思科推薦高可用性園區(qū)網(wǎng)絡(luò)故障恢復(fù)分析

無(wú)論何種規(guī)模大小的企業(yè)園區(qū)都需要高度可用及安全、智能的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，為話音、、無(wú)線和關(guān)鍵任務(wù)數(shù)據(jù)應(yīng)用等業(yè)務(wù)解決方案提供支持。要想提供這種可靠的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，必須將由構(gòu)成園區(qū)整個(gè)系統(tǒng)的部件故障而的運(yùn)行中斷降至最低限度。了解系統(tǒng)如何從部件停運(yùn)（包括計(jì)劃內(nèi)停運(yùn)和故障）中恢復(fù)，以及停運(yùn)過程中可能發(fā)生的行為，在高可用安全園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)、升級(jí)和運(yùn)行過程中，無(wú)疑是一個(gè)關(guān)鍵步驟。L2和

L2和

L2

最長(zhǎng)的丟失時(shí)間不足200毫秒。IP的可接受范圍內(nèi)，并將注:入交換機(jī)的所有設(shè)備的話音和數(shù)據(jù)丟失時(shí)間延長(zhǎng)。為將接入交換機(jī)發(fā)生故障問題的可能性盡量降低，思科建議每臺(tái)接入交換機(jī)均使用狀態(tài)化切換（SSO）或不間斷轉(zhuǎn)發(fā)（F）/SSO等冗余交換管理引擎配置，或?qū)嵤┤哂喽询B。本文的分析結(jié)果中不包括對(duì)冗余交換管理引擎收斂的分析。選定進(jìn)試的設(shè)計(jì)是根據(jù)《設(shè)計(jì)高可用性園區(qū)網(wǎng)絡(luò)》中列舉的層次化設(shè)計(jì)建議而確定的。所有所測(cè)試的設(shè)計(jì)都使用第三層路由連接其他架構(gòu)模塊的，如圖2圖2園區(qū)設(shè) 第三層接入端到端PVST+L2HSRP作為冗余缺省網(wǎng)關(guān)協(xié)議的GLBPPVST+分布?jí)K設(shè)計(jì)的恢復(fù)與不帶生成樹環(huán)的 Supervisor720a引擎的CiscoCatalyst650039個(gè)雙交換機(jī)——26500，帶Sup720（本地IOS-分布交換機(jī)——26500，帶Sup720（IOS-12950（IOS-13550（IOS-13750（IOS-14006，帶SupII+（IOS-14507，帶SupIV（IOS-16500，帶Sup1A（CatOS-16500，帶Sup2/MSFC2（IOS-323550（IOS-唯一的本地上行鏈路180臺(tái)Chariot終端服務(wù)器來(lái)生成網(wǎng)絡(luò)信息流量負(fù)載，以及收集每次故障和恢復(fù)的影響統(tǒng)計(jì)數(shù)據(jù)。注：有關(guān)Chariot的具體信息，請(qǐng) 的流量負(fù)載足以使所選的上行鏈路和基礎(chǔ)設(shè)施發(fā)生擁塞。為使該測(cè)試有助于了解故障對(duì)生產(chǎn)網(wǎng)絡(luò)中應(yīng)用和話音流量的影響，本文所記錄的收斂結(jié)果都UP和TCP71話音流中的最長(zhǎng)分組丟失時(shí)間的測(cè)量來(lái)確定。注:標(biāo)準(zhǔn)G.711編譯每秒傳輸50個(gè)分組，其速度為每20毫秒1個(gè)分組。n個(gè)連續(xù)分組丟失等于n*20毫秒中斷。例外情況。采用觀察值旨在為評(píng)估收斂對(duì)生產(chǎn)網(wǎng)絡(luò)的影響提供保守的參數(shù)。交換機(jī)類型（所有進(jìn)試的接入交換機(jī)列表請(qǐng)見上文。TCP會(huì)話丟失。網(wǎng)絡(luò)連接丟失的確會(huì)暫時(shí)影響到這些信息流的吞吐率。值得注意的是TCP退回算法。TCP流量恢復(fù)到理想吞吐量的時(shí)間等于[分組丟失周期＋TCP流量恢復(fù)所需時(shí)間]。接的全面網(wǎng)格化設(shè)計(jì)，如圖4所示，來(lái)提供最優(yōu)收斂行為。測(cè)試的網(wǎng)絡(luò)由一對(duì)CiscoCatalst6500/Supevsor720冗點(diǎn)10千兆位以太網(wǎng)（gE）鏈路。交換機(jī)通過點(diǎn)到點(diǎn)10GigE光纖相連接。雖然在純單播環(huán)境中并非一定需要該鏈路來(lái)實(shí)現(xiàn)冗余，但在園區(qū)設(shè)計(jì)中依然屬于建議采用的內(nèi)容。在某些配置中，該鏈路被用于組播流量恢復(fù)。也有必要將節(jié)點(diǎn)配置成缺省或匯總路由至網(wǎng)4中所示的兩個(gè)傳輸測(cè)試流量的分布?jí)K外，還有其他分布交換機(jī)組和后端路由器連接至核于將額外的路由提供給園區(qū)。測(cè)試中的園區(qū)總共擁有3572條路由。Route101eigrp57因?yàn)槊總€(gè)節(jié)點(diǎn)擁有兩條路徑，能夠從任意鏈路故障中恢復(fù)，所以下游設(shè)備從來(lái)無(wú)需因上游故障而重新計(jì)算路由，因?yàn)樯嫌卧O(shè)備始終擁有一條有效的路徑。網(wǎng)格化第三層設(shè)計(jì)的架構(gòu)優(yōu)勢(shì)是，在發(fā)生任意單點(diǎn)部件故障時(shí)，所有路由收斂對(duì)于交換機(jī)都是在本地完成的，從不需要依賴路由協(xié)議來(lái)間接檢測(cè)和恢復(fù)鏈路或節(jié)點(diǎn)故障。在第三層設(shè)計(jì)中，從任意分布交換機(jī)流向其他任意分布交換機(jī)的流量的收斂時(shí)間，主要由分布交換機(jī)上的鏈路丟測(cè)而定。在GigE和10GigE光纖上，鏈路丟測(cè)通常是利用故障檢測(cè)機(jī)制完成的，這種機(jī)制是由8023z和8023ae鏈路協(xié)商協(xié)議的一部分實(shí)施的。在等成本路徑配置中，交換機(jī)擁有兩條路由和兩個(gè)相關(guān)硬件CEF轉(zhuǎn)發(fā)鄰接項(xiàng)。在鏈路出現(xiàn)故障前，流量通過這兩個(gè)轉(zhuǎn)發(fā)項(xiàng)發(fā)送。刪除了兩項(xiàng)之一后，交換機(jī)就開始利用剩余的CF有流量。網(wǎng)絡(luò)所有流量的恢復(fù)時(shí)間，取決于檢測(cè)物理鏈路故障，以及更新軟件和相關(guān)硬件轉(zhuǎn)發(fā)項(xiàng)使用等成本路徑潛在的問題之一，是限制了工程師流量沿著某條鏈路傳輸?shù)哪芰?。這項(xiàng)設(shè)計(jì)克服了這一弱點(diǎn)，通過盡可能簡(jiǎn)化的配置和最快速的持續(xù)收斂時(shí)間，提供了更高的總體網(wǎng)絡(luò)可用的卻是可行的。硬件轉(zhuǎn)發(fā)算法可以一致地沿著網(wǎng)絡(luò)中相同的路徑,轉(zhuǎn)發(fā)相同的信息流。這種一表1總結(jié)了1在推薦的園區(qū)設(shè)計(jì)中，所有節(jié)點(diǎn)都擁有冗余等成本路由。直接的效果是，單一部件故障的恢復(fù)時(shí)間不依賴于路由協(xié)議恢復(fù)來(lái)恢復(fù)流量。在單一鏈路發(fā)生故障時(shí)，各節(jié)點(diǎn)能夠獨(dú)立地將所有流量重新路由至剩余冗余路徑。在節(jié)點(diǎn)故障時(shí)，當(dāng)互聯(lián)鏈路故障時(shí)，受影響的相鄰交換機(jī)可以檢測(cè)丟失情況，并能夠獨(dú)立地將所有流量重新路由至剩余冗余路徑。—依賴于等成本路徑恢復(fù)。在第三種情況中，即發(fā)生到光纖鏈路故障時(shí)，主用轉(zhuǎn)發(fā)路徑無(wú)丟失，因而在丟失中不會(huì)影響單播信息流動(dòng)。在所有三種情況下，網(wǎng)絡(luò)都能夠成功地恢復(fù)所有單播信息流，無(wú)需等待任何路由協(xié)議拓?fù)浣Y(jié)構(gòu)更新和重新計(jì)算。交換機(jī)間的光纖故障通常不會(huì)對(duì)單播流量造成直接的影響。鑒于網(wǎng)絡(luò)采用全面網(wǎng)格化設(shè)計(jì)，該鏈路僅用于雙故障情況下的單播流量。雖然純單播環(huán)境并非一定需要此鏈路來(lái)實(shí)現(xiàn)冗余，但在園區(qū)設(shè)計(jì)中依然屬于建議采用的內(nèi)容。在某些配置中，該鏈路用于組播流量恢復(fù)。也有必要將節(jié)點(diǎn)配置成缺省或匯總路由至網(wǎng)絡(luò)。EIGRP生成拓?fù)浣Y(jié)構(gòu)更新，OSPF則大量發(fā)送鏈路狀態(tài)通知（LSA）Dijkstra計(jì)算。為將這些對(duì)網(wǎng)絡(luò)的影響降至最低限度，思科建議園區(qū)設(shè)計(jì)遵循優(yōu)秀的路由協(xié)議設(shè)計(jì)準(zhǔn)則。信息HA園區(qū)和第三層接入設(shè)計(jì)指南。