核心交換機培訓(xùn)課件第一章核心交換機概述核心交換機是企業(yè)網(wǎng)絡(luò)的心臟，承載著整個網(wǎng)絡(luò)的數(shù)據(jù)流量匯聚與高速轉(zhuǎn)發(fā)。理解核心交換機的定位與作用，是構(gòu)建穩(wěn)定高效網(wǎng)絡(luò)的第一步。核心交換機的定義與作用網(wǎng)絡(luò)骨干核心位于網(wǎng)絡(luò)層次結(jié)構(gòu)的最高層，是整個網(wǎng)絡(luò)的數(shù)據(jù)交換中樞大流量匯聚轉(zhuǎn)發(fā)處理來自多個匯聚層的海量數(shù)據(jù)流量，實現(xiàn)高速無阻塞交換連接關(guān)鍵節(jié)點連接匯聚層、數(shù)據(jù)中心、廣域網(wǎng)出口等關(guān)鍵網(wǎng)絡(luò)節(jié)點核心交換機與匯聚交換機、接入交換機的區(qū)別核心交換機轉(zhuǎn)發(fā)性能：Tbps級別端口：高密度萬兆/40G/100G冗余：全冗余電源、引擎價格：數(shù)十萬至百萬元應(yīng)用：數(shù)據(jù)中心骨干、園區(qū)網(wǎng)核心匯聚交換機轉(zhuǎn)發(fā)性能：百Gbps至Tbps端口：千兆/萬兆混合冗余：雙電源、部分模塊冗余價格：數(shù)萬至十幾萬元應(yīng)用：樓層匯聚、區(qū)域匯聚接入交換機轉(zhuǎn)發(fā)性能：數(shù)十至百Gbps端口：24/48口千兆為主冗余：單電源或可選雙電源價格：數(shù)千至數(shù)萬元應(yīng)用：終端設(shè)備接入典型核心交換機型號介紹華為CloudEngine系列CE6800系列：適用于中型數(shù)據(jù)中心和園區(qū)網(wǎng)核心，支持25G/100G端口，業(yè)界領(lǐng)先的緩存設(shè)計CE12800系列：面向大型數(shù)據(jù)中心，最高支持768個100GE端口，采用CLOS多級架構(gòu)思科Catalyst9000系列Catalyst9500：模塊化核心交換機，支持400G上行，集成DNACenter云管理Catalyst9600：高性能園區(qū)網(wǎng)核心，最高25.6Tbps交換容量，支持MACsec加密銳捷RG-S系列RG-S6220系列：面向中大型園區(qū)，支持萬兆到核心，VSU虛擬化技術(shù)RG-S12000系列：數(shù)據(jù)中心級核心，支持40/100G大容量接口，低延遲轉(zhuǎn)發(fā)核心交換機在企業(yè)網(wǎng)絡(luò)中的位置上圖展示了典型的三層網(wǎng)絡(luò)架構(gòu)。核心交換機位于頂層，通過高速鏈路連接多臺匯聚交換機，形成網(wǎng)絡(luò)的主干。匯聚層負責(zé)連接各樓層或區(qū)域的接入交換機，接入層則直接連接用戶終端設(shè)備。接入層PC、IP電話、無線AP等終端設(shè)備接入?yún)R聚層流量匯聚、VLAN路由、安全策略執(zhí)行核心層高速轉(zhuǎn)發(fā)、網(wǎng)絡(luò)互聯(lián)、數(shù)據(jù)中心連接第二章核心交換機關(guān)鍵技術(shù)核心交換機之所以能夠處理海量數(shù)據(jù)流量，離不開一系列先進技術(shù)的支撐。從底層的硬件架構(gòu)到上層的協(xié)議機制，每一項技術(shù)都是保障網(wǎng)絡(luò)高效穩(wěn)定運行的關(guān)鍵。高性能交換架構(gòu)ASIC芯片與高速轉(zhuǎn)發(fā)核心交換機采用專用集成電路（ASIC）芯片進行數(shù)據(jù)包轉(zhuǎn)發(fā)，實現(xiàn)線速轉(zhuǎn)發(fā)能力。ASIC芯片通過硬件查表、硬件轉(zhuǎn)發(fā)的方式，能夠在納秒級別完成數(shù)據(jù)包的處理，遠超軟件轉(zhuǎn)發(fā)性能。硬件查MAC地址表和路由表線速轉(zhuǎn)發(fā)，無阻塞交換支持大容量CAM/TCAM表項低延遲特性，通常小于10微秒多層交換與硬件加速現(xiàn)代核心交換機支持二層到七層的多層交換能力，通過硬件加速實現(xiàn)復(fù)雜的報文處理和策略執(zhí)行，而不影響轉(zhuǎn)發(fā)性能。二層交換：基于MAC地址轉(zhuǎn)發(fā)三層交換：IP路由硬件轉(zhuǎn)發(fā)四層交換：基于端口的負載均衡七層交換：應(yīng)用層內(nèi)容識別VLAN與三層交換VLAN劃分與隔離虛擬局域網(wǎng)（VLAN）技術(shù)將一個物理網(wǎng)絡(luò)劃分為多個邏輯網(wǎng)絡(luò)，實現(xiàn)廣播域隔離和安全策略控制?；诙丝诘腣LAN劃分基于MAC地址的動態(tài)VLAN基于協(xié)議的VLAN分類廣播域隔離，減少廣播風(fēng)暴三層交換實現(xiàn)VLAN間路由傳統(tǒng)二層交換機無法實現(xiàn)不同VLAN之間的通信，需要通過路由器。三層交換機集成了路由功能，可以在硬件層面實現(xiàn)VLAN間的高速路由。配置SVI（交換虛擬接口）作為網(wǎng)關(guān)硬件路由表查找和轉(zhuǎn)發(fā)一次路由，多次交換性能遠超傳統(tǒng)路由器生成樹協(xié)議（STP/RSTP/MSTP）1STP（802.1D）經(jīng)典生成樹協(xié)議，通過BPDU交互選舉根橋，阻塞冗余鏈路防止環(huán)路。