show version 获取软/硬件信息 show module 验证模块状态 reload module 1重启或关闭模块 show module uptime 确定每个模块已运行时间 show module fabric 确定每个功能模块状态 show hardware fabric-utilization 查看当前模块使用情况 show environment fan 查看机箱风扇和电源风扇的状态 show environment power 查看功率的预算及使用 show environment temperature 查看每个模块温度值(若minor==major数值相同,snmp将会发送报警信息) show system redundancy status 查看active/standby和HA的管理状态 system switchover 强制standby转换为active状态 show interface brief show interface switchport show interface trunk show running-config show startup-config copy running-config startup-config 保存当前运行配置 write erase 删除启动配置(清除配置) attach module 1 登陆到一个模块(exit或$登出模块)
show license host-id 显示host-id 用于在cisco.com创建许可文件 install license bootflash:license_file.lic 安装许可证 license grace-period 启用宽限期许可证,延期高达120天 show license usage 验证安装的许可证 show license usage LAN_ENTERPRISE_SERVICES_PKG show license file mds20080623110250757.lic 显示一个许可证文件(如果已安装) feature bgp/... 启用或禁用功能 show feature 查看功能状态
1.ISSU 不中断升级
拷贝NX-OS系统镜像到FLASH,并用一条命令升级 install all kickstart bootflash:n7000-s1-kickstart.4.0.3.bin system bootflash:n7000-s1-dk9.4.0.3.bin ISSU服务中软件升级服务,可在没有任何停机或数据包丢失的情况下完成升级和修复问题 2.冷启动 dir 查看flash中文件 show boot 查看引导参数 boot kickstart bootflash:n7000-s1-kickstart.4.0.1.bin sup1 sup2 reload 手动重启 sup1/sup2(Supervisor):引擎是一块板卡,和接口板差不多,引擎上面一般也有接口,比较少,还有console口,模块化的交换机如果没有接口板可以工作,但没有引擎是不能工作的。
查看BIOS和EPLD版本 show version module 1 模块BIOS版本 show version module 1 epld 模块EPLD版本 show version fan 1 epld 风扇EPLD版本 show version xbar 1 epld 交换矩阵EPLD版本 EPLD: ( Erasable Programmable Logic Device) 可擦除可编辑逻辑器件 是一种集成电路,包括一系列的编程逻辑器件,其无需进行再次连接。
1.如果存在2个管理引擎,那么断电或拆除其中一个。 2.用console线连接活跃状态的管理引擎,然后重启整个设备。 3.当系统重新启动过程中,看到如下提示时“Loading system software”同时按下“CRTL+]”键组合。 4.应该出现“switch(boot)#” kickstart image 提示。 5.使用“config t” 和“admin-password xxxxxxx”命令配置管理密码并exit推出配置模式。 6.加载NX-OS 使用“load bootflash:NX-OS” 命令。 7.登陆NX-OS 使用新的“admin”密码。 8.再次更改“admin” 密码以便同步 SNMPv3。 9.保存running-configuration到startup-configuration 10.安装之前断电或拆除的引擎。
1.清空配置重启 write erase reload
2.配置Banner banner motd^xxxxxxxxxxxxxxxxxxxx^
3.保存配置 copu running-config startup-config 不支持wr保存
4.查看文件系统 dir 查看本地flash dir log: 查看log存储(注意加冒号) dir logflash: 查看外部log存储
5.配置电源冗余 power redundancy-mode combined 无冗余 power redundancy-mode insrc-redundant Grid冗余 power redundancy-mode ps-redundant PS冗余 power redundancy-mode redundant PS Grid show environment power 查看电源状况
6.配置NTP clock timezone GMT 8 0 ntp server 137.60.3.155 use-vrf management ntp source-interface mgmt 0 show ntp peer-status 查看ntp状态 show ntp statics peer ipaddr 137.60.3.155
