现场交换机在网络中起着至关重要的作用:将用户连接到IT基础架构的其余部分。不要将墙上或隔间下面的插孔视为简单的以太网端口。作为有效的交换机管理的一部分,您需要将其视为通向IT服务的关键任务网关。

当用户将工作站插入网络时,这就是她与电子邮件,即时消息,财务系统,销售引擎和其他公司资源的单一连接。甚至可能通过该插孔提供语音通信。如果服务质量较差,则该用户将无法有效地完成工作。如果有足够多的用户体验不好,那么整个业务都会受到影响。

可悲的是,在企业网络中,经常会忽略现场切换。继续阅读以了解物理设置和配置可为用户提供良好服务的可靠交换机的基础知识。

物理位置注意事项和连接选项

1.认真对待地理位置

我见过浴室的开关,塞在吊顶内,用一根螺丝钉挂在墙上,小隔间下面,以及装在一个狭窄的壁橱里,没有气流或温度控制,在肮脏的架子上。

我认识到用布线基础设施改造老化的建筑物是一个挑战,有时我们坚持使用的解决方案并不理想。我参与了许多此类安装。

就是说,请尽最大努力使交换机进入至少有空气流通的地方。研究您要安装的开关,找出进气口和排气口的位置,并保持清洁。即使对于带有外部电源的无风扇开关设计,将开关直接靠在墙上通常也是个坏主意。机箱仍然需要散发热量,这是大多数开关的橡胶底脚可以贴在底部的原因之一。

灰尘也很重要。将开关安装在肮脏的地方时,它们会被木屑堵塞,这会因过热而缩短其使用寿命。应当定期清洁肮脏场所的开关,以降低这种风险,即使是针对困难环境构建的工业模型也是如此。

2.仔细考虑壁橱交换机与网络其余部分之间的上行链路设计

尽管最简单的方法是将壁橱交换机通过单根电缆连接回网络的其余部分,但双上行链路对于冗余性和容量可能更为可取。有几种方法可以安全地实现双上行链路。

  1. 备用链接。 当第二条线路与主线路并联连接时,将创建一个备用链接。在拓扑上,这在壁橱交换机和上行链路交换机之间形成环路。 生成树将检测到循环 并阻止备用链接。如果主链路发生故障,则备用链路将变为活动状态。此设计的更好替代方案是连接到多个交换机,而不是将两个链接都运行到同一交换机。在这两种情况下,生成树的行为都相同-将检测到环路并阻塞一条链路,直到主路径发生故障。
  2. 配线间交换网络上行链路设计

  3. 并行第2层链接。 交换机之间的并行第2层链路可以通过链路聚合协议来实现,例如思科的端口聚合协议(PAgP)或行业标准的链路聚合控制协议(LACP)。该方案允许两个链路都处于活动状态并承载流量。就生成树而言,链路聚合协议使这两个链路显示为单个链路,同时仍保持无环拓扑。

    链接聚合可以将并行链接扩展到两个以上。四向和八向链路聚合捆绑包很常见。为了实现多样性,可以将链路聚合捆绑包拆分为两个充当一台虚拟交换机的物理交换机,例如可堆叠版本的Cisco Catalyst交换机或运行虚拟交换系统的Cisco机箱交换机。

  4. 企业网络壁橱交换机上行链路设计

  5. 并行的第3层链接。 上行链路壁橱交换机的一种策略是通过路由(第3层)链路而不是交换式(第2层)链路将它们连接到网络的其余部分。虽然接线看起来相同,但最终结果提供了与网络其余部分更好的隔离。

    采用这种方法,两个L3链路不会形成环路,因为每个链路都属于自己的网段,彼此隔离。这种设计的挑战在于用户VLAN网段不能跨越不同的壁橱,因为L2网段(VLAN)不会扩展到L3上行链路之外。 L3双上行链路应连接到单独的交换机,以实现弹性。

