整个升级过程业务无任何中断,具体过程如下:
MDS9134# show version
Cisco Nexus Operating System (NX-OS) Software
TAC support: http://www.cisco.com/tac
Copyright (c) 2002-2009, Cisco Systems, Inc. All rights reserved.
The copyrights to certain works contained herein are owned by
other third parties and are used and distributed under license.
Some parts of this software are covered under the GNU Public
License. A copy of the license is available at
http://www.gnu.org/licenses/gpl.html.
Software
BIOS: version 1.0.15
loader: version N/A
kickstart: version 4.2(1a)
system: version 4.2(1a)
BIOS compile time: 07/16/08
kickstart image file is: bootflash:/m9100-s2ek9-kickstart-mz.4.2.1a.bin
kickstart compile time: 8/10/2009 19:00:00 [09/24/2009 09:51:13]
system image file is: bootflash:/m9100-s2ek9-mz.4.2.1a.bin
system compile time: 8/10/2009 19:00:00 [09/24/2009 11:40:47]
Hardware
cisco MDS UROS 9134 FC (1 Slot) Chassis (“1/2/4 10 Gbps FC/Supervisor-2″)
Motorola, e500v2 with 1036308 kB of memory.
Processor Board ID JAF1326AALD
Device name: MDS9134
bootflash: 509544 kB
Kernel uptime is 80 day(s), 19 hour(s), 32 minute(s), 16 second(s)
Last reset
Reason: Unknown
System version: 4.2(1a)
Service:
MDS9134# show install all impact system tftp://192.168.1.2/m9100-s2ek9-mz.4.2.3.bin kickstart tftp://192.168.1.2/m9100-s2ek9-kickstart-mz.4.2.3.bin
Continue reading ‘Cisco MDS 系列交换机无中断软件升级’
使用DHCP Snooping防止私设DHCP Server并获得MAC-IP-端口绑定表,使用DAI对所有的ARP包进行检查。Cisco 6500做核心无需特别的配置,在接入交换机3560上做如下配置:
!
ip dhcp snooping vlan 5-10 //在5-10这些vlan上使用DHCP Snooping
no ip dhcp snooping information option
ip dhcp snooping database flash:dhcp-snooping.db
//保存DHCP Snooping的绑定表,否则交换机重启将丢失绑定表
ip dhcp snooping //开启DHCP Snooping
ip arp inspection vlan 5-10
//在5-10这些vlan上使用Dynamic ARP Inspection
ip arp inspection validate src-mac dst-mac ip
//检查ARP包的源MAC、目标MAC、IP地址是否符合DHCP Snooping的绑定表
ip arp inspection log-buffer entries 1024 //DAI的日志缓冲区
ip arp inspection log-buffer logs 1 interval 60
//设置每60s产生一条DAI日志,否则DAI会每发现一个非法ARP就产生一条日志,syslog信息就太多了,这样的话DAI会自动合并一样的日志
!
errdisable recovery cause arp-inspection
//打开因arp-inspection引起err-disabled的自动恢复
errdisable recovery interval 60 //设置自动恢复延时为60s
!
interface FastEthernet0/1 //这个是接下面计算机的端口
switchport access vlan 7
switchport mode access
ip arp inspection limit rate 30
//设置每秒最多接收30个ARP包,超过则进入err-disabled状态(原因为arp-inspection)。默认为15pps,实际使用发现有点低。
ip dhcp snooping limit rate 100 //同上类似
!
interface GigabitEthernet0/1 //上联6500或级联端口,配置一样
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust //设置DAI信任,不检查ARP包
ip dhcp snooping trust //设置DHCP Snooping信任,不检查DHCP包
!
