ฉันแบ่งเครือข่ายของฉันได้อย่างไรครึ่งหนึ่ง


11

ฉันกำลังมองหาคำแนะนำหลังเหตุการณ์บางอย่างดังนั้นเหตุการณ์นี้จะไม่เกิดขึ้นอีก

เรามีเครือข่ายหลักของสวิตช์ Cisco 4500x สองตัวซึ่งกำหนดค่าสำหรับการสำรอง VSS จากนั้นเรามีอุปกรณ์ iSCSI, HP bladecenter ของเราสำหรับ vSphere ของเรารวมถึงลิงค์รวมไปยังสวิตช์การเข้าถึงของผู้ใช้ของเราและสวิตช์ 4948e คู่สำหรับอุปกรณ์ทองแดงในห้องเซิร์ฟเวอร์ของเรา จาก 4948es เรามีสวิตช์ 2960 คู่สำหรับลิงค์ ISP สองอันและ ASA หนึ่งคู่เป็นไฟร์วอลล์ ความซ้ำซ้อนที่ค่อนข้างดียกเว้นอุปกรณ์จำนวนมากที่เชื่อมต่อกับ 4948e มีเพียง NICs เดียวเท่านั้นที่เราทำได้

เรากำลังเตรียมที่จะเปลี่ยนสวิตช์การเข้าถึงของผู้ใช้ปัจจุบัน (Extremes เก่า) ด้วย Meraki นอกจากนี้เรายังใช้ Meraki APs เพื่อแทนที่ Arubas ปัจจุบันของเรา ส่วนหนึ่งของโครงการไร้สายเกี่ยวข้องกับการสร้าง VLANs และซับเน็ตใหม่บางส่วนเพื่อการจัดการ AP และแขกไร้สาย

เรามี VLAN สองตัวที่กำหนด (20 และ 40) บน 4500x ที่ไม่ได้ใช้ทุกที่ - ยืนยันว่าซับเน็ตว่างเปล่าไม่มีพอร์ตที่ใช้พวกเขา ฯลฯ ฉันเข้าสู่ 4500x และออก " no interface vlan 20" แล้วสร้างมันใหม่ด้วยซับเน็ต ฉันต้องการ. ฉันเพิ่มมันลงในพอร์ต 10Gb สองพอร์ตที่เชื่อมต่อกับ Meraki

switchport trunk allowed <previous list plus two VLANs above plus existing wireless VLAN>

ผมสังเกตเห็นว่า 20 และ 40 VLANs ถูกปิดดังนั้นฉันออกno shutdownกับพวกเขา ฉันสูญเสียการเข้าถึง Merakis ณ จุดนั้นดังนั้นฉันจึงรู้ว่าฉันไม่ได้เพิ่ม VLAN ลงในอินเตอร์เฟสพอร์ตของช่องสำหรับลิงก์นั้น

ครึ่งหนึ่งของสภาพแวดล้อมของเราไม่สามารถเข้าถึงได้ ณ จุดนี้

ลิงค์ทางอินเทอร์เน็ตของเรามันสั่นคลอนอย่างมาก โทรศัพท์ VoIP ของ Avaya ไม่สามารถโทรเข้าหรือออกได้ เรามีอุปกรณ์ iSCSI ที่เชื่อมต่อกับทองแดงสองตัวที่ไม่สามารถใช้งานได้ - ไม่เกิดความเสียหายใด ๆ ต่อผู้ใช้ แต่การสำรองข้อมูลและการเก็บเมลของเรานั้นได้รับผลกระทบ ฉันเข้าไปในห้องเซิร์ฟเวอร์และตัดการเชื่อมต่อ Merakis จาก 4500x (ถอดปลั๊กทั้ง 10Gb ไฟเบอร์พอร์ต) ในกรณีที่ฉันได้สร้างวงอย่างใด - ไม่มีการเปลี่ยนแปลง ฉันยอมรับที่จะเพียงแค่จ้องมองที่นี่ในขณะที่จุดนั้น

ฉันดึง Orion ขึ้นและสังเกตว่าหนึ่งในสวิตช์ภายนอกของเรา (Cat2960) และหนึ่งใน ASA คู่ของเราก็ลดลงเช่นกัน เห็นได้ชัดว่าเรามีการสูญเสียการเชื่อมต่อ LAN บางส่วน แต่คู่ ASA เชื่อมต่อกับครอสโอเวอร์ซึ่งกันและกันและอัปลิงค์ของพวกเขาไม่ลงดังนั้นพวกเขาจึงไม่ล้มเหลวในสิ่งที่อุปกรณ์ภายในของเราสามารถเข้าถึงได้ ฉันปิด "ลง" ASA และอินเทอร์เน็ตก็สามารถเข้าถึงได้อีกครั้ง