  6. 交换上行链路设计

  7. 不要忘记物理路径的多样性。 如果可能,请通过备用物理路径将电缆布线进入壁橱。这样的想法是,如果将壁橱交换机与网络其余部分连接的一根电缆被割断,淹没,烧毁或以其他方式损坏,则另一根电缆将不会有相同的命运。公认的是,这在管道受限且建筑不适合这种方法的建筑物中具有挑战性。但是,请尽可能使上行链路电缆分开。

3.确定网络是否实际需要10Gbps以太网

在处理壁橱交换机时,至关重要的是适当调整从壁橱到网络其余部分的上行链路。

尽管每个网络都不尽相同,但总的来说,壁橱交换机可以容忍大量的 超额认购。所谓超额认购,是指面向用户的端口与上行链路端口的比率。

例如,在具有48个面向用户的1Gbps端口和两个链路聚合的1Gbps上行链路端口的交换机中,超额预订比率为24:1。换句话说,每个上行链路端口有24个面向用户的端口。


免费试用Auvik 14天


多年来,我发现壁橱开关的超额预订比率非常高,高达96:1,没有问题。

用户工作站的流量模式往往是突发性的(流量快速激增)和不同步的(流量突发性是一次在一台计算机上发生,而不是一次全部发生)。出于这些原因,对于大多数企业数据中心设计中无法接受的企业内壁橱交换机来说,可以避免超额订购率。

随之而来的问题是:在壁橱和网络的其余部分之间是否要求10Gbps以太网上行链路?答案是,这取决于。让我们考虑一些重要的事实,这些事实可能会以一种方式或另一种方式支持10Gbps上行链路。

  1. 您能负担得起10Gbps以太网吗? 壁橱交换机必须经常穿越分数或数百米才能上行回到主网络。要进行长距离传输,需要使用光纤电缆。要走很长的距离,需要具有特定光学质量的光纤,并且可能需要其他类型的收发器。因此,虽然部署10Gbps链接的费用并不像以前那样昂贵,但成本绝对仍然是一个重要的考虑因素。

    并非所有光纤都是平等的。并非所有10G光模块都将光按相同的距离推入。评论 思科的这张表 其中描述了各种10G模块以及支持的距离,具体取决于所使用的光纤电缆。

    幸运的是,尽管稍微超过了建议的最大距离,但我仍然能够将现有的62.5微米多模电缆重新用于10G上行链路。多年来,特别是思科品牌的收发器对我来说一直是个好习惯,其性能通常优于其规格。你的旅费可能会改变。

  2. 你有铜线吗? 10GBase-T是铜缆上的10Gbps。它的主要目的不是用于壁橱上行链路。 思科提到“ 10GBASE-T的主要用例是高速服务器连接。其他不太常见的情况则使用10GBASE-T互连位于330英尺(100米)距离内的配电或核心交换机。”

    10GBase-T不仅主要用于服务器和访问交换机之间的机架内连接,而且对铜缆布线也有严格的要求。如果距离小于100m,并且使用正确类型的铜缆(Cat6认证为500MHz,屏蔽的Cat6,Cat6A或Cat7),则可以将10GBase-T用作壁橱交换机上行链路。但是10GBase-T不是一个明显的,具有成本效益的答案。以太网在铜缆上从1Gbps跃升至10Gbps的速度比几年前从100Mbps跃升至1Gbps的速度更高。

  3. 您的用户会移动大量数据吗? 正如我们已经讨论的那样,高超额预订率通常可以用于切换。但是某些用户组可能比普通工作人员移动更多的数据。在具有大型数据集的本地工作站上工作的人们就适合该类别。考虑一下多媒体艺术家,使用大型测试数据库的开发人员以及类似的情况。

    在那些情况下,较高的超额预订率将难以容忍,因为较长的流量突发会增加同时出现的用户流量流到达上行链路的可能性。在那种情况下,与1Gbps上行链路相比,10Gbps上行链路将超额预订减少了10倍,并且争用的可能性大大降低。较低的争用等于用户社区更快的网络吞吐量。

  4. 网络上有多少个受支持的设备? 现在,大多数组织都在其LAN上支持员工电话,平板电脑和相关的无线设备,这意味着网络上设备的数量已经增加。如今,普通的网络用户可能代表两到三个设备,而不是一个工作站。随着设备数量增加和接入点激增,上行链路争用的可能性也增加。 10Gbps在这里可能会有所帮助。

