深圳思科代理商 临同信息 告诉您在项目实施中Cisco Catalyst 3560-E系列交换机常见问题
为了与大家更好的分享深圳思科代理商 临同信息在项目中的经验。我们为大家讲解一下在项目实施中Cisco Catalyst 3560-E系列交换机常见问题 :
产品概述
问:什么是Cisco® Catalyst® 3560-E系列交换机?
答:Cisco Catalyst 3560-E 系列是一种企业级配线间独立式交换机,不但能帮助各机构部署安全的融合式应用,还能增强投资保护,满足网络和应用要求。Cisco Catalyst 3560-E 将10/100/1000和PoE
Cisco Catalyst 3560-E 系列的主要特性
Cisco TwinGig转换器模块,将上行链路从千兆以太网移植到万兆以太网
PoE配置,为所有48个端口提供了15.4W PoE
模块化电源,可带外部备份电源
在硬件中提供组播路由、IPv6路由和访问控制列表
带外以太网管理端口,以及RS-232控制台端口
问:Cisco Catalyst 3560-E 系列交换机支持哪些软件特性?
答:Cisco Catalyst 3560-E 系列交换机配备通用镜像。客户能在该通用镜像中通过软件激活功能激活IP BASE、IP Services或Advanced IP Services特性集。软件激活功能能够批准并激活Cisco IOS软件特性集。交换机通电后,交换机中称为许可证文件的一个特殊文件将接受Cisco IOS软件的检查。Cisco IOS软件将根据许可证的类型,激活相应的特性集。
IP BASE特性集支持第2层转发、高可用性、QoS和安全特性,以及基本的第3层路由,包括EIGRP stub模式。
IP Services特性集包含更加丰富的企业级特性,包括:
动态路由协议:
OSPF
EIGRP
BGPv4
基于策略的路由(PBR)
无论配置了哪个路由协议,都支持流量重定向,因而能加强控制
PIM
支持网络中的IP组播路由,允许网络接收所请求的组播流量,而对没有参与的交换机组播流量则被剪除--支持PIM稀疏模式(PIM)、PIM密集模式(PIM-DM)和PIM稀疏-密集模式;
DVMRP
使隧道跨越非组播网络,将两个支持组播的网络互联在一起;-
专用VLAN(PVLAN)
能够利用主、从VLAN,在第2层限制主机之间的通信;
Advanced IP Services特性集包含上述所有特性以及硬件中的所有IPv6路由特性。
问:是否可以利用IP BASE特性集执行静态IP路由?
答:可以,RIP和静态路由都能通过IP BASE特性集执行。动态IP路由协议(OSPF、BGPv4、EIGRP)只能在IP Services特性集上使用。
问:Cisco Catalyst 3560-E 系列交换机支持哪些小型可插拔(SFP)模块?
答:Cisco Catalyst 3560-E 系列交换机支持以下SFP:
1000BASE-LX/LH (GLC-LH-SM=)
1000BASE-SX (GLC-SX-SM=)
1000BASE-ZX (GLC-ZX-SM=)
1000BASE-T (GLC-T=)
1000BASE-BX 1490nm (GLC-BX-D=) (12.2(25)SEB 及更高版本)
1000BASE-BX 1310nm (GLC-BX-U=) (12.2(25)SEB 及更高版本)
CWDM (在 Cisco IOS® 12.1(14)EA 及更高版本上支持)
CWDM-SFP-1470
CWDM-SFP-1490
CWDM-SFP-1510
CWDM-SFP-1530
CWDM-SFP-1550
CWDM-SFP-1570
CWDM-SFP-1590
CWDM-SFP-1610
100Base FX (Cisco IOS 12.2(20)SE 及更高版本)
问:Cisco Catalyst 3560-E 系列交换机支持哪些X2模块?
答:Cisco Catalyst 3560-E 系列交换机支持以下X2模块:
10GBASE-SR
10GBASE-LR
10GBASE-ER
交换机架构
问:Cisco Catalyst 3560-E与Cisco Catalyst 3560 之间有什么明显的区别/特性?
答:两者之间的区别如下:
Cisco Catalyst 3560-E 能够为具有两条线速万兆以太网上行链路的桌面解决方案提供真正的线速(无阻塞)千兆以太网;
Cisco Catalyst 3560-E 具有背板交换 ASIC,ASIC也参与转发决策,帮助交换机执行线速本地交换;
Cisco Catalyst 3560-E 支持动态可插拔模块,能够将万兆以太网插槽转换成能够与2个千兆以太网端口匹配的插槽,以便客户能够方便地从千兆以太网上行链路移植到万兆以太网上行链路;
Cisco Catalyst 3560-E 支持可热插拔的电源;
Cisco Catalyst 3560-E 支持巨型帧路由,帧最大可达9216字节;
Cisco Catalyst 3560-E 支持未压缩IPv6 地址表,使软件能够在硬件中对全部IPv6地址编程。另外,IPv6的等成本路由也使用未压缩IPv6地址;
Cisco Catalyst 3560-E 支持对单播包的目的地剥离。
问:总共支持多少个万兆以太网端口?
答:每台Cisco Catalyst 3560-E 支持两个线速万兆以太网端口。
问:Cisco Catalyst 3560-E 怎样防止假冒产品?
答:交换机的硬件使Cisco IOS软件能够检测出假冒产品。如果Cisco IOS软件检测到假冒产品,将向客户报警。
问:Cisco Catalyst 3560-E 是否支持巨型帧路由?
答:是的,Cisco Catalyst 3560-E支持巨型帧路由。
问:哪种类型的包不能通过硬件转发?
答:在Cisco Catalyst 3560-E 交换机上,只有以太网II封装中没有设定选项的IPv4包,才能完全由硬件转发,包括桥接、路由、安全和QoS查询。不符合这三个条件的包将利用硬件和软件组合转发。另外,硬件中也支持IPv6。
问:什么是板载故障记录(OBFL)?
