真的希望您能帮助我了解我在生产网络上遇到的一些严重问题。我将简要介绍一下背景并解释这个问题。
背景: 我们的网络主要由 2960 和 3750 台 Cisco 交换机组成 去年,当添加了启用 VTP 服务器的新交换机堆栈并添加了传播并擦除我们所有其他 VLAN 的新 VLAN 时,我们经历了一次完整的网络中断。
结果是将所有交换机上的 VTP 模式更改为透明的,问题已解决……至少我们是这么认为的。
上周五: 我设置了两个新堆栈(确保两者都将 VTP 模式设置为透明),然后我们让供应商在他们的托管交换机(连接我们的内部交换机)上添加了一个额外的 VLAN,以允许来自新站点的流量。一旦我们打开中继端口,我们的 2 个楼层就失去了连接。我快速登录,发现不仅我的新交换机堆栈,而且 3 个完全独立的其他堆栈都将其 VTP 模式设置为服务器,并且它再次传播了 VLAN!
问题: 以前有人见过这种行为吗?我确定所有的开关堆栈都设置为透明的,所以我很震惊,也很害怕这种情况怎么会再次发生......
任何见解将不胜感激!
干杯,D
听起来有人删除了相关交换机上的域名和密码。这使得他们没有设置 VTP,就像一个新交换机一样,它将根据它看到的 VTP 广告自动配置 VTP,即使是从添加的新交换机。VTP 域名也包含在 DTP 消息中。最佳实践是使用set switchport mode trunkandswitchport nonegotiate命令禁用中继链路上的 DTP 和无条件中继。
您应该设置域名、密码和透明模式,并坚持在连接到您的网络之前设置所有新的或替换的交换机。
另一个 Cisco 最佳实践是仅在一个接入交换机上使用 VLAN,而不是在多个交换机上使用 VLAN。这将防止许多 STP 问题。它曾经是“在你可以切换的地方,在你必须的地方路由”,但现在已经过时了。现在是第 3 层世界,几乎没有什么要求主机位于同一个第 2 层广播域中。
顺便说一句,客户端模式下的开关也可以对您做到这一点。不仅服务器模式开关可以覆盖 VLAN 数据库(请参阅突出显示的文本):
将交换机添加到 VTP 域
最近添加的交换机可能会导致网络出现问题。可以是以前实验室用过的交换机,输入好的VTP域名。交换机被配置为 VTP 客户端并连接到网络的其余部分。然后,您将主干链路连接到网络的其余部分。只需几秒钟,整个网络就可以瘫痪。
如果您插入的交换机的配置修订号高于 VTP 域的配置修订号,它将通过 VTP 域传播其 VLAN 数据库。
无论交换机是 VTP 客户端还是 VTP 服务器,都会发生这种情况。VTP 客户端可以清除 VTP 服务器上的 VLAN 信息。当网络中的许多端口进入非活动状态但继续分配给不存在的 VLAN 时,您可以看出这种情况已经发生。