802.3z802.3ae鏈路協(xié)商。CatOS和CiscoIOS的缺省行為是啟用鏈路協(xié)商。禁用鏈路setportnegotiation[mod/port]enableshowportnegotiation[mod[/port]]Ciscointgig[no]speed到互聯(lián)光纖恢復(fù)表2總結(jié)了。2表2的結(jié)果表明，第三層園區(qū)鏈路和節(jié)點(diǎn)恢復(fù)通常對(duì)現(xiàn)有和新的數(shù)據(jù)流影響極低。第三層轉(zhuǎn)發(fā)路徑的激活或重新激活擁有這種固有的優(yōu)勢(shì)；交換機(jī)不向上游或下游相鄰設(shè)備轉(zhuǎn)發(fā)任何流量，直至相鄰設(shè)備指示它可以轉(zhuǎn)發(fā)該流量。通過在轉(zhuǎn)發(fā)流量之前確保存在有效路由，交換機(jī)可以繼續(xù)使用現(xiàn)有冗余路徑，同時(shí)激活新的路徑。在新激活鏈路的激活過程中，交換機(jī)執(zhí)行EGRP/OSPF相鄰點(diǎn)搜尋和拓?fù)浣Y(jié)構(gòu)交換。隨著每臺(tái)交換機(jī)了解這些新路由，它會(huì)在路由和CF轉(zhuǎn)中創(chuàng)建一個(gè)備用等成本轉(zhuǎn)發(fā)項(xiàng)。在冗余設(shè)計(jì)中，該備用等成本轉(zhuǎn)發(fā)項(xiàng)被添加時(shí)，無(wú)需禁用當(dāng)前現(xiàn)有的轉(zhuǎn)發(fā)項(xiàng)。在路由協(xié)議更新過程中，交換機(jī)可以繼續(xù)使用現(xiàn)有硬件轉(zhuǎn)發(fā)項(xiàng)，并且不會(huì)因?yàn)樾侣酚傻牟迦攵鴣G失任何數(shù)據(jù)。不同于上述的部件故障情況，路由刪除是獨(dú)立于路由協(xié)議收斂，每臺(tái)園區(qū)交換機(jī)直接依賴于路由EIGRP和OSPF和插入新路由的速度不是一個(gè)重要的數(shù)據(jù)。但是，在故障情況下，必須一個(gè)在全新激活路徑上發(fā)送的現(xiàn)有信息流的分組，有可能比通過舊路徑傳輸?shù)姆纸M提前到達(dá)，因而造成數(shù)據(jù)包到達(dá)時(shí)間順序。這種情況只有在原始路徑發(fā)生嚴(yán)重?fù)砣?，?dǎo)致持續(xù)延遲時(shí)才會(huì)在高度超額配置（情況）負(fù)載測(cè)試中，我們發(fā)現(xiàn)，由于重新排序造成的話音流分組丟失占有0.003%。分組丟失水平極低，以及由于激活備用鏈路和話音流轉(zhuǎn)發(fā)路徑的動(dòng)態(tài)變構(gòu)成分布層的交換機(jī)和所有相連的接入交換機(jī)通常被稱為分布?jí)K。在分級(jí)設(shè)計(jì)模式中，分布?jí)K設(shè)計(jì)為連接到接入交換機(jī)的設(shè)備間傳輸?shù)男畔⒘魈峁┝擞览m(xù)性，并為園區(qū)提供了冗余連接，以便為所有出入該園區(qū)的流量提供永續(xù)性。

312345VLAN被配置成要穿越連接2臺(tái)分布交換機(jī)的干線。請(qǐng)參考下面的分布交換機(jī)和接入交換機(jī)說(shuō)明和配置。第三個(gè)獨(dú)特的本地VLAN用于防御VLAN跳轉(zhuǎn)。信息，請(qǐng)參考《設(shè)計(jì)高可用性園區(qū)網(wǎng)絡(luò)》和《SAFE企業(yè)安全藍(lán)圖第二版》。VLAN對(duì)于每臺(tái)接入交換機(jī)都是獨(dú)特的，在接入交換機(jī)和分布交換機(jī)間匯聚，但建議VLAN不要多臺(tái)接入交換機(jī)。在多臺(tái)接入交換機(jī)間橋接的公共無(wú)線VLAN的使用，的推出，提供了一種可擴(kuò)展架構(gòu)，可以支持快速漫游，無(wú)需用于AP的第二層公共VLAN。HSRPGBLPVLAN進(jìn)行了配置。在測(cè)試網(wǎng)絡(luò)中，所有主用HSRP網(wǎng)關(guān)和每個(gè)VLAN相應(yīng)的根網(wǎng)橋在分布交換機(jī)1上進(jìn)行配置。VLAN的主用網(wǎng)關(guān)，以便提供一致的配置和運(yùn)營(yíng)行為。對(duì)于那些VLAN都在兩臺(tái)分布交換機(jī)間的10GigE光纖上匯聚。這里仍舊為每臺(tái)接入交換機(jī)配置了話音和數(shù)據(jù)VLAN，根網(wǎng)橋和HSRP主用節(jié)點(diǎn)在分布交換機(jī)1上,針對(duì)所有VLAN進(jìn)行了配置。GLBP提供的動(dòng)態(tài)缺省網(wǎng)關(guān)負(fù)載均衡機(jī)制的有效性，生成樹被配置為阻塞連接分VLAN的兩條接入到分布交換機(jī)鏈路，網(wǎng)絡(luò)description10GigEtrunktoDistribution1(trunktorootbridge)noipaddressload-interval30mlsqostrustdscpswitchporttrunkencapsulationdot1qswitchporttrunknativevlan900spanning-treecost2000<<Increaseportcostontrunktoroot7所示，第二層環(huán)的使用并非最實(shí)際。雖然有多種特性，當(dāng)使用正確時(shí)，可以消除使用(UDLD)BPDU防護(hù)等，但如果無(wú)生成樹版本——PVST+（每VLAN表4總結(jié)了41HSRP計(jì)時(shí)器的配置。在正常狀態(tài)下，終端站點(diǎn)發(fā)出的所有流擬HSRPMAC。HSRP對(duì)等設(shè)備開始啟動(dòng)所配置的終止計(jì)先期虛擬HSRPMAC地址的新位置，然后，開始接收和轉(zhuǎn)發(fā)發(fā)送到虛擬HSRPMAC地址的分組（8）。HSRP分布交換機(jī)這些測(cè)試所記錄的恢復(fù)時(shí)間是利用250毫秒聯(lián)絡(luò)信息和800毫秒終止時(shí)間間隔的HSRP計(jì)時(shí)器獲900毫秒上行丟失是觀察到的情況，僅發(fā)生于某一特殊的故障情況之下。兩臺(tái)交換機(jī)間的光纖丟失可能是一對(duì)光纖中的一條丟失，也可能是兩條同時(shí)丟失。在僅是連接到主用分布交換機(jī)接收端口的光纖發(fā)生故障的情況下，還仍有少許時(shí)間供交換機(jī)傳送HSRP聯(lián)絡(luò)幀，但在故障檢測(cè)關(guān)閉該接口前，無(wú)法接收輸入流量。HSRP聯(lián)絡(luò)信息，但仍能接收發(fā)送到的數(shù)據(jù)，使丟失周期得以縮短。雖然單一光纖故障和HSRP更新的傳輸?shù)耐綍?huì)延長(zhǎng)雖然主用SRP對(duì)等設(shè)備的丟失還意味著生成樹根網(wǎng)橋丟失，但這不會(huì)造成任何流量損失。生成樹拓?fù)浔慌渲脼闊o(wú)環(huán)結(jié)構(gòu)，無(wú)需轉(zhuǎn)換任何端口的阻斷狀態(tài)。主用根網(wǎng)橋的丟失確會(huì)觸發(fā)新的根網(wǎng)8021d實(shí)施中，對(duì)主用端口轉(zhuǎn)發(fā)沒有影響。設(shè)計(jì)提示HSRP聯(lián)絡(luò)信息和終止時(shí)間間隔，以縮短話音或數(shù)據(jù)信息流上行800VLAN的EIGRP下行恢復(fù)相對(duì)應(yīng)。過多減少此參考測(cè)試拓?fù)浣Y(jié)構(gòu)中，采用99%CPU負(fù)載的情況下，經(jīng)證實(shí)可以成功運(yùn)行。HSRP分布交換機(jī)因?yàn)榉植冀粨Q機(jī)沒有針對(duì)丟失網(wǎng)絡(luò)的等成本路徑或可行的替代網(wǎng)絡(luò)，因此，EIGRP需要啟動(dòng)路由設(shè)計(jì)提示——為確保優(yōu)化的收斂，思科建議，在各分布構(gòu)建塊中的每個(gè)分布交換機(jī)上對(duì)所有路由面向進(jìn)行匯總。中的匯總路由可以防止節(jié)點(diǎn)將請(qǐng)求至網(wǎng)絡(luò)其他區(qū)域，因此，有IGP100EIGRP請(qǐng)求的能力。為確?？深A(yù)測(cè)的收斂時(shí)間，還需要確保網(wǎng)絡(luò)不會(huì)受到異常的，如蠕蟲、分布式服務(wù)（DdoS），以及可能在交換機(jī)上高CPU利用率的生成樹環(huán)。設(shè)計(jì)提示VLAN號(hào)的分配進(jìn)行規(guī)劃，以便話音等大多數(shù)對(duì)丟失敏感的應(yīng)用在各個(gè)物理接口上分配以最低的VLAN號(hào)，如表5所示。7鏈路故障時(shí)，第六個(gè)VLAN上的光纖流量隨后會(huì)以500毫秒的速度收斂。分布交換機(jī)全面故障后，上行流量的恢復(fù)機(jī)制就如同光纖故障案例的恢復(fù)機(jī)制完全一樣。由于多個(gè)RP地址同時(shí)恢復(fù)，交換機(jī)故障的確會(huì)增加備用交換機(jī)的恢復(fù)壓力。