答:利用OBFL,应用能够将关键数据保存在硬件的非易失内存中,以便TAC排除故障和解决硬件问题。OBFL 数据将记录在作为独立文件系统的闪存中。
问:什么是管理端口?管理端口有哪些功能?
答:除控制台端口外,还支持带外以太网管理端口。这个端口类似于普通的以太网端口,但没有数据转发路径。
问:Cisco Catalyst 3560-E 支持多少个SPAN/RSPAN会话?
答:共支持两个会话。
问:每个SPAN进程支持多少个目标端口?
答:共支持64个目标端口。
QoS
下面解释Cisco Catalyst 3560-E采用的QoS机制,包括标记、排序和ACL。
问:请解释一下Cisco Catalyst 3560-E 中的排序机制。
答:如图3所示,Cisco Catalyst 3560-E 共有两个输入队列和四个输出队列。对于这两个集合,都可以将一个队列配置为优先队列,只有这个队列中的任务都处理完之后,才会处理其它加权队列。当然,每个集合也能全部配置加权队列。
图1 Cisco Catalyst 3560-E的输入和输出队列
Cisco Catalyst 3560-E 采用SRR。SRR 负责调度服务,规定包出列的速率。SRR共有两种模式:整形模式和共享模式。整形模式只在输出队列中使用。经过整形的输出队列保留一组端口带宽,然后根据计划发送均匀间隔包。共享输入队列也能够得到一定的带宽份额,但不能预留带宽。换言之,在共享模式中,如果高优先级队列为空,低优先级队列可以在预留带宽到期之前就使用空闲带宽。整形SRR与共享SRR之间难分伯仲。共享SRR 能够大大提高排序系统的效率,因为流量多的队列可以使用空闲时隙。而在标准加权循环(WRR)中,这是不允许的。整形SRR 用于队列整形,或者设置硬极限,规定队列能够使用的最高带宽。使用整形SRR时,能够在端口的总整形速率范围内进行队列整形。
除队列整形外,Cisco Catalyst 3560-E 还能限制物理端口的速度,从线速的1%到99%。因此,客户可以在速率受限的端口内进行队列整形。
问:在共享模式中,WRR与SRR有什么区别?
答:上面一个问题提到了SRR。在回答本问题之前,请阅读关于上一个问题的回答。如图2所示。
图2 WRR与SRR
在上例中,Q4的权重最高,Q3次之,以此类推。严格优先队列已关闭。
SRR 与典型的 WRR 不同。WRR 队列是根据权重处理的。Q1 在权重1期间处理,Q2在权重2期间处理,以此类推。处理时,将在不同的队列间移动,每个队列的处理时间等于加权时间。SRR同样使用了权重的概念,但SRR从Q1转向Q2,然后再转向Q3和Q4的方式不同。它并非在每个队列等待和停留加权时间后,才转向下一个队列。SRR将快速通过每个队列多次。每次通过时,每个队列可能得到处理,也可能没有得到处理。与低优先级队列相比,高优先级队列得到处理的概率较高。一段时间之后,从每个队列得到处理的包的数量看,SRR和WRR是相等的,但顺序是不同的。使用SRR时,流量的顺序是平均分布的。使用WRR时,处理的顺序可能是Q1的一批包,然后是Q2的一批包。使用SRR时,可以看到包的加权交叉。在使用WRR的图4中,标有1的所有包都得到了处理,然后是标有2、3、4和5的包。在SRR中,所有包都将得到处理,然后是B、C和D。为使流量的流动更平滑,SRR支持交叉(受权重影响)。SRR是WRR的发展,采用了更顺畅的循环机制,能够防止由于大量突发流量引起缓存溢出。
问:Cisco Catalyst 3560-E 是否支持拥塞避免?
答:是的。加权尾部丢弃(WTD)能够运用于部分或全部输入和输出队列。WTD 是一个拥塞避免机制,能够管理队列长度,为不同的流量类型制定不同的丢弃策略。利用可配置的阈值,能够确定丢弃某些包的时机。阈值可以基于服务类别(CoS),也可以基于个性化服务代码点(DSCP)值。队列填满之后,低优先级的包将首先被丢弃。例如,当队列达到60%时,可通过配置让WTD 丢弃 CoS 为0~5的包。另外,还能为每个队列的不同CoS和DSCP值规定多个阈值和水平。
问:Cisco Catalyst 3560-E 支持聚合监管吗?
答:Cisco Catalyst 3560-E 支持聚合监管,即几股流量可以作为一个组进行监管。
问:Cisco Catalyst 3560-E 怎样对包进行分类?
答:Cisco Catalyst 3560-E 能按照以下条件对包进行分类:
第2层:MAC SA、DA、802.1P、Ethertype、输入端口号;
第3层:IP目标地址、IP源地址;
第4层:端口号和IP Services类型(ToS)。
问:Cisco Catalyst 3560-E 支持输出流量整形吗?
答:是的,由于流量整形能在每队列基础上进行,即流量能按照ACL、流、CoS、DSCP等映射到输出队列,因而为客户提供了极大的灵活性。
问:Cisco Catalyst 3560-E是否能够为QoS设置端口信任状态?
答:可以,Cisco Catalyst 能通过配置,来信任端口的CoS、DSCP或IP优先级。这个功能可以基于VLAN执行。这一点很重要,因为用户需要信任高优先级语音VLAN流量的值。
问:Cisco Catalyst 3560-E 是否能够标识输入和输出方向的包?
答:可以,Cisco Catalyst 3560-E 能够标识输入和输出方向的CoS和DSCP。
问:Cisco Catalyst 3560-E 的QoS 是否能够调度输入和输出方向的包,并作为拥塞避免机制的一部分?请描述一下实施过程。
答:可以。关于这一点,我们将在输入和输出QoS中讨论。
问:第3层QoS是否需要IP Services许可证?