7.Cisco Fabric Services,cisco私有特性,用于分发数据,包括配置的变化,NX-OS设备 包含内容如下:RADIUS,TACAS ,User and administrator roles,Call Home ,NTP 以一个CFS为一个配置设备子集 用CFS同步NTP N7K : cfs ipv4 distribute ntp distribute N5K : clock timezone GMT 8 0 cfs ipv4 distribute ntp distribute 查看CFS信息 show cfs status show cfs peers show cfs application
8.Scheduler Job : 按照一个特定的Scheduler(日程安排)完成的一个日常任务或者被定义的一个命令清单的任务 Scheduler:完成一个job的日程表,可以指定多个job到一个Scheduler,一个Scheduler可以只运行一次,也可以周期性运行,Periodic mode/One-time mode feature scheduler scheduler job name reload-job reload configure ip route 1.1.1.1/24 3.3.3.3 exit exit scheduler schedule name reload-scheduler job name reload-job time daily 01:00 exit 9.Ethanalyzer,抓上传CPU包,
只在default VDC中可用,交互式分析supervisor发送和接收的数据包,特别的可以捕获supervisor通过带外管理接口(mgmt0)和I/O模块接收到的流量,使用wireshark内核 配置 ethanalyzer local interface mgmt display-filter "tcp.port eq 23 or icmp" limit-captured-frames 100 ethanalyzer local interface inband capture-filter "host 23.1.1.2" limit-captured-frames 100 测试 feature telnet telnet 137.60.3.71 vrf management ping 137.60.3.71 vrf management
10.Rollback--回滚快照 为Cisco NX-OS创建一个快照,可以在任何时间,不重启设备的情况下,恢复配置到检查点 创建: checkpoint before-enable-ospf license grace-period feature ospf router ospf 1 checkpoint after-enable-ospf 查看配置 show diff rollback-patch checkpoint-before-enable-ospf checkpoint after-enable-ospf 回滚: rollback running-config checkpoing before-enable-ospf 11.Session Manager,批量配置
批量运用配置的修改,步骤如下 configuration session:在Session Manager模式下,创建一个你希望运用的一批命令 Validation:对配置进行基本的语法检测,不通过则报错 Verification:根据实际的硬件,软件配置和资源,核实整个配置,不通过则报错 commit:核实并运用修改到设备,如果出现故障,Cisco NX-OS还原原始配置 Abort:运用之前,丢弃配置的修改 配置: configure session mtts object-group ip address mtts.add host 3.3.3.3 exit ip access-list mtts.acl permit ip any addgroup mtts.add exit interface e3/ ip access-group mtts.acl in exit verify commit
12.激活密码强度检查 show password strength-check password strength-check username mtts password cisco,提示不成功 username mtts password C1sc0.123 增强密码的特点: 1.至少8位长度 2.不能包括太多连续的字符(例如:abdc) 3.不能包括太多重复的字符(例如:aaabbb) 4.不能包括字典中的单词 5.包括大小写字母 6.包括数字
13.配置SSH服务器 no feature ssh ssh key rsa 2048 force feature ssh show ssh key ssh login-attempts 5 show run security 若密钥不匹配,则clear ssh hosts之后重连
14.Call Home 自动执行和附上相关CLI命令的输出 多种信息格式选项 可以配置多个并发信息的目的,为每一个“Destination Profile”可以配置最多50个邮件目标 配置: snmp-server contact xxx@163.com callhome email-contact xxx@163.com phone-contact 86-88888888 Streetaddress HXIBC B1 708 destination-profile MTT destination-profile MTT format full-txt destination-profile MTT email-addr xxxx@163.com destination-profile MTT aler-group configuration