4.不要在物理端口上跳过

我反复遇到的一个问题是24端口交换机的端口用完了。在预算允许的情况下,应始终安装48端口交换机(最好使用附加端口作为上行链路),以实现额外的增长。

是的,48端口交换机的价格更高,而这一成本通常是购买24端口交换机的驱动力。但是从长远来看,根据我的经验,48端口交换机几乎总是首选。

也就是说,请考虑无线网络对环境的长期影响。如果您发现802.11ac提供了与有线等效的性能,那么您将走上另一条路。您正在从有线连接转移到无线,在那里您对有线端口密度的关注已从用户工作站转移到了接入点。但是,如果仍然选择“随处布线”,那么我对24端口和48端口交换机的评论有望引起人们的兴趣。

5.请记住,交换机堆栈或机箱与单个交换机略有不同

可堆叠式交换机和机箱式交换机是网络机柜中的一种流行选择,可通过单点管理提供大量端口密度。从设计的角度来看,这些优点有一些值得牢记的挑战。

  1. 堆栈和机箱是单点管理,但也可以是单点故障。 要确定这是否令人担忧,如果整个壁橱由于灾难性的系统故障而停用了几个小时或几天,请考虑对组织的影响。

    机箱交换机通常提供双管理引擎和双电源以减轻这种风险。有人可能会指出,机箱交换机本身就是一个单点故障,但是在近20年的联网中,我只遇到过一次机箱故障。一般而言,可堆叠产品比机箱更好,因为堆叠中的每个物理交换机通常都可以充当“堆叠主设备”,在发生故障的情况下,将选择一个新的堆叠主设备。

    另外,功率分布在整个电池组中。交换机电源故障只会影响一个交换机,而不会影响其余的堆叠。有趣的是,某些思科可堆叠交换机提供了StackPower,可以减轻堆叠中的电源故障。

  2. 双上行链路应分布在机箱或堆栈上,以最大程度地提高弹性。 这里的想法是确保来自机箱或堆栈的上行链路不来自同一交换机或模块。我经常看到双上行链路来自同一个管理引擎,这意味着如果管理引擎发生故障,即使使用双管理引擎,机箱也可能会与网络的其余部分断开连接。

  3. 可堆叠的交换机也有同样的问题。 双上行链路应分布在堆栈中的不同物理交换机之间。我在壁橱交换机堆栈中的做法是在堆栈顶部放置一个上行链路,在底部放置另一个上行链路。假设顶部和底部之间的堆栈中断,这意味着碎片化堆栈的两个部分仍将上行返回主网络。

    软件升级有时是一无所有的事情。升级机箱交换机时,您可能需要重新加载整个机箱以启动新软件,这意味着用户必须等到机箱恢复在线后才能访问网络的其余部分。

    思科和其他供应商提供了可以缓解该问题的服务中软件升级(ISSU),但通常存在特定的硬件要求,例如具有ISSU功能的双管理引擎。

    您可能会直观地假设交换机堆栈升级一次可以完成一个交换机,但是现实情况是,堆栈中的交换机通常需要非常接近的软件版本才能成为同一堆栈的成员。因此,升级一台交换机可能会使它脱机,直到堆栈中的所有其他交换机也都已升级为止。

    此问题因供应商而异,因产品而异。关键是要确保组织能够应对软件升级过程,该过程在升级正在进行时可能会使数百个面向用户的端口脱机。

按键开关配置元素和注意事项

1.生成树配置

如果您选择了备用链接或并行第2层设计,那么您已经将第2层域从核心网络扩展到了壁橱中。这意味着您的壁橱交换机正在加入全局生成树域,并且需要进行适当配置。

我写过 生成树设计 在此之前和之后,我都提到了放置和加强根桥的重要性。处理壁橱开关时,关键是要确保壁橱开关不会成为 根桥.

