無論何種規模大小的企業園區都需要高度可用及安全、智能的網絡基礎設施，為話音、、無線和關鍵任務數據應用等業務解決方案提供支持。要想提供這種可靠的網絡基礎設施，必須將由構成園區整個系統的部件故障而的運行中斷降至最低限度。了解系統如何從部件停運（包括計劃內停運和故障）中恢復，以及停運過程中可能發生的行為，在高可用安全園區網絡的設計、升級和運行過程中，無疑是一個關鍵步驟。L2和

L2和

L2

最長的丟失時間不足200毫秒。IP的可接受范圍內，并將注:入交換機的所有設備的話音和數據丟失時間延長。為將接入交換機發生故障問題的可能性盡量降低，思科建議每臺接入交換機均使用狀態化切換（SSO）或不間斷轉發（F）/SSO等冗余交換管理引擎配置，或實施冗余堆疊。本文的分析結果中不包括對冗余交換管理引擎收斂的分析。選定進試的設計是根據《設計高可用性園區網絡》中列舉的層次化設計建議而確定的。所有所測試的設計都使用第三層路由連接其他架構模塊的，如圖2圖2園區設 第三層接入端到端PVST+L2HSRP作為冗余缺省網關協議的GLBPPVST+分布塊設計的恢復與不帶生成樹環的 Supervisor720a引擎的CiscoCatalyst650039個雙交換機——26500，帶Sup720（本地IOS-分布交換機——26500，帶Sup720（IOS-12950（IOS-13550（IOS-13750（IOS-14006，帶SupII+（IOS-14507，帶SupIV（IOS-16500，帶Sup1A（CatOS-16500，帶Sup2/MSFC2（IOS-323550（IOS-唯一的本地上行鏈路180臺Chariot終端服務器來生成網絡信息流量負載，以及收集每次故障和恢復的影響統計數據。注：有關Chariot的具體信息，請 的流量負載足以使所選的上行鏈路和基礎設施發生擁塞。為使該測試有助于了解故障對生產網絡中應用和話音流量的影響，本文所記錄的收斂結果都UP和TCP71話音流中的最長分組丟失時間的測量來確定。注:標準G.711編譯每秒傳輸50個分組，其速度為每20毫秒1個分組。n個連續分組丟失等于n*20毫秒中斷。例外情況。采用觀察值旨在為評估收斂對生產網絡的影響提供保守的參數。交換機類型（所有進試的接入交換機列表請見上文。TCP會話丟失。網絡連接丟失的確會暫時影響到這些信息流的吞吐率。值得注意的是TCP退回算法。TCP流量恢復到理想吞吐量的時間等于[分組丟失周期＋TCP流量恢復所需時間]。接的全面網格化設計，如圖4所示，來提供最優收斂行為。測試的網絡由一對CiscoCatalst6500/Supevsor720冗點10千兆位以太網（gE）鏈路。交換機通過點到點10GigE光纖相連接。雖然在純單播環境中并非一定需要該鏈路來實現冗余，但在園區設計中依然屬于建議采用的內容。在某些配置中，該鏈路被用于組播流量恢復。也有必要將節點配置成缺省或匯總路由至網4中所示的兩個傳輸測試流量的分布塊外，還有其他分布交換機組和后端路由器連接至核于將額外的路由提供給園區。測試中的園區總共擁有3572條路由。Route101eigrp57因為每個節點擁有兩條路徑，能夠從任意鏈路故障中恢復，所以下游設備從來無需因上游故障而重新計算路由，因為上游設備始終擁有一條有效的路徑。網格化第三層設計的架構優勢是，在發生任意單點部件故障時，所有路由收斂對于交換機都是在本地完成的，從不需要依賴路由協議來間接檢測和恢復鏈路或節點故障。在第三層設計中，從任意分布交換機流向其他任意分布交換機的流量的收斂時間，主要由分布交換機上的鏈路丟測而定。在GigE和10GigE光纖上，鏈路丟測通常是利用故障檢測機制完成的，這種機制是由8023z和8023ae鏈路協商協議的一部分實施的。在等成本路徑配置中，交換機擁有兩條路由和兩個相關硬件CEF轉發鄰接項。在鏈路出現故障前，流量通過這兩個轉發項發送。刪除了兩項之一后，交換機就開始利用剩余的CF有流量。網絡所有流量的恢復時間，取決于檢測物理鏈路故障，以及更新軟件和相關硬件轉發項使用等成本路徑潛在的問題之一，是限制了工程師流量沿著某條鏈路傳輸的能力。這項設計克服了這一弱點，通過盡可能簡化的配置和最快速的持續收斂時間，提供了更高的總體網絡可用的卻是可行的。硬件轉發算法可以一致地沿著網絡中相同的路徑,轉發相同的信息流。這種一表1總結了1在推薦的園區設計中，所有節點都擁有冗余等成本路由。直接的效果是，單一部件故障的恢復時間不依賴于路由協議恢復來恢復流量。在單一鏈路發生故障時，各節點能夠獨立地將所有流量重新路由至剩余冗余路徑。在節點故障時，當互聯鏈路故障時，受影響的相鄰交換機可以檢測丟失情況，并能夠獨立地將所有流量重新路由至剩余冗余路徑。—依賴于等成本路徑恢復。在第三種情況中，即發生到光纖鏈路故障時，主用轉發路徑無丟失，因而在丟失中不會影響單播信息流動。在所有三種情況下，網絡都能夠成功地恢復所有單播信息流，無需等待任何路由協議拓撲結構更新和重新計算。交換機間的光纖故障通常不會對單播流量造成直接的影響。鑒于網絡采用全面網格化設計，該鏈路僅用于雙故障情況下的單播流量。雖然純單播環境并非一定需要此鏈路來實現冗余，但在園區設計中依然屬于建議采用的內容。在某些配置中，該鏈路用于組播流量恢復。也有必要將節點配置成缺省或匯總路由至網絡。EIGRP生成拓撲結構更新，OSPF則大量發送鏈路狀態通知（LSA）Dijkstra計算。為將這些對網絡的影響降至最低限度，思科建議園區設計遵循優秀的路由協議設計準則。信息HA園區和第三層接入設計指南。802.3z802.3ae鏈路協商。CatOS和CiscoIOS的缺省行為是啟用鏈路協商。禁用鏈路setportnegotiation[mod/port]enableshowportnegotiation[mod[/port]]Ciscointgig[no]speed到互聯光纖恢復表2總結了。2表2的結果表明，第三層園區鏈路和節點恢復通常對現有和新的數據流影響極低。第三層轉發路徑的激活或重新激活擁有這種固有的優勢；交換機不向上游或下游相鄰設備轉發任何流量，直至相鄰設備指示它可以轉發該流量。通過在轉發流量之前確保存在有效路由，交換機可以繼續使用現有冗余路徑，同時激活新的路徑。在新激活鏈路的激活過程中，交換機執行EGRP/OSPF相鄰點搜尋和拓撲結構交換。隨著每臺交換機了解這些新路由，它會在路由和CF轉中創建一個備用等成本轉發項。在冗余設計中，該備用等成本轉發項被添加時，無需禁用當前現有的轉發項。在路由協議更新過程中，交換機可以繼續使用現有硬件轉發項，并且不會因為新路由的插入而丟失任何數據。不同于上述的部件故障情況，路由刪除是獨立于路由協議收斂，每臺園區交換機直接依賴于路由EIGRP和OSPF和插入新路由的速度不是一個重要的數據。但是，在故障情況下，必須一個在全新激活路徑上發送的現有信息流的分組，有可能比通過舊路徑傳輸的分組提前到達，因而造成數據包到達時間順序。這種情況只有在原始路徑發生嚴重擁塞，導致持續延遲時才會在高度超額配置（情況）負載測試中，我們發現，由于重新排序造成的話音流分組丟失占有0.003%。分組丟失水平極低，以及由于激活備用鏈路和話音流轉發路徑的動態變構成分布層的交換機和所有相連的接入交換機通常被稱為分布塊。在分級設計模式中，分布塊設計為連接到接入交換機的設備間傳輸的信息流提供了永續性，并為園區提供了冗余連接，以便為所有出入該園區的流量提供永續性。