答:不需要,IP BASE特性集和IP Services特性集都能执行第3层QoS。
问:是否需要IP Services特性集才能执行第3层和第4层查询,实现QoS和安全性?
答:不是,IP BASE特性集和IP Services特性集都允许利用第3层和第4层查询实现QoS和安全性。
问:监管能够达到多高的精确程度?
答:承诺信息率(CIR)为8KB~1GB,突发量为8KB~1MB。
问:当监管策略应用到VLAN时,您能否描述一下监管的过程?
答:尽管能向VLAN接口应用策略图,但所有监管或限速操作都只能在端口水平上执行。换言之,不能通过计算多个物理端口上的输出流量的总和来配置一个总的监管器的方式,。每个端口都需要配置独立的监管器,以便管理输入端口的流量。每个接口必须按照与该接口匹配的类别图,在二级策略图中定义。
问:是否支持流级监管?
答:是的,支持流级监管。
问:是否支持端口速率限制?
答:是的,能够执行端口速率限制,额度为规定端口速度的1%~99%。
问:是否支持输出监管?
答:不支持输出监管。但是,不同的包流能够映射到不同的队列,然后再对这些队列进行整形。与输出监管相似,这种方式也能限制流中的流量。
通用在线诊断
下面讨论思科通用在线诊断(GOLD)工具,这些工具能够实时诊断Cisco Catalyst 3560和3560-E 可能出现的硬件和软件问题。
问:什么是GOLD?
答:GOLD是一个Cisco IOS软件子系统,随着几种思科平台的发展而发展起来。GOLD 是一个重要的特性,在诊断硬件和软件问题的过程中,它允许用户执行各种侵入性和非侵入性测试。
问:GOLD中包含哪些测试?
答:GOLD 是一套诊断测试系统,也是客户或TAC 非常乐于使用的一套故障排除工具。诊断的种类包括:
非侵入性诊断:提出电源更换建议,提供错误报告。
侵入性诊断:TDR、压力测试、内存使用情况测试、离线诊断、端口ASIC CAM测试。
健康状态监控:在系统正常运行的时候定期执行非侵入性测试。
按需诊断:根据管理员的指令执行测试。
按计划诊断:每日、每周执行一次,或者只执行一次。纠正操作取决于交换机上配置的时间源,例如用户的人工输入信息或NTP。
问:是否需要在交换机上加载特殊的诊断镜像才能运行GOLD?
答:不需要,GOLD 是正在运行的Cisco IOS软件的一部分,这一点与很多竞争对手的交换机不同。
问:是否需要使交换机中断服务才能运行GOLD诊断?
答:不需要,很多GOLD诊断都既不需要交换机中断服务,也不会中断流量的传输。
问:GOLD 能否按需执行或者按预定间隔执行?
答:可以,GOLD能够按照需要或计划执行。
问:按需交互测试是否包含侵入性测试?测试能否取消?
答:是的,按需测试包含侵入性测试,这些测试需要得到用户的认可才能取消。
问:能够计划执行多少测试?测试能否执行多次?
答:用户的测试计划可以包含无限多个测试。这些测试能够安排为只执行一次,也能安排为每天都执行或定期执行。
问:健康状态监控测试是否会干扰交换机的正常操作?
答:不会,状态监控测试在后台执行,而且能使用CLI激活/关闭。
问:健康状态监控测试多长时间执行一次?
答:每个测试的间隔可以由用户确定。频率范围从365天到15秒,调整的精度能精确到50毫秒。
问:测试结果、计划和健康状态监控配置保存在哪里?
答:所有信息都保存在闪存和配置文件中。换言之,计划和健康状态监控配置是交换机配置的一部分。
FlexLink
下面讨论思科FlexLink的操作和使用。
问:什么是FlexLink?
答:FlexLink 能够提供第2层永续性,一般在接入交换机和分布交换机之间运行。它的收敛时间优于生成树协议/快速生成树协议/IEEE 802.1w。FlexLink 在Cisco Catalyst 3000 和 Cisco Catalyst 6000 系列交换机上实施,收敛时间低于100ms。换言之,从主链路的故障检测,到通过备用链路转发流量,总收敛时间低于100ms。FlexLink 成对部署,即需要两个端口。其中一个端口为主端口,另一个端口为从端口。这两个端口可以是接入端口、EtherChannel?端口或中继端口。
问:FlexLink 是否关闭 Cisco Catalyst 3560-E 上的生成树协议?
答:不会,FlexLink 只关闭FlexLink 对上的生成树协议。换言之,只有为 FlexLink (主、从)配置的上行链路端口,才会关闭生成树协议。为避免网络循环,建议不关闭其余端口上的生成树协议。
问:备用端口的阻塞方式是否与生成树协议相同?
答:不必相同。FlexLink 的最新增强允许备用端口对某些VLAN开放。与多生成树协议相似,这些VLAN都由主端口提供备份。这种方式称为负载均衡,即允许用户使用两条主链路,而不是一条主用、一条备用。某些VLAN能将某条链路作为主用链路,另一些VLAN则可以将该条链路作为备用链路。
问:FlexLink 是否支持负载均衡模式?
答:是的,FlexLink 支持VLAN均衡配置。在双穴的配置中,某些VLAN 将一条链路作为主用链路(链路A),将另一条链路作为备用链路(链路B);另一些VLAN则将链路B作为主用链路,将链路A作为备用链路。
问:是否能用 FlexLink 建立环拓扑?
不能,FlexLink 的目的是取代生成树协议,建立上行链路,因此,它不支持环拓扑。
问:能否通过 EtherChannel 端口、中继端口或接入端口配置 FlexLink?
答:可以,FlexLink 能在所有端口类型上配置,包括EtherChannel 端口、中继端口和接入端口。
问:主、从端口是否必须是同一种端口?
答:不需要。在端口对中,可以将 EtherChannel 端口作为主端口,将接入端口作为从端口,而且主、从端口的速度也可以不同。
问:故障切换之后,当高带宽主链路修复后,是否具有优先使用权?