但是，在這些測(cè)試范圍內(nèi)，并未見到因?yàn)檫@一加大的處理開支而影響到恢復(fù)時(shí)間。分布交換機(jī)故障后，下行流量的恢復(fù)是通過交換機(jī)的第三層等成本恢復(fù)實(shí)現(xiàn)的。如同上述第三層設(shè)計(jì)結(jié)果中所述，兩臺(tái)交換機(jī)擁有到使用兩臺(tái)分布交換機(jī)的所有接入子網(wǎng)的冗余路由。當(dāng)兩臺(tái)分布交換機(jī)其中之一出現(xiàn)故障時(shí)，節(jié)點(diǎn)則通過另一臺(tái)分布交換機(jī)轉(zhuǎn)發(fā)所有下行流200分布交換機(jī)間的第三層連接故障對(duì)上、下行流量都沒有影響。該鏈路僅用于在發(fā)生上行鏈路故障時(shí)為分布構(gòu)建塊提供流量恢復(fù)功能。因?yàn)樵撴溌返淖泳W(wǎng)包含在匯總分布?jí)K地址范圍內(nèi)，因此，不會(huì)有ERP拓?fù)浣Y(jié)構(gòu)更新發(fā)送到。生成樹版本——PVST+（每VLAN表6總結(jié)了6100000下行——L3等成本路徑和0下行——L3等成本路徑和00接入交換機(jī)和分布交換機(jī)間光纖連接的激活通常不會(huì)造成數(shù)據(jù)丟失。激活鏈路時(shí)，主分布交換機(jī)將觸發(fā)根網(wǎng)橋的重新選擇，并接管根的工作。該過程會(huì)導(dǎo)致生成樹的邏輯收斂，但不會(huì)造成現(xiàn)有端口轉(zhuǎn)發(fā)狀態(tài)的變化，不會(huì)產(chǎn)生轉(zhuǎn)發(fā)路徑丟失。除了生成樹收斂外，一旦HSP優(yōu)先延遲計(jì)時(shí)器過期，主HSP對(duì)等設(shè)備則會(huì)啟動(dòng)缺省網(wǎng)關(guān)接管機(jī)制。該過程在分布交換機(jī)之間是同步的，因此，不會(huì)導(dǎo)致分組丟失。話音和數(shù)據(jù)AN的生成樹狀態(tài)的轉(zhuǎn)變還會(huì)引起被連接的路由插入路由表中。一旦連接的路由插入，交換機(jī)就開始向本地子網(wǎng)轉(zhuǎn)發(fā)分組。備用HSRPHSRPVLAN插入連接的路由，并開始轉(zhuǎn)發(fā)信HSRP優(yōu)先配置成HSRP高優(yōu)先級(jí)激活時(shí)，可能會(huì)出現(xiàn)這樣一段時(shí)間：該交換機(jī)接管缺省網(wǎng)關(guān)的工作，但還未建立到的EIGRP相鄰關(guān)系。該交換機(jī)無(wú)法轉(zhuǎn)發(fā)從接入子網(wǎng)HSRP優(yōu)先延遲，以確保交換機(jī)上ipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1prioritystandby1preemptdelayminimum180<<Configure3minuteHSRP可以避免上行丟失問題；但是，高負(fù)載環(huán)境中的分布節(jié)點(diǎn)激活也可能造成下行流量丟失。一旦分布節(jié)點(diǎn)將分布?jí)K路由發(fā)送給交換機(jī)，它會(huì)立即開始接收所有相連子網(wǎng)的流量。為防御DoS，無(wú)論它是蓄意行為還是蠕蟲的附帶行為，所有CiscoCatalyst交換機(jī)都對(duì)ARP處理采取了速率抑制機(jī)制。雖然這些抑制功能可以在DoS時(shí)保護(hù)交換機(jī)，但是，它們無(wú)法區(qū)分DoS流量造成的突發(fā)性和有效流量的突發(fā)性。在這兩種情況下，交換機(jī)都會(huì)抑制ARP部DoS保護(hù)機(jī)制抑制的大量突發(fā)性ARP活動(dòng)。DoS雖然這種行為會(huì)對(duì)流量造成短期的影響，但是，如果交換機(jī)在活動(dòng)期重啟的話，DoS保護(hù)機(jī)如上所述，備用交換機(jī)的重啟可能會(huì)對(duì)下行流量產(chǎn)生類似的潛在影響。對(duì)分布交換機(jī)計(jì)劃性重啟HSRP,表7總結(jié)了72spanning-treemoderapid-pvst<<<Enable802.1wperVLANspanningtreespanning-treeloopguarddefaultnospanning-treeoptimizebpdutransmissionspanning-treeextendsystem-id表8總結(jié)了82008021w8021d態(tài)的方式方面有所差異，會(huì)音流量產(chǎn)生少量度的影響。當(dāng)主交換機(jī)（配置以適合的根網(wǎng)橋）重啟或重新連接至接入交換機(jī)時(shí)，生成樹拓?fù)浣Y(jié)構(gòu)就需要改變。新激活的根網(wǎng)橋開始以低于（BPDU802.1d拓?fù)浣Y(jié)構(gòu)中，過渡到新拓?fù)浣Y(jié)構(gòu)不會(huì)觸發(fā)當(dāng)前主用的端口轉(zhuǎn)換為阻斷狀態(tài)，因?yàn)樵撏負(fù)銱SRP優(yōu)先功HSRP180秒，因此，根交換機(jī)上的端口轉(zhuǎn)換為轉(zhuǎn)鏈路端口會(huì)進(jìn)入指定的阻斷狀態(tài)。當(dāng)接入交換機(jī)從新激活的主分布交換機(jī)接收到更好的根BPDU但是，附帶地也會(huì)導(dǎo)致到備用分布交換機(jī)的上行鏈路暫時(shí)阻斷。因?yàn)閭溆梅植冀粨Q機(jī)依然是主用HSRP網(wǎng)關(guān)，因而會(huì)造成所有上行流量的主用轉(zhuǎn)發(fā)路徑丟失。下行流量也會(huì)受到同樣同步過程的影s》設(shè)計(jì)指南，為 ,表9總結(jié)93轉(zhuǎn)換到OSPFOSPFEIGRP要差。在接入上行鏈路故障時(shí)，分布交換機(jī)需要觸發(fā)網(wǎng)絡(luò)重新路由。如果網(wǎng)絡(luò)被配置成將匯總路由傳輸?shù)剑捶植級(jí)K配置為獨(dú)立SF區(qū)域，那么針對(duì)該故障的重新路由就會(huì)選擇連接兩臺(tái)分布交換機(jī)的鏈路。反之，如果園區(qū)整體配置成一個(gè)無(wú)路由匯總的區(qū)域，那么，一旦發(fā)現(xiàn)分布交換機(jī)下行路由丟失，就會(huì)在節(jié)點(diǎn)上重新路由。IRP和OSF的行為在這一點(diǎn)上是一致的：兩種協(xié)議都會(huì)啟動(dòng)重新路由，無(wú)論是在匯總分布?jí)K中，還是在中（如果未配置匯總的話。EIGRP完成這一重新路由所需時(shí)間主要取決于請(qǐng)求和應(yīng)答處理的效率。在好的匯總設(shè)計(jì)中，請(qǐng)求與EIGRPLSA更新信息，計(jì)算最短路徑優(yōu)先（SPF）樹，以及抑制這兩種可能發(fā)生的速率，因此，OSPF收斂所需時(shí)間被拉長(zhǎng)了。LSA。LSA傳輸后，接到新的LSA更新時(shí)，啟動(dòng)備用抑制計(jì)時(shí)器，即SPF計(jì)時(shí)器。要減少響應(yīng)單一網(wǎng)絡(luò)的SPF計(jì)算的次數(shù)，進(jìn)而減少由于局部拓?fù)浣Y(jié)構(gòu)信息造成的不正確或不全面路由更新，必須采用LSA和SPF抑制計(jì)時(shí)器。在測(cè)試過程中獲得的1600毫秒收斂時(shí)間，為PF檢測(cè)鏈路故障、S、計(jì)算SPF，以及插入新路由的全部時(shí)間，其中包括抑制計(jì)時(shí)器所花費(fèi)的時(shí)間。這些測(cè)試的目的在于，網(wǎng)絡(luò)中所有節(jié)點(diǎn)的SPF計(jì)時(shí)器時(shí)間降至1秒，如以下配置所示。routerospfrouter-idtimersspf1 <<<ReduceSPFTimersto1area120stubno-area120rangerouterospfrouter-idtimersthrottlespf100010001000 <<<OnesecondSPFusing12.2(17b)SXAandlaterarea120stubno-area120range /en/us/partner/products/sw/iosswrel/ps1838/productsfeatureguide09186a103下行——802.1w，L3等成本路徑和00EIGRP）12的情況相同。在根網(wǎng)橋拓?fù)浣Y(jié)構(gòu)改變期間，802.1w同步流程會(huì)造成少量可察覺丟失，而在上述條件下，ARPDoS保護(hù)特性也,114主用GLBP備用GLBP當(dāng)采用相同的計(jì)時(shí)器配置時(shí)，HSRPGLBP的光纖和/或節(jié)點(diǎn)故障的最長(zhǎng)恢復(fù)時(shí)間相同。在這兩GLBP負(fù)載均衡算法的性質(zhì)確保了，只有一半終端站點(diǎn)在任意時(shí)間將每臺(tái)分布交換機(jī)用作缺 主用GLBP備用GLBP下行——802.1w，L3等成本路徑和00,生成樹版本——環(huán)形Rapid-PVST+（每VLAN 主用GLBP備用GLBPVLAN擴(kuò)展到兩臺(tái)分布交換機(jī)間的干線，與無(wú)環(huán)設(shè)計(jì)相比，在發(fā)生單一光纖故復(fù)無(wú)需HSRP和EIGRP收斂，如圖11所示。第二層環(huán)形配置中的