使用ACS作为身份验证服务器时,对ACS提出了高可用性的要求,在WLC中可以同时设置三台ACS互为热备,那么这就必然涉及到ACS服务器间数据同步的问题。
首先配置好主ACS,确保可以完成要求的功能,然后安装备ACS,但暂时不要做任何配置。在两个ACS的 Network Configuation 的 AAA Servers 互相添加对方,就是在主ACS中添加备ACS的信息,在备ACS中添加主ACS的信息,两个的key要完全相同。
先配置主ACS的同步设置,在 System Configuation 中找到 ACS Internal Database Replication ,在 Replication Components 中可以设置服务器Send数据或Receive数据哪些数据,对于主ACS为Send。在 Outbound Replication 的 Scheduling 中可以设置同步的时间,在同步的时候ACS服务会暂时停止,因此尽量选择业务最空闲的时候来同步,选项 Automatically triggered cascade 最后再解释。下面的 Partners 中是设置要把数据发送给哪些ACS服务器,左侧 AAA Servers 列表里的都是在 Network Configuation 里面添加的,需要把备ACS添加到右侧栏里。
再来配置备ACS的同步设置,在 Replication Components 中设置Receive数据,注意的是ACS的同步是覆盖而不是合并,接受数据的ACS会覆盖掉自己的数据,哪怕自己的数据是最新的,所以应该是数据复制而不是数据同步。Outbound Replication 不要动,Inbound Replication 可以选择接受那些ACS发送来的同步数据。回到主ACS的 Database Replication Setup ,点一下 Replication Now,再回到备ACS把一些没有同步过来的地方配置好就行了。
两台ACS的防火墙上都需要打开TCP 2000端口传递同步数据。同步的情况和日志可以在 Reports and Activity 的 Database Replication 看到。
最后再来说一下 Automatically triggered cascade 。ACS可以设置多级同步,就是主ACS把数据同步给一级备份ACS,一级备份ACS再把数据同步给二级备份ACS服务器。这是一级备份ACS就应该选择 Automatically triggered cascade 这样再它接受到上级ACS服务器(主ACS)发来的同步数据后,也会触发它向下级ACS服务器(二级备份ACS)下发同步数据。
Cisco Wireless LAN Controller 4400 Series 与 Cisco Catalyst 6500 Series Switches 使用两个 Gigabit Ethernet 连接做链路聚合,瘦 APs 连在 Cisco Catalyst 3560 Series Switches 的 FastEthernet,3560 和 6500 通过 GigabitEthernet 连接。
Cisco Catalyst 3560 Series Switches 配置:AP连接端口默认Vlan1,上联端口switchport trunk。компютри втора употреба
interface FastEthernet0/1
description AP
!
interface FastEthernet0/2
description AP
!
interface FastEthernet0/3
description AP
!
interface GigabitEthernet0/1
description 6500
switchport trunk encapsulation dot1q
switchport mode trunk
!
Cisco Catalyst 6500 Series Switches 配置:建立无线用户Vlan2和DHCP server,建立2层链路聚合(因为WLC不支持LACP和PAgP,所以必须配置为 mode on),负载均衡设置为src-dst-ip,连接3560和WLC均为switchport 802.1q trunk。
默认的四个接口management, AP-manager, virtual, and service-port
management接口:用于管理WLC、与AAA服务器通讯,通过Layer 2 LWAPP管理瘦APs,此IP可ping通,可以设置备份端口;
AP-manager接口:通过Layer 3 LWAPP管理瘦APs,此IP不可ping通,不可以设置备份端口,需要为每个使用的端口建立一个AP-manager接口(建立Interfaces并选中Enable Dynamic AP Management);
virtual接口:用来Layer 3认证(如Web认证)等,需要配置一个无效的地址,就是根本不存在网络中的地址,如1.1.1.1;
上面这3个接口物理上都是通过Distribution system ports端口来传输的,4400 Series 上为Gigabit Ethernet,4404有4个,4402有2个。
WLC是Cisco收购Airespace的产品,CLI和其他Cisco产品不太一样,GUI管理起来更方便,service-port就是专门用来连接本地计算机管理的。
最新评论