收斂時間較長（30-50秒），適用于對實時性要求不高的小型網(wǎng)絡(luò)。2RSTP（802.1w）快速生成樹協(xié)議，優(yōu)化了STP的收斂機制，收斂時間縮短至1-2秒。引入邊緣端口、P2P鏈路等概念，提升了協(xié)議效率。3MSTP（802.1s）多生成樹協(xié)議，支持多實例，將不同VLAN映射到不同生成樹實例。實現(xiàn)負載均衡，不同VLAN走不同鏈路，提高鏈路利用率。生成樹工作原理選舉根橋：所有交換機通過比較BridgeID選出根橋計算路徑：每臺交換機計算到根橋的最短路徑確定端口角色：根端口、指定端口、阻塞端口阻塞冗余鏈路：阻塞端口不轉(zhuǎn)發(fā)數(shù)據(jù)，防止環(huán)路拓撲變化處理：鏈路故障時重新計算并快速收斂典型應(yīng)用場景在核心交換機冗余組網(wǎng)中，通常啟用MSTP協(xié)議，配置多個實例，實現(xiàn)負載分擔(dān)。例如：VLAN1-100走核心交換機A，VLAN101-200走核心交換機B，充分利用帶寬資源。VRRP協(xié)議實現(xiàn)高可用01虛擬路由器概念多臺物理路由器或三層交換機組成一個虛擬路由器，共享一個虛擬IP地址作為網(wǎng)關(guān)，對外呈現(xiàn)為單一網(wǎng)關(guān)。02主備角色選舉通過優(yōu)先級比較選舉Master路由器，其余為Backup。Master負責(zé)轉(zhuǎn)發(fā)流量，Backup處于監(jiān)聽狀態(tài)。03健康檢測機制Master定期發(fā)送VRRP通告報文，Backup監(jiān)聽通告。如果Backup在3個通告周期內(nèi)未收到通告，判定Master故障。04故障自動切換當(dāng)Master故障時，優(yōu)先級最高的Backup自動升級為Master，接管虛擬IP和虛擬MAC，繼續(xù)轉(zhuǎn)發(fā)流量，實現(xiàn)秒級切換。VRRP配置要點配置虛擬路由器ID（VRID），同一組必須相同設(shè)置虛擬IP地址，作為用戶網(wǎng)關(guān)配置優(yōu)先級，決定Master/Backup角色啟用搶占模式，確保高優(yōu)先級設(shè)備恢復(fù)后重新成為Master調(diào)整通告間隔，平衡檢測速度和網(wǎng)絡(luò)開銷典型故障切換場景在雙核心交換機架構(gòu)中，兩臺核心交換機分別配置為不同VLAN的Master和Backup，實現(xiàn)負載分擔(dān)和冗余保護。當(dāng)一臺核心交換機故障時，其承載的VLAN流量自動切換到另一臺，用戶無感知，保障業(yè)務(wù)連續(xù)性。鏈路聚合技術(shù)（LACP）鏈路聚合基本原理將多條物理鏈路捆綁成一條邏輯鏈路，實現(xiàn)帶寬疊加和鏈路冗余。從邏輯上看，多條鏈路表現(xiàn)為一條大帶寬鏈路，提高了傳輸能力和可靠性。LACP動態(tài)協(xié)商鏈路聚合控制協(xié)議（LACP，802.3ad）通過協(xié)議報文自動協(xié)商聚合參數(shù)，動態(tài)添加或刪除成員鏈路。相比靜態(tài)聚合，LACP能自動檢測鏈路故障并快速切換。聚合模式選擇靜態(tài)聚合：手動配置，不協(xié)商，配置簡單但缺乏智能檢測LACP主動模式：主動發(fā)送LACP報文，快速建立聚合LACP被動模式：等待對端LACP報文，較為保守負載均衡算法聚合鏈路上的流量需要分配到各成員鏈路，常見算法：基于源MAC地址基于目的MAC地址基于源目IP地址基于源目IP+端口典型應(yīng)用場景核心交換機與匯聚交換機之間通常配置多條萬兆鏈路聚合，既提升了帶寬，又實現(xiàn)了冗余保護。某條鏈路故障時，流量自動切換到其他正常鏈路，不影響業(yè)務(wù)。配置注意事項：聚合組內(nèi)所有端口必須配置相同的速率、雙工模式、VLAN屬性。建議使用相同型號的光模塊或線纜，避免鏈路不一致導(dǎo)致聚合失敗。在核心交換機上，通常配置2-4條鏈路聚合，既提供足夠帶寬，又便于管理。第三章核心交換機配置實操理論知識的掌握需要通過實際操作來鞏固。本章將通過詳細的配置示例，帶您逐步完成核心交換機的基礎(chǔ)配置、VLAN劃分、三層交換、生成樹協(xié)議、VRRP冗余以及鏈路聚合的配置。每個示例都包含完整的命令行配置過程和關(guān)鍵參數(shù)說明，幫助您快速上手核心交換機的配置工作。建議您在學(xué)習(xí)過程中搭建實驗環(huán)境，親自動手操作，加深理解。