佛山万科广场网络维护手册思科部分

1、目录概述41.1.11.21.3文档目的4文档适用. 4文档架构42.3.架构概述4网络技术简介63.1.3.2.在4.1.4.2.VLAN 技术6思科 3750 交换机堆叠技术7交换机上添加下联交换机9概述94.在交换机上10Shutdown 端口104.2.1.4.2.2.新建 port-channel，将物理端口划入 port-channel104.2.3.新建 VLAN，划分网段104.2.4.新建 SVI，配置 HSRP114.2.5.为新 vlan 新建 DHCP 地址池（可选）114.3.在汇聚交换机上114.3.1.Shutdown 物理端口114.3.2.新建对应 vlan1

2、24.3.3.新建 port-channel124.3.4.上联物理端口划入 port-channel124.4.4.5.在接入层交换机上12最后将物理端口开启135.路由器一般配置135.1.5.2.概述13交换机配置135.2.1.新建 SVI135.2.2.与路由器相连接口配置145.2.3.静态路由协议配置145.3.路由器配置145.3.1.路由器接口配置145.3.2. 路由器静态路由协议配置14配置146.6.1.6.2.概述14连接拓扑156.2.1.与交换机互连156.2.2.交换机物理端口配置166.2.3.为各个功能区建立子接口16各区域的互访通过路由打通17可能出现的故

3、障177.7.1.环路177.1.1.故障现象177.1.2.故障原因187.1.3.故障解决方法187.1.4.预防措施187.2.部分交换机端口异常，出现 error-disable 的情况187.2.1.故障现象187.2.2.故障可能原因187.2.3.故障解决方法187.3.主备交换机之间 HSRP 协商不成功187.3.1.故障现象187.3.2.故障可能原因197.3.3.故障解决方法197.3.4.预防措施198.附件191.概述1.1 文档目的本文是对佛山万科广场网络日常进行文档讲解说明，本文对以后网络日常可能遇到的情况进行分析，以便能参考本文完成网络地日常。1.2 文档适用

4、本文档资料主要面向负责佛山万科广场网络的网络运维，以及网络能参考本文完成网络的日常。1.3 文档架构本文档内容主要涉及佛山万科广场网络总体规划，建设后所遇问题的现象、原因及解决方案分析。本篇文档将按照以下结构进行逐一阐述：简单的架构描述网络技术简介在交换机上添加上连设备在汇聚交换机上添加接入层设备路由器一般配置配置可能遇到的故障：该部分对故障的现象、可能的原因、解决方法以及预防措施进行阐述设备日常中常用命令2.架构概述佛山万科广场网络，包括两大部分：商铺区网和OA 办公网。商铺区网以两台 C4503 作为交换机，3750X 作为汇聚交换机，接入层交换机为 C2918。OA 办公网以 3560X

5、 作为交换机，通过 2911 路由器连接到总部，整体网各大区域由两台 ASA5515进行，具体架构如下所示：网络功能分区：如上图所示，广场网络功能分区主要分为 OA 办公区，服务器区，银联区域，和智能化网络区。每个区域的互访均要经过，以保护各个区域的安全。3. 网络技术简介3.1. VLAN 技术VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个 VLAN 可以在一个交换机或者跨交换机实现。VLAN 可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域

6、网解决域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。VLAN 相当于 OSI 参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN 内部，划分 VLAN 后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的 VLAN 之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用 VLAN 技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源

7、的，同时 VLAN 和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外，VLAN 具有灵活性和可扩张性等特点，方便于网络和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。总的来说划分 VLAN 有以下好处：(1)端口的分隔。在同一个交换机上，处于不同 VLAN 的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。(2)网络的安全。不同 VLAN 不能直接通信，杜绝了广播信息的不安全性。(3)灵活的管理。更改用户所属的网络不必换端口和连线，只需更改设备配置就可以了。3.2. 思科 3750 交换机堆叠

