मैंने अपना नेटवर्क कैसे (आधा) तोड़ा?

मैं कुछ पोस्ट-इवेंट सलाह की तलाश कर रहा हूं ताकि यह घटना फिर से न हो।

हमारे पास दो सिस्को 4500x स्विच का एक नेटवर्क कोर है, जो वीएसएस अतिरेक के लिए कॉन्फ़िगर किया गया है। उन लोगों से, हमारे पास iSCSI डिवाइस, हमारे vphphere के लिए हमारे HP bladecenter, हमारे उपयोगकर्ता एक्सेस स्विच के लिए एकत्रित लिंक और हमारे सर्वर रूम में तांबे के उपकरणों के लिए 4948e स्विच की एक जोड़ी है। 4948 के दशक में हमारे पास दो आईएसपी लिंक के लिए 2960 स्विच की एक जोड़ी है, और एएसए की एक जोड़ी फायरवॉल के रूप में है। सुंदर सभ्य अतिरेक, केवल ४ ९ ४ have से जुड़ने वाले बहुत सारे उपकरणों को छोड़कर, केवल एनआईसी हैं - केवल इतना ही हम कर सकते हैं।

हम अपने वर्तमान उपयोगकर्ता एक्सेस स्विच (पुराने एक्स्ट्रीम) को मरकी से बदलने की तैयारी कर रहे हैं। हम अपने वर्तमान अरुबस को बदलने के लिए मरकी एपी को भी लागू कर रहे हैं। वायरलेस परियोजना के भाग में एपी प्रबंधन और अतिथि वायरलेस के लिए कुछ नए वीएलएएन और सबनेट बनाना शामिल है।

हमने 4500x पर दो परिभाषित वीएलएएन (20 और 40) का उपयोग किया था जो कहीं भी उपयोग नहीं किए गए थे - पुष्टि की गई कि सबनेट खाली थे, उनका उपयोग करने वाले कोई बंदरगाह नहीं, आदि। मैं 4500x में चला गया और " no interface vlan 20" जारी किया , और फिर इसे सबनेट के साथ फिर से बनाया। मैं चाहता था। फिर मैंने इसे दो 10Gb पोर्ट्स में जोड़ा, जो कि मरकी से जुड़े हैं

switchport trunk allowed <previous list plus two VLANs above plus existing wireless VLAN>

मैंने देखा कि 20 और 40 वीएलएएन शटडाउन थे, इसलिए मैंने no shutdownउन पर जारी किया। मैंने उस बिंदु पर मराकियों तक पहुंच खो दी, इसलिए मुझे एहसास हुआ कि मैंने उस लिंक के लिए पोर्ट चैनल इंटरफ़ेस में वीएलएएन को नहीं जोड़ा था।

इस बिंदु पर हमारा आधा पर्यावरण अप्राप्य हो गया

हमारा इंटरनेट लिंक बेहद परतदार हो गया। हमारे Avaya वीओआईपी फोन में या बाहर डायल नहीं कर सका। हमारे पास कुछ तांबे से जुड़े iSCSI उपकरण हैं जो अनुपलब्ध हो गए - किसी भी उपयोगकर्ता-सामना के लिए कोई आउटेज नहीं है, लेकिन हमारे बैकअप और मेल संग्रह प्रभावित हुए। मैं सर्वर रूम में चला गया, और 4500x (दोनों 10Gb फाइबर पोर्ट्स को अनप्लग्ड) से मराकियों को डिस्कनेक्ट कर दिया, अगर मैंने किसी तरह लूप बनाया था - कोई बदलाव नहीं। मैं बस उस बिंदु पर थोड़ी देर के लिए इसे घूर रहा हूं।

मैंने ओरियन को खींच लिया और नोट किया कि हमारा एक बाहरी स्विच (कैट 2960) और हमारा एक एएसए पेयर नीचे था। जाहिर है कि हमारे पास आंशिक लैन कनेक्टिविटी हानि के कुछ प्रकार थे, लेकिन एएसए जोड़ी भी एक-दूसरे के साथ क्रॉसओवर से जुड़ी हुई है, और उनके अपलिंक नीचे नहीं गए थे, इसलिए वे विफल नहीं हुए कि हमारे आंतरिक डिवाइस क्या पहुंच सकते हैं। मैंने "नीचे" एएसए को बंद कर दिया और इंटरनेट फिर से पहुंच योग्य हो गया।

मैंने टीएसी को फोन किया, और कुछ घंटों के बाद तकनीक के साथ कुठाराघात किया, जो प्रत्येक डाउन होस्ट के लिए हर पोर्ट कॉन्फ़िगर करने के लिए नाइटपैकिंग करता रहा था जो मैं उसे 4500x पर दिखा रहा था, मैंने अपने 4948e स्विच में से एक में लॉग इन किया और दिखाया कि यह कैसे चीजों को नहीं रोक सकता है। वे सीधे जुड़े हुए थे और ऊपर - हमारे विंडोज-आधारित कॉपर iSCSI उपकरणों में से एक, हमारे ब्लैडसेकेटर पर एक आईएलओ इंटरफ़ेस, आदि।