答:是的,可以打开优先使用权设置,但默认状态下是关闭的。优先使用权能根据端口的带宽配置。当然,为避免频繁的主从切换,也能在主链路恢复后延期切换。如果需要强迫使用优先使用权,应忽略延期定时器。
问:FlexLink 是否建立了调整机制,以便用户能够避免链路频繁变动?
答:是的,为避免频繁的主从切换,可以在主链路恢复后延期切换。
问:是否需要启用 FlexLink 的MAC 移动更新(MMU)?
答:不需要,但是,为了加快双向收敛,建议使用MMU。MMU 能够向分布层的交换机通报 MAC 表变更情况。注意:Cisco Catalyst 6000 产品线目前不支持MMU,但已列入了发展计划。
问:运行 FlexLink 时是否需要关闭生成树协议?
答:不需要,默认状态下,生成树协议只在 FlexLink 对上关闭,交换机的其它端口和VLAN上将继续使用该协议。
安全
下面讨论 Cisco Catalyst 3560-E 的安全特性。
问:端口安全特性支持哪些违规模式?
答:通过配置,接口能支持以下违规模式之一:
保护:当安全MAC地址的数量达到端口允许的额度时,源地址不明的包将被丢弃,直到一定数量的安全MAC地址被删除,或者最高可允许地址的额度增加为止。在这种模式下,用户不会得到安全违规通知。注意,思科并不建议用户在中继端口上使用保护模式,因为在保护模式下,当中继上任何一个VLAN达到最高限额时交换机就会停止学习MAC,即使这个端口尚未达到最高限额。
限制:当安全MAC地址的数量达到端口允许的额度时,源地址不明的包将被丢弃,直到一定数量的安全MAC地址被删除,或者最高可允许地址的额度增加为止。在这种模式下,用户会得到安全违规通知。与此同时,将发送SNMP捕获,记录系统日志消息,并增加违规计数器的数量。
关闭:在这种模式下,如果发生了端口安全违规,接口将立即因出错而关闭,端口LED 将熄灭。与此同时,将发送SNMP捕获,记录系统日志消息,并增加违规计数器的数量。
问:什么是 DHCP 监听和 DHCP选项82?
答:利用DHCP监听,交换机能够"*听"到针对 DHCP 包的交换流量,然后作为主机与DHCP 服务器之间的防火墙,提供针对DHCP的如下安全特性:
检查被截获的来自不可信端口的 DHCP 消息;
对每个端口限制 DHCP 消息的速率;
跟踪 DHCP 服务器与客户端之间的 DHCP IP地址分配绑定;
将 DHCP选项82插入 DHCP消息,或者从DHCP消息中删除 DHCP选项82。
第2层特性
下面讨论Cisco Catalyst 3560-E 的第2层特性,包括第2层转发、MAC学习、生成树协议等。
问:Cisco Catalyst 3560-E 支持多少个EtherChannel 组?
答:Cisco Catalyst 3560-E 支持48个EtherChannel 组,每个组可以包含8个端口,这些端口拥有相同的速度、双工模式、本地VLAN、VLAN范围、中继状态和类型。
问:Cisco Catalyst 3560-E 支持多少个生成树协议实例?
答:Cisco Catalyst 3560-E 支持128个生成树协议实例、1024个VLAN、63个桥接组和4000个用户可配置VLAN ID。
问:是否支持网络地址转换(NAT)?
答:不支持,也没有制定支持NAT的未来计划。
问:是否支持全部专用VLAN特性?
答:是的,在IP Services特性集中支持。在IP BASE特性集中,只支持专用VLAN边缘(受保护端口)特性。另外,Cisco Catalyst 3560-E 还支持本地ARP代理特性,因而不需要安装外部路由器。
第3层特性
下面讨论Cisco Catalyst 3560-E 的第3层功能。
问:是否支持BGP和IS-IS 路由协议?
答:Cisco Catalyst 3560-E 支持BGP,但没有制定支持IS-IS的计划。
问:是否制定了支持IPX和AppleTalk 路由的计划?
答:没有,目前没有制定支持IPX或AppleTalk 路由的计划。用户能配置回退桥接,以便实现VLAN间非IP流量的桥接。在硬件中支持回退桥接。
问:Cisco Catalyst 3560-E 交换机上能够建立多少个交换式虚拟接口(SVI)?
答:最多能建立1000个SVI。
问:Cisco Catalyst 3560-E 是否支持GRE隧道?
答:不支持。Cisco Catalyst 3560-E 能够以线速在硬件中交换"通过的"GRE隧道流量,但不能作为GRE 隧道终端。未来有可能在软件中支持GRE隧道。
问:Cisco Catalyst 3560-E 是否支持WCCP?
答:是的,Cisco Catalyst 3560-E 支持 WCCP。
问:Cisco Catalyst 3560-E 是否支持巨型帧路由?
答:是,Cisco Catalyst 3560-E 支持巨型帧路由。
利用DHCP选项82,能根据客户端的IP地址,方便地确定用户使用了哪个端口。经由DHCP 的这一扩展,边缘交换机能够将自身信息插入到通往 DHCP 服务器的DHCP 请求包中。
问:如果接入交换机上配置了DHCP选项82,还需要在上游路由接口上配置哪些内容?
答:如果已经插入了DHCP选项82,上游路由接口必须配置与增加了选项82的下游DHCP监听交换机的信任关系。这个功能利用IP DHCP 中继信息可信命令在面向下游交换机的VLAN接口配置中执行。
问:什么是 DHCP 监管绑定表?
DHCP 监管绑定表包含以下信息:
DHCP 选项82信息
MAC地址
IP地址
租用时间
绑定类型
VLAN号
与交换机本地不可信接口对应的接口信息
注意,表中并不包含与和可信接口互联的主机的信息。
问:DHCP监管绑定表最多允许有多少个条目?