基本理论 #虚拟化程度 数据/控制层面:VLAN和VRF 数据/控制层面+管理层面:Virtual Contexts技术(Cisco ASA和FWSM的虚拟防火墙) 数据/控制层面+管理层面+资源+操作环境:在数据/控制/管理层面分离的基础之上,N7K VDC提供分离的资源和操作环境,并创建一个分离的故障域。 Hypervisor模式提供了完整的虚拟化。
#可扩展性:4个VDC分为1个default VDC和3个no-default VDC或者1个admin VDC和4个no-default VDC 每个VDC支持4K个VLANs,256个VRFs,每个物理设备罪过768个port-channel,2个SPAN # Default VDC 完整功能的VDC,拥有所有的能力 有些任务只能在default VDC中被执行,VDC的创建,删除和挂起;资源的关联,接口内存等;NX-OS的升级;ethanalyzer抓包;为NX2000,FabricPath和PCoE安装Feature-set;CoPP;Port Channel负载均衡;激活ACL捕获特性 Default VDC完全可以用来承载生产流量,有些客户更愿意保留他的管理功能 #Non-Default VDC 最小独立单位,拥有独立的配置文件,checkpoints,RBAC,TACACS,SNMP等,每个协议有自己独立的进程。 #VDC故障域,每个VDC都是一个分离的故障域,当一个VDC中的进程崩溃,其他VDC进程不受影响,并 继续运行 #VDC资源 物理资源:以太网接口 逻辑资源:SPAN,port channel,VLAN和VRF 配置文件:每个VDC在NVRAM内维护一个分离的文件 #VDC资源共享,VDC有共享资源和独享资源 Global Resources:只能在default VDC为所有VDC全聚德关联,设置和配置,例如:启动镜像和配置,Ethanalyzer会话,CoPP等 Dedicated Resources:被关联到特定VDC的资源,例如:二层三层端口,VLAN,IP地址空间等。 Shared Resources:所有VDC之间被共享,例如:带外以太网管理端口 #VDC模块关联限制 module-type参数可以限制VDC能够关联的模块类型,如:m1,m1-xl,m2-xl,f1,f2 limit-resource module-type f1 m1 m1-xl,m2-xl是默认配置,允许在一个VDC中混合配置M1,M1-XL ,M2-XL和F1模块 limit-resources module-type f2 , 创建一个F2 only的VDC,F2模块不能与其他非F2模块在一个VDC中共存。若系统中只存在F2模块,系统自动设置default VDC为F2模式 #Storage VDC,分离LAN和SAN管理,在N7K中创建一个虚拟的MDS,支持所有FC特性,支持FCoE Target,支持与其他交换机之间的FCoE ISLs,每个物理设备只支持一个Storage VDC,不需要VDC的advanced licence,消耗4个VDC中的一个 #admin VDC,旧版NX-OS如果default VDC 出现故障,造成切换或重启,影响所有VDC,自NX-OS6.1之后引入新的VDC-admin VDC。 只有SUP2 和 SUP2E支持,SUP2支持4 VDC+1 admin VDC,SUP2E支持8 VDC+1 admin VDC admin VDC被激活后,只有mgmt0接口关联到admin VDC 激活admin VDC不需要advanced Services Package Licence和VDC License #N7K-M132XP-12 Port Group每4个端口1个Port Group,一共8个Port Group,一个模块上,以Port Group为单位关联到VDCs N7K-F132XP-15 Port Group每两个端口为一个Port Group,一共16个Port Group,单个模块以Port Group为单位关联到VDCs N7K-F248XP-25 Port Group没4个端口为一个Port Group,一共12个Port Group,单个模块以Port Group为单位关联到VDCs #接口关联与共享 默认一个接口只允许存在于一个VDC中 通过“Ethertype”分离流量 以太网类型的VDC拥有自己的接口 Storage VDC也能够看到这个接口 #VDC之间的通信 通过前面板的端口实现 不存在软件的cross-connect,或者背板 VDC间通信 #Resource Template 在引擎上的CPU和内存资源,在所有的VDC之间共享 Resource Templates用来限制VDC对引擎资源的影响 在一个VDC中的VLAN和VRF的限制数量,可以直接被设置 #VDC硬件利用: 二层交换 在特定的line cards(线卡)上的发送引擎,只包含在这个线卡上有关联端口VDC的MAC地址条目。 