PPt_4face_021208.jpg © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public SWITCH v7 Chapter 8 ‹#› Cisco_NewLogo Switching Features and Technologies for the Campus Network CCNP SWITCH: Implementing Cisco IP Switched Networks Cíle kapitoly 8 §Tato kapitola je věnována následujícím vlastnostem přepínačů: §Discovery protocols §Unidirectional Link Detection §Power over Ethernet §SDM templates §Monitoring features §IP SLA Chapter 1 Objectives ss1 Discovery Protocols Discovery protokoly §Tato část kapitoly pokrývá: §Úvod do LLDP a srovnání s CDP §Základní konfigurace LLDP §Vyhledání sousedů za pomoci LLDP Úvod do LLDP §LLDP je průmyslový standard pro objevování sousedů. §Všechny aktuální Cisco zařízení vyjma těch zastaralých či okrajových podporují LLDP. §Zprávy LLDP se nepřeposílají. •Because of the industry standard requirements around network designs, many campus networks are now leveraging LLDP over CDP. •By definition, LLDP is a neighbor discovery protocol that is used for network devices to advertise information about themselves to other devices on the network. •This protocol runs over the data link layer, which allows two systems running different network layer protocols to learn about each other. •LLDP is locally significant, and the switch does not forward LLDP information; the switch only processes the information. Úvod do LLDP §Tento protokol může inzerovat podrobnosti, jako jsou informace o konfiguraci, možnosti zařízení, adresa IP, název hostitele a identita zařízení. §LLDP se používá pro nepřeberné množství informací, není vytvořen pro odesílání informací v reálném čase, jako jsou data o výkonu nebo data čítače. §Výhodou LLDP nad CDP je, že umožňuje kastomizaci. LLDP může nést mnoho informací, které jsou relevantní pro vaši síť. §Jednou nevýhodou LLDP ve srovnání s CDP je, že není příliš triviální. Úvod do LLDP §Následující seznam zachycuje několik důležitých implementačních vlastností LLDP: §LLDP je jednosměrný. §LLDP funguje pouze v reklamním (advertising) režimu. §LLDP nevyžaduje monitorování změn stavu mezi uzly LLDP. §LLDP využívá multicastový rámec Layer 2 k informování sousedů o sobě a jeho vlastnostech. §LLDP přijímá a zaznamenává všechny informace, které obdrží o svých sousedech. §LLDP používá 01: 80: c2: 00: 00: 0e, 01: 80: c2: 00: 00: 03 nebo 01: 80: c2: 00: 00: 00 jako cílovou adresu MAC multicast vysílání. Vyměňované informace pomocí LLDP §Následující seznam definuje nejběžnější informace vyměňované s LLDP s přepínači kampusu: §Název systému a popis §Název portu a popis §Porty VLANů a název VLAN §Management IP adresy §Možnosti systému (Wi-Fi, směrování, přepínání atd.) §Napájení přes Ethernet §Agregace spojení Konfigurace LLDP §CDP je v defaultním nastavení povoleno na všech zařízeních Cisco, ale LLDP může být ve výchozím nastavení povoleno nebo zakázáno v závislosti na hardwarové platformě a verzi softwaru. §Chcete-li povolit LLDP v zařízení, použijte příkaz lldp run v režimu globální konfigurace. Pro zákaz používejte no run lldp. §Chcete-li zakázat LLDP na konkrétním rozhraní, je třeba dát na všech rozhraních no lldp receive a no lldp transmit. Defaultně ale tyto příkazy neuvidíte. •Note Because LLDP is enabled by default on select platforms and software versions, the lldp receive and lldp transmit commands will not appear in the configuration by default. Konfigurace LLDP Sousedé LLDP Informace o provozu pomocí LLDP Klíčové vlastnosti LLDP §LLDP umožňuje aplikacím správy sítě automaticky vyhledávat a dozvědět se o síťových zařízeních. §LLDP je průmyslová standardní alternativa k CDP. §LLDP podporuje povolit nebo zakázat přenosové nebo přijímací schopnosti na portu. §Pro zobrazení sousedů LLDP použijte příkaz show lldp neighbors [detaily]. ss2 Jednosměrná tetekce linky (Unidirectional Link Detection) UDLD •A unidirectional link occurs when traffic is transmitted between neighbors in one direction only. •Most Layer 1 mechanisms built in to the Ethernet specification detect this connection and either prevent the link from ever establishing or bring the link up. •However, in some situations, Layer 