是一个Cisco私有的二层协议,用于监听利用光纤或双绞线连接的以太链路的物理配置,当出现单向链路(只能向一个方向传输,比如我能把数据发给你,你也能收到,但是你发给我的数据我收不到)时,UDLD可以检测出这一状况,关闭相应接口并发送警告信息。单向链路可能引起很多问题,尤其是生成树,可能会造成回环。注意:UDLD需要链路两端设备都支持才能正常运行。
conf t
udld {aggressive | enable | message time 间隔时间} '全局启用UDLD,aggressive设置为激进模式,enable设置为普通模式,message time设置hello间隔,范围是1-90,默认15。
int fa0/10
udld port [aggressive] '接口下启用UDLD,不加aggressive为普通模式
portfast使得被配置的2层端口直接进入转发状态无需监听和学习
BPDU防护是为了防止启用portfast端口连带交换机,导致2层环路或者拓扑变更,默认情况下启用portfast是不接受BPDU的,当接收的BPDU接口接入err-disable,起到是种防护功能。
1.第三层协议过滤:能防止在属于特定的第3层协议的vlan中转发广播和未知单播流量,例如仅配置ip协议的端口,既不转播任何ipx和appletalk的广播和未知单播流量。对于ip协议默认是on,其他协议auto,在设置auto端口不仅转发正常一些的流量还装发其他协议的广播和未知单播。
conf t
protocol-filtering
int f1/2
sw protocol appletalk off
sw protocol ip on
sw protocol ipx off
2.抑制广播风暴特性:
广播数据包有一个很重要的特征,就是广播域中每台网络设备,包括PC或者交换机都需要处理广播数据包。可见,如果某个广播域中存在比较多的广播流量,那么所有的相关设备都会受到影响,因为他们必须抽出一定的资源来处理这些广播数据包。同时,这些广播数据包还会占用宝贵的带宽资源,如果网络中存在过多的广播数据包,则可能会导致网络拥塞,大大降低网络的性能与安全等级。所以,在网络设计中应当防止过量的广播流量所导致的非正常功能故障,同时需要注意由此可能带来的安全隐患。总之,在网络中如果发生意外情况,那么异常的设备就会发送大量的广播数据包流量。如果在每秒之内发生的广播数据报流量过多,那么就会直接导致交换机等网络设备的CPU利用率高,设置利用率会达到100%从而导致网络中断。为此一个安全的网络设计,都会采用各种各样的措施来抑制广播数据包的流量。 为了缓解过量的广播数据报对网络带来的不利影响,思科系列的交换机特别设计了广播抑制特性。简单的说,交换机操作系统会自动监测经过其设备的网络流量。如果发现广播数据包比较多的话,这交换机会采取两个措施:要么是丢弃过量的广播数据包;要么就是禁用接收过量的流量端口。
Router(config)# storm-control ?
broadcast Broadcast address storm control
multicast Multicast address storm control
unicast Unicast address storm control
Router(config)# storm-control broadcast th
Router(config)# storm-control broadcast threshold ?
<1-100> Threshold number 1 - 100
Router(config)# storm-control broadcast threshold 5
Router(config)# storm-control mu
Router(config)# storm-control multicast ?
threshold Configure Threshold for storm control
Router(config)# storm-control multicast th
Router(config)# storm-control multicast threshold ?