三层交换 没有VDC,TCAM在所有线卡上包含相同的路由和访问控制列表条目 使用VDC,FIB和ACL TCAM资源会被更加有效的利用 #VDC管理 带外管理 VDC共享在引擎上的带外网管接口 IP地址必须在一个相同的网段 带内管理 用来分离VDC之间的管理流量 .VDC配置 show vdc n7k resource 查看资源关联 (1)配置Resource Template vdc redource template Matin-RT limit-resource vlan minimum 64 maximum 128 limit-redource vrf minimum 32 maximum 64 exit show vdc resource template Matin-RT (2)创建VDC vdc n7k vdc DC1-N7K-2 show vdc show vdc n7k detail (3)限制VDC资源使用 vdc n7k template Matin-RT limit-resource port-channel minimum 32 maximum 64 show vdc n7k resource (4)限制关联模块 vdc n7k limit-resource module-type f1 m1xl (5)关联接口到VDC vdc n7k allocate interface ethernet 3/9-16 allocate interface ethernet 4/9-16 show vdc n7k membership (6)CPU Share,保证某个特定VDC的CPU利用率 show vdc n7k detail vdc n7k cpu-share 10 (6)配置Boot Order vdc n7k boot-order 2 (7)VDC高可用性 Dual supervisor modules: Bringdown:设置VDC为失败状态 Restart:重启VDC,关闭所有接口,虚拟服务进程(记得保存设置) Switchover:启动引擎为活动状态
1.VPC的基本概念和优势 用途:扩展Port-Channel,可以跨设备实现Port-Channel的功能 优势: 允许下行设备通过port channel跨两个不同的上行设备。 避免了以太网环路,也就不需要增加生成树(STP)的功能,也就解决了因为生成树功能而产生的block端口。 增加了上行带宽 当链路或是设备出现故障可以实现快速的故障恢复 确保高可靠性 双活工作机制 实现网络拓扑简单化 术语: vPC(Virtual Port Channel):在2个vPC peer(2台N7K)和有port-channel能力的下游设备(普通接入交换机)之间虚拟的portchannel。 vPC peer device:vPC对等体,一对激活的VPC交换机(如2台N7K)。 vPC domain:VPC域,VPC domain包含2个VPC peer设备(2台N7K),一个VPC domain最多有2台peer设备。VPC对等体配置的VPC Domain必须相同。 vPC member port:VPC成员端口,VPC对等体(2台N7K)上的构成vPC的端口(下联端口),即与下游设备互联的VPC的port-channel成员端口。 vPC peer-link:在VPC peer之间同步状态信息,承载控制层面流量。Peer Liink必须是10GE链路,一般是2层的portchannel,trunk链路,透传VPC的VLAN; vPC peer-keepalive link:两台VPC peer之间的keepalive链路,用于监控peer的存活状态,三层链路。 vPC VLAN:在VPC peer link上透传的VLAN,即在peer link的trunk链路上trunk allow的VLAN。VPC VLAN用于与第三方设备通信,比如用于做为下游设备连接的PC的SVI网关。 non-vPC VLAN:不属于VPC,也没有在peer link上透传的VLAN; Orphan Device:孤立设备,即此台接入层交换机只上连一台N7K的设备(没有双上连到2台N7K); Orphan port: 孤立端口,VPC peer设备(N7K)上 连接Orphan Device的端口(N7K下联端口)。 Cisco Fabric Services(CFS) protocol:CFS协议,运行在vPC peer link之间,用于提供信息同步和配置一致性检查(比如vPC端口配置的MTU是否一致等)。
2.VPC的配置 VPC的配置分为七步 第一步,进入配置模式 configure terminal 第二步,启用VPC特性 n7k(config)feature vpc 第三步,配置VPC Domain n7k(config)# vpc domain 5 第四步,配置Peer-keepalive 对于管理接口: n7k(config-vpc-domain)# peer-keepalive destination 172.28.230.85 n7k(config-vpc-domain)# 对于SVI接口: n7k(config-vpc-domain)#peer-keepalive destination 172.28.1.100 source 172.28.1.120 vrf default 第五步,配置系统优先级 n7k(config-vpc-domain)# system-priority 4000 第六步,配置角色优先级 n7k(config-vpc-domain)# role priority 2000 第七步,配置VPC peer-link n7k(config)# interface port-channel 20 n7k(config-if)# vpc peer-link 第八步,将port-channel加入VPC n7k(config)#interface e1/1 n7k(config-if)channel-group 20 n7k(config-if)# interface port-channel 20 n7k(config-if)# vpc 100