交換機基礎(chǔ)配置命令設(shè)備登錄與基本配置#通過Console口登錄#進入系統(tǒng)視圖system-view#修改設(shè)備主機名[Huawei]sysnameCoreSwitch-01#配置管理IP地址[CoreSwitch-01]interfacevlanif1[CoreSwitch-01-Vlanif1]ipaddress5424#配置Console口密碼[CoreSwitch-01]user-interfaceconsole0[CoreSwitch-01-ui-console0]authentication-modepassword[CoreSwitch-01-ui-console0]setauthenticationpasswordcipherHuawei@123#配置VTY（Telnet/SSH）[CoreSwitch-01]user-interfacevty04[CoreSwitch-01-ui-vty0-4]authentication-modeaaa[CoreSwitch-01-ui-vty0-4]protocolinboundssh端口配置與狀態(tài)查看#進入端口配置[CoreSwitch-01]interfaceGigabitEthernet0/0/1#配置端口描述[CoreSwitch-01-GigabitEthernet0/0/1]descriptionConnect-to-Server-01#配置端口速率和雙工[CoreSwitch-01-GigabitEthernet0/0/1]speed1000[CoreSwitch-01-GigabitEthernet0/0/1]duplexfull#查看端口狀態(tài)[CoreSwitch-01]displayinterfacebrief#查看端口詳細信息[CoreSwitch-01]displayinterfaceGigabitEthernet0/0/1#查看端口統(tǒng)計信息[CoreSwitch-01]displayinterfaceGigabitEthernet0/0/1statistics保存配置#保存當(dāng)前配置[CoreSwitch-01]saveThecurrentconfigurationwillbewrittentothedevice.Areyousuretocontinue?[Y/N]y查看配置#查看當(dāng)前運行配置[CoreSwitch-01]displaycurrent-configuration#查看已保存配置[CoreSwitch-01]displaysaved-configuration重啟設(shè)備#重啟設(shè)備[CoreSwitch-01]rebootAlltheconfigurationwillbesavedtothenextstartupconfiguration.Continue?[Y/N]:yVLAN劃分與接口配置示例創(chuàng)建VLAN并分配端口#創(chuàng)建多個VLAN[CoreSwitch-01]vlanbatch102030100#進入VLAN配置并添加描述[CoreSwitch-01]vlan10[CoreSwitch-01-vlan10]descriptionManagement-VLAN[CoreSwitch-01-vlan10]quit[CoreSwitch-01]vlan20[CoreSwitch-01-vlan20]descriptionOffice-VLAN[CoreSwitch-01-vlan20]quit[CoreSwitch-01]vlan30[CoreSwitch-01-vlan30]descriptionServer-VLAN[CoreSwitch-01-vlan30]quit#將接口劃分到VLAN（Access模式）[CoreSwitch-01]interfaceGigabitEthernet0/0/5[CoreSwitch-01-GigabitEthernet0/0/5]portlink-typeaccess[CoreSwitch-01-GigabitEthernet0/0/5]portdefaultvlan20[CoreSwitch-01-GigabitEthernet0/0/5]quit#批量配置接口[CoreSwitch-01]interfacerangeGigabitEthernet0/0/10to0/0/20[CoreSwitch-01-port-group]portlink-typeaccess[CoreSwitch-01-port-group]portdefaultvlan30[CoreSwitch-01-port-group]quit配置要點說明vlanbatch：批量創(chuàng)建多個VLAN，提高配置效率description：為VLAN添加描述，便于管理和維護portlink-typeaccess：配置為Access端口，只能屬于一個VLANportdefaultvlan：指定端口所屬VLANinterfacerange：批量配置多個連續(xù)端口Access端口通常用于連接終端設(shè)備（PC、打印機等），每個端口只能屬于一個VLAN。配置Trunk鏈路傳遞多VLAN#配置上行端口為Trunk模式[CoreSwitch-01]interfaceGigabitEthernet0/0/1[CoreSwitch-01-GigabitEthernet0/0/1]portlink-typetrunk#允許指定VLAN通過（方式1）[CoreSwitch-01-GigabitEthernet0/0/1]porttrunkallow-passvlan102030100#或允許所有VLAN通過（方式2）[CoreSwitch-01-GigabitEthernet0/0/1]porttrunkallow-passvlanall#設(shè)置NativeVLAN（缺省VLAN）[CoreSwitch-01-GigabitEthernet0/0/1]porttrunkpvidvlan1#查看Trunk配置[CoreSwitch-01]displayportvlanGigabitEthernet0/0/1