【正文】 Cisco 多層交換園區(qū)網(wǎng)設(shè)計模型 概述 本文首先闡述如何使用多層交換機構(gòu)建園區(qū)網(wǎng)，然后詳細(xì