GLBP主用

802.1wGLBP800毫秒終止時(shí)間和802.1w的GLBP可以在不到400毫秒的時(shí)間內(nèi)恢復(fù)連接。因?yàn)槊颗_(tái)分布交換機(jī)在各個(gè)VLAN有多個(gè)端口，單一下行端口丟失不會(huì)自動(dòng)關(guān)閉相應(yīng)的等待直至802.1w恢復(fù)兩臺(tái)交換機(jī)間的第二層連接。采用環(huán)形第二層拓?fù)浣Y(jié)構(gòu)對(duì)分布交換機(jī)故障的網(wǎng)絡(luò)收斂時(shí)間沒有影響。在這種情況下，冗余第二層路徑不再存在，網(wǎng)絡(luò)要依靠GLBP恢復(fù)缺省網(wǎng)關(guān)，以及依賴的等成本路徑恢復(fù)下行流量。生成樹版本——環(huán)形Rapid-PVST+（每VLAN 主用GLBP備用GLBP下行——802.1w，L3等成本路徑和00VLAN不會(huì)改變?cè)O(shè)備激活對(duì)于主用流量的影響。網(wǎng)絡(luò)中的丟失依然會(huì)造成:第三層到接入分布VLAN3數(shù) VLAN49數(shù) VLAN149話VLAN流量被路由，而并非上行橋該設(shè)計(jì)初看起來(lái)與標(biāo)準(zhǔn)分布構(gòu)建塊極為不同，但在許多方面卻非常相似。在這兩種設(shè)計(jì)中，每臺(tái)接入交換機(jī)都配置以的話音和數(shù)據(jù)子網(wǎng)（LN。路由節(jié)點(diǎn)間的所有鏈路都配置成點(diǎn)到點(diǎn)模式。它們的主要差別在于缺省網(wǎng)關(guān)的位置。在傳統(tǒng)的設(shè)計(jì)中，缺省網(wǎng)關(guān)駐留在分布節(jié)點(diǎn)中，接入交換機(jī)和分布交換機(jī)間的鏈路經(jīng)過配置，將數(shù)據(jù)和話音LAN擴(kuò)展到分布式路由器。在第三層接入設(shè)計(jì)中，缺省網(wǎng)關(guān)駐留在接入交換機(jī)上，而上行鏈路則配置成采用/30或31編址的點(diǎn)到點(diǎn)子網(wǎng)。EIGRP在第三層接入設(shè)計(jì)中，要考慮的故障情況較少。通過將第二/三層邊界從分布交換機(jī)遷移到接入交換機(jī)，某些故障情況不會(huì)再出現(xiàn)。由于缺省網(wǎng)關(guān)功能現(xiàn)在指定給邊緣交換機(jī)，因此，不再需要冗余缺省網(wǎng)關(guān)機(jī)制。HSRP/GLBP調(diào)整和收斂時(shí)間不會(huì)影響園區(qū)設(shè)計(jì)決策。生成樹實(shí)例在單一交換機(jī)中運(yùn)行，不影響收斂時(shí)間。路由接入園區(qū)完全取決于園區(qū)交換機(jī)的第三層收斂行為和所部署的路由協(xié)議的收斂行為。在接入層中運(yùn)行第三層功能還可以實(shí)現(xiàn)所有上行和下行流量的動(dòng)態(tài)負(fù)載均衡。從接入到分布層的等成本路由會(huì)在兩條上行鏈路間分配發(fā)往的上行負(fù)載。各個(gè)節(jié)點(diǎn)上的等成本路徑將在兩臺(tái)分布交換機(jī)間分配負(fù)載，從而使從分布到接入層的下行返回路徑形成對(duì)稱負(fù)載。這種負(fù)載均衡或?qū)ΨQ行為意味著，在冗余第三層園區(qū)設(shè)計(jì)中，任意特定節(jié)點(diǎn)或鏈路故障只影響最多一半的網(wǎng)絡(luò)流量。由于鏈路或節(jié)點(diǎn)故障造成的任意單一路徑故障，只會(huì)影響使用該路徑的流量。這些流量在兩條上行鏈都具有等同的轉(zhuǎn)發(fā)可能性。隨著流量數(shù)增加，測(cè)量到的平均負(fù)載，無(wú)論 在路由接入設(shè)計(jì)中，從接入交換機(jī)到的上行信息流的收斂時(shí)間取決于分布交換機(jī)鏈路丟失的檢測(cè)。檢測(cè)出鏈路故障后，交換機(jī)處理鏈路中斷，刪除所有與故障接口相關(guān)的路由和CF硬件轉(zhuǎn)發(fā)項(xiàng)。在推薦配置中，使用從兩個(gè)分布交換機(jī)發(fā)出的等成本路由，隨后通過其余硬件CF項(xiàng)IGP由用8023z或8023ae鏈路協(xié)商，以便故障檢測(cè)機(jī)制能檢測(cè)出因?yàn)楣饫w或上行節(jié)點(diǎn)故障而導(dǎo)致的鏈路丟失。禁用鏈路協(xié)商會(huì)延長(zhǎng)上行和下行信息流的收斂時(shí)間。發(fā)生在接入交換機(jī)到分布交換機(jī)間光纖故障時(shí)的下行恢復(fù)時(shí)間取決于GP重路由。在冗余第三層接入園區(qū)中，除了一種情況，您無(wú)需在其他情況下進(jìn)行路由協(xié)議收斂。每個(gè)分布交換機(jī)有一條路徑通往用于每個(gè)接入交換機(jī)的話音和數(shù)據(jù)子網(wǎng)。在此路徑丟失時(shí)，分布交換機(jī)轉(zhuǎn)換為IP主用狀態(tài)，用于與那一鏈路相關(guān)的接入網(wǎng)絡(luò)/路由。分布節(jié)點(diǎn)向交換機(jī)和其分布對(duì)等設(shè)備請(qǐng)求一為確保優(yōu)化收斂，思科建議匯總每個(gè)分布構(gòu)建塊中從每個(gè)分布交換機(jī)上行到的所有路由。核心上的匯總路由可防止節(jié)點(diǎn)向網(wǎng)絡(luò)的其他部分請(qǐng)求，因此可限制請(qǐng)求和收斂時(shí)間。請(qǐng)求過程能否快速完成也取決于發(fā)出和接收信息的交換機(jī)處理IP應(yīng)確保網(wǎng)絡(luò)不受可能在交換機(jī)上造成高CPU流量的異常（蠕蟲、DDoS、生成樹環(huán)等）在分布節(jié)點(diǎn)故障時(shí)，從接入交換機(jī)到的上行流量的恢復(fù)依然取決于分布交換機(jī)丟失鏈路的檢測(cè)。交換機(jī)間的光纖丟失或分布交換機(jī)故障被接入交換機(jī)視為同等。其行為和異議如同上所分布交換機(jī)故障時(shí)的下行收斂取決于交換機(jī)的等成本路徑故障行為。每臺(tái)交換機(jī)擁有兩條到分布?jí)K網(wǎng)絡(luò)的等成本路由。分布交換機(jī)之一發(fā)生故障時(shí)，交換機(jī)會(huì)刪除無(wú)效的路由和相關(guān)的硬件CEF輸入項(xiàng)。EIGRP還有一條到分布?jí)K網(wǎng)絡(luò)的有效路由，并不會(huì)被其他路由激活，不執(zhí)在正常運(yùn)行條件下，分布交換機(jī)間的光纖路徑不傳輸話音和應(yīng)用數(shù)據(jù)流量。在接入到分布交換機(jī)鏈路故障時(shí)，它為應(yīng)用和話音流量提供了一條備用路徑（上述配置1所示在所有交換機(jī)都已確定能夠成功地轉(zhuǎn)發(fā)話音和數(shù)據(jù)流量以前，不會(huì)改變轉(zhuǎn)。端到端P用避免了與第三層靜態(tài)路由設(shè)計(jì)有關(guān)的問題，該設(shè)計(jì)不是根據(jù)確認(rèn)的有效網(wǎng)絡(luò)路徑，而僅僅根據(jù)激活的鏈路轉(zhuǎn)發(fā)流量。ERP接入設(shè)計(jì)避免了靜態(tài)路由實(shí)施帶來(lái)的黑洞問題。見表 000000冗余設(shè)計(jì)中的鏈路或節(jié)點(diǎn)恢復(fù)過程中，主用轉(zhuǎn)發(fā)路徑無(wú)丟失。備用鏈路/節(jié)點(diǎn)激活將導(dǎo)致RP鄰接設(shè)備搜索/路由建立，從而在路由表中生成一條備用等成本路由或?qū)е卢F(xiàn)有路由被一條成本更低的新路由取代。新路由建立后，每臺(tái)交換機(jī)更新其反映新路由的硬件CF，并通過新路徑轉(zhuǎn)發(fā)所有現(xiàn)有流量和新的流量。在路由協(xié)議更新過程中，交換機(jī)繼續(xù)使用現(xiàn)有硬件轉(zhuǎn)發(fā)項(xiàng)，并且不會(huì)由于新路由的插入而丟失任何數(shù)據(jù)。接入和分布交換機(jī)間的鏈路恢復(fù)導(dǎo)致備用等成本路由添加到上行網(wǎng)絡(luò)接入交換機(jī)。分布交換機(jī)可以利用恢復(fù)的光纖了解到更好的路由，并用新的路由替代舊的路由和CF項(xiàng)。由于在其到的上行鏈配置了匯總邊界，因此，分布交換機(jī)不會(huì)將新路由信息至。此上行鏈路激活I(lǐng)P設(shè)計(jì)中被降至了最低限度。EIGRP設(shè)計(jì)中被降至了最低限度。在新路由插入的轉(zhuǎn)換過程中，無(wú)論它是更好的路徑路由還是備用等成本路由，在高度超額配置的網(wǎng)絡(luò)中，在新路徑上發(fā)送的現(xiàn)有信息流分組可能在抵達(dá)時(shí)出現(xiàn)錯(cuò)序。