<1-100> Threshold number 1 - 100
Router(config)# storm-control multicast threshold 5
3.小巨人帧的尺寸与标准的以太网帧相比要大一点。一般情况下小巨人帧可以容纳1600字节的各种封装。其实小巨人帧在实际应用中有很大的使用价值。如虚拟专用网络、第二层隧道协议、多协议标签交换等等应用场景中,都可以见到小巨人帧的身影。 在思科交换机上要启用对小巨人帧与巨型帧的支持,主要是通过mtu命令。如需要在基于IOS软件的交换机上配置小巨人帧的支持特性,可以通过使用命令system mut size来实现。当然,如果在具有硬件支持的情况下,还可以在系统中的所有接口上配置MTU尺寸。如此的话,就不用一个个接口去配置。不过这里需要注意的是,在接口级别的设置会覆盖全局的MTU设置。也就是说,如果即在全局进行设置,又在接口层面进行设置,那么接口级别的设置优先性要比全局级别要高。
1、必须源接口与目标接口都支持这个小巨人帧和巨型帧
2、路由器上必须配置能够接受巨型帧
Router(config)#vlan 10
Router(config-vlan)#name qq
Router(config-vlan)#mtu 9818
Router#show vlan-switch
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/0, Fa1/1, Fa1/2, Fa1/3
Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/10, Fa1/11
Fa1/12, Fa1/13, Fa1/14, Fa1/15
10 qq active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 1002 1003
10 enet 100010 9818 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 1 1003
1003 tr 101003 1500 1005 0 - - srb 1 1002
1004 fdnet 101004 1500 - - 1 ibm - 0 0
1005 trnet 101005 1500 - - 1 ibm - 0 0
4.通过error-disable 特性,在错误状态影响到全局前,交换机能检测特定端口的错误状态禁用该端口。
能检测到下列错误状态: bpduguard Enable error detection on bpdu-guard
dtp-flap Enable error detection on dtp-flapping
link-flap Enable error detection on linkstate-flapping
pagp-flap Enable error detection on pagp-flapping
rootguard Enable error detection on root-guard
udld Enable error detection on udld
如果要使用手工恢复策略的话,主要需要用到两个命令。首先是使用shutdown命令,将出现故障的接口关闭掉。然后再使用no shutdown命令启用这个端口,就可以实现从error-diable状态中恢复。不过这里需要注意的是,无论是手工恢复还是自动恢复,只要这个导致交换机处于Error-Disable状态的原因没有真正消除,交换机仍然会将这个端口设置为Error-Disable状态。只有真正找到问题的根本原因才能够避免接口重新进入到这个故障状态.
router(config)#errdisable ?
detect Error disable detection
recovery Error disable recovery
outer(config)#errdisable detect cause ?
all Enable error detection on all cases
bpduguard Enable error detection on bpdu-guard
dtp-flap Enable error detection on dtp-flapping
link-flap Enable error detection on linkstate-flapping
pagp-flap Enable error detection on pagp-flapping
rootguard Enable error detection on root-guard
udld Enable error detection on udld
Router(config)#errdisable detect cause all
Router(config)#errdisable recovery cause all
Router(config)#errdisable recovery interval 60
5. UDLD (UniDirectional Link Detection 单向链路检测):是一个Cisco私有的二层协议,用于监听利用光纤或双绞线连接的以太链路的物理配置,当出现单向链路(只能向一个方向传输,比如我能把数据发给你,你也能收到,但是你发给我的数据我收不到)时,UDLD可以检测出这一状况,关闭相应接口并发送警告信息。单向链路可能引起很多问题,尤其是生成树,可能会造成回环。注意:UDLD需要链路两端设备都支持才能正常运行。
conf t
udld {aggressive | enable | message time 间隔时间} '全局启用UDLD,aggressive设置为激进模式,enable设置为普通模式,message time设置hello间隔,范围是1-90,默认15。
int fa0/10
udld port [aggressive] '接口下启用UDLD,不加aggressive为普通模式
portfast使得被配置的2层端口直接进入转发状态无需监听和学习
BPDU防护是为了防止启用portfast端口连带交换机,导致2层环路或者拓扑变更,默认情况下启用portfast是不接受BPDU的,当接收的BPDU接口接入err-disable,起到是种防护功能。
相关文章推荐
- smarty高级特性之对象的使用方法
- 生成对区域动作的链接 | 使用区域 | 高级路由特性
- JFreeChart 使用一 饼图之高级特性
- 使用Mockito进行单元测试【2】—— stub 和 高级特性
- [Linux]使用 ifupdown 的逻辑接口定义进行高级网络设置
- logback高级特性使用(一)
- logback高级特性使用(二) 自定义Pattern模板
- Redis高级特性:虚拟内存的使用技巧
- Java网络编程(三) - Spring MVC高级特性
- linux网络高级编程之 fcntl和select使用
- Android TextView高级特性使用
- C#动态创建类和使用特性增强程序可扩展性
- JFreeChart 使用一 饼图之高级特性
- smarty高级特性之过滤器的使用方法
- JFreeChart 使用 一 直方图之柱状图-高级特性
- SQL必知必会(五) 使用视图、使用储存过程、管理事务处理、使用游标、高级SQL特性
- Java高手真经. 编程基础卷:Java核心编程技术:Java基础+核心库+图形+网络+高级特性
- 使用mosh取代ssh提高n2n网络连接稳定性
- Linux系统管理-网络基础及Linux网络配置路由配置、高级使用
- (黑马程序员)JDK5.0新特性,高级for的使用