如果壁橱交换机确实成为根网桥,则网络物理核心中或周围的链接可能最终被阻塞。结果可能是穿越壁橱交换机的网络中某些奇数(和意外)转发路径。

为避免这种情况,我的建议是将根网桥优先级设置为一个很高的数字(最大值为65535),而不是将其保留为默认值32768。如果您已经将核心交换机设置为某些低于32768的低值,更改它们似乎没有必要,但提前考虑至关重要。将该值设置为更高的值可以帮助避免将来出现意外的生成树结果。

另外值得一提的是,我假设使用 快速生成树。 802.1w是对原始802.1d生成树的重大重写,并具有许多与性能相关的增强功能。快速生成树包括等效的几种早期思科生成树增强功能,例如 上行速度快 如果有什么变化,这将帮助您的交换机更快地融合到新的拓扑上。

实际上,假设您实施了备用链接方案,其中一个链接被阻止,而另一条转发被阻止。如果转发链接断开,您的交换机将发出通知并做出反应。最终,流量将开始流过其余的链路。原始生成树和快速生成树之间“最终”的长度是不同的,而快速生成树则更快。涉及的确切计时器和过程超出了本博客文章的范围,但是我建议这样做 来自CCIE Petr Lapukhov的白皮书 如果您有兴趣探索细节。

如果您选择并行的第3层链路设计,那么您已经在交换机本身上创建了隔离的第2层生成树域。问题在于壁橱交换机是否需要成为生成树域的根。在大多数情况下,您希望将其作为根,因为您不希望插入网络的其他交换机(例如在用户的办公桌旁)成为网络域的生成树根网桥。


免费试用Auvik 14天


2.路由配置

许多壁橱交换机是第3层交换机,这意味着它们能够在驻留在不同VLAN中的不同IP地址块之间路由流量。在Cisco Catalyst产品系列中,29xx系列路由器通常仅是第2层,而37xx和更高型号的交换机则具有第3层功能。

假设具有L3功能的交换机运行并行链路,则可以选择几种不同的路由方案。让我们回顾一下在思科环境中值得考虑的一种可靠方法,即双EIGRP链路,而不是尝试所有不同的可能性。 (您可能想阅读 我对EIGRP的介绍 继续之前。)

配线间开关EIGRP配置

在这种设计中,每个L3链路都分配有一个/ 29网络块。 / 29是八个地址的块,其中六个实际可用。在我们的示例中,到交换机1的链接的范围为10.100.1.0-7,实际上可以使用IP地址1到6。

我建议/ 29s而不是更常用的/ 30点对点链接,该链接仅提供两个可用地址。 / 29s提供了将来的灵活性,而无需重新编号链接,例如,当可能需要添加其他设备(如防火墙,WAN优化器或替换交换机)时。

在使用RFC1918地址空间的专用网络上,IP地址保留通常不是问题,因此/ 29是用于点对点链接的有用的寻址方案,而又不会过于昂贵。

在这种情况下,我们的壁橱交换机具有两个EIGRP链路,一个指向核心网络中的一对交换机中的每个。假设两个链路具有相同的带宽和延迟特性,则EIGRP路由过程会将这些链路视为相等的成本,并在两个链路之间负载平衡流量。如果其中一个链接断开,EIGRP将检测到不再有连接,并会收敛到其余的链接。

另外一些注意事项:

  1. 壁橱交换机很可能应配置为EIGRP存根路由器。除非您做出了一些不寻常的网络设计选择,否则就没有理由将壁橱交换机用作转接路由器。

    网络机柜是源的唯一网络是用户访问的连接VLAN。因此,核心网络没有理由向壁橱交换机查询源自网络其他部分的丢失路由。

    另一种考虑方式是将访问交换机视为死胡同。如果网络图的边缘是壁橱交换机,那么该交换机的确是一个死胡同-无处可去。因此,将其配置为存根绝对是正确的事情。

  2. 壁橱交换机不需要知道整个路由表。壁橱真正需要知道的只是一条默认路线。为什么?在我们的示例设计中,壁橱交换机只能发送任何内容的地方就是核心网络。只有通过一条链路可以到达某些IP目的地的流量,而通过其他链路可以到达其他IP目的地的流量时,粒度路由表才对路由器(或第3层交换机)有用。