這種情況只有在原始路徑上的負(fù)載遭遇嚴(yán)重?fù)砣?，?dǎo)致持續(xù)延遲時(shí)，才會(huì)出現(xiàn)。在利用高度超額配置（情況）負(fù)載進(jìn)試的過程中，結(jié)果發(fā)現(xiàn)，主用話音流中單一分組丟0.003%。極低的分組丟失水平和由于激活備用鏈路造成的較低相關(guān)抖動(dòng)，以及話音流轉(zhuǎn)發(fā)情況。對(duì)于EIGRP進(jìn)行的三項(xiàng)故障分析，同樣需要應(yīng)用于OSPF：EIGRPOSPF會(huì)影響第一種故障情況下的網(wǎng)絡(luò)收斂行為（17）。17OSPF在OSPF環(huán)境中，從接入交換機(jī)到的上行流量恢復(fù)類似于EIGRP，即主要取決于分布交換機(jī)鏈路丟測(cè)。鏈路故障檢測(cè)過程中，交換機(jī)將處理鏈路中斷，刪除與故障接口有關(guān)的所有路由和CEF硬件轉(zhuǎn)發(fā)項(xiàng)。EIGRPOSPF：從分布到接LSASPF抑制計(jì)時(shí)器而等待一段已配置好的時(shí)間，等待從該區(qū)域中其他交換機(jī)處收到LSA。此計(jì)時(shí)器過期后，執(zhí)行SPF計(jì)算，插入新路由和相關(guān)硬件CEF項(xiàng)。由于拓?fù)浣Y(jié)構(gòu)變更的重新計(jì)算對(duì)于處理器和內(nèi)存的依賴性更強(qiáng)，并且經(jīng)常涉及區(qū)域中的所有路由PF實(shí)施了旨在減少拓?fù)浣Y(jié)構(gòu)變更次數(shù)和頻率的LSA和SPFOSPF抑制計(jì)時(shí)器的配置，還依賴于交換機(jī)處理DDoS、生成樹環(huán)等）的影響，對(duì)于確保可預(yù)測(cè)收斂時(shí)間也是必不可少的。測(cè)。交換機(jī)間的光纖丟失或分布交換機(jī)故障被接入交換機(jī)視為同等。其行為如同上所述。分布?jí)K網(wǎng)絡(luò)的等成本路由。分布交換機(jī)中的一臺(tái)故障時(shí)，交換機(jī)會(huì)刪除無(wú)效的路由和相關(guān)的硬件CEF輸入項(xiàng)。由于鏈路丟失，路由器和對(duì)等分布交換機(jī)上的OSPF會(huì)啟動(dòng)LSA，在正常運(yùn)行條件下，分布交換機(jī)間的光纖路徑不傳輸話音和應(yīng)用數(shù)據(jù)流量。在接入到分布交換機(jī)1所示OSP區(qū)域內(nèi)所有交換機(jī)出現(xiàn)SA和SPF路由接入SF設(shè)計(jì)中的鏈路和節(jié)點(diǎn)恢復(fù)是十分容易預(yù)測(cè)的，只有一種情況可能會(huì)出現(xiàn)顯著的意外。通常，除非為反映新鏈路激活而進(jìn)行路由表變更，否則不會(huì)執(zhí)行第三層轉(zhuǎn)發(fā)。直到新激活的鏈路完成了兩個(gè)方向的鄰接設(shè)備搜索和協(xié)商，才會(huì)更新路由表。除非所有交換機(jī)都已確定能夠成功地轉(zhuǎn)發(fā)話音和數(shù)據(jù)流量，否則不會(huì)改變轉(zhuǎn)。此故障的例外情況在恢復(fù)情況二——分布交換機(jī)的恢復(fù)中進(jìn)行了闡述。表18總結(jié)了。18OSPF000-45000冗余設(shè)計(jì)中的鏈路或節(jié)點(diǎn)恢復(fù)過程中，主用轉(zhuǎn)發(fā)路徑無(wú)丟失。備用鏈路/節(jié)點(diǎn)激活將導(dǎo)致OPF鄰接設(shè)備搜索/路由建立，從而在路由表中生成一條備用等成本路由或?qū)е卢F(xiàn)有路由被一條成本更低的新路由取代。新路由建立后，每臺(tái)交換機(jī)更新其反映新路由的硬件CF，并通過新路徑轉(zhuǎn)發(fā)所有現(xiàn)有流量和新的流量。在路由協(xié)議更新過程中，交換機(jī)繼續(xù)使用現(xiàn)有硬件轉(zhuǎn)發(fā)項(xiàng)，并且不會(huì)由于新路由的插入而丟失任何數(shù)據(jù)。接入和分布交換機(jī)間的鏈路恢復(fù)導(dǎo)致備用等成本路由添加到上行網(wǎng)絡(luò)接入交換機(jī)。分布交換機(jī)可以利用恢復(fù)的光纖了解更好的路由，用新的路由替代舊的路由和CEF項(xiàng)。由于在其到的上行鏈配置了匯總邊界，因此，分布交換機(jī)不會(huì)將新路由信息至。上行鏈路激活導(dǎo)致的OSF設(shè)計(jì)中被降至了最低限度。在新路由插入的轉(zhuǎn)換過程中，無(wú)論它是更好的路徑路由還是備用等成本路由，在高度超額配置的網(wǎng)絡(luò)中，在新路徑上發(fā)送的現(xiàn)有信息流分組可能在抵達(dá)時(shí)出現(xiàn)錯(cuò)序。這種情況只有在原始路徑上的負(fù)載遭遇嚴(yán)重?fù)砣瑢?dǎo)致持續(xù)延遲時(shí)，才會(huì)出現(xiàn)。在利用高度超額配置（情況）負(fù)載進(jìn)行測(cè)試的過程中，結(jié)果發(fā)現(xiàn)，主用話音流中單一分組丟失不到0003%。討是基于下列OSPF設(shè)計(jì)：分布?jí)K作為OSPF分布交換機(jī)的激活為收斂，包括添加備用ABR，以及被廣播到區(qū)域0的相關(guān)匯總路由。該過BR個(gè)鄰接關(guān)系，它就會(huì)將缺省路由廣播到下行相鄰接入交換機(jī)中。缺省廣播并非根據(jù)與的鄰接關(guān)系而建立，而是根據(jù)與包括接入交換機(jī)在內(nèi)的其他交換機(jī)的鄰接關(guān)系而建立。因此，分布交換機(jī)有可能在可向路由數(shù)據(jù)前，就將缺省路由廣播到接入交換機(jī)。接入交換機(jī)有兩個(gè)缺省路由：一個(gè)源于轉(zhuǎn)發(fā)到的現(xiàn)有分布交換機(jī)，另一個(gè)源于不接入的新激活的交換機(jī)。分布交換機(jī)流量黑洞的時(shí)間長(zhǎng)短取決于多種因素，包括線卡啟動(dòng)順序、CPUOSPF設(shè)計(jì)選擇的具體信息和理由，請(qǐng)參考高可用性園區(qū)和園區(qū)第三層接入設(shè)計(jì)換機(jī)鏈路故障時(shí)，它為應(yīng)用和話音流量提供了一條備用路徑（1所示。該鏈路的激活會(huì)導(dǎo)需調(diào)整配置，因此，其余的測(cè)試不必進(jìn)行變更。測(cè)試設(shè)計(jì)遵循最佳實(shí)踐不在實(shí)施復(fù)雜策略管理的建議，只有一種情況例外。交換機(jī)被配 交換機(jī)配置keychaineigrpkey100!!Enabledspanningtreeasafail-safe!modessoauto-syncrunning-configauto-syncstandard!!RPredundancyinterfaceLoopback0!descriptionANYCASTRPADDRESSipaddress55!interfaceLoopback2descriptionGarbage-CANRPipaddress!!ConfigurepointtopointlinkstoDistributionswitchesinterfaceTenGigabitEthernet3/1!Useof/31addressingonpointtopointlinksoptimizesuseofIPaddressspace!the!ReduceEIGRPoandholdtimersto1and3seconds.Inapoint-pointL3!designtheEIGRPtimersarenottheprimarymechanismusedforlinkand!failuredetection.Theyareintendedtoprovideafail-safemechanismonly.ipo-intervaleigrp1001iphold-timeeigrp100ipauthenticationmodeeigrp100ipauthenticationkey-chaineigrp100eigrpload-interval30!Reducecarrierdelayto0.TuningcarrierdelaynolongerhasanimpactonGigE!10GigEinterfacesbut mendedtobeconfiguredasabestpracticefor!operationalconsistencycarrier-delaymsec0!ConfiguretrustDSCPtoprovidefor umgranularityofinternalQoSqueuingmlsqostrustdscp!routereigrp!PassiveallinterfacesnotintendedtoformEIGRPneighborspassive-interfaceLoopback0passive-interfaceLoopback1passive-interfaceLoopback2network!ExplicitlyconfiguretheEIGRProuteridasabestpracticewhenusingAnycast!anyidenticalloopbackaddressonmultiplerouters.eigrprouter-id!!MulticastroutepointandMSDP!Foradetailedexnationonthespecificsoftheconfigurationbelowplease!thecampuschapterofthemulticastdesignguides.ippimrp-addressippimrp-addressGOOD-IPMCoverrideippimaccept-registerlistPERMIT-SOURCESipmsdpdescriptionANYCAST-PEER-6k-core-leftipmsdpcache-sa-state!ipaccess-liststandardGOOD-IPMCpermit9!