1 may be operating correctly from a link level but at Layer 2 traffic is unidirectional. UDLD §The unidirectional condition at Layer 2 is disastrous for any network because it will lead to either spanning tree not blocking on a forwarding port or a routing black hole. §In either of these situations, the network will exhibit a total failure, become instable, and eventually create a complete loss of connectivity for end users. §UDLD may protect the network from the following problems: •Transient hardware condition •Hardware failure •Optic/GBIC anomalous behavior or failure •Miswired cabling •Software defect or condition •Misconfigured or malfunction of inline tap or sniffer •The conditions where a Layer 1 link is up but Layer 2 is adversely operating are mostly anomalous conditions. •For example, although the Cisco switch is designed with the utmost resiliency, it is possible that a transient hardware failure may lead to the described condition. This transient hardware condition may be fixed with a simple reboot, similar to a malfunctioning laptop needing a reboot. UDLD Mechanisms and Specifics §UDLD is supported on all current Cisco Catalyst and Nexus switches. §UDLD functions by transmitting Layer 2 packets to the well-known MAC address 01:00:0C:CC:CC:CC. §If the packets are not echoed back within a specific time frame, the link is flagged as unidirectional. §Devices on both ends of the link must support UDLD for the protocol to successfully identify and disable unidirectional links. §UDLD messages are sent at regular intervals. •This timer can be modified. •The default setting varies between platforms; however, the typical value is 15 seconds. UDLD Behavior §The behavior of UDLD after it detects a unidirectional link is dependent on its operation mode, either normal mode or aggressive mode. The modes are described as follows: •Normal mode •When a unidirectional link is detected the port is allowed to continue its operation. UDLD just marks the port as having an undetermined state. A syslog message is generated. •Aggressive mode •When a unidirectional link is detected the switch tries to reestablish the link. It sends one message a second, for 8 seconds. If none of these messages are sent back, the port is placed in error-disabled state. •Obviously, the recommended best practice is aggressive mode because normal mode takes no action to prevent a network disaster other than just notification. UDLD Configuration §To configure a Cisco Catalyst switch for UDLD normal mode, use the udld enable command. §Similarly, to enable UDLD in aggressive mode, use the udld aggressive keyword. §To display the UDLD status for the specified interface or for all interfaces, use the show udld [ interface slot/number ] privileged EXEC command. §To view UDLD neighbors, use the show udld neighbors . §In addition, use udld reset command to reset all the interfaces that were shut down by UDLD. •You can also achieve a UDLD reset by first shutting down the interface and then bringing it back up (that is, shut , then no shut ). •Cisco Catalyst switches support configuration of UDLD on a per-port basis. However, there is an option to enable UDLD on fiber-optic ports globally. Loop Guard and UDLD Functionality Comparison § ss3 Power over Ethernet Power over Ethernet §Power over Ethernet (PoE) zajišťuje zásobení proudem prostřednictvím datového kabelu. Výhody PoE §PoE přepínače podporují vzdálenou správu, kde napájecí adaptéry a injektory nemají. §PoE přepínače umožňují centralizované metody zálohování. §PoE vyžaduje méně konfigurace než lokální napájecí adaptér nebo injektor. §PoE využívá infrastrukturu datové kabeláže – není nutný žádný další napájecí kabel, jako je tomu v případě napájecích adaptérů nebo injektorů. •Note Cisco highly recommends leveraging alternate and backup power sources when deploying PoE such as an uninterruptible backup supply (UPS) backup, generator power, and so on. Without backup power in the case of a power failure, Cisco IP phones will cease to function. Komponenty PoE §Terminologie PoE označuje tři typy komponent: §Přepínače Cisco Catalyst a výkonové injektory §Napájená zařízení Přístupové body, IP telefony a IP kamery. Tencí klienti, senzory, nástěnné hodiny a tak dále. Dokonce i přepínače mohou být napájeny samotným PoE. §Kabely Ethernetu. Stejně jako u standardního Ethernetu je vzdálenost PoE omezena na 100 metrů s kabeláží kategorie 5. Standardy PoE §IEEE 802.3af (ratifikováno 2003) §Tato norma poskytuje interoperabilitu mezi různými dodavateli. §Pro každé napájené zařízení je k dispozici až 15,4 W stejnosměrného proudu. § IEEE 802.3at (ratifikováno v roce 2009) §Tento standard je vylepšením oproti standardu 802.3af a může poskytovat výkonná zařízení s výkonem až 25,5 W. §Toto číslo může být zvýšeno na 50 W a více s implementacemi, které jsou mimo standard. §Tento standard je také známý jako PoE + nebo PoE Plus. •Because Cisco generally leads in technologies before standards are available, Cisco originally only supported the prestandard Cisco Inline Power standard (circa 2000). •Eventually, standards committees released an IEEE standards-based power specification and more recently updated this power specification. Vyjednávání PoE §Přepínače Cisco neposkytují napájení portu, pokud nezjistí potřebu koncového zařízení. To zabraňuje plýtvání zbytečnou energií a tak dále. §S 802.3af a 802.3at se přepínač pokouší detekovat napájené zařízení dodáváním malého napětí přes ethernetový kabel. §Přepínač pak měří odpor. Pokud je naměřený odpor 25 kΩ, je k dispozici napájené zařízení. §Napájené zařízení může poskytnout přepínač s informacemi o třídě výkonu. §Výchozí třída 0 se používá, pokud přepínač nebo napájené zařízení nepodporuje zjišťování výkonu Třídy PoE Původní metoda Cisco Inline Power má jiný způsob vyjednávání než oba standardy IEEE. Přepínač vysílá testovací tón 340 kHz na ethernetovém kabelu. Tón je vysílán místo stejnosměrného napájení, protože spínač musí nejprve detekovat zařízení před jeho napájením. Nejvhodnější úroveň výkonu je pak určena výměnou informací CDP. Přepínač zjistí typ zařízení (například IP telefon Cisco) a požadavky na napájení zařízení. •Note The original Cisco Inline Power method has a different method of negotiating power than both of the IEEE standards. The switch sends out a 340-kHz test tone on the Ethernet cable. A tone is transmitted instead of DC power because the switch must first detect the device before supplying it with power. The most appropriate power level is then determined by exchange of CDP information. The switch discovers the type of device (for example, a Cisco IP phone) and the power requirements of the device. Konfigurace a verifikace PoE ss1 Šablony (templates) SDM Šablony SDM (Switching Database Manager) §Po dokončení této sekce na šablonách služby SDM budete moci provést následující: §popsat typické typy šablony SDM §změnit šablonu SDM §popsat bezpečnostní opatření, která je třeba učinit při změně šablony SDM § §Šablony SDM upravují systémové prostředky, například CAM a TCAM. § § §Příklad §Nejběžnější výchozí modifikací akce SDM je nasazení kombinace protokolu IPv4 a protokolu IPv6 (duální zásobník), protože funkce IPv6 není s výchozí šablonou podporována. § •The Switching Database Manager (SDM) templates on specific access layer switches (such as Cisco Catalyst 2960, 3560, or 3750) manages how Layer 2 and Layer 3 switching information is maintained in the ternary content-addressable memory (TCAM). So, different Cisco SDM templates are used for optimal use of system resources for specific features or feature set combination. Although the default SDM is configured for optimal use of all features simultaneously, SDM may be tweaked for those corner-case or specific scenarios. •As an example, the most common SDM default modification action is when deploying a combination of both IPv4 and IPv6 (dual stack) because IPv6 functionality is not supported with the default template. Typy šablon SDM §Defaultní §Výchozí šablona. Tato šablona poskytuje mix tras pro unicast směry, connocted a host tras. § §Routing §tuto šablonu zvolte, pokud zařízení provádí směrování v distribuční části sítě nebo