312345VLAN被配置成要穿越連接2臺分布交換機的干線。請參考下面的分布交換機和接入交換機說明和配置。第三個獨特的本地VLAN用于防御VLAN跳轉。信息，請參考《設計高可用性園區網絡》和《SAFE企業安全藍圖第二版》。VLAN對于每臺接入交換機都是獨特的，在接入交換機和分布交換機間匯聚，但建議VLAN不要多臺接入交換機。在多臺接入交換機間橋接的公共無線VLAN的使用，的推出，提供了一種可擴展架構，可以支持快速漫游，無需用于AP的第二層公共VLAN。HSRPGBLPVLAN進行了配置。在測試網絡中，所有主用HSRP網關和每個VLAN相應的根網橋在分布交換機1上進行配置。VLAN的主用網關，以便提供一致的配置和運營行為。對于那些VLAN都在兩臺分布交換機間的10GigE光纖上匯聚。這里仍舊為每臺接入交換機配置了話音和數據VLAN，根網橋和HSRP主用節點在分布交換機1上,針對所有VLAN進行了配置。GLBP提供的動態缺省網關負載均衡機制的有效性，生成樹被配置為阻塞連接分VLAN的兩條接入到分布交換機鏈路，網絡description10GigEtrunktoDistribution1(trunktorootbridge)noipaddressload-interval30mlsqostrustdscpswitchporttrunkencapsulationdot1qswitchporttrunknativevlan900spanning-treecost2000<<Increaseportcostontrunktoroot7所示，第二層環的使用并非最實際。雖然有多種特性，當使用正確時，可以消除使用(UDLD)BPDU防護等，但如果無生成樹版本——PVST+（每VLAN表4總結了41HSRP計時器的配置。在正常狀態下，終端站點發出的所有流擬HSRPMAC。HSRP對等設備開始啟動所配置的終止計先期虛擬HSRPMAC地址的新位置，然后，開始接收和轉發發送到虛擬HSRPMAC地址的分組（8）。HSRP分布交換機這些測試所記錄的恢復時間是利用250毫秒聯絡信息和800毫秒終止時間間隔的HSRP計時器獲900毫秒上行丟失是觀察到的情況，僅發生于某一特殊的故障情況之下。兩臺交換機間的光纖丟失可能是一對光纖中的一條丟失，也可能是兩條同時丟失。在僅是連接到主用分布交換機接收端口的光纖發生故障的情況下，還仍有少許時間供交換機傳送HSRP聯絡幀，但在故障檢測關閉該接口前，無法接收輸入流量。HSRP聯絡信息，但仍能接收發送到的數據，使丟失周期得以縮短。雖然單一光纖故障和HSRP更新的傳輸的同步會延長雖然主用SRP對等設備的丟失還意味著生成樹根網橋丟失，但這不會造成任何流量損失。生成樹拓撲被配置為無環結構，無需轉換任何端口的阻斷狀態。主用根網橋的丟失確會觸發新的根網8021d實施中，對主用端口轉發沒有影響。設計提示HSRP聯絡信息和終止時間間隔，以縮短話音或數據信息流上行800VLAN的EIGRP下行恢復相對應。過多減少此參考測試拓撲結構中，采用99%CPU負載的情況下，經證實可以成功運行。HSRP分布交換機因為分布交換機沒有針對丟失網絡的等成本路徑或可行的替代網絡，因此，EIGRP需要啟動路由設計提示——為確保優化的收斂，思科建議，在各分布構建塊中的每個分布交換機上對所有路由面向進行匯總。中的匯總路由可以防止節點將請求至網絡其他區域，因此，有IGP100EIGRP請求的能力。為確?？深A測的收斂時間，還需要確保網絡不會受到異常的，如蠕蟲、分布式服務（DdoS），以及可能在交換機上高CPU利用率的生成樹環。設計提示VLAN號的分配進行規劃，以便話音等大多數對丟失敏感的應用在各個物理接口上分配以最低的VLAN號，如表5所示。7鏈路故障時，第六個VLAN上的光纖流量隨后會以500毫秒的速度收斂。分布交換機全面故障后，上行流量的恢復機制就如同光纖故障案例的恢復機制完全一樣。由于多個RP地址同時恢復，交換機故障的確會增加備用交換機的恢復壓力。但是，在這些測試范圍內，并未見到因為這一加大的處理開支而影響到恢復時間。分布交換機故障后，下行流量的恢復是通過交換機的第三層等成本恢復實現的。如同上述第三層設計結果中所述，兩臺交換機擁有到使用兩臺分布交換機的所有接入子網的冗余路由。當兩臺分布交換機其中之一出現故障時，節點則通過另一臺分布交換機轉發所有下行流200分布交換機間的第三層連接故障對上、下行流量都沒有影響。該鏈路僅用于在發生上行鏈路故障時為分布構建塊提供流量恢復功能。因為該鏈路的子網包含在匯總分布塊地址范圍內，因此，不會有ERP拓撲結構更新發送到。生成樹版本——PVST+（每VLAN表6總結了6100000下行——L3等成本路徑和0下行——L3等成本路徑和00接入交換機和分布交換機間光纖連接的激活通常不會造成數據丟失。激活鏈路時，主分布交換機將觸發根網橋的重新選擇，并接管根的工作。該過程會導致生成樹的邏輯收斂，但不會造成現有端口轉發狀態的變化，不會產生轉發路徑丟失。除了生成樹收斂外，一旦HSP優先延遲計時器過期，主HSP對等設備則會啟動缺省網關接管機制。該過程在分布交換機之間是同步的，因此，不會導致分組丟失。話音和數據AN的生成樹狀態的轉變還會引起被連接的路由插入路由表中。一旦連接的路由插入，交換機就開始向本地子網轉發分組。備用HSRPHSRPVLAN插入連接的路由，并開始轉發信HSRP優先配置成HSRP高優先級激活時，可能會出現這樣一段時間：該交換機接管缺省網關的工作，但還未建立到的EIGRP相鄰關系。該交換機無法轉發從接入子網HSRP優先延遲，以確保交換機上ipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1prioritystandby1preemptdelayminimum180<<Configure3minuteHSRP可以避免上行丟失問題；但是，高負載環境中的分布節點激活也可能造成下行流量丟失。一旦分布節點將分布塊路由發送給交換機，它會立即開始接收所有相連子網的流量。為防御DoS，無論它是蓄意行為還是蠕蟲的附帶行為，所有CiscoCatalyst交換機都對ARP處理采取了速率抑制機制。雖然這些抑制功能可以在DoS時保護交換機，但是，它們無法區分DoS流量造成的突發性和有效流量的突發性。在這兩種情況下，交換機都會抑制ARP部DoS保護機制抑制的大量突發性ARP活動。DoS雖然這種行為會對流量造成短期的影響，但是，如果交換機在活動期重啟的話，DoS保護機如上所述，備用交換機的重啟可能會對下行流量產生類似的潛在影響。對分布交換機計劃性重啟HSRP,表7總結了72spanning-treemoderapid-pvst<<<Enable802.1wperVLANspanningtreespanning-treeloopguarddefaultnospanning-treeoptimizebpdutransmissionspanning-treeextendsystem-id表8總結了82008021w8021d態的方式方面有所差異，會音流量產生少量度的影響。當主交換機（配置以適合的根網橋）重啟或重新連接至接入交換機時，生成樹拓撲結構就需要改變。新激活的根網橋開始以低于（BPDU802.1d拓撲結構中，過渡到新拓撲結構不會觸發當前主用的端口轉換為阻斷狀態，因為該拓撲HSRP優先功HSRP180秒，因此，根交換機上的端口轉換為轉鏈路端口會進入指定的阻斷狀態。