Trunk配置說明Trunk端口：用于交換機之間互聯(lián)，可以傳遞多個VLANallow-passvlan：指定允許通過的VLAN列表pvid：端口默認VLANID，處理未打標簽的幀最佳實踐：明確指定允許通過的VLAN，避免使用vlanall，減少不必要的流量三層交換配置示例配置SVI接口實現(xiàn)VLAN間路由#創(chuàng)建VLAN[CoreSwitch-01]vlanbatch102030#配置VLAN10的SVI接口[CoreSwitch-01]interfacevlanif10[CoreSwitch-01-Vlanif10]descriptionGateway-Management[CoreSwitch-01-Vlanif10]ipaddress24[CoreSwitch-01-Vlanif10]quit#配置VLAN20的SVI接口[CoreSwitch-01]interfacevlanif20[CoreSwitch-01-Vlanif20]descriptionGateway-Office[CoreSwitch-01-Vlanif20]ipaddress24[CoreSwitch-01-Vlanif20]quit#配置VLAN30的SVI接口[CoreSwitch-01]interfacevlanif30[CoreSwitch-01-Vlanif30]descriptionGateway-Server[CoreSwitch-01-Vlanif30]ipaddress24[CoreSwitch-01-Vlanif30]quit#查看三層接口狀態(tài)[CoreSwitch-01]displayipinterfacebrief#查看路由表[CoreSwitch-01]displayiprouting-tableSVI接口工作原理SVI（SwitchVirtualInterface）是三層交換機的虛擬接口，每個VLAN可以配置一個SVI接口，作為該VLAN的網(wǎng)關(guān)。當(dāng)不同VLAN的主機需要通信時，數(shù)據(jù)包發(fā)送到網(wǎng)關(guān)（SVI接口），交換機進行三層路由查找，然后轉(zhuǎn)發(fā)到目標VLAN。整個過程在硬件ASIC芯片中完成，轉(zhuǎn)發(fā)性能極高。靜態(tài)路由與默認路由配置#配置靜態(tài)路由#格式：iproute-static目標網(wǎng)段掩碼下一跳[CoreSwitch-01]iproute-static2454#配置默認路由（指向出口路由器）[CoreSwitch-01]iproute-static0#配置浮動靜態(tài)路由（備份路由，優(yōu)先級更低）[CoreSwitch-01]iproute-static0preference100#查看路由表[CoreSwitch-01]displayiprouting-table#測試連通性[CoreSwitch-01]ping#查看ARP表[CoreSwitch-01]displayarp路由配置說明靜態(tài)路由：手動配置的路由條目，適用于網(wǎng)絡(luò)拓撲相對固定的場景。默認路由：當(dāng)路由表中沒有匹配項時，使用默認路由轉(zhuǎn)發(fā)，通常指向出口網(wǎng)關(guān)。preference：路由優(yōu)先級，數(shù)值越小優(yōu)先級越高。浮動路由設(shè)置更低優(yōu)先級，作為備份。生成樹協(xié)議配置示例啟用RSTP并調(diào)整端口優(yōu)先級#全局啟用RSTP模式[CoreSwitch-01]stpmoderstp#配置本設(shè)備為根橋（方式1：設(shè)置最低優(yōu)先級）[CoreSwitch-01]stppriority0#或配置為根橋（方式2：直接命令）[CoreSwitch-01]stprootprimary#配置為備份根橋[CoreSwitch-02]stprootsecondary#調(diào)整端口優(yōu)先級（影響端口選舉）[CoreSwitch-01]interfaceGigabitEthernet0/0/1[CoreSwitch-01-GigabitEthernet0/0/1]stpportpriority0#配置端口為邊緣端口（快速遷移到轉(zhuǎn)發(fā)狀態(tài)）[CoreSwitch-01]interfaceGigabitEthernet0/0/10[CoreSwitch-01-GigabitEthernet0/0/10]stpedged-portenable#啟用BPDU保護（防止邊緣端口收到BPDU）[CoreSwitch-01-GigabitEthernet0/0/10]stpbpdu-protection#查看生成樹狀態(tài)[CoreSwitch-01]displaystpbriefRSTP配置要點根橋選擇：優(yōu)先級最低的交換機成為根橋，默認為32768端口優(yōu)先級：影響指定端口選舉，數(shù)值越小優(yōu)先級越高邊緣端口：連接終端設(shè)備的端口，不參與STP計算，快速進入轉(zhuǎn)發(fā)狀態(tài)BPDU保護：防止邊緣端口誤收到BPDU導(dǎo)致拓撲震蕩MSTP多實例劃分配置#啟用MSTP模式[CoreSwitch-01]stpmodemstp#配置MSTP域[CoreSwitch-01]stpregion-configuration[CoreSwitch-01-mst-region]region-nameCompany-Network[CoreSwitch-01-mst-region]revision-level1#創(chuàng)建實例并映射VLAN[CoreSwitch-01-mst-region]instance1vlan102030[CoreSwitch-01-mst-region]instance2vlan405060[CoreSwitch-01-mst-region]activeregion-configuration[CoreSwitch-01-mst-region]quit#配置實例1的根橋（在CoreSwitch-01上）[CoreSwitch-01]stpinstance1rootprimary#配置實例2的根橋（在CoreSwitch-02上）[CoreSwitch-02]stpinstance2rootprimary#查看MSTP配置[CoreSwitch-01]displaystpregion-configuration[CoreSwitch-01]displaystpinstance1briefMSTP實例配置說明MSTP通過多實例實現(xiàn)負載均衡。不同VLAN映射到不同實例，每個實例有自己的根橋。例如：實例1的VLAN10-30以CoreSwitch-01為根橋，實例2的VLAN40-60以CoreSwitch-02為根橋，兩臺核心交換機互為主備，充分利用鏈路帶寬。VRRP配置示例在兩臺核心交換機上配置VRRPCoreSwitch-01配置（Master）#配置VLAN10的VRRP（作為Master）[CoreSwitch-01]interfacevlanif10[CoreSwitch-01-Vlanif10]ipaddress24#創(chuàng)建VRRP虛擬路由器[CoreSwitch-01-Vlanif10]vrrpvrid1virtual-ip#設(shè)置優(yōu)先級（高優(yōu)先級為Master）[CoreSwitch-01-Vlanif10]vrrpvrid1priority120#啟用搶占模式[CoreSwitch-01-Vlanif10]vrrpvrid1preempt-modetimerdelay30#配置通告間隔[CoreSwitch-01-Vlanif10]vrrpvrid1timeradvertise1#配置認證（可選，增強安全性）[CoreSwitch-01-Vlanif10]vrrpvrid1authentication-modesimplecipherHuawei@123#啟用接口跟蹤（監(jiān)控上行鏈路）[CoreSwitch-01-Vlanif10]vrrpvrid1trackinterfaceGigabitEthernet0/0/1reduced30CoreSwitch-02配置（Backup）#配置VLAN10的VRRP（作為Backup）[CoreSwitch-02]interfacevlanif10[CoreSwitch-02-Vlanif10]ipaddress24#創(chuàng)建VRRP虛擬路由器（VRID必須相同）[CoreSwitch-02-Vlanif10]vrrpvrid1virtual-ip#設(shè)置優(yōu)先級（低于Master）[CoreSwitch-02-Vlanif10]vrrpvrid1priority100#啟用搶占模式[CoreSwitch-02-Vlanif10]vrrpvrid1preempt-modetimerdelay30#配置通告間隔（必須與Master一致）[CoreSwitch-02-Vlanif10]vrrpvrid1timeradvertise1#配置認證（必須與Master一致）[CoreSwitch-02-Vlanif10]vrrpvrid1authentication-modesimplecipherHuawei@12301配置虛擬IP虛擬IP作為用戶網(wǎng)關(guān)，兩臺設(shè)備配置相同的虛擬IP02設(shè)置優(yōu)先級優(yōu)先級高的設(shè)備成為Master，范圍1-254，默認10003啟用搶占Master恢復(fù)后重新接管流量，delay避免頻繁切換04接口跟蹤監(jiān)控關(guān)鍵鏈路，故障時降低優(yōu)先級觸發(fā)切換查看VRRP狀態(tài)#查看VRRP狀態(tài)[CoreSwitch-01]displayvrrpbrief[CoreSwitch-01]displayvrrpinterfacevlanif10verbose負載均衡配置：可以為不同VLAN配置不同的VRRP實例，一臺設(shè)備作為某些VLAN的Master，另一臺作為其他VLAN的Master，實現(xiàn)流量負載分擔(dān)。例如：VLAN10-30在CoreSwitch-01為Master，VLAN40-60在CoreSwitch-02為Master。