jádru sítě. Zařízení je schopno přenášet mnoho tras, ale pouze pro IPv4. § §Access §Tuto šablonu povolíte, pokud máte mnoho VLAN. Tato šablona zase redukuje zdroje alokované pro směrování. Typy šablon SDM §VLAN •Použijete ji, pokud máte velké podsítě s mnoha adresami MAC. • §Dual IPv4 and IPv6 •Tuto šablonu povolíte, pokud chcete zapnout možnosti zařízení IPv6. Při povolení této šablony musíte vybrat mezi defaultním nastavením, směrováním a sítí VLAN: •default Další prostor je vyhrazen pro směrování a zabezpečení protokolu IPv6. Pro unicast vrstvy 2 je méně rezervovaného prostoru. •routing Více místa je vyhrazeno pro směrování IPv6 než směrování IPv4. •VLAN Vhodné pro použití v prostředí s dvojitým stackem se spoustou VLAN. § Zobrazení zdrojů SDM Výběr té pravé šablony SDM §Doporučujeme změnit šablonu SDM pouze tehdy, máte-li k tomu dobrý důvod. §Před změnou šablony prozkoumejte, zda je změna nutná, nebo zda je to jen řešení pro špatné volby návrhu. §Jako další osvědčený postup vždy prozkoumejte množství používaných systémových prostředků, než začnete uvažovat o změnách šablony SDM. §Chcete-li ověřit, kolik prostředků systému je používáno, použijte příkaz show platform tcam utilization. §Pokud se využití TCAM blíží maximu pro některý z parametrů, zkontrolujte, zda některá z dalších funkcí šablony nemůže optimalizovat tento parametr: § show sdm prefer {access | default | dual-ipv4-a-ipv6 | routing | vlan}. §Dalším běžným důvodem pro změnu šablony SDM je skutečnost, že se vám nedostává určitého zdroje. Např, použití přepínače ve velké doméně vrstvy 2 s mnoha ACL může vyžadovat změnu šablony na access SDM. Závěr §Chcete-li ověřit, kolik prostředků je používáno, použijte příkaz show show platform tcam. §Chcete-li ověřit šablonu SDM, která je právě používána, použijte příkaz show sdm prefer. §Chcete-li změnit šablonu na duální zásobník, použijte příkaz sdm prefer dual-ipv4-and-ipv6 default. §Při změně šablony SDM je nutné přepínač znovu reloadnout. •The concept of SDM templates is applicable to Cisco Catalyst 3750 and other platforms; specific Catalyst platforms such as the Catalyst 6500 that do not use SDM templates have a similar method to adjust allocation of finite resources. ss2 Monitoring Vlastnosti monitoringu §Po dokončení této lekce budete schopni splnit tyto cíle: §popsat SPAN §popsat terminologii SPAN §popsat různé verze SPANu §nakonfigurovat SPAN §ověřit lokální konfiguraci SPAN §nakonfigurovat RSPAN §zkontrolovat konfiguraci RSPAN •Because switches do not flood traffic on all ports, use of the Switch Port Analyzer (SPAN) feature is necessary to ensure appropriate traffic is fed to these traffic sniffers. Přehled SPAN a RSPAN §SPAN session: Asociace zdrojového portu s cílovým. §Source VLAN: monitoring VLAN. Terminologie SPAN Přehled Remote SPAN §Vzdálený SPAN podporuje zdrojové a cílové porty na různých přepínačích, zatímco místní SPAN podporuje pouze zdrojové a cílové porty na stejném přepínači. Složení RSPAN §RSPAN source session §RSPAN VLAN §RSPAN destination session •Your monitored traffic is flooded into RSPAN VLAN that is dedicated for the RSPAN session in all participating switches. RSPAN destination port can then be anywhere in that VLAN. SPAN dodržuje následující pravidla §Cílový port nemůže být zdrojový port nebo naopak. §Počet cílových portů je závislý na platformě; některé platformy umožňují více než jeden cíl. §Cílové porty nepůsobí jako normální porty a neúčastní se spanning stromu a tak dále. §cílovým místem protéká normální provoz. Dávejte pozor, abyste k cílovému portu SPAN nepřipojovali kromě koncového zařízení nic dalšího. Konfigurace SPAN Konfigurace RSPAN 1/2 §SW1(config)# vlan 100 §SW1(config-vlan)# name RSPAN-VLAN §SW1(config-vlan)# remote-span §SW1(config-vlan)# exit §SW1(config)# monitor session 2 source interface Giga0/1 §SW1(config)# monitor session 2 destination remote vlan 100 Konfigurace RSPAN 2/2 §SW2(config)# vlan 100 §SW2(config-vlan)# name RSPAN-VLAN §SW2(config-vlan)# remote-span §SW2(config-vlan)# exit §SW2(config)# monitor session 2 destination interface Giga 0/2 §SW2(config)# monitor session 2 source remote vlan 100 Verifikace RSPAN ss3 IP SLA Cíle podkapitoly IP SLA §Po dokončení této části budete rozumět následujícím: §Základní použití IP SLA §Co je zdrojem a responderem protokolu IP SLA §Základní příklad konfigurace protokolu ICMP IP SLA a konfigurace UDP Úvod do IP SLA §SLA (service level agreement) je smlouva mezi poskytovatelem sítě a jejími zákazníky nebo mezi oddělením sítě a interními firemními zákazníky. Poskytuje zákazníkům záruku o úrovni uživatelské zkušenosti. §SLA může obsahovat specifika o dohodách o připojení a výkonu služby koncového uživatele od poskytovatele služeb. §SLA obvykle popisuje minimální úroveň služby a očekávanou úroveň služby. •The networking department can use the SLAs to verify that the service provider is meeting its own SLAs or to define service levels for critical business applications. •Typically, the technical components of an SLA contain a guaranteed level for network availability, network performance in terms of round-trip-time (RTT), and network response in terms of latency, jitter, and packet loss. The specifics of an SLA vary depending on the applications that an organization is supporting in the network. Úvod do IP SLA §SLA lze také použít jako základ pro plánování rozpočtů a pro zdůvodnění výdajů na síť. Celkově lze říci, že funkce IP SLA poskytuje zpětnou vazbu o dosažitelnosti sítě v reálném čase. Pro funkce, jako je hlas a video, je důležitá dostupnost sítě se stabilním jitterem a latencí. IP SLA poskytuje zpětnou vazbu nezbytnou k zajištění toho, aby síť mohla udržovat aplikace v reálném čase, stejně jako důležité aplikace, jako je webový portál nebo objednávky. Dodatečné použití IP SLA §Další funkce a použití pro IP SLA jsou následující: §Monitorování dostupnosti sítě typu edge-to-edge §Sledování výkonu sítě a viditelnost výkonu sítě §Monitorování hlasu přes IP (VoIP), videa a virtuální privátní sítě (VPN) §Monitorování SLA §Zdraví IP služeb sítě §Monitorování sítě MPLS §Odstraňování problémů s provozem sítě Volby (options) IP SLA §Switch(config-ip-sla)# ? §IP SLAs entry configuration commands: § dhcp DHCP Operation § dns DNS Query Operation § exit Exit Operation Configuration § ftp FTP Operation § http HTTP Operation § icmp-echo ICMP Echo Operation § path-echo Path Discovered ICMP Echo Operation § path-jitter Path Discovered ICMP Jitter Operation § tcp-connect TCP Connect Operation § udp-echo UDP Echo Operation § udp-jitter UDP Jitter Operation Zdroj a responder IP SLA §Zdrojem je zařízení Cisco IOS, které odesílá pakety sond. §Cílem sondy může být jiné zařízení Cisco nebo jiný síťový cíl, jako je webový server nebo IP host. §Ačkoli cílem většiny testů může být libovolné IP zařízení, přesnost měření některých testů může být vylepšena pomocí IP SLA respondéru. §Responderem IP SLA je zařízení, které spouští software Cisco IOS. §Responder přidá časové razítko do odeslaných paketů, takže zdroj IP SLA může brát v úvahu jakoukoliv latenci, ke které došlo, když respondér zpracovává testovací pakety. §Aby tento test fungoval správně, je třeba synchronizovat hodiny zdroje i odpovídače pomocí protokolu NTP (Network Time Protocol). Konfigurace IP SLA §Chcete-li implementovat měření výkonu sítě IP SLA, musíte provést následující úlohy: §Krok 1. Pokud je to nutné, povolte responder IP SLA. §Krok 2. Konfigurujte požadovaný typ operace IP SLA. §Krok 3. Nakonfigurujte všechny dostupné možnosti pro daný typ operace. §Krok 4. V případě potřeby nakonfigurujte prahové podmínky. §Krok 5. Naplánujte operaci ke spuštění a poté nechte operaci běžet po určitou dobu, abyste shromáždili statistiky. §Krok 6. Zobrazení a interpretace výsledků operace pomocí Cisco IOS CLI nebo systému pro správu sítě (NMS) pomocí SNMP. Příklad konfigurace IP SLA ICMP Echo •The ip sla operation-number command creates the IP SLA instance and enters the IP SLA configuration mode. The icmp-echo command has many options. The full command syntax is as follows: icmp-echo { destination-ip-address | destination-hostname } [ source-ip { ip-address | hostname } | source-interface interface-id ]. In Example 8-9 , the destination IP address is explicitly defined; however, the command does support hostnames and sourcing the echo from specific IP addresses or interfaces. The command has a default of 60 seconds and configures the rate at which IP SLAs are repeated. In this case, the echoes will occur every 30 seconds. •The ip sla schedule global schedule command controls the scheduling parameters of the individual IP SLA operation. The full syntax of the command is as follows: ip sla schedule operation-number [ life { forever | seconds }] [ start-time { hh : mm [: ss ] [ month day | day month ] | pending | now | after hh:mm:ss ] [ ageout seconds ] [ recurring ]. In Example 8-8 , the IP SLA will start immediately after the command is issued and will run forever . As indicated in the command options, IP SLA supports specific start times, end times, age out, and reoccurrence. Verifikace konfigurace IP SLA Verifikace konfigurace IP SLA Operace s responderem IP SLA •1. At the start of the control phase, the IP SLA source sends a control message with the configured IP SLA operation information to IP SLA control port UDP 1967 on the target router. The control message carries information such as protocol, port number, and duration. •If MD5 authentication is enabled, message digest 5 (MD5) algorithm checksum is sent with the control message. •If the authentication of the message is enabled, the responder verifies it; if the authentication fails, the responder returns an authentication failure message. •If the IP SLA measurement operation does not receive a response from a responder, it tries to retransmit the control message and eventually times out. •2. If the responder processes the control message, it sends an OK message to the source router and listens on the port that is specified in the control message for a specified duration. If the responder cannot process the control message, it returns an error. In the figure, UDP port 2020 is used for the IP SLA test packets. •3. If the return code of the control message is OK, the IP SLA operation moves to the probing phase, where it will send one or more test packets to the responder for response time computations. The return code is available with the show ip sla statistics command. In Figure 8-9 , these test messages are sent on control port 2020. •4. The responder accepts the test packets and responds. Based on the type of operation, the responder may add an “in” time stamp and an “out” time stamp in the response packet payload to account for CPU time that is spent in measuring unidirectional packet loss, latency, and jitter to a Cisco device. These time stamps help the IP SLA source to make accurate assessments on one-way delay and the processing time in the target routers. The responder disables the user-specified port after it responds to the IP SLA measurements packet or when a specified time Expires. Časová razítka IP SLA §Doba T1 je zadávána od 0 v milisekundách (pro jednoduchost) §The RTT (round-trip time) v tomto příkladu je kalkulována jako §RTT = T5 – (T5-T4) - (T3-T2) = §1.5msec – (1,5ms -1,3 ms) – (0,7 ms – 0,5 ms) = 1,1ms. Konfigurace autentizace pro IP SLA Příklad IP SLA UDP Jitter •Switch(config-ip-sla)# udp-jitter dest-ip-add dest-udp-port [ source-ip src-ip-add ] [ source-port src-udp-port] [ num-packets num-of-packets ] [ interval packet-interval ] •request-data-size 160 (syze in bytes - payload) §Switch(config-ip-sla)# udp-jitter dest-ip-add dest-udp-port § [ source-ip src-ip-add ] [ source-port src-udp-port] § [ num-packets num-of-packets ] [ interval packet-interval ] § §request-data-size 160 (size in bytes - payload) § Souhrn kapitoly 8 §LLDP a starší funkce CDP jsou užitečné pro objevování sousedních sousedství a jejich detailů. §Funkce agresivního režimu UDLD je užitečná při přidávání odolnosti (resilience) do sítí, aby se zabránilo katastrofám v případě nenormálního chování. §SPAN a RSPAN jsou běžné funkce ladění a provozu, které jsou také využívány k zachycení provozu pro síťové analýzy. §IP SLA §CCNPv7.1 SWITCH Lab8.1 IP SLA SPAN Lab kapitoly 8