當接入交換機從新激活的主分布交換機接收到更好的根BPDU但是，附帶地也會導致到備用分布交換機的上行鏈路暫時阻斷。因為備用分布交換機依然是主用HSRP網關，因而會造成所有上行流量的主用轉發路徑丟失。下行流量也會受到同樣同步過程的影s》設計指南，為 ,表9總結93轉換到OSPFOSPFEIGRP要差。在接入上行鏈路故障時，分布交換機需要觸發網絡重新路由。如果網絡被配置成將匯總路由傳輸到（即分布塊配置為獨立SF區域，那么針對該故障的重新路由就會選擇連接兩臺分布交換機的鏈路。反之，如果園區整體配置成一個無路由匯總的區域，那么，一旦發現分布交換機下行路由丟失，就會在節點上重新路由。IRP和OSF的行為在這一點上是一致的：兩種協議都會啟動重新路由，無論是在匯總分布塊中，還是在中（如果未配置匯總的話。EIGRP完成這一重新路由所需時間主要取決于請求和應答處理的效率。在好的匯總設計中，請求與EIGRPLSA更新信息，計算最短路徑優先（SPF）樹，以及抑制這兩種可能發生的速率，因此，OSPF收斂所需時間被拉長了。LSA。LSA傳輸后，接到新的LSA更新時，啟動備用抑制計時器，即SPF計時器。要減少響應單一網絡的SPF計算的次數，進而減少由于局部拓撲結構信息造成的不正確或不全面路由更新，必須采用LSA和SPF抑制計時器。在測試過程中獲得的1600毫秒收斂時間，為PF檢測鏈路故障、S、計算SPF，以及插入新路由的全部時間，其中包括抑制計時器所花費的時間。這些測試的目的在于，網絡中所有節點的SPF計時器時間降至1秒，如以下配置所示。routerospfrouter-idtimersspf1 <<<ReduceSPFTimersto1area120stubno-area120rangerouterospfrouter-idtimersthrottlespf100010001000 <<<OnesecondSPFusing12.2(17b)SXAandlaterarea120stubno-area120range /en/us/partner/products/sw/iosswrel/ps1838/productsfeatureguide09186a103下行——802.1w，L3等成本路徑和00EIGRP）12的情況相同。在根網橋拓撲結構改變期間，802.1w同步流程會造成少量可察覺丟失，而在上述條件下，ARPDoS保護特性也,114主用GLBP備用GLBP當采用相同的計時器配置時，HSRPGLBP的光纖和/或節點故障的最長恢復時間相同。在這兩GLBP負載均衡算法的性質確保了，只有一半終端站點在任意時間將每臺分布交換機用作缺 主用GLBP備用GLBP下行——802.1w，L3等成本路徑和00,生成樹版本——環形Rapid-PVST+（每VLAN 主用GLBP備用GLBPVLAN擴展到兩臺分布交換機間的干線，與無環設計相比，在發生單一光纖故復無需HSRP和EIGRP收斂，如圖11所示。第二層環形配置中的

GLBP主用

802.1wGLBP800毫秒終止時間和802.1w的GLBP可以在不到400毫秒的時間內恢復連接。因為每臺分布交換機在各個VLAN有多個端口，單一下行端口丟失不會自動關閉相應的等待直至802.1w恢復兩臺交換機間的第二層連接。采用環形第二層拓撲結構對分布交換機故障的網絡收斂時間沒有影響。在這種情況下，冗余第二層路徑不再存在，網絡要依靠GLBP恢復缺省網關，以及依賴的等成本路徑恢復下行流量。生成樹版本——環形Rapid-PVST+（每VLAN 主用GLBP備用GLBP下行——802.1w，L3等成本路徑和00VLAN不會改變設備激活對于主用流量的影響。網絡中的丟失依然會造成:第三層到接入分布VLAN3數 VLAN49數 VLAN149話VLAN流量被路由，而并非上行橋該設計初看起來與標準分布構建塊極為不同，但在許多方面卻非常相似。在這兩種設計中，每臺接入交換機都配置以的話音和數據子網（LN。路由節點間的所有鏈路都配置成點到點模式。它們的主要差別在于缺省網關的位置。在傳統的設計中，缺省網關駐留在分布節點中，接入交換機和分布交換機間的鏈路經過配置，將數據和話音LAN擴展到分布式路由器。在第三層接入設計中，缺省網關駐留在接入交換機上，而上行鏈路則配置成采用/30或31編址的點到點子網。EIGRP在第三層接入設計中，要考慮的故障情況較少。通過將第二/三層邊界從分布交換機遷移到接入交換機，某些故障情況不會再出現。由于缺省網關功能現在指定給邊緣交換機，因此，不再需要冗余缺省網關機制。HSRP/GLBP調整和收斂時間不會影響園區設計決策。生成樹實例在單一交換機中運行，不影響收斂時間。路由接入園區完全取決于園區交換機的第三層收斂行為和所部署的路由協議的收斂行為。在接入層中運行第三層功能還可以實現所有上行和下行流量的動態負載均衡。從接入到分布層的等成本路由會在兩條上行鏈路間分配發往的上行負載。各個節點上的等成本路徑將在兩臺分布交換機間分配負載，從而使從分布到接入層的下行返回路徑形成對稱負載。這種負載均衡或對稱行為意味著，在冗余第三層園區設計中，任意特定節點或鏈路故障只影響最多一半的網絡流量。由于鏈路或節點故障造成的任意單一路徑故障，只會影響使用該路徑的流量。這些流量在兩條上行鏈都具有等同的轉發可能性。隨著流量數增加，測量到的平均負載，無論 在路由接入設計中，從接入交換機到的上行信息流的收斂時間取決于分布交換機鏈路丟失的檢測。檢測出鏈路故障后，交換機處理鏈路中斷，刪除所有與故障接口相關的路由和CF硬件轉發項。在推薦配置中，使用從兩個分布交換機發出的等成本路由，隨后通過其余硬件CF項IGP由用8023z或8023ae鏈路協商，以便故障檢測機制能檢測出因為光纖或上行節點故障而導致的鏈路丟失。禁用鏈路協商會延長上行和下行信息流的收斂時間。發生在接入交換機到分布交換機間光纖故障時的下行恢復時間取決于GP重路由。在冗余第三層接入園區中，除了一種情況，您無需在其他情況下進行路由協議收斂。每個分布交換機有一條路徑通往用于每個接入交換機的話音和數據子網。在此路徑丟失時，分布交換機轉換為IP主用狀態，用于與那一鏈路相關的接入網絡/路由。分布節點向交換機和其分布對等設備請求一為確保優化收斂，思科建議匯總每個分布構建塊中從每個分布交換機上行到的所有路由。核心上的匯總路由可防止節點向網絡的其他部分請求，因此可限制請求和收斂時間。請求過程能否快速完成也取決于發出和接收信息的交換機處理IP應確保網絡不受可能在交換機上造成高CPU流量的異常（蠕蟲、DDoS、生成樹環等）在分布節點故障時，從接入交換機到的上行流量的恢復依然取決于分布交換機丟失鏈路的檢測。交換機間的光纖丟失或分布交換機故障被接入交換機視為同等。其行為和異議如同上所分布交換機故障時的下行收斂取決于交換機的等成本路徑故障行為。每臺交換機擁有兩條到分布塊網絡的等成本路由。分布交換機之一發生故障時，交換機會刪除無效的路由和相關的硬件CEF輸入項。EIGRP還有一條到分布塊網絡的有效路由，并不會被其他路由激活，不執在正常運行條件下，分布交換機間的光纖路徑不傳輸話音和應用數據流量。在接入到分布交換機鏈路故障時，它為應用和話音流量提供了一條備用路徑（上述配置1所示在所有交換機都已確定能夠成功地轉發話音和數據流量以前，不會改變轉。端到端P用避免了與第三層靜態路由設計有關的問題，該設計不是根據確認的有效網絡路徑，而僅僅根據激活的鏈路轉發流量。