鏈路聚合配置示例配置LACP聚合組#創(chuàng)建聚合接口[CoreSwitch-01]interfaceEth-Trunk1[CoreSwitch-01-Eth-Trunk1]descriptionLink-to-AggSwitch-01#配置LACP模式[CoreSwitch-01-Eth-Trunk1]modelacp#配置負載均衡算法[CoreSwitch-01-Eth-Trunk1]load-balancesrc-dst-ip#配置最小活動鏈路數(shù)[CoreSwitch-01-Eth-Trunk1]leastactive-linknumber2[CoreSwitch-01-Eth-Trunk1]quit#將物理端口加入聚合組[CoreSwitch-01]interfaceGigabitEthernet0/0/1[CoreSwitch-01-GigabitEthernet0/0/1]eth-trunk1[CoreSwitch-01-GigabitEthernet0/0/1]quit[CoreSwitch-01]interfaceGigabitEthernet0/0/2[CoreSwitch-01-GigabitEthernet0/0/2]eth-trunk1[CoreSwitch-01-GigabitEthernet0/0/2]quit[CoreSwitch-01]interfaceGigabitEthernet0/0/3[CoreSwitch-01-GigabitEthernet0/0/3]eth-trunk1[CoreSwitch-01-GigabitEthernet0/0/3]quit#配置聚合接口為Trunk[CoreSwitch-01]interfaceEth-Trunk1[CoreSwitch-01-Eth-Trunk1]portlink-typetrunk[CoreSwitch-01-Eth-Trunk1]porttrunkallow-passvlanallLACP配置要點modelacp：啟用LACP動態(tài)協(xié)商load-balance：選擇負載均衡算法，建議使用src-dst-ip或src-dst-ip-portleastactive-linknumber：最小活動鏈路數(shù)，低于此值聚合組down成員端口：加入聚合組前需保證端口配置一致聚合組所有成員端口的速率、雙工、VLAN配置必須完全一致，否則可能導(dǎo)致聚合失敗或流量異常。驗證聚合狀態(tài)與負載均衡#查看聚合接口狀態(tài)[CoreSwitch-01]displayeth-trunk1#查看LACP協(xié)商信息[CoreSwitch-01]displaylacpeth-trunk1#查看成員端口狀態(tài)[CoreSwitch-01]displayinterfaceEth-Trunk1#查看成員端口流量統(tǒng)計[CoreSwitch-01]displayinterfaceGigabitEthernet0/0/1statistics[CoreSwitch-01]displayinterfaceGigabitEthernet0/0/2statistics[CoreSwitch-01]displayinterfaceGigabitEthernet0/0/3statistics#測試鏈路故障切換#關(guān)閉一個成員端口，觀察流量是否自動切換[CoreSwitch-01]interfaceGigabitEthernet0/0/1[CoreSwitch-01-GigabitEthernet0/0/1]shutdown[CoreSwitch-01-GigabitEthernet0/0/1]displayeth-trunk1驗證要點正常情況下，聚合接口應(yīng)處于Up狀態(tài)，所有成員端口都參與轉(zhuǎn)發(fā)。通過統(tǒng)計信息觀察流量是否均勻分布在各成員端口，驗證負載均衡效果。模擬鏈路故障，驗證流量是否快速切換到其他正常鏈路，檢查LACP協(xié)商是否正常。第四章核心交換機故障排查即使配置正確，網(wǎng)絡(luò)設(shè)備在運行過程中也可能出現(xiàn)各種故障?？焖贉蚀_地定位和解決問題，是網(wǎng)絡(luò)工程師的核心能力之一。本章將介紹核心交換機常見的故障類型、系統(tǒng)的排查思路和實用的排查工具，并通過典型案例分析，幫助您掌握故障排查的方法和技巧。良好的故障排查能力，能夠大幅縮短故障恢復(fù)時間，保障網(wǎng)絡(luò)穩(wěn)定運行。常見故障類型端口不通現(xiàn)象：端口狀態(tài)Down，設(shè)備無法通信，指示燈不亮可能原因：物理連接問題：網(wǎng)線松動、斷裂、光纖污損端口配置錯誤：速率、雙工模式不匹配端口被shutdown或error-down對端設(shè)備故障或端口未啟用鏈路聚合失效現(xiàn)象：聚合接口Down，流量無法通過或僅部分成員端口工作可能原因：成員端口配置不一致LACP協(xié)商失敗活動鏈路數(shù)低于最小值對端聚合配置錯誤VLAN間通信異?，F(xiàn)象：同VLAN內(nèi)通信正常，跨VLAN無法通信可能原因：三層接口未配置或IP地址錯誤路由表缺少相關(guān)路由ACL或防火墻策略阻止ARP表項缺失或錯誤生成樹環(huán)路與阻塞現(xiàn)象：網(wǎng)絡(luò)時斷時續(xù)，廣播風(fēng)暴導(dǎo)致CPU高負載，端口頻繁Up/Down可能原因：生成樹未啟用或配置錯誤出現(xiàn)物理環(huán)路根橋選舉異常邊緣端口誤配置STP拓撲頻繁變化故障排查思路與工具收集故障信息明確故障現(xiàn)象、影響范圍、發(fā)生時間、最近變更等信息。