    在我们的情况下,那是不对的。因此,为什么要将一堆IP目的地都可以通过完全相同的两个链接访问到的壁橱交换机的路由表弄得一团糟?相反,核心交换机可以在上行链路到壁橱交换机的接口上使用“ ip summary-address eigrp”语句将流量汇总为默认路由。壁橱交换机将仅学习默认路由,而不是整个核心路由表。

3.服务质量注意事项

我们在这里只能介绍的另一个重要主题是服务质量(QoS)。 QoS是一个大想法,即某些网络流量比其他网络流量更重要。必须传送重要的流量(例如,语音和视频,尽管可以定义任何内容),而其他流量可以容忍一些损失。 (有关QoS的更多详细信息,您可能希望 阅读我的系列 这里。)

对于此博客文章,让我们进行一些高级观察:

  1. 如果您不是通过壁橱交换机运行IP电话或视频设备,则无需QoS方案也可以做得到。如果没有语音和视频流量,则通过交换机发送的是所有数据流量,很可能是TCP流量。在壁橱交换机和核心网络之间发生拥塞的罕见情况下,TCP内置的重传和滑动窗口机制可以应对。在大多数情况下,这就足够了。

    该通用规则的例外情况包括诸如SSH之类的交互式应用程序,其中由于拥塞而导致的延迟可能会使该应用程序难以使用。在这种情况下,QoS方案可能有助于区分该交互式流量的优先级。

  2. 当通过交换机运行实时语音和视频时,可能是因为您已经向组织部署了IP电话,所以其想法是将语音流量(人们在电话上交谈)发送到低抖动的“优先”队列和视频中。将一个队列发送出去,以保证有足够的带宽满足其需求。抖动是指数据包传送之间的时间量。对于语音通信,均匀传送数据包对于高质量的通话很重要。视频流量比语音更能容忍抖动,但是所有数据包都需要到达目的地。

  3. 究竟如何为交换机实现正确的QoS配置,有时会因交换机平台的不同而异。不同的交换机内部具有不同种类的交换硅,并且并非所有排队结构和功能都相同。因此,这些命令尽管通常很相似,但在不同的交换平台之间会有所不同。思科一直在努力统一其跨平台的QoS配置工具,但是仍然存在一些差异需要引起注意。

4.其他配置注意事项

确定了物理连接和转发设计之后,明智的下一步就是确保设计继续按预期进行。有两点要考虑。

首先,应设置安全性,以防止未经授权的一方更改交换机配置。请注意,将交换机配置保留为默认值不一定是安全的,因此明智的管理员会小心输入非默认的用户名和密码,并禁用Telnet,SNMPv2和HTTP等未加密的管理协议,而改用SSH,SNMPv3,和HTTPS。

另一个常识性的安全步骤是使用访问列表来限制允许管理交换机的源IP地址。例如,这可以防止办公桌旁的用户发现交换机并尝试登录,或者阻止恶意软件尝试通过SNMP向交换机发送新配置。

如果您的客户端运行的是高度安全的环境,则可以考虑在网络机柜中使用更具攻击性的工具。例如,IP源防护,动态ARP检查,DHCP侦听和端口安全是可以部署的功能,以确保使用交换机的系统如他们所声称的那样,不执行应有的角色,并且行为正常。一般。这些功能的实现非常复杂,超出了我们的讨论范围,但是值得调查和了解您是否最终实现了这些功能。

另一个问题是监视交换机,以确保它已启动并正在运行,链接(尤其是到核心交换机的上行链路)没有被过度使用,并且交换机端口正在正常运行。许多网络管理产品,包括Auvik,都可以帮助完成这些任务,处理监控以及报告,故障排除和配置管理。

所有这些设计和配置工作的结果就是您可以信任的壁橱开关。您将可以轻松一点,放心使用一个交换机,该交换机将以最佳方式悄悄地转发来自壁橱的流量。


是否想获取《有效的交换机管理无汗指南》的完整版本? 在此处下载免费副本.