答:最多支持8000个条目。
问:交换机重加载时,怎样保证绑定不变?
答:为保证交换机重加载时绑定不变,应使用 DHCP 监听数据库代理。数据库代理将绑定保存在规定位置的文件中。重加载时,交换机将读取绑定文件,建立DHCP监听绑定数据库。当数据库变更时,交换机将通过更新保持文件处于最新状态。
问:什么是动态ARP检查(DAI)特性?
答:DAI 用于检查来自面向用户端口的所有 ARP 请求和答复,以保证请求和答复来自 ARP 所有者。ARP所有者指DHCP 绑定与 ARP 答复中包含的IP地址匹配的端口。来自DAI 可信端口的 ARP 包可以不接受检查,通过桥接直接到达相应的 VLAN。这个特性能在VLAN 级配置。
问:什么是IP源保护(IPSG)特性?
答:IP源保护能够根据DHCP监听绑定表中的内容,创建ACL。这个ACL 要求流量来自DHCP绑定表中发布的IP地址,并能够防止任何流量由其它假冒地址转发。
问:为什么需要DHCP选项82,才能利用IP和MAC地址验证来实施IP源保护?
答:IP源保护能够执行源IP和MAC检查,也能够只执行源IP地址检查。但是,IP MAC过滤要通过端口安全和DHCP 选项82共同实现。接口上要求利用交换端口安全来实现端口安全性。另外,对于IP MAC 过滤,交换机和DHCP服务器上需要选项82。需要选项82的原因是,配置IP MAC过滤时,交换机并不直接从DHCP和ARP包中学习和识别MAC地址。这么做的原因是为了防止安全漏洞,因为任何主机都能形成假冒的DHCP和ARP包。如果DHCP服务器上不支持选项82,IP MAC过滤也可以使用静态绑定。
问:DAI和DHCP 监听能否防止拒绝服务(DoS)攻击?
答:可以,DAI 能够限制接口上每秒输入的ARP的数量,从而防止遭受DoS攻击。由于该特性是在CPU上执行合法性检查,因此,每个配有DAI的接口上的输入ARP都要实现速率限制。DAI的性能取决于VLAN内的接口数量。
当输入ARP包的速率超过预定值时,交换机将把端口设置为"error-dsiable"状态。只有经过人工干预,即需要人工开关接口,端口状态才能改变。用户还能配置"error-disable"恢复,以便端口能够在规定期限之后,自动脱离这种状态。
问:支持哪些802.1x增强特性?
答:支持的特性包括:
802.1x 认证和VLAN分配
802.1x 认证和每用户ACL
802.1x 认证和访客VLAN
802.1x认证和不可访问认证旁路
802.1x 认证和语音VLAN端口
802.1x 认证和端口安全
802.1x 认证和和LAN唤醒
802.1x 认证和MAC认证旁路
问:什么是网络准入控制(NAC)?
答:NAC能够访问台式计算机、笔记本和服务器等终端设备的状态,以便防止非法或易损不安全的主机接入网络。认证和状态审核在主机请求接入网络时执行。通过第2层或第3层传输,网络接入设备(NAD)能够获取主机的状态证书。主机能够执行的接入数量由主机的身份和/或遵从状态策略规定的程度确定,遵从状态策略规定的程度则在访问控制服务器(ACS)上规定。这些状态证书通常基于主机上运行的操作系统和防病毒应用程序的状态。
问:在支持NAC的同时,是否还支持802.1X和每用户ACL?
答:不支持。
问:什么是MAC认证旁路(MAB)?
答:MAB能根据主机的MAC地址授权所连主机。
问:执行MAB时,如果一台未安装运行Supplicant的PC断开与IP电话的连接,交换机是否能得到通报?
答:不能。仅当线路上执行了802.1x时,电话会发出EAPOL-Logoff。
问:Cisco Catalyst 3560-E 交换机是否支持Cisco Clean Access?
答:是的,Cisco Catalyst 3560-E 交换机支持Cisco Clean Access。
问:Cisco Catalyst 3560-E 交换机是否支持反射性或动态ACL?
答:不支持,Cisco Catalyst 3560-E 交换机不支持反射性和动态ACL。
问:Cisco Catalyst 3560-E 交换机是否支持基于时间的ACL?
答:是的,Cisco Catalyst 3560-E 交换机支持基于时间的ACL。
问:什么是风暴控制?Cisco Catalyst 3560-E 交换机是否支持风暴控制?
答:风暴控制能够防止局域网上的流量受到某个物理接口上的广播、组播或单播风暴的干扰。风暴控制使用以下方法衡量流量的行为:
带宽占广播、组播或单播流量能使用的总端口带宽的比例;
广播、组播或单播包的流量接收速率,单位为每秒包数;
广播、组播或单播包的流量接收速率,单位为每秒位数。
问:是否支持专用VLAN特性?