交換機(jī)配置!!Enabledspanningtreeasafail-safepracticespanning-treemoderapid-pvst!modessoauto-syncrunning-configauto-syncstandard!!RPredundancyinterfaceLoopback0!descriptionANYCASTRPADDRESSipaddress55!interfaceLoopback2descriptionGarbage-CANRPipaddress!!ConfigurepointtopointlinkstoDistributionswitchesinterfaceTenGigabitEthernet3/1!Useof/31addressingonpointtopointlinksoptimizesuseofIPaddressspace!the!ReduceOSPFoanddeadtimersto1and3seconds.Inapoint-pointL3!designtheOSPFtimersarenottheprimarymechanismusedforlinkand!failuredetection.Theyareintendedtoprovideafail-safemechanismonly.ipospfo-interval1ipospfdead-interval3load-interval30!Reducecarrierdelayto0.TuningcarrierdelaynolongerhasanimpactonGigE!10GigEinterfacesbut mendedtobeconfiguredasabestpracticefor!operationalconsistencycarrier-delaymsec0!ConfiguretrustDSCPtoprovidefor umgranularityofinternalQoSqueuingmlsqostrustdscp!routerospf!ExplicitlyconfiguretheOSPFrouteridasabestpracticewhenusingAnycast!anyidenticalloopbackaddressonmultiplerouters.router-id!TunetheSPFthrottletimersdownfromthedefaults.PleaserefertotheHA!DesignGuidesfordetailsonspecifictuning timersspf11passive-interfaceLoopback0passive-interfaceLoopback1passive-interfaceLoopback2!!MulticastroutepointandMSDP!Foradetailedexnationonthespecificsoftheconfigurationbelowplease!thecampuschapterofthemulticastdesignippimrp-addressGOOD-IPMCoverrideippimaccept-registerlistPERMIT-SOURCESipmsdpdescriptionANYCAST-PEER-6k-core-leftipmsdpcache-sa-state!ipaccess-liststandardGOOD-IPMCpermit9!生成樹版本——PVST+（每VLAN!Usevtptransparentmode,configureallVLANsexplicitly vtpmode!EnableUDLDaggressivemodeasafailsafemechanismudldaggressive!Enable802.1dperVLANspanningtreeenhancements.spanning-treemodepvstnospanning-treeoptimizebpdutransmissionspanning-treeextendsystem-idspanning-treeuplinkfastspanning-treebackbonefast!Configurerootbridgepriority.Noteuseofextendedsystem-idspanning-treevlan2-7,20-51,102-149,202-207,220-249priority24576!!Defineuniquevoiceanddatavlansforeachaccessswitchvlan4nameData_VLAN-4507-SupII+vlan7nameData_VLAN-6500-Sup2-CatOSvlan104vlan107vlan204vlan207!!Definealocalloopbackaddresstoprovideasinkholeroutepoint!invalidmulticastgroupsinterfaceLoopback2descriptionGarbage-CANRPipaddress!!ConfigurepointtopointLayer3interfaceuplinkstocoreswitchesinterfaceTenGigabitEthernet4/1description10GigEtoCore!Reduce oandholdtimersto1and3secondsandenable!route o-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100!Advertiseasummaryroutefortheentiredistributionblockupstreamto!!Reducingcarrierdelayto0as!TrustinboundDSCPmarkingsmlsqostrustdscp!description10GigEtoCoreipo-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100load-interval30mlsqostrustdscp!interfaceTenGigabitEthernet4/3description10GigEtoDistribution-2ipo-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100ipauthenticationkey-chaineigrp100eigrpload-interval30mlsqostrust!!ConfigureLayer2trunkconnectionstodownstreamaccessswitchesinterfaceGigabitEthernet3/3descriptionto4507_SupII+_Accessnoipaddress!TrustinboundDSCPmarkingsmlsqostrustdscp!ConfiguretrunktouseadedicatednativeVLANtoprotectagainstVLANhoswitchporttrunknativevlan204!ManuallypruneallVLANsfromtrunkotherthandedicatedvoiceanddataswitchporttrunkallowedvlan4,104!ConfigureswitchporttobypassTrunkandEtherchannelnegotiationswitchportmodetrunk!interfaceGigabitEthernet3/6descriptionto6500_Sup1A_Accessnoipaddressload-interval30mlsqostrustdscpswitchporttrunkencapsulationdot1qswitchporttrunknativevlan207switchporttrunkallowedvlan7,107switchportmodetrunk!!DefinetheLayer3SVIforeachvoiceanddataVLANinterfaceVlan4descriptionDataVLANfor4507SupII+ipaddress!EnablelooseuRPFtomitigateagainstspoofedsourceIPaddressingipverifyunicastsourcereachable-viaany!Defineip-helpertoforwardDHCPrequestsiphelper-addressnoip!ReducePIMqueryintervalto250msecippimquery-interval250msecippimsparse-modeload-interval30!DefineHSRPdefaultgatewaywith250/800msecoandholdtimersstandby1ipstandby1timersmsec250msec!Setpreemptdelaylargeenoughtoallownetworktostabilizebefore!switchesbackonpoweronorlinkrecoverystandby1preemptdelayminimum180!EnableHSRPauthentication!descriptionDataVLANfor6500Sup2CatOSipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1preemptdelayminimum180standby1authenticationese!descriptionVoiceVLANfor4507SupII+ipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1preemptdelayminimum180standby1authenticationese!descriptionVoiceVLANfor6500Sup2CatOSipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1preemptdelayminimum180standby1authenticationese!routereigrp!Passiveallinterfacesexceptthecoreuplinksandlinktoppeerdistributionpassive-interfacedefaultnopassive-interfaceTenGigabitEthernet4/1nopassive-interfaceTenGigabitEthernet4/2nopassive-interfaceTenGigabitEthernet4/3!SpecifyEIGRPadvertiseroutesforalldistributionaccessandcore!!ExplicitlyconfiguretheEIGRProuteridasabestpracticewhenusingAnycast!anyidenticalloopbackaddressonmultiplerouters.eigrprouter-id!DefinethevalidmulticastRPandgarbagecanRP.SeetheMulticast!Guidefordetailsonthisippimrp-addressGOOD-IPMCoverrideippimrp-address!!ipaccess-liststandardGOOD-IPMCpermit9!Usevtptransparentmode,configureallVLANsexplicitlyvtpcampus-testvtpmode!EnableUDLDaggressivemodeasafailsafemechanismudldaggressive!Enable802.1dperVLANspanningtreeenhancements.spanning-treemodepvstnospanning-treeoptimizebpdutransmissionspanning-treeextendsystem-idspanning-treeuplinkfastspanning-treebackbonefast!Configurerootbridgepriorityassecondary.Noteuseofextendedsystem-idspanning-treevlan2-7,20-51,102-149,202-207,220-249priority28672!vlannameData_VLAN-4507-SupII+vlan7nameData_VLAN-6500-Sup2-CatOSvlan104vlan107vlanvlan207!!Definealocalloopbackaddresstoprovideasinkholeroutepoint!invalidmulticastgroupsinterfaceLoopback2descriptionGarbage-CANRPipaddress!!ConfigurepointtopointLayer3interfaceuplinkstocoreswitchesinterfaceTenGigabitEthernet4/1description10GigEtoCore!ReduceEIGRPoandholdtimersto1and3secondsandenable!routeipo-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100!Advertiseasummaryroutefortheentiredistributionblockupstreamto!!Reducingcarrierdelayto0asacarrier-delaymsec0!TrustinboundDSCPmarkingsmlsqostrustdscp!description10GigEtoCore o-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100load-interval30mlsqostrustdscp!interfaceTenGigabitEthernet4/3description10GigEtoDistribution-2ipo-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100ipauthenticationkey-chaineigrp100eigrpload-interval30mlsqostrust!!ConfigureLayer2trunkconnectionstodownstreamaccessswitchesinterfaceGigabitEthernet3/3descriptionto4507_SupII+_Accessnoipaddress!TrustinboundDSCPmarkingsmlsqostrustdscp!ConfiguretrunktouseadedicatednativeVLANtoprotectagainstVLANhoswitchporttrunknativevlan204!ManuallypruneallVLANsfromtrunkotherthandedicatedvoiceanddataswitchporttrunkallowedvlan4,104!ConfigureswitchporttobypassTrunkandEtherchannelnegotiationswitchportmodetrunk!interfaceGigabitEthernet3/6descriptionto6500_Sup1A_Accessnoipaddressload-interval30mlsqostrustdscpswitchporttrunkencapsulationdot1qswitchporttrunknativevlan207switchporttrunkallowedvlan7,107switchportmodetrunk!!DefinetheLayer3SVIforeachvoiceanddataVLANinterfaceVlan4!EnablelooseuRPFtomitigateagainstspoofedsourceIPaddressingipverifyunicastsourcereachable-viaany!Defineip-helpertoforwardDHCPrequestsiphelper-addressnoip!ReducePIMqueryintervalto250msecippimquery-interval250msecippimsparse-modeload-interval30!DefineHSRPdefaultgatewaywith250/800msecoandholdtimersstandby1ipstandby1timersmsec250msec!RaisingHSRPpriority