उन्होंने लॉग पर ध्यान दिया था और उन्हें कुछ भी नहीं मिला था, लेकिन इस बिंदु पर उन्होंने कहा कि "एक फैले हुए पेड़ की बग की तरह दिखता है, भले ही मुझे वह लॉग में नहीं दिखता है", इसलिए हमने 4948e को रिबूट किया और इसके सभी सीधे -अनुकूलित मेजबान सही वापस आ गए - अवाया कैबिनेट सहित, इसलिए हमारे फोन फिर से काम करने लगे। 4500x फाइबर से जुड़े उपकरणों - मृत रास्तों में अभी भी हमें समस्या थी, क्योंकि यह सब बेमानी था। वह इसे अनुचित तरीके से शक्ति-चक्र करना चाहता था, लेकिन इसमें हमारे सभी 10 Gbit iSCSI हैं, और इससे हमारे vSphere वातावरण (अनिवार्य रूप से हमारे सभी सर्वर) का सप्ताह खराब होगा। मैंने उनसे एक सुंदर अतिरेक स्विचओवर करने के लिए बात की, जिसमें शेष समस्याओं का ध्यान रखा गया।

टीएल; डीआर: मैंने अपने कोर में काफी सहज बदलाव किया, और एक गुप्त समस्या का कारण बना। क्या मैंने एक विन्यास गलती की है जिसका कारण यह होना चाहिए था - उदाहरण के लिए, अगर मैंने पहले वीएलएएन को बंद नहीं किया था और उन्हें पोर्टचैनल और फिर बंदरगाहों में जोड़ा था, तो क्या इसे टाला जाएगा? सिस्को तकनीक ने ऐसा नहीं कहा; उन्होंने कहा, एक साल और पुराने IOS संस्करणों में बदलाव के साथ, इस तरह की स्थितियां आश्चर्यजनक नहीं हैं।

4500x: सिस्को IOS सॉफ्टवेयर, IOS-XE सॉफ्टवेयर, उत्प्रेरक 4500 L3 स्विच सॉफ्टवेयर (cat4500e-UNIVERSALK9-M), संस्करण 03.04.05.SG RELEASE SOFTWARE (fc1) ROM: 15.0 (1r) SG10

4948e: सिस्को IOS सॉफ्टवेयर, उत्प्रेरक 4500 L3 स्विच सॉफ्टवेयर (cat4500e-IPBASEK9-M), संस्करण 15.0 (2) SG10, RELEASE SOFTWARE (fc1) ROM: 12.2 (44r) SG11

ऐसा लगता है जैसे आपने एक प्रसारण तूफान बनाया, और इसे रोकने का एकमात्र तरीका स्विच को नीचे करना है। कई बार इस के माध्यम से रहने के बाद, हमने सिस्को द्वारा अनुशंसित कुछ सर्वोत्तम प्रथाओं को अपनाया है:

• आपके पास केवल एक एकल एक्सेस स्विच में एक वीएलएएन विस्तार होना चाहिए। आपके पास पहुंच स्विच पर पसंद के रूप में कई वीएलएएन हो सकते हैं, लेकिन किसी भी एक्सेस स्विच पर वीएलएएन को किसी अन्य एक्सेस स्विच में ट्रंक नहीं किया जाना चाहिए, केवल वितरण स्विच पर। switchport trunk allowed vlan आदेश के साथ एक ट्रंक पर अन्य सभी वीएलएएन को मैन्युअल रूप से अक्षम करके इसे लागू करें ।
• एक वितरण स्विच को उस पर कोई एक्सेस इंटरफेस नहीं होना चाहिए, केवल वितरण ट्रंक इंटरफेस।
• VTP का उपयोग न करें ( transparentमोड पर सभी स्विच सेट करें)।
• आपके एक्सेस इंटरफेस में सक्षम portfastऔर bpduguardसक्षम होना चाहिए। आप अपने सभी एक्सेस इंटरफेस के लिए विश्व स्तर पर सक्षम कर सकते हैं, और आपके ट्रंक इंटरफेस अप्रभावित रहेंगे। यदि आप गलती से एक एक्सेस इंटरफ़ेस से स्विच कनेक्ट करते हैं, तो यह इंटरफ़ेस को err-diableएसटीपी लूप में जाने और रोकने का कारण होगा ।
• एक एक्सेस स्विच को दूसरे एक्सेस स्विच से कनेक्ट न करें। केवल वितरण स्विच तक पहुंच स्विच कनेक्ट करें, और केवल ट्रंक इंटरफेस पर।

ये सर्वोत्तम प्रथाएं लगभग सभी एसटीपी समस्याओं को रोकेंगी, और उन सभी समस्याओं को अलग करेंगी जो एक एकल एक्सेस स्विच में होती हैं।

ऊपर रॉन Maupin की उत्कृष्ट सलाह के अलावा, मुझे सिस्को के मंच पर कई पोस्ट भी मिलीं जो कि संभावित बड़ी गलती के बारे में थीं जो मैंने प्रक्रिया में की थीं। मैंने पहले वीएलएएन को भौतिक पोर्ट इंटरफेस में जोड़ा, न कि उस पोर्ट-चैनल इंटरफ़ेस से, जिसके वे सदस्य थे। उत्तरार्द्ध इसे करने का उचित तरीका है, और मैंने समस्या का कारण हो सकता है।