8、技术思科 StackWise 技术可以为地利用一组交换机的功能提供一种创新的方法。单个交换机可以智能化地结合到一起，创建一个单一的交换单元，并具有32Gbps 的交换堆叠互联。同一堆叠中的所有交换机共享配置和路由信息，从而创建一个单一的交换单元。用户可以在不影响性能的情况下，从一个正在工作的堆叠中添加或者移除交换机。 交换机可以通过特殊的堆叠互联电缆，组织成一个单一的逻辑单元，从而创建一条双向的封闭环路。这条双向环路可以充当它所连接的所有交换机的交换矩阵。网络拓扑和路由信息通过堆叠互联不断更新。堆叠的所有成员都可以充分地使用堆叠互联带宽。堆叠作为一个单一的单元，由从堆叠成员交换机中选出的一台主

9、交换机负责管理。堆叠中的每台交换机都能够充当管理层次中的主交换机或者从交换机。从堆叠成员中选出的主交换机将充当堆叠的控制中心。从交换机充当转发处理器。每台交换机都将被指定一个。一个堆叠中最多可以连接九台交换机。用户可以在不影响堆叠性能的情况下，在堆叠中添加或者移除交换机。利用特殊的堆叠互联电缆和堆叠，思科 StackWise 技术最多可以将 9 台单独的 Cisco Catalyst 3750 交换机连接到一个的逻辑单元中。堆叠相当于一个单一的交换单元，由一个从成员交换机中选出的主交换机管理。主交换机可以自动地创建和升级所有的交换信息和可选的路由表。一个工作中的堆叠可以在不中断服务的情况下，添

10、加新的成员或者移除旧的成员。添加和移除堆叠中的交换机。用户可以在不影响堆叠性能的情况下，在一个工作中的堆叠中添加或者移除交换机。在添加了一个新的交换机以后，主交换机会自动地利用目前正在使用的 Cisco IOS镜像和堆叠配置对该单元进行设置。堆叠将会搜集包括交换表在内的各种信息，并在获得新地址之后更新 MAC地址。网络管理员不需要对交换机进行任何配置，就可以直接使用该交换机。同样，用户也可以在不对剩余交换机产生影响的情况下，从一个工作中的堆叠中移除交换机。当堆叠发现一系列端口不再可用时，它将在不影响转发或者路由的情况下更新相关信息。堆叠技术采用物理菊花链连接，如图 2 所示，交换机在物理上通过

11、菊花链连接在一起。任何一条电缆发生中断，都将导致堆叠的带宽降低到它的总容量的一半。次秒级定时机制可以检测流量故障，及时地进行故障切换。这种机制可以在定时机制检测到电缆上的互动时重新恢复双路径传输。图 2 思科 StackWise 技术连接方式4. 在交换机上添加下联交换机4.1. 概述在日程中会遇到因需要新建一个网段、添加下联一批设备的情况，若遇到这种情形，可参考以下步骤完成新加网段、下联设备的添加，若不必要可省略对应步骤。示意图如下：在交换机上：1.Shutdown 物理端口2.新建 port-channel，将物理端口划入 port-channel3.新建 VLAN，划分网段4.新建 SV

12、I，配置 HSRP5.新建 DHCP 地址池注意：在做以上配置是物理端口为 down 状态，以上配置完成之后，再将端口开启。在汇聚交换机上：1.新建 vlan2.新建 port-channel3.将端口划入 port-channel4.2. 在交换机上4.2.1. Shutdown 端口在做以下操作之前请先将需要连接的物理端口 shutdownerface Ethernet 端Shutdown4.2.2. 新建 port-channel，将物理端口划入 port-channel按照佛山万科广场的现有架构，新添加汇聚交换机，已做堆叠的几台交换机或者单一交换机均通过 port-channel 上联

13、至主备交换机。故需要在主备交换机上新建 port-channel，并将其配置为 trunk，再将对应物理端口划入 port-channel 中。在主备交换机上分别刷入以下配置。配置如下：新建 portchannel： erface Port-channeXswitchportswitchport mode trunk!物理端口：erface GigabitEthernet 端description to switchport mode trunk channel-group X mode on!4.2.3. 新建 VLAN，划分网段交换机上新建 vlan，为之后新建 SVI 做准备：在主备Vl