sthisswitchtobeactiveHSRPgatewaystandby1priority150!Setpreemptdelaylargeenoughtoallownetworktostabilizebefore!switchesbackonpoweronorlinkrecoverystandby1preemptdelayminimum180!EnableHSRPauthentication!descriptionDataVLANfor6500Sup2CatOSipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1prioritystandby1preemptdelayminimum180standby1authenticationese!descriptionVoiceVLANfor4507SupII+ipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250ippimsparse-modeload-interval30standby1ipstandby1timersmsec250msecstandby1preemptdelayminimum180standby1authenticationese!descriptionVoiceVLANfor6500Sup2CatOSipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1preemptdelayminimum180standby1authenticationese!routereigrp!Passiveallinterfacesexceptthecoreuplinksandlinktoppeerdistributionpassive-interfacedefaultnopassive-interfaceTenGigabitEthernet4/1nopassive-interfaceTenGigabitEthernet4/2nopassive-interfaceTenGigabitEthernet4/3!SpecifyEIGRPadvertiseroutesforalldistributionaccessandcore!!DefinethevalidmulticastRPandgarbagecanRP.SeetheMulticast!Guidefordetailsonthisippimrp-addressGOOD-IPMCoverrideippimrp-address!!ipaccess-liststandardGOOD-IPMCpermit9IOS接入交換機(jī)vtpmodetransparentudldaggressive!AutoQoSdefinedpolicier-mapautoqos-voip-classclass-default!Enable802.1dperVLANspanningtreeenhancements.spanning-treeloopguarddefaultspanning-treeextendsystem-idspanning-treeuplinkfastspanning-treebackbonefast!Definededicatedvoice,dataandtrunkVLANforthisaccessswitchvlan4nameDatavlan104nameVoicevlan204nameTrunk!DefineswitchporttrunkuplinktodistributioninterfaceGigabitEthernet1/1descriptionUplinktoDistributionSwitch1switchporttrunkencapsulationdot1q!Defineauniquetrunkvlaninordertopreventvlanhopattacksswitchporttrunknativevlan204!Explicitlyconfigurevoiceanddatavlanontrunkswitchporttrunkallowedvlan4,104!ExplicitlyenabletrunkinganddisableEtherchannelnegotiationswitchportmodetrunkswitchportnonegotiateload-interval30!AutoQoSdefinedconfigurationforvoiceenableduplinkqostrustcosservice-outputautoqos-voip-autoqosvoiptrustbandwidthpercent33priorityhigh!descriptionUplinktoDistributionSwitch2switchporttrunkencapsulationdot1qswitchporttrunknativevlan204switchporttrunkallowedvlan4,104switchportmodetrunkswitchportnonegotiateload-interval30qostrustservice-outputautoqos-voip-autoqosvoiptrustbandwidthpercent33priorityhigh! !seethefollowingformoreinformationon !interfaceFastEthernet2/1switchportaccessvlan4switchportmodeaccessswitchportvoicevlan104switchportport-securityswitchportport-securityagingtime2switchportport-securityviolationrestrictswitchportport-securityagingtypeinactivityqostrustdevicecisco-phoneqostrustservice-outputautoqos-voip-autoqosvoipcisco-phonetx-queue3priorityhighshapepercent33spanning-treeportfast!!DefineswitchmanagementaddressondatavlaninterfaceVlan4CatOs接入交換機(jī)setvtpcampus-testsetvtpmodetransparentsetvlan7nameDatatypeethernetmtu1500said100007statesetvlan107nameVoicetypeethernetmtu1500said100107stateactivesetvlan207nameUplinktypeethernetmtu1500said100207statesetspantreeuplinkfastenablerate0all-protocolsoff#module1:2-port1000Ba setvlan2071/1-settrunk1/1nonegotiatedot1qsettrunk1/2nonegotiatedot1q7,107,207setspantreeguardloop1/1-2setportqos1/1-2trusttrust-setportqos1/1-2-sourcelocalsetportchannel1/1-2modeoff !seethefollowingformoreinformationon !setportenablesetportl2protocol-tunnel4/1cdpstpvtpdissetportmembership4/1staticsetporthostsetspantreebpdu-guard4/1enablesetvlan74/1setportauxiliaryvlan4/1107setportinlinepower4/1autosetcdpenable4/1setportqos4/1autoqosvoipsetportsecurity4/1enableage um1violation分布節(jié)點(diǎn)keychaineigrpkey100!<Configurespanningtreeasaredundantprotectivemechanism>spanning-treemoderapid-pvst!<ConfigurepointtopointLayer3linkstoeachoftheaccessswitches>interfaceGigabitEthernet3/1<configuretheswitchtoswitchlinkusinga/30or/31subnet>ipaddress0454<specifytheuseof1secondoand3seconddeadtimersforEIGRP>ipo-intervaleigrp1001iphold-timeeigrp100<enableeigrpMD5ipauthenticationmodeeigrp100ipauthenticationkey-chaineigrp100eigrploggingeventlink-status<Setcarrierdelayto0.OnCatalyst6500thiswillhavenoeffectonGigEportshoweveritisnecessaryon3x50seriesswitchesandshouldbeconsistentlyconfiguredforbest<Trustthedscpsettingsinallpacketssourcedfromtheaccess.Weareextendingthetrustboundarytotheaccessswitch>mlsqostrust!!<ConfigurepointtopointL3linkstoeachofthecoreswitches>interfaceTenGigabitEthernet4/1description10GigEtoCore<configuretheswitchtoswitchlinkusinga/30or/31subnet>ipa