ERP接入設計避免了靜態路由實施帶來的黑洞問題。見表 000000冗余設計中的鏈路或節點恢復過程中，主用轉發路徑無丟失。備用鏈路/節點激活將導致RP鄰接設備搜索/路由建立，從而在路由表中生成一條備用等成本路由或導致現有路由被一條成本更低的新路由取代。新路由建立后，每臺交換機更新其反映新路由的硬件CF，并通過新路徑轉發所有現有流量和新的流量。在路由協議更新過程中，交換機繼續使用現有硬件轉發項，并且不會由于新路由的插入而丟失任何數據。接入和分布交換機間的鏈路恢復導致備用等成本路由添加到上行網絡接入交換機。分布交換機可以利用恢復的光纖了解到更好的路由，并用新的路由替代舊的路由和CF項。由于在其到的上行鏈配置了匯總邊界，因此，分布交換機不會將新路由信息至。此上行鏈路激活IP設計中被降至了最低限度。EIGRP設計中被降至了最低限度。在新路由插入的轉換過程中，無論它是更好的路徑路由還是備用等成本路由，在高度超額配置的網絡中，在新路徑上發送的現有信息流分組可能在抵達時出現錯序。這種情況只有在原始路徑上的負載遭遇嚴重擁塞，導致持續延遲時，才會出現。在利用高度超額配置（情況）負載進試的過程中，結果發現，主用話音流中單一分組丟0.003%。極低的分組丟失水平和由于激活備用鏈路造成的較低相關抖動，以及話音流轉發情況。對于EIGRP進行的三項故障分析，同樣需要應用于OSPF：EIGRPOSPF會影響第一種故障情況下的網絡收斂行為（17）。17OSPF在OSPF環境中，從接入交換機到的上行流量恢復類似于EIGRP，即主要取決于分布交換機鏈路丟測。鏈路故障檢測過程中，交換機將處理鏈路中斷，刪除與故障接口有關的所有路由和CEF硬件轉發項。EIGRPOSPF：從分布到接LSASPF抑制計時器而等待一段已配置好的時間，等待從該區域中其他交換機處收到LSA。此計時器過期后，執行SPF計算，插入新路由和相關硬件CEF項。由于拓撲結構變更的重新計算對于處理器和內存的依賴性更強，并且經常涉及區域中的所有路由PF實施了旨在減少拓撲結構變更次數和頻率的LSA和SPFOSPF抑制計時器的配置，還依賴于交換機處理DDoS、生成樹環等）的影響，對于確保可預測收斂時間也是必不可少的。測。交換機間的光纖丟失或分布交換機故障被接入交換機視為同等。其行為如同上所述。分布塊網絡的等成本路由。分布交換機中的一臺故障時，交換機會刪除無效的路由和相關的硬件CEF輸入項。由于鏈路丟失，路由器和對等分布交換機上的OSPF會啟動LSA，在正常運行條件下，分布交換機間的光纖路徑不傳輸話音和應用數據流量。在接入到分布交換機1所示OSP區域內所有交換機出現SA和SPF路由接入SF設計中的鏈路和節點恢復是十分容易預測的，只有一種情況可能會出現顯著的意外。通常，除非為反映新鏈路激活而進行路由表變更，否則不會執行第三層轉發。直到新激活的鏈路完成了兩個方向的鄰接設備搜索和協商，才會更新路由表。除非所有交換機都已確定能夠成功地轉發話音和數據流量，否則不會改變轉。此故障的例外情況在恢復情況二——分布交換機的恢復中進行了闡述。表18總結了。18OSPF000-45000冗余設計中的鏈路或節點恢復過程中，主用轉發路徑無丟失。備用鏈路/節點激活將導致OPF鄰接設備搜索/路由建立，從而在路由表中生成一條備用等成本路由或導致現有路由被一條成本更低的新路由取代。新路由建立后，每臺交換機更新其反映新路由的硬件CF，并通過新路徑轉發所有現有流量和新的流量。在路由協議更新過程中，交換機繼續使用現有硬件轉發項，并且不會由于新路由的插入而丟失任何數據。接入和分布交換機間的鏈路恢復導致備用等成本路由添加到上行網絡接入交換機。分布交換機可以利用恢復的光纖了解更好的路由，用新的路由替代舊的路由和CEF項。由于在其到的上行鏈配置了匯總邊界，因此，分布交換機不會將新路由信息至。上行鏈路激活導致的OSF設計中被降至了最低限度。在新路由插入的轉換過程中，無論它是更好的路徑路由還是備用等成本路由，在高度超額配置的網絡中，在新路徑上發送的現有信息流分組可能在抵達時出現錯序。這種情況只有在原始路徑上的負載遭遇嚴重擁塞，導致持續延遲時，才會出現。在利用高度超額配置（情況）負載進行測試的過程中，結果發現，主用話音流中單一分組丟失不到0003%。討是基于下列OSPF設計：分布塊作為OSPF分布交換機的激活為收斂，包括添加備用ABR，以及被廣播到區域0的相關匯總路由。該過BR個鄰接關系，它就會將缺省路由廣播到下行相鄰接入交換機中。缺省廣播并非根據與的鄰接關系而建立，而是根據與包括接入交換機在內的其他交換機的鄰接關系而建立。因此，分布交換機有可能在可向路由數據前，就將缺省路由廣播到接入交換機。接入交換機有兩個缺省路由：一個源于轉發到的現有分布交換機，另一個源于不接入的新激活的交換機。分布交換機流量黑洞的時間長短取決于多種因素，包括線卡啟動順序、CPUOSPF設計選擇的具體信息和理由，請參考高可用性園區和園區第三層接入設計換機鏈路故障時，它為應用和話音流量提供了一條備用路徑（1所示。該鏈路的激活會導需調整配置，因此，其余的測試不必進行變更。測試設計遵循最佳實踐不在實施復雜策略管理的建議，只有一種情況例外。交換機被配 交換機配置keychaineigrpkey100!!Enabledspanningtreeasafail-safe!modessoauto-syncrunning-configauto-syncstandard!!RPredundancyinterfaceLoopback0!descriptionANYCASTRPADDRESSipaddress55!interfaceLoopback2descriptionGarbage-CANRPipaddress!!ConfigurepointtopointlinkstoDistributionswitchesinterfaceTenGigabitEthernet3/1!Useof/31addressingonpointtopointlinksoptimizesuseofIPaddressspace!the!ReduceEIGRPoandholdtimersto1and3seconds.Inapoint-pointL3!designtheEIGRPtimersarenottheprimarymechanismusedforlinkand!failuredetection.Theyareintendedtoprovideafail-safemechanismonly.ipo-intervaleigrp1001iphold-timeeigrp100ipauthenticationmodeeigrp100ipauthenticationkey-chaineigrp100eigrpload-interval30!Reducecarrierdelayto0.TuningcarrierdelaynolongerhasanimpactonGigE!10GigEinterfacesbut mendedtobeconfiguredasabestpracticefor!operationalconsistencycarrier-delaymsec0!ConfiguretrustDSCPtoprovidefor