ฉันเรียก TAC และหลังจากสองสามชั่วโมงของการต่อสู้กับเทคโนโลยีที่เก็บ nitpicking ทุกพอร์ตที่กำหนดไว้สำหรับแต่ละโฮสต์ที่ถูกลงฉันแสดงให้เขาเห็นบน 4500x ฉันเข้าสู่หนึ่งในสวิตช์ 4948e ของเราและแสดงให้เห็นว่ามันไม่สามารถปิงสิ่งต่าง ๆ ได้อย่างไร ที่เชื่อมต่อโดยตรงและขึ้น - หนึ่งในอุปกรณ์ทองแดง iSCSI ที่ใช้ Windows ของเรา, อินเทอร์เฟซ iLO บน bladecenter ของเราเป็นต้น

เขาตรวจดูบันทึกและไม่พบอะไรเลย แต่เมื่อมาถึงจุดนี้เขากล่าวว่า "ดูเหมือนข้อผิดพลาดที่ทอดข้ามต้นไม้แม้ว่าฉันจะไม่เห็นสิ่งนั้นในบันทึก" ดังนั้นเราจึงรีบูตเครื่อง 4948E และทั้งหมดโดยตรง - โฮสต์ที่เชื่อมต่อเข้ามาสำรอง - รวมถึงตู้ Avaya ดังนั้นโทรศัพท์ของเราจึงเริ่มทำงานอีกครั้ง เรายังคงมีปัญหาในอุปกรณ์ที่เชื่อมต่อด้วยไฟเบอร์ขนาด 4500x - เส้นทางที่ตายแล้วเนื่องจากเป็นสิ่งซ้ำซ้อน เขาต้องการที่จะเพิ่มพลังรอบตัวมันอย่างไม่เกรงใจ แต่นี่มี 10 Gbit iSCSI ทั้งหมดของเราและนั่นจะทำให้สภาพแวดล้อม vSphere ของเรา (โดยพื้นฐานเซิร์ฟเวอร์ของเราทั้งหมด) มีสัปดาห์ที่เลวร้าย ฉันได้พูดคุยกับเขาในเรื่องการสลับสับเปลี่ยนที่สง่างามซึ่งดูแลปัญหาที่เหลืออยู่

TL: DR: ฉันได้ทำการเปลี่ยนแปลงที่ไร้เดียงสากับแกนกลางของเราและทำให้เกิดปัญหาที่น่ากลัว ฉันทำผิดพลาดในการกำหนดค่าที่ควรได้รับการคาดการณ์ว่าจะทำให้เกิดสิ่งนี้ - เช่นถ้าฉันไม่ปิด VLAN ก่อนและเพิ่มเข้าไปในช่องสัญญาณจากนั้นพอร์ตจะถูกหลีกเลี่ยงหรือไม่? เทคโนโลยีของ Cisco ไม่ได้บอกอย่างนั้น เขากล่าวว่าด้วย uptimes มากกว่าปีและรุ่น IOS เก่าสถานการณ์เช่นนี้ไม่น่าแปลกใจ

4500x: ซอฟต์แวร์ Cisco IOS, ซอฟต์แวร์ IOS-XE, ซอฟต์แวร์ Catalyst 4500 L3 Switch (cat4500e-UNIVERSALK9-M), เวอร์ชั่น 03.04.05.SG ซอฟต์แวร์เผยแพร่ (fc1) ROM: 15.0 (1r) SG10

4948e: ซอฟต์แวร์ Cisco IOS, ซอฟต์แวร์ Catalyst 4500 L3 Switch (cat4500e-IPBASEK9-M), เวอร์ชัน 15.0 (2) SG10, ซอฟต์แวร์ปล่อย (fc1) ROM: 12.2 (44r) SG11

คำตอบ:


5

ดูเหมือนว่าคุณสร้างพายุออกอากาศและวิธีเดียวที่จะหยุดมันก็คือการปิดสวิตช์ ด้วยการใช้ชีวิตหลายต่อหลายครั้งนี้เราได้นำแนวทางปฏิบัติที่ดีที่สุดที่ซิสโก้แนะนำมา:

  • คุณควรให้ VLAN ขยายไปยังสวิตช์การเข้าถึงเดียว คุณสามารถมี VLAN ได้มากเท่าที่คุณต้องการบนสวิตช์การเข้าถึง แต่ VLAN บนสวิตช์การเข้าถึงใด ๆ ไม่ควรถูกนำไปรวมกับสวิตช์การเข้าถึงอื่น ๆ บังคับใช้สิ่งนี้ด้วยการปิดใช้งาน VLAN อื่นทั้งหมดบนลำต้นด้วยswitchport trunk allowed vlan คำสั่ง
  • สวิตช์การแจกจ่ายไม่ควรมีอินเทอร์เฟซการเข้าถึงใด ๆ บนมันเท่านั้นอินเทอร์เฟซ trunk trunk การแจกจ่าย
  • ห้ามใช้ VTP (ตั้งค่าสวิตช์ทั้งหมดเป็นtransparentโหมด)
  • อินเทอร์เฟซการเข้าถึงของคุณควรมีportfastและbpduguard เปิดใช้งาน คุณสามารถเปิดใช้งานทั่วโลกสำหรับอินเทอร์เฟซการเข้าถึงทั้งหมดของคุณและอินเทอร์เฟซ trunk ของคุณจะยังคงได้รับผลกระทบ หากคุณเชื่อมต่อสวิตช์เข้ากับส่วนต่อประสานการเข้าถึงโดยไม่ได้ตั้งใจสิ่งนี้จะทำให้ส่วนต่อประสานเข้าerr-diableและป้องกัน STP ลูป
  • อย่าเชื่อมต่อสวิตช์การเข้าถึงกับสวิตช์การเข้าถึงอื่น เชื่อมต่อสวิตช์การเข้าถึงกับสวิตช์การกระจายเท่านั้นและใช้กับอินเตอร์เฟสการเชื่อมต่อเท่านั้น

แนวทางปฏิบัติที่ดีที่สุดเหล่านี้จะป้องกันปัญหา STP เกือบทั้งหมดและแยกปัญหาใด ๆ ที่เกิดขึ้นกับสวิตช์การเข้าถึงเดียว


2
อ่าใช่ สักวันฉันหวังว่าจะทำงานบนเครือข่ายที่มีเงินเพียงพอไม่มีแอปพลิเคชั่น "แปลก" (เช่น L2) ชุมชนผู้ใช้ที่อ่อนน้อมและสนับสนุนการจัดการที่เพียงพอเพื่อปฏิบัติตามแนวทางปฏิบัติที่เหมาะสม บางวัน
Ron Trunk

1. คำแนะนำแรกเกี่ยวกับ VLAN และสวิตช์การเข้าถึงฉันไม่แน่ใจว่าฉันเข้าใจ
mfinni

2. "การกระจาย" ของเราน่าจะเป็น 4500x ของเราซึ่งส่วนใหญ่เป็นลำต้น แต่มีการเชื่อมต่อไฟเบอร์ iSCSI บางส่วน
mfinni

3. หลีกเลี่ยง VTP - จะพิจารณาอย่าคิดว่าทุกอย่างจะถูกตั้งค่าเป็น "โปร่งใส" วันนี้
2559

4. portfast และ bdpuguard - จะตรวจทานคำแนะนำนี้เช่นกัน
mfinni

3

นอกเหนือจากคำแนะนำที่ดีเยี่ยมของ Ron Maupin ข้างต้นฉันยังพบโพสต์มากมายในฟอรัมของ Cisco เกี่ยวกับความผิดพลาดครั้งใหญ่ที่ฉันทำในกระบวนการ ฉันเพิ่ม VLANs ลงในอินเตอร์เฟสฟิสิคัลพอร์ตก่อนไม่ใช่อินเตอร์เฟสพอร์ตแชนเนลที่เป็นสมาชิก หลังเป็นวิธีที่เหมาะสมในการทำและฉันอาจทำให้เกิดปัญหา


2
คุณสามารถทำได้ในแบบที่คุณทำหากอินเตอร์เฟสสมาชิกไม่ทำงาน โดยทั่วไปแล้วฉันได้พบว่าฉันต้องการให้ส่วนต่อประสานของสมาชิกทำการกำหนดค่าทั้งหมดรวมถึงช่องพอร์ตจากนั้นเมื่อมันเป็นอย่างที่ฉันต้องการ
Ron Maupin
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.