答:是的,Cisco Catalyst 3560-E 交换机支持专用VLAN。
PoE下面讨论 Cisco Catalyst 3560 和Cisco Catalyst 3560-E中的PoE特性。问:Cisco Catalyst 3560-E PoE 交换机是否支持基于IEEE 802.3af 标准的实施?答:是的,Cisco Catalyst 3560-E PoE交换机既支持思科预标准PoE,也支持IEEE 802.3af PoE。 问:Cisco Catalyst 3560-E PoE支持哪种断连方法?答:Cisco Catalyst 3560-E PoE交换机支持IEEE 802.3af 标准和思科受电设备(PD)预标准的AC断连检测。问:Cisco Catalyst 3560-E PoE支持哪种检测方法?答:对于PD检测,Cisco Catalyst 3560-E PoE 交换机支持思科预标准PoE和基于标准的PoE方法。这两种检测方法可以同时激活,而且都能用于检测合法PD。问:Cisco Catalyst 3560-E PoE 交换机是否支持电源分类?是的,Cisco Catalyst 3560-E 交换机可以检测PD电源分类标识以及相应的功率分配。这种方法能降低必须分配给交换机和必须为配线间提供的最大功率。问:Cisco Catalyst 3560-E PoE最多能够为每个端口提供多高的功率?答:Cisco Catalyst 3560-E PoE能够提供的最高功率为每端口15.4W。问:Cisco Catalyst 3560-E PoE 交换机上的电源管理是如何进行的?答:对于所有端口,24端口和48端口Cisco Catalyst 3560-E 交换机都通过最长100米的标准第3类和第5类非屏蔽双绞线(UTP)电缆,为每个-48VDC的端口提供15.4W的功率。Cisco Catalyst 3560-E PoE 交换机监控和跟踪电源请求,只在可用时才提供电源。如果连接的PD消耗了过多的功率,超过了为交换机分配的系统功率额度,将拒绝为该端口供电,即PD无法通电。如果拒绝供电,交换机将定期检查电源分配(间隔为15秒钟),查看有没有满足供电请求的可能。如果同意供电,交换机将更新功率分配。其它电源管理特性将在后面介绍。问:需要使用哪对电缆支持Cisco Catalyst 3560-E PoE交换机中的DC电源?答:在第3类和第5类电缆中的四对电缆中,第2对和第3对(第1、2、3和6针)用于支持以太网数据信号,并同时提供DC电源。PD必须从其中的一对电缆获得电源的一个极性。因此,必须同时使用交叉电缆和直电缆。在预标准思科PD中,只能使用直电缆。问:什么是Cisco Catalyst 3560-E PoE 交换机上的PoE 默认配置?答:默认状态下,所有10/100快速以太网端口都配置为"Auto",即启动PD发现功能,并按照先到先得的顺序通电。10/100快速以太网端口也可以配置为"never",即关闭这些端口上的PD识别功能。问:如果PD与墙壁电源相连,Cisco Catalyst 3560-E PoE交换机将如何操作?答:如果Cisco Catalyst 3560-E 为PD提供电源,之后PD又与墙壁电源相连,则交换机将继续显示PD使用线内电源。如果先使用墙壁电源,后使用以太网电缆,那么,当墙壁电源断开后,PD将重启并开始发现过程。问:如果端口的电流过大,Cisco Catalyst 3560-E PoE 将提供哪种安全保护?答:Cisco Catalyst 3560-E 上的每个端口都采用了独立的过流保护和短路保护设计。每个端口的额定电流为350mA,如果电流超过400mA的时间超过75ms,将自动切断。如果出现低电阻短路现象,不到1ms就能检测到,并立即切断电路。故障排除之后,每个端口都能从过流或短路状况自动恢复。每个端口都是独立的,一个端口上的故障不会影响另一个端口。问:Cisco Catalyst 3560-E 平台是否支持功耗CLI命令?答:是的。利用内部功耗瓦数配置命令,可以修改IEEE分类和思科发现协议规定的默认功率要求。IEEE 分类要求的功率与设备实际需要的功率之间的差额,将作为全局待用功率,供其它设备使用。利用这些功能,用户能增加交换机的功耗,提高使用效率。问:什么是双向思科发现协议(PNP电源协商协议),Cisco Catalyst 3560-E PoE交换机上是否支持双向思科发现协议?答:利用PNP,高功率受电设备(功耗大于7W的PD)能够在Cisco Catalyst 3560-E和Cisco Catalyst 3560 PoE 系列交换机的高功耗模式下操作。这个协议能在Cisco Catalyst 3560 和Cisco Catalyst 3560-E PoE系列交换机上运行。PNP目前已经在思科7970G电话上得到了支持,并将逐步扩展到所有高功耗PD。当高功耗PD与Cisco Catalyst 3560-E和3560 PoE系列交换机相连时,PD将在低功耗模式下启动,然后请求转向高功耗模式,方法是增加请求ID,并发送一系列可用电源模式。接收到这个请求之后,交换机将从电源模式中选择功率最高模式。最后选定哪个电源模式,将取决于硬件的限制、全局待用功率中当前可用的功率总数,以及用户的配置。交换机将设置思科发现协议(CDP)中的'可用电源'字段为选定的功率值,并响应PD的请求。如果PD拒绝转移到高功耗模式,可以不提出转移请求,除非用户拔下然后又重新插入端口。 问:PoE端口上是否支持自动MDIX?答:是的,快速以太网PoE端口和10/100/1000端口都支持自动MDIX。无论是PoE端口,还是非PoE端口,自动MDIX的操作过程都是一样的。启用自动MDIX,并用交叉电缆将传统PD与Cisco Catalyst 3560或3560-E PoE交换机相连之后,系统将检测PD,并接通电源,然后断开AC。在更换电源之前,这个操作将重复进行。只有将端口配置为自动速度和自动双工,自动MDIX才能正常工作。问:IEEE 802.3af 提出了怎样的发现和断开期限限制?答:Cisco Catalyst 3560 和 3560-E PoE交换机能够在500ms之内检测到连接的PD。检测成功之后,交换机将在400ms之内接通电源。断开时,端口将在500ms之内切断电源。问:怎样通过千兆以太网对提供PoE?这种PoE与快速以太网对PoE有什么不同?答:PoE的特性是,在快速以太网10/100和10/100/1000千兆以太网铜线端口上,通过最长100米的标准第3类和第5类非屏蔽双绞线电缆,提供-48VDC电源。问:对于不支持IEEE电源分类的设备,系统将提供多高的功率?答:提供15.4W。问:能否在全部48个端口上支持15.4W?答:可以,对于带有48个PoE端口的Cisco Catalyst 3560-E,可用的总PoE电源取决于交换机上安装的电源模块。如果安装了1150W的电源,则48端口交换机能为每个端口提供15.4W的功率。问:在使用10/100/1000 SFP的SFP端口上,是否提供PoE?答:不提供,PoE只在铜线端口上提供,而不在光纤端口上提供。
IP版本6(IPv6)
下面讨论Cisco Catalyst 3560 和Cisco Catalyst 3560-E 平台支持的IPv6特性。
问:IPv6 路由是否在硬件中实施?