umgranularityofinternalQoSqueuingmlsqostrustdscp!routereigrp!PassiveallinterfacesnotintendedtoformEIGRPneighborspassive-interfaceLoopback0passive-interfaceLoopback1passive-interfaceLoopback2network!ExplicitlyconfiguretheEIGRProuteridasabestpracticewhenusingAnycast!anyidenticalloopbackaddressonmultiplerouters.eigrprouter-id!!MulticastroutepointandMSDP!Foradetailedexnationonthespecificsoftheconfigurationbelowplease!thecampuschapterofthemulticastdesignguides.ippimrp-addressippimrp-addressGOOD-IPMCoverrideippimaccept-registerlistPERMIT-SOURCESipmsdpdescriptionANYCAST-PEER-6k-core-leftipmsdpcache-sa-state!ipaccess-liststandardGOOD-IPMCpermit9!交換機配置!!Enabledspanningtreeasafail-safepracticespanning-treemoderapid-pvst!modessoauto-syncrunning-configauto-syncstandard!!RPredundancyinterfaceLoopback0!descriptionANYCASTRPADDRESSipaddress55!interfaceLoopback2descriptionGarbage-CANRPipaddress!!ConfigurepointtopointlinkstoDistributionswitchesinterfaceTenGigabitEthernet3/1!Useof/31addressingonpointtopointlinksoptimizesuseofIPaddressspace!the!ReduceOSPFoanddeadtimersto1and3seconds.Inapoint-pointL3!designtheOSPFtimersarenottheprimarymechanismusedforlinkand!failuredetection.Theyareintendedtoprovideafail-safemechanismonly.ipospfo-interval1ipospfdead-interval3load-interval30!Reducecarrierdelayto0.TuningcarrierdelaynolongerhasanimpactonGigE!10GigEinterfacesbut mendedtobeconfiguredasabestpracticefor!operationalconsistencycarrier-delaymsec0!ConfiguretrustDSCPtoprovidefor umgranularityofinternalQoSqueuingmlsqostrustdscp!routerospf!ExplicitlyconfiguretheOSPFrouteridasabestpracticewhenusingAnycast!anyidenticalloopbackaddressonmultiplerouters.router-id!TunetheSPFthrottletimersdownfromthedefaults.PleaserefertotheHA!DesignGuidesfordetailsonspecifictuning timersspf11passive-interfaceLoopback0passive-interfaceLoopback1passive-interfaceLoopback2!!MulticastroutepointandMSDP!Foradetailedexnationonthespecificsoftheconfigurationbelowplease!thecampuschapterofthemulticastdesignippimrp-addressGOOD-IPMCoverrideippimaccept-registerlistPERMIT-SOURCESipmsdpdescriptionANYCAST-PEER-6k-core-leftipmsdpcache-sa-state!ipaccess-liststandardGOOD-IPMCpermit9!生成樹版本——PVST+（每VLAN!Usevtptransparentmode,configureallVLANsexplicitly vtpmode!EnableUDLDaggressivemodeasafailsafemechanismudldaggressive!Enable802.1dperVLANspanningtreeenhancements.spanning-treemodepvstnospanning-treeoptimizebpdutransmissionspanning-treeextendsystem-idspanning-treeuplinkfastspanning-treebackbonefast!Configurerootbridgepriority.Noteuseofextendedsystem-idspanning-treevlan2-7,20-51,102-149,202-207,220-249priority24576!!Defineuniquevoiceanddatavlansforeachaccessswitchvlan4nameData_VLAN-4507-SupII+vlan7nameData_VLAN-6500-Sup2-CatOSvlan104vlan107vlan204vlan207!!Definealocalloopbackaddresstoprovideasinkholeroutepoint!invalidmulticastgroupsinterfaceLoopback2descriptionGarbage-CANRPipaddress!!ConfigurepointtopointLayer3interfaceuplinkstocoreswitchesinterfaceTenGigabitEthernet4/1description10GigEtoCore!Reduce oandholdtimersto1and3secondsandenable!route