詢問用戶具體表現(xiàn)，是完全不通還是間歇性中斷。物理層檢查檢查網(wǎng)線、光纖、模塊連接是否正常，端口指示燈狀態(tài)，使用cabletester測試線纜質(zhì)量。配置層檢查查看端口配置、VLAN配置、三層接口、路由表、ACL策略是否正確。對比正常設(shè)備的配置。協(xié)議層檢查檢查生成樹、VRRP、LACP等協(xié)議狀態(tài)，查看協(xié)議日志和協(xié)商信息。流量分析使用抓包工具分析報文，查看是否有異常流量、環(huán)路、ARP欺騙等問題。驗證修復(fù)應(yīng)用解決方案后，全面測試連通性，觀察一段時間確保問題徹底解決。常用排查命令#測試連通性pingtracert#查看端口狀態(tài)displayinterfacebriefdisplayinterfaceGigabitEthernet0/0/1#查看日志displaylogbufferdisplaylogbufferreverse#查看MAC地址表displaymac-address#查看ARP表displayarp#查看路由表displayiprouting-table#查看CPU和內(nèi)存displaycpu-usagedisplaymemory#查看生成樹狀態(tài)displaystpbriefdisplaystpabnormal#查看VRRP狀態(tài)displayvrrp抓包與分析工具交換機端口鏡像：將目標端口流量復(fù)制到監(jiān)控端口，使用Wireshark等工具抓包分析#配置端口鏡像[CoreSwitch-01]observe-port1interfaceGigabitEthernet0/0/24#配置觀察端口[CoreSwitch-01]interfaceGigabitEthernet0/0/1[CoreSwitch-01-GigabitEthernet0/0/1]port-mirroringtoobserve-port1bothsFlow/NetFlow：采樣流量導(dǎo)出到分析平臺，實時監(jiān)控網(wǎng)絡(luò)流量和異常。Wireshark：強大的報文分析工具，可以詳細解析各層協(xié)議，定位通信問題。典型案例分析案例1：VLAN配置錯誤導(dǎo)致通信中斷故障現(xiàn)象：某辦公區(qū)域突然無法訪問服務(wù)器，同區(qū)域內(nèi)部通信正常。排查過程：使用ping測試，發(fā)現(xiàn)辦公區(qū)網(wǎng)關(guān)無法訪問服務(wù)器網(wǎng)段/24檢查核心交換機路由表，發(fā)現(xiàn)路由條目正常檢查連接匯聚交換機的Trunk端口配置，發(fā)現(xiàn)VLAN30未添加到allow-pass列表執(zhí)行命令：[CoreSwitch-01-GigabitEthernet0/0/5]porttrunkallow-passvlanadd30問題解決，通信恢復(fù)正常經(jīng)驗總結(jié)：Trunk鏈路必須允許所有需要傳遞的VLAN通過。新增VLAN后，需要同步更新所有Trunk端口配置。案例2：VRRP主備切換異常排查故障現(xiàn)象：雙核心交換機VRRP配置后，主設(shè)備恢復(fù)時未能重新接管流量，導(dǎo)致流量長期走備用設(shè)備。排查過程：查看VRRP狀態(tài)：displayvrrp，發(fā)現(xiàn)CoreSwitch-01（主）狀態(tài)為Backup檢查優(yōu)先級配置，CoreSwitch-01為120，CoreSwitch-02為100，配置正確檢查搶占模式，發(fā)現(xiàn)未啟用：displayvrrpinterfacevlanif10verbose在CoreSwitch-01上啟用搶占：[CoreSwitch-01-Vlanif10]vrrpvrid1preempt-mode等待30秒后，CoreSwitch-01重新成為Master經(jīng)驗總結(jié)：VRRP默認不啟用搶占模式。如果需要高優(yōu)先級設(shè)備恢復(fù)后重新接管，必須顯式配置preempt-mode。案例3：生成樹環(huán)路引發(fā)廣播風(fēng)暴故障現(xiàn)象：網(wǎng)絡(luò)突然變慢，核心交換機CPU接近100%，大量端口頻繁Up/Down。排查過程：查看CPU占用：displaycpu-usage，發(fā)現(xiàn)CPU被大量報文處理占滿查看日志：displaylogbuffer，發(fā)現(xiàn)大量生成樹拓撲變化日志查看生成樹異常：displaystpabnormal，發(fā)現(xiàn)某接入交換機連接了兩條鏈路到匯聚層，形成環(huán)路臨時措施：shutdown其中一條鏈路，網(wǎng)絡(luò)恢復(fù)檢查發(fā)現(xiàn)接入交換機未啟用生成樹協(xié)議，導(dǎo)致環(huán)路在接入交換機啟用RSTP：stpenable，配置邊緣端口恢復(fù)shutdown的鏈路，測試正常經(jīng)驗總結(jié)：所有二層網(wǎng)絡(luò)設(shè)備必須啟用生成樹協(xié)議。接入層連接用戶的端口應(yīng)配置為邊緣端口，加快收斂速度并防止誤觸發(fā)拓撲變化。