使用高级特性增强网络稳定性探究

 我们在组建多层交换网络，通过使用一些交换特性可有效增强网络安全性与稳定性，可以防止网络环路，非授权设备，设备故障等导致的网络中断。下面我们就一个一个举例看下：

1.第三层协议过滤：能防止在属于特定的第3层协议的vlan中转发广播和未知单播流量，例如仅配置ip协议的端口，既不转播任何ipx和appletalk的广播和未知单播流量。对于ip协议默认是on，其他协议auto，在设置auto端口不仅转发正常一些的流量还装发其他协议的广播和未知单播。

conf t

protocol-filtering

int f1/2

sw protocol appletalk off

sw protocol ip  on

sw protocol ipx  off

2.抑制广播风暴特性：

广播数据包有一个很重要的特征，就是广播域中每台网络设备，包括PC或者交换机都需要处理广播数据包。可见，如果某个广播域中存在比较多的广播流量，那么所有的相关设备都会受到影响，因为他们必须抽出一定的资源来处理这些广播数据包。同时，这些广播数据包还会占用宝贵的带宽资源，如果网络中存在过多的广播数据包，则可能会导致网络拥塞，大大降低网络的性能与安全等级。所以，在网络设计中应当防止过量的广播流量所导致的非正常功能故障，同时需要注意由此可能带来的安全隐患。总之，在网络中如果发生意外情况，那么异常的设备就会发送大量的广播数据包流量。如果在每秒之内发生的广播数据报流量过多，那么就会直接导致交换机等网络设备的CPU利用率高，设置利用率会达到100%从而导致网络中断。为此一个安全的网络设计，都会采用各种各样的措施来抑制广播数据包的流量。 为了缓解过量的广播数据报对网络带来的不利影响，思科系列的交换机特别设计了广播抑制特性。简单的说，交换机操作系统会自动监测经过其设备的网络流量。如果发现广播数据包比较多的话，这交换机会采取两个措施：要么是丢弃过量的广播数据包;要么就是禁用接收过量的流量端口。

 

Router(config)# storm-control ?

  broadcast  Broadcast address storm control

  multicast  Multicast address storm control

  unicast    Unicast address storm control

 

Router(config)# storm-control broadcast th

Router(config)# storm-control broadcast threshold ?

  <1-100>  Threshold number 1 - 100

 

Router(config)# storm-control broadcast threshold 5

Router(config)# storm-control mu                   

Router(config)# storm-control multicast ?

  threshold  Configure Threshold for storm control

 

Router(config)# storm-control multicast th

Router(config)# storm-control multicast threshold ?

  <1-100>  Threshold number 1 - 100

Router(config)# storm-control multicast threshold 5

3.小巨人帧的尺寸与标准的以太网帧相比要大一点。一般情况下小巨人帧可以容纳1600字节的各种封装。其实小巨人帧在实际应用中有很大的使用价值。如虚拟专用网络、第二层隧道协议、多协议标签交换等等应用场景中，都可以见到小巨人帧的身影。　在思科交换机上要启用对小巨人帧与巨型帧的支持，主要是通过mtu命令。如需要在基于IOS软件的交换机上配置小巨人帧的支持特性，可以通过使用命令system mut size来实现。当然，如果在具有硬件支持的情况下，还可以在系统中的所有接口上配置MTU尺寸。如此的话，就不用一个个接口去配置。不过这里需要注意的是，在接口级别的设置会覆盖全局的MTU设置。也就是说，如果即在全局进行设置，又在接口层面进行设置，那么接口级别的设置优先性要比全局级别要高。

 

1、必须源接口与目标接口都支持这个小巨人帧和巨型帧

 2、路由器上必须配置能够接受巨型帧

 

Router(config)#vlan 10

Router(config-vlan)#name qq

Router(config-vlan)#mtu 9818

 

Router#show vlan-switch 

 

VLAN Name                             Status    Ports

---- -------------------------------- --------- -------------------------------

1    default                          active    Fa1/0, Fa1/1, Fa1/2, Fa1/3

                                                Fa1/4, Fa1/5, Fa1/6, Fa1/7

                                                Fa1/8, Fa1/9, Fa1/10, Fa1/11

                                                Fa1/12, Fa1/13, Fa1/14, Fa1/15

10   qq                               active    

1002 fddi-default                     act/unsup 

1003 token-ring-default               act/unsup 

1004 fddinet-default                  act/unsup 

1005 trnet-default                    act/unsup 

 

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2

---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

1    enet  100001     1500  -      -      -        -    -        1002   1003

10   enet  100010     9818  -      -      -        -    -        0      0   

1002 fddi  101002     1500  -      -      -        -    -        1      1003

1003 tr    101003     1500  1005   0      -        -    srb      1      1002

1004 fdnet 101004     1500  -      -      1        ibm  -        0      0   

1005 trnet 101005     1500  -      -      1        ibm  -        0      0  

4.通过error-disable 特性，在错误状态影响到全局前，交换机能检测特定端口的错误状态禁用该端口。

能检测到下列错误状态： bpduguard  Enable error detection on bpdu-guard

                                               dtp-flap   Enable error detection on dtp-flapping

                                               link-flap  Enable error detection on linkstate-flapping

                                                 pagp-flap  Enable error detection on pagp-flapping

                                                  rootguard  Enable error detection on root-guard

                                                       udld       Enable error detection on udld

 

 

　如果要使用手工恢复策略的话，主要需要用到两个命令。首先是使用shutdown命令，将出现故障的接口关闭掉。然后再使用no shutdown命令启用这个端口，就可以实现从error-diable状态中恢复。不过这里需要注意的是，无论是手工恢复还是自动恢复，只要这个导致交换机处于Error-Disable状态的原因没有真正消除，交换机仍然会将这个端口设置为Error-Disable状态。只有真正找到问题的根本原因才能够避免接口重新进入到这个故障状态.

 

router(config)#errdisable ?

  detect    Error disable detection

  recovery  Error disable recovery

outer(config)#errdisable detect cause ?

  all        Enable error detection on all cases

  bpduguard  Enable error detection on bpdu-guard

  dtp-flap   Enable error detection on dtp-flapping

  link-flap  Enable error detection on linkstate-flapping

  pagp-flap  Enable error detection on pagp-flapping

  rootguard  Enable error detection on root-guard

  udld       Enable error detection on udld

 

Router(config)#errdisable detect cause all

Router(config)#errdisable recovery cause all

Router(config)#errdisable recovery interval 60   

 

5.　UDLD （UniDirectional Link Detection 单向链路检测）：是一个Cisco私有的二层协议，用于监听利用光纤或双绞线连接的以太链路的物理配置，当出现单向链路（只能向一个方向传输，比如我能把数据发给你，你也能收到，但是你发给我的数据我收不到）时，UDLD可以检测出这一状况，关闭相应接口并发送警告信息。单向链路可能引起很多问题，尤其是生成树，可能会造成回环。注意：UDLD需要链路两端设备都支持才能正常运行。

conf t

　　udld {aggressive | enable | message time 间隔时间} '全局启用UDLD，aggressive设置为激进模式，enable设置为普通模式，message time设置hello间隔，范围是1-90，默认15。

　　int fa0/10

　　udld port [aggressive] '接口下启用UDLD，不加aggressive为普通模式

 

 

 

 

 

portfast使得被配置的2层端口直接进入转发状态无需监听和学习
BPDU防护是为了防止启用portfast端口连带交换机，导致2层环路或者拓扑变更，默认情况下启用portfast是不接受BPDU的，当接收的BPDU接口接入err-disable，起到是种防护功能。

本文出自 “cisco network” 博客，转载请与作者联系！