14、an idnameexit根据现网规划为新建网段划分网段。4.2.4. 新建 SVI，配置 HSRP在主备如下：交换机上交换机上新建 SVI，并配置 HSRP。主erface Vlan idip noaddressip redirects.X.Xstandby standby standbyid id idip.Xpriority 150 preemptno备shutdown交换机：erface Vlan idip noaddressip redirects.X.Xstandby id ip standby id preempt no shutdown.X4.2.5. 为新 vlan 新建 D

15、HCP 地址池（可选）交换机上为新添加的 vlan 配置 DHCP 地址池，以便对应终端能自动获在主备取 IP 地址。在主备ip dhcp network交换机上：pool.X.Xdns-server-name default-router.X.Xnetbios-name-server.X4.3. 在汇聚交换机上4.3.1. Shutdown 物理端口在刷入一下配置之前请将对应上联物理端口 shutdown。4.3.2. 新建对应 vlan在汇聚交换机上也需建立新增 vlan。 Vlan idname exit4.3.3. 新建 port-channel在汇聚交换机上新建 port-chann

16、el。按照以下 erface Port-channelXswitchport trunk encapsulation dot1q switchport mode trunk刷入。4.3.4. 上联物理端口划入 port-channelerface gigabitethernet 端switchport mode trunkchannel-groumode on4.4. 在接入层交换机上接入层交换机上需要的配置与汇聚层相似。首先添加 vlanVlan idNameExit然后再把上联端口配成 trunkerface gigabitethernet 端switchport mode trunk再把

17、所用到的生产端口划到对应的 vlanerface rangeFastEthernet 端switchport acs vlan idswitchport modeacsstorm-controlbroadcast level pps 50spanning-treeportfastspanning-treebpduguard enable4.5. 最后将物理端口开启在确认与上述配置完成刷入并无误之后，核对两台交换机相关的配置。若无问题则将交换机和汇聚交换机的物理端口打开。至此，汇聚交换机与主备交换机之间的配置成功。最后检查两台交换机运行状态，该部分动作建议在晚上做。5. 路由器一般配置5.1.

18、概述商场机通过交换机，银联路由器连接到交易联路由器只需配置简单的静态路由到端。交换机与银联路由器之间的连接配置如下所示。5.2.交换机配置5.2.1. 新建 SVI在主备如下：交换机上新建一个 vlan，新建 SVI，并配置 HSRP。主备 Vlan exit主交换机上id交换机上erface Vlan idip noaddressip redirects.X.Xstandby standby standbyid id idip.Xpriority 150 preemptno备shutdown交换机：erface Vlan idip noaddressip redirects.X.Xstand

19、by id ip standby id preempt no shutdown.X5.2.2. 与路由器相连接口配置erface GigabitEthernet 端switchportswitchport mode acsswitchport acs vlan idnoshutdown5.2.3. 静态路由协议配置交换机静态路由，让流量先到达主 Ip备 Ip：route 0.0.0.0/0 端交换机静态路由：route 0.0.0.0/0 端/下一跳 ip 地址/下一跳 ip 地址5.3. 路由器配置5.3.1. 路由器接口配置erface gigabitethernet 端ip noaddr

20、ess shutdown.xx.xx5.3.2. 路由器静态路由协议配置iproute 0.0.0.0 0.0.0.0端/下一跳 ip 地址6.配置6.1. 概述主要起到用，保护各个区的各大功能区的作用，对各大功能区的互访起限制作。6.2. 连接拓扑6.2.1.与交换机互连与交换机之间为 trunk 连接，前个千兆端口做链路聚合：erface GigabitEthernet0/0 channel-group 1 mode onno no no!nameif security-level ip addresserface GigabitEthernet0/1 channel-group 1 mo

21、de onno no no!nameif security-level ip addresserface GigabitEthernet0/2 channel-group 1 mode onno no no!nameif security-level ip addresserface GigabitEthernet0/3 channel-group 1 mode onno no nonameif security-level ip addresserface Port-channel1 nameifsecurity-level ip addressno no no6.2.2.交换机物理端口配置