o-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100!Advertiseasummaryroutefortheentiredistributionblockupstreamto!!Reducingcarrierdelayto0as!TrustinboundDSCPmarkingsmlsqostrustdscp!description10GigEtoCoreipo-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100load-interval30mlsqostrustdscp!interfaceTenGigabitEthernet4/3description10GigEtoDistribution-2ipo-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100ipauthenticationkey-chaineigrp100eigrpload-interval30mlsqostrust!!ConfigureLayer2trunkconnectionstodownstreamaccessswitchesinterfaceGigabitEthernet3/3descriptionto4507_SupII+_Accessnoipaddress!TrustinboundDSCPmarkingsmlsqostrustdscp!ConfiguretrunktouseadedicatednativeVLANtoprotectagainstVLANhoswitchporttrunknativevlan204!ManuallypruneallVLANsfromtrunkotherthandedicatedvoiceanddataswitchporttrunkallowedvlan4,104!ConfigureswitchporttobypassTrunkandEtherchannelnegotiationswitchportmodetrunk!interfaceGigabitEthernet3/6descriptionto6500_Sup1A_Accessnoipaddressload-interval30mlsqostrustdscpswitchporttrunkencapsulationdot1qswitchporttrunknativevlan207switchporttrunkallowedvlan7,107switchportmodetrunk!!DefinetheLayer3SVIforeachvoiceanddataVLANinterfaceVlan4descriptionDataVLANfor4507SupII+ipaddress!EnablelooseuRPFtomitigateagainstspoofedsourceIPaddressingipverifyunicastsourcereachable-viaany!Defineip-helpertoforwardDHCPrequestsiphelper-addressnoip!ReducePIMqueryintervalto250msecippimquery-interval250msecippimsparse-modeload-interval30!DefineHSRPdefaultgatewaywith250/800msecoandholdtimersstandby1ipstandby1timersmsec250msec!Setpreemptdelaylargeenoughtoallownetworktostabilizebefore!switchesbackonpoweronorlinkrecoverystandby1preemptdelayminimum180!EnableHSRPauthentication!descriptionDataVLANfor6500Sup2CatOSipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1preemptdelayminimum180standby1authenticationese!descriptionVoiceVLANfor4507SupII+ipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1preemptdelayminimum180standby1authenticationese!descriptionVoiceVLANfor6500Sup2CatOSipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1preemptdelayminimum180standby1authenticationese!routereigrp!Passiveallinterfacesexceptthecoreuplinksandlinktoppeerdistributionpassive-interfacedefaultnopassive-interfaceTenGigabitEthernet4/1nopassive-interfaceTenGigabitEthernet4/2nopassive-interfaceTenGigabitEthernet4/3!SpecifyEIGRPadvertiseroutesforalldistributionaccessandcore!!ExplicitlyconfiguretheEIGRProuteridasabestpracticewhenusingAnycast!anyidenticalloopbackaddressonmultiplerouters.eigrprouter-id!DefinethevalidmulticastRPandgarbagecanRP.SeetheMulticast!Guidefordetailsonthisippimrp-addressGOOD-IPMCoverrideippimrp-address!!ipaccess-liststandardGOOD-IPMCpermit9!Usevtptransparentmode,configureallVLANsexplicitlyvtpcampus-testvtpmode!EnableUDLDaggressivemodeasafailsafemechanismudldaggressive!Enable802.1dperVLANspanningtreeenhancements.spanning-treemodepvstnospanning-treeoptimizebpdutransmissionspanning-treeextendsystem-idspanning-treeuplinkfastspanning-treebackbonefast!Configurerootbridgepriorityassecondary.Noteuseofextendedsystem-idspanning-treevlan2-7,20-51,102-149,202-207,220-249priority28672!vlannameData_VLAN-4507-SupII+vlan7nameData_VLAN-6500-Sup2-CatOSvlan104vlan107vlanvlan207!!Definealocalloopbackaddresstoprovideasinkholeroutepoint!invalidmulticastgroupsinterfaceLoopback2descriptionGarbage-CANRPipaddress!!ConfigurepointtopointLayer3interfaceuplinkstocoreswitchesinterfaceTenGigabitEthernet4/1description10GigEtoCore!ReduceEIGRPoandholdtimersto1and3secondsandenable!routeipo-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100!Advertiseasummaryroutefortheentiredistributionblockupstreamto!!Reducingcarrierdelayto0asacarrier-delaymsec0!TrustinboundDSCPmarkingsmlsqostrustdscp!description10GigEtoCore