答:是的,IPv6路由在硬件中实施。
问:是否需要特殊许可才能在 Cisco Catalyst 3560-E 上运行 IPv6 路由?
答:是的,只有购买了Advanced IP Services许可证,才能在硬件中运行IPv6路由特性。
问:是否需要特殊许可才能在Cisco Catalyst 3560-E 上运行IPv6主机特性?
答:不是,Telnet、邻居发现、FTP、ping等IPv6主机特性已经包含在IP BASE特性集中。
问:Cisco Catalyst 3560-E 支持哪些标准IPv6服务?
答:Cisco Catalyst 3560-E 完全支持的IPv6服务包括:
IPv6 协议:RFC-2460
IPv6 编址架构:RFC-2373
ICMPv6:RFC-2463
邻居发现:RFC2461
IPv6 非状态化 UTO 配置:RFC-2462
IPv6 重复地址检测:RFC-2462
巨型包 IPv6 路由
针对 IPv6 单播的 MTU 路径发现:RFC-1981
MPv6 重定向:RFC-2463 ICMP
支持每跳选项报头
问:IPv6支持哪些路由协议?
答:IPv6支持以下路由协议:
IPv6中的静态路由
RIPng
OSPFv3:RFC2740
问:Cisco Catalyst 3560-E 支持哪些IPv6应用?
答:Cisco Catalyst 3560-E 支持以下IPv6应用:
Ping
Traceroute
Telnet
TFTP
FTP
通过IPv6 传输实现的SSH
通过IPv4 传输实现的AAAA DNS解析器:RFC-1886
通过IPv6 传输实现的AAAA DNS解析器:RFC1886
通过IPv6 传输实现的 HTTP 服务器访问
问:是否能通过IPv6 网络建立 IPv4 流量隧道?
答:不能,Cisco Catalyst 3560-E 不支持隧道,必须运行"IPv4-and-IPv6" TCAM模板,才能执行IPv6流量的交换和路由。
问:Cisco Catalyst 3560-E是否支持MLD#听?
答:是的,Cisco Catalyst 3560-E支持MLD#听。
软件激活
下面讨论Cisco Catalyst 3560-E 的软件激活。
问:什么是软件激活?软件激活是怎样操作的?
答:软件激活的作用是授权,并激活Cisco IOS软件特性集。交换机通电后,Cisco IOS软件将检查交换机中称为许可证文件的特殊文件。根据许可证的类型,Cisco IOS软件将激活相应的特性集。为支持不同的特性集,许可证类型可以更改或升级。注意,许可证文件只对特定的交换机有效,而不能通过复制应用于其它交换机。
问:特性集共有几种?
答:特性集共有三种:IP BASE、IP Services和Advanced IP Services。
IP BASE:支持第2层转发和基本的第3层路由,包括EIGRP stub模式。
IP Services:包括IP BASE特性集,支持高级第3层路由,例如OSPF和组播路由。
Advanced IP Services:包括IP Services,支持IPv6功能。
问:什么是产品激活密钥?激活密钥共有几种类型?
答:产品激活密钥(PAK)属于可购买项,订购方式与其它思科设备相同,作用是根据交换机的种类,获取特性集的许可证文件(见表1)。
| 表1 Cisco Catalyst 3560-E PAK | |
|---|---|
| 产品名称 | 产品说明 |
| Catalyst 3560-E 系列产品激活密钥 | |
| 3560E-IPS-LIC-B= | 针对3560-E 的IP Services,从IP BASE特性集升级 |
| 3560E-AISK9-LIC-B= | 针对3560-E 的Advanced IP Services,从IP BASE特性集升级 |
| 3560E-AISK9-LIC-S= | 针对3560-E 的Advanced IP Services,从IP Services特性集升级 |
问:软件激活影响Cisco IOS软件版本的升级吗?
答:不影响,能在不改变现有特性集许可证的情况下,实现Cisco IOS软件版本的升级。
问:软件激活会不会改变RMA流程?
答:不会,不会改变RMA流程。但是,交换机的产品ID(PID)和UDI将会审核制造过程中安装的软件许可证。如果客户将该许可证文件修改为其它类型,应注意在RMA请求中使用新的许可证类型,以保证更换设备能够安装到相应的许可证类型。
问:软件许可证保存在交换机的哪个地方?
答:许可证文件保存在交换机中的特定闪存区。许可证文件不能在交换机的文件系统中直接看到,但能通过命令行界面(CLI)查看和管理许可证文件。
问:如果软件许可证文件被破坏,会发生什么情况?交换机能否继续正常工作?
答:许可证文件保存在无法直接访问的特殊内存区,因而不太容易受到破坏。即使受到破坏,交换机也能够在重加载/重启动之前继续正常工作,但重加载/重启动之后只能使用IP BASE特性集。如果可能,许可证必须重新安装;否则利用思科RMA流程返回交换机。
问:软件许可证怎样更改或升级?
答:许可证可以按照以下四个步骤修改或升级。
购买所需许可证类型的PAK;
将PAK码和交换机的UID 提交到思科在线许可证门户;
安装从许可证门户返回的交换机许可证文件;
重新启动交换机,启用新的特性集。
对于大量交换机,可以利用Cisco License Manager 执行这个过程。
问:如果交换机是从第三方购买的,能否使用许可证?需要哪些手续?
答:硬件的所有权可以通过第三方事务交易转让,但Cisco IOS软件的使用权不能转让。必须从思科购买软件重许可证,以便获得相应的特性集。软件重许可证的部件号一般以"LL"开头。注意,重许可证不需要使用PAK,也不需要安装许可证文件,交换机原有的许可证文件可以继续使用。利用合法的Cisco.com 用户帐户,交换机所有者能使用"思科许可门户"提交交换机的设备证书,访问许可证信息。证书可以通过CLI或相应的网络管理工具获得。
问:怎样管理软件许可证?
答:管理软件许可证的方式很多。CLI能够安装、查看和删除软件许可证。这个功能也能通过SNMP,并与标准网络管理工具集成在一起而实现。对于大量交换机,可以利用Cisco License Manager 识别和管理8000台交换机的许可证。Cisco License Manager 能独立使用,也能与CiscoWorks 系列管理工具集成在一起使用。
电源冗余性
下面讨论思科冗余电源系统(RPS)2300以及Cisco Catalyst 3560 和 3560-E 中的电源。
问:RPS 2300 的用途是什么?
答:Cisco RPS 2300 能够在内部电源发生故障时为用户提供不间断网络服务。Cisco RPS 2300 与固定配置的Cisco Catalyst 交换机共用,包括Cisco Catalyst 3560-E 交换机,以及Cisco 2800 系列集成多业务路由器等路由器。当内部电源发生故障时,RPS 2300 能够为一个或两个电源,或者最多六台的相连交换机或路由器,提供透明的故障切换。RPS 2300 能够自动地检测内部电源是否出现了故障,如果检测到了故障,将立即为设备供电,使设备无需重新启动就能继续正常工作。
问:RPS 2300 是否与不间断电源相同(UPS)?
答:不相同。RPS的目的是防止网络设备遇到内部电源故障和AC电路故障(例如电路开关断开),而UPS的目的是在停电时保护这些设备。为提高可用性,RPS 应该与UPS配合使用。
问:RPS 2300中的故障切换机制能否防止交换机重启?
答:可以,RPS 2300 的目的就是保证交换机或路由器能够在发生电源故障时继续正常操作。
问:RPS 2300 能够连接多少台交换机?
答:RPS 2300 最多能够连接六台交换机。
问:一个RPS 2300 能够同时为几台交换机提供备用电源?
答:RPS 2300 能够提供备用电源的交换机的数量,取决于RPS 中电源模块的数量和容量,以及它们所支持的设备的类型(见表2)。
| 表2 RPS 2300 能够提供备用电源的交换机的数量 | ||||
|---|---|---|---|---|
| RPS 2300 PS配置 | ||||
| 1×750W | 2×750W | 1×1150W | 2×1150W | |
| Catalyst 3560-E-48PD交换机,配有1150W PS | 不支持 | 1 | 1 | 2 |
| 支持的所有其它网络设备 | 1 | 2 | 1 | 2 |
问:RPS 2300 能否支持PoE交换机和纯数据交换机?
答:可以,它能够支持PoE交换机和纯数据交换机。为交换机提供的总功率,取决于RPS 中电源模块的数量和容量。参见表3。
问:交换机和RPS 2300 能否与相互独立的电源电路相连?
答:可以,RPS 2300和交换机能位于不同电路之中。只要有一个电路工作和供电,相连的交换机就不会断电。
问:如果与RPS 2300相连的所有交换机几乎同时发生故障,某些交换机能否优先从RPS获得电源?
思科代理商 临同信息告诉你:可以,Cisco RPS 2300 允许用户设置优先级。与高优先级端口相连的思科设备将首先切换到RPS 2300。
问:如果Cisco Catalyst 3750-E 或 3560-E 交换机的电源出现了故障,是否能够在不影响交换流量传输的前提下,在由RPS 2300提供备用电源时更换交换机电源?
答:可以,用户能在不使任何交换机停机的情况下,更换由RPS 2300供电的Cisco Catalyst 3560 或 3560-E的电源。惟一的例外是DC电源(C3K-PWR-265WDC)。为安全起见,更换电源时,建议关闭使用DC电源的交换机。
问:当Cisco Catalyst 3750-E 或 3560-E 交换机的故障电源修复后,交换机能否自动切换到原来的电源?
答:可以,RPS检测到交换机的电源已恢复之后,将自动切换到交换机的电源。
问:与思科交换机连接时,RPS 2300能否提供增强的管理特性?
答:可以,与Cisco Catalyst 3750-E和3560-E 交换机连接在一起之后,RPS 2300 能够提供增强的管理功能。
问:RPS 2300 使用的电源模块能否在其它思科网络设备中使用?
答:RPS 2300电源与 Cisco Catalyst 3750-E和3560-E使用的电源相兼容。
软件升级
下面讨论Cisco Catalyst 3750-E和3560-E 交换机的软件升级步骤和最佳实践。
问:Cisco Catalyst 3650-E能够使用哪些Cisco IOS软件镜像?
答:软件激活减少了镜像类型的数量。目前只剩两种镜像类型:其中一个包含强大的加密软件,另一个不包含加密软件。默认镜像不包含强大的加密软件。如果需要这个功能,必须从Cisco.com下载带强大加密功能的Cisco IOS软件镜像。
两种镜像的所有其它特性均相同。高级IP路由和IPv6路由等特性需要软件许可证才能使用。欲知详情,参见"软件激活"部分。
问:思科代理商 临同信息告诉你怎样才能获得Cisco IOS软件镜像的新版本?
答:Cisco IOS软件镜像的新版本可以通过 Cisco IOS软件Upgrade Planner 获得。获取新的 Cisco IOS软件镜像,需要有服务合同例如SMART®或SMB 支持助理。与合作伙伴往来的客户也能通过共享支持服务执行软件更新。如需进一步了解思科技术支持服务,请访问:Cisco.com。
Cisco IOS软件Upgrade Planner
http://www.cisco.com/cgi-bin/Software/Iosplanner/Planner-tool/iosplanner.cg思科技术支持服务: http://www.cisco.com/en/US/products/svcs/ps3034/serv_category_home.html
深圳CISCO代理商 思科代理商 CISCO路由器 深圳华为代理商 watchguard代理商
与你齐分享。