22、erface GigabitEthernet3/43 switchport mode trunk channel-group 1 mode on!erface GigabitEthernet3/44 switchport mode trunk channel-group 1 mode on!erface GigabitEthernet3/45 switchport mode trunk channel-group 1 mode on!erface GigabitEthernet3/46 switchport mode trunk channel-group 1 mode onerface Po

23、rt-channel1 description To_SP_FW5515 switchportswitchport mode trunk6.2.3.上为各个为各个功能区建立子接口在接口，配置如下：erface Port-channel1.10 vlan 10nameif Serversecurity-level 100ip address 10.207.12.61 255.255.255.224 standby 10.207.12.62!erface Port-channel1.16 vlan 16nameifernetsecurity-level 0 no ip address!erface

24、 Port-channel1.17 vlan 17nameif bsecurity-level 20ip address 192.168.1.225 255.255.255.240!erface Port-channel1.18 vlan 18standby192.168.1.226nameif cntsecurity-level 40ip address 192.168.1.241 255.255.255.240!erface Port-channel1.19 vlan 19nameif OA security-level 60ip address 10.207.12.243 255.255

25、.255.240standby192.168.1.242standby10.207.12.244各区域的互访通过路由打通在 route route route上添加路由：OA 10.0.0.0 255.0.0.0 10.207.12.254 1cnt 192.168.0.0 255.255.0.0192.168.1.254 1接口名 IP 地址 掩码 下一跳地址7. 可能出现的故障7.1. 环路7.1.1. 故障现象业务受影响，设备 CPU 利用率过高，上传速率大大超过应有速率。net 速度缓慢，楼层汇聚交换机用于判定1. Show pro令：s cpu 可用来查看 4503交换机 CPU 利

26、用率；交换机端口速率；2. showerface 可用来查看 45037.1.2. 故障原因楼层接入交换机之间环路或者自环，导致广播风暴。7.1.3. 故障解决方法先将不断上传广播报文的对应端口 down 掉，查找对应楼层网络，找到造成环路或自环的线缆，拔掉造成环路的电缆，之后将上传端口开启，网络业务恢复正常。7.1.4. 预防措施在楼层交换机除交换机之间互联端口外全部配置 BPDUguard，当不台交换机互联时，BPDUguard 会将端口堵塞，防止网络环路的形成。将两7.2. 部分交换机端口异常，出现 error-disable 的情况7.2.1. 故障现象交换机端口指示灯变成橙色，端口不

27、能正常传输流量，下列命令可用于判定：包丢失。Show ipShowb 可用于检查交换机各个端口概况（up/down）erface GigabitEthernet 端可用于确定交换机端口确切状态（not-connected/error-disable）7.2.2. 故障可能原因交换机开启了 UDLD 检测，当互联链路出现单向通信时候，交换机会自动error-disable 该端口，防止环路。或者是，接终端的配置了 portfast 的接入层交换机端口收到了 BPDU 包时，交换机也会使该端口 error-disable。7.2.3. 故障解决方法插拔网线，把端口 shutdown 再 no sh

28、utdown，当故障依旧存在时，建议更换网线。7.3. 主备交换机之间 HSRP 协商不成功7.3.1. 故障现象网络部分网段无法连通其他网段，两台交换机之间对应 SVI 的角色均为active，HSRP 协商不成功，但是主备以下命令可用于判断：交换机之间能正常通。1. Show hsrp brief 可用于看全局 hsrp 配置状态；2.3.4.5.Show hsr可用于查看某个具体的 HSRP 组的状态命令可用于检查交换机之间的连通性Show runerface vlanid 用于查看 SVI 口相关配置。Show acs-listacl 组名7.3.2. 故障可能原因可能是因为 SVI 口配置了 acl，从而导致 HSRP心交换机之间的全部 HSRP 组都协商不成功，那估计两台通。o丢掉。若主备核交换机之间也