o-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100load-interval30mlsqostrustdscp!interfaceTenGigabitEthernet4/3description10GigEtoDistribution-2ipo-intervaleigrp100iphold-timeeigrp100ipauthenticationmodeeigrp100ipauthenticationkey-chaineigrp100eigrpload-interval30mlsqostrust!!ConfigureLayer2trunkconnectionstodownstreamaccessswitchesinterfaceGigabitEthernet3/3descriptionto4507_SupII+_Accessnoipaddress!TrustinboundDSCPmarkingsmlsqostrustdscp!ConfiguretrunktouseadedicatednativeVLANtoprotectagainstVLANhoswitchporttrunknativevlan204!ManuallypruneallVLANsfromtrunkotherthandedicatedvoiceanddataswitchporttrunkallowedvlan4,104!ConfigureswitchporttobypassTrunkandEtherchannelnegotiationswitchportmodetrunk!interfaceGigabitEthernet3/6descriptionto6500_Sup1A_Accessnoipaddressload-interval30mlsqostrustdscpswitchporttrunkencapsulationdot1qswitchporttrunknativevlan207switchporttrunkallowedvlan7,107switchportmodetrunk!!DefinetheLayer3SVIforeachvoiceanddataVLANinterfaceVlan4!EnablelooseuRPFtomitigateagainstspoofedsourceIPaddressingipverifyunicastsourcereachable-viaany!Defineip-helpertoforwardDHCPrequestsiphelper-addressnoip!ReducePIMqueryintervalto250msecippimquery-interval250msecippimsparse-modeload-interval30!DefineHSRPdefaultgatewaywith250/800msecoandholdtimersstandby1ipstandby1timersmsec250msec!RaisingHSRPpriority sthisswitchtobeactiveHSRPgatewaystandby1priority150!Setpreemptdelaylargeenoughtoallownetworktostabilizebefore!switchesbackonpoweronorlinkrecoverystandby1preemptdelayminimum180!EnableHSRPauthentication!descriptionDataVLANfor6500Sup2CatOSipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1prioritystandby1preemptdelayminimum180standby1authenticationese!descriptionVoiceVLANfor4507SupII+ipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250ippimsparse-modeload-interval30standby1ipstandby1timersmsec250msecstandby1preemptdelayminimum180standby1authenticationese!descriptionVoiceVLANfor6500Sup2CatOSipaddressipverifyunicastsourcereachable-viaanyiphelper-addressnoipippimquery-interval250msecippimsparse-modestandby1ipstandby1timersmsec250msecstandby1preemptdelayminimum180standby1authenticationese!routereigrp!Passiveallinterfacesexceptthecoreuplinksandlinktoppeerdistributionpassive-interfacedefaultnopassive-interfaceTenGigabitEthernet4/1nopassive-interfaceTenGigabitEthernet4/2nopassive-interfaceTenGigabitEthernet4/3!SpecifyEIGRPadvertiseroutesforalldistributionaccessandcore!!DefinethevalidmulticastRPandgarbagecanRP.SeetheMulticast!Guidefordetailsonthisippimrp-addressGOOD-IPMCoverrideippimrp-address!!ipaccess-liststandardGOOD-IPMCpermit9IOS接入交換機vtpmodetransparentudldaggressive!AutoQoSdefinedpolicier-mapautoqos-voip-classclass-default!Enable802.1dperVLANspanningtreeenhancements.spanning-treeloopguarddefaultspanning-treeextendsystem-idspanning-treeuplinkfastspanning-treebackbonefast!Definededicatedvoice,dataandtrunkVLANforthisaccessswitchvlan4nameDatavlan104nameVoicevlan204nameTrunk!DefineswitchporttrunkuplinktodistributioninterfaceGigabitEthernet1/1descriptionUplinktoDistributionSwitch1switchporttrunkencapsulationdot1q!Defineauniquetrunkvlaninordertopreventvlanhopattacksswitchporttrunknativevlan204!Explicitlyconfigurevoiceanddatavlanontrunkswitchporttrunkallowedvlan4,104!ExplicitlyenabletrunkinganddisableEtherchannelnegotiationswitchportmodetrunkswitchportnonegotiateload-interval30!AutoQoSdefinedconfigurationforvoiceenableduplinkqostrustcosservice-outputautoqos-voip-autoqosvoiptrustbandwidthpercent33priorityhigh!descriptionUplinktoDistributionSwitch2switchporttrunkencapsulationdot1qswitchporttrunknativevlan204switchporttrunkallowedvlan4,104switchportmodetrunkswitchportnonegotiateload-interval30qostrustservice-outputautoqos-voip-autoqosvoiptrustbandwidthpercent33priorityhigh! !seethefollowingformoreinformationon !interfaceFastEthernet2/1switchportaccessvlan4switchportmodeaccessswitchportvoicevlan104switchportport-securityswitchportport-securityagingtime2switchportport-securityviolationrestrictswitchportport-securityagingtypeinactivityqostrustdevicecisco-phoneqostrustservice-outputautoqos-voip-autoqosvoipcisco-phonetx-queue3priorityhighshapepercent33spanning-treeportfast!!DefineswitchmanagementaddressondatavlaninterfaceVlan4CatOs接入交換機setvtpcampus-testsetvtpmodetransparentsetvlan7nameDatatypeethernetmtu1500said100007statesetvlan107nameVoicetypeethernetmtu1500said100107stateactivesetvlan207nameUplinktypeethernetmtu1500said100207statesetspantreeuplinkfastenablerate0all-protocolsoff#module1:2-port1000Ba setvlan2071/1-settrunk1/1nonegotiatedot1qsettrunk1/2nonegotiatedot1q7,107,207setspantreeguardloop1/1-2setportqos1/1-2trusttrust-setportqos1/1-2-sourcelocalsetportchannel1/1-2modeoff !seethefollowingformoreinformationon !setportenablesetportl2protocol-tunnel4/1cdpstpvtpdissetportmembership4/1staticsetporthostsetspantreebpdu-guard4/1enablesetvlan74/1setportauxiliaryvlan4/1107setportinlinepower4/1autosetcdpenable4/1setportqos4/1autoqosvoipsetportsecurity4/1enableage um1violation分布節點keychaineigrpkey100!<Configurespanningtreeasaredundantprotectivemechanism>spanning-treemoderapid-pvst!<ConfigurepointtopointLayer3linkstoeachoftheaccessswitches>interfaceGigabitEthernet3/1<configuretheswitchtoswitchlinkusinga/30or/31subnet>ipaddress0454<specifytheuseof1secondoand3seconddeadtimersforEIGRP>ipo-intervaleigrp1001iphold-timeeigrp100<enableeigrpMD5ipauthenticationmodeeigrp100ipauthenticationkey-chaineigrp100eigrploggingeventlink-status<Setcarrierdelayto0.OnCatalyst6500thiswillhavenoeffectonGigEportshoweveritisnecessaryon3x50seriesswitchesandshouldbeconsistentlyconfiguredforbest<Trustthedscpsettingsinallpacketssourcedfromtheaccess.Weareextendingthetrustboundarytotheaccessswitch>mlsqostrust!!<ConfigurepointtopointL3linkstoeachofthecoreswitches>interfaceTenGigabitEthernet4/1description10GigEtoCore<configuretheswitchtoswitchlinkusinga/30or/31subnet>ipa