第五章核心交換機網(wǎng)絡(luò)設(shè)計與應(yīng)用核心交換機的價值不僅體現(xiàn)在單臺設(shè)備的性能上,更體現(xiàn)在整體網(wǎng)絡(luò)架構(gòu)設(shè)計中。合理的網(wǎng)絡(luò)架構(gòu)能夠充分發(fā)揮核心交換機的能力，構(gòu)建高可用、高性能、易擴展的網(wǎng)絡(luò)系統(tǒng)。本章將介紹核心交換機組網(wǎng)架構(gòu)設(shè)計原則、數(shù)據(jù)中心設(shè)計要點、企業(yè)部署案例以及SDN等新技術(shù)趨勢，幫助您掌握從理論到實踐的完整設(shè)計能力。核心交換機組網(wǎng)架構(gòu)設(shè)計三層架構(gòu)設(shè)計原則（接入-匯聚-核心）經(jīng)典的三層架構(gòu)將網(wǎng)絡(luò)劃分為接入層、匯聚層和核心層，每層有明確的功能定位：接入層：用戶終端接入，提供密集的端口接入能力匯聚層：流量匯聚、策略控制、VLAN間路由核心層：高速轉(zhuǎn)發(fā)、網(wǎng)絡(luò)互聯(lián)，簡化配置分層設(shè)計優(yōu)勢職責(zé)明確，便于管理和故障定位便于擴展，增加接入容量只需添加接入設(shè)備性能優(yōu)化，核心層專注于高速轉(zhuǎn)發(fā)成本優(yōu)化，不同層級使用不同檔次設(shè)備核心層設(shè)計要點避免復(fù)雜策略，保持轉(zhuǎn)發(fā)效率冗余設(shè)計，至少雙核心互聯(lián)高速鏈路，萬兆/40G/100G互聯(lián)設(shè)備虛擬化，簡化管理匯聚層設(shè)計要點實施訪問控制和QoS策略執(zhí)行VLAN間路由上行鏈路聚合提升帶寬和冗余安全策略部署點Spine-Leaf架構(gòu)簡介Spine-Leaf是新興的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)，特別適合大規(guī)模云計算和虛擬化環(huán)境：Spine層（脊柱層）：核心交換機，提供高速互聯(lián)背板Leaf層（葉子層）：接入交換機，直接連接服務(wù)器架構(gòu)特點：任意兩臺服務(wù)器之間最多經(jīng)過3跳（Leaf-Spine-Leaf）延遲可預(yù)測且一致水平擴展能力強，增加Spine或Leaf即可擴容全網(wǎng)狀互聯(lián)（FullMesh），無阻塞轉(zhuǎn)發(fā)適合東西向流量占主導(dǎo)的場景數(shù)據(jù)中心核心交換機設(shè)計要點高密度端口與高速互聯(lián)數(shù)據(jù)中心流量密集，要求核心交換機提供大量高速端口：支持40G/100G/400G高速接口端口密度高，單臺設(shè)備支持上百個萬兆/40G端口支持光纖連接，滿足長距離互聯(lián)需求背板帶寬Tbps級別，保證無阻塞轉(zhuǎn)發(fā)冗余設(shè)計與高可用數(shù)據(jù)中心對可用性要求極高，必須消除單點故障：雙核心交換機互為備份，組成冗余架構(gòu)設(shè)備級冗余：雙電源、雙引擎、雙風(fēng)扇鏈路級冗余：關(guān)鍵鏈路使用聚合或雙歸協(xié)議級冗余：VRRP、BFD快速檢測99.99%以上可用性目標（年故障時間<53分鐘）設(shè)備虛擬化技術(shù)通過虛擬化技術(shù)簡化管理，提升可靠性：CSS/VSU/iStack：將多臺物理設(shè)備虛擬為一臺邏輯設(shè)備統(tǒng)一管理，單一IP地址，簡化配置跨設(shè)備鏈路聚合，消除生成樹阻塞支持不中斷升級（ISSU），提高可維護性Fabric技術(shù)，實現(xiàn)大二層網(wǎng)絡(luò)，支持VM遷移數(shù)據(jù)中心核心交換機選型考慮流量規(guī)模：預(yù)估未來3-5年峰值流量端口類型：萬兆、40G、100G配比虛擬化支持：是否需要Fabric或大二層可靠性要求：RTO/RPO目標預(yù)算與ROI：綜合考慮采購和運維成本數(shù)據(jù)中心網(wǎng)絡(luò)演進趨勢400G/800G接口逐步普及白盒交換機+開放網(wǎng)絡(luò)操作系統(tǒng)SDN控制器統(tǒng)一管理網(wǎng)絡(luò)資源Overlay網(wǎng)絡(luò)（VXLAN）實現(xiàn)多租戶隔離網(wǎng)絡(luò)可編程性增強，支持自動化部署典型企業(yè)核心交換機部署案例案例背景：某大型企業(yè)總部網(wǎng)絡(luò)改造企業(yè)規(guī)模：總部大樓20層，約2000名員工，200臺服務(wù)器業(yè)務(wù)需求：支持辦公網(wǎng)、生產(chǎn)網(wǎng)、訪客網(wǎng)多業(yè)務(wù)隔離核心網(wǎng)絡(luò)高可用，故障切換時間<30秒支持未來3年業(yè)務(wù)擴展實現(xiàn)網(wǎng)絡(luò)流量可視化監(jiān)控痛點分析：原有核心交換機性能不足，峰值時延高單點故障風(fēng)險，曾發(fā)生核心交換機故障導(dǎo)致全網(wǎng)中斷缺乏有效的網(wǎng)絡(luò)監(jiān)控手段配置復(fù)雜，運維效率低解決方案設(shè)計01設(shè)備選型選擇2臺華為CE6800系列核心交換機，支持48個萬兆端口，背板1.28Tbps，滿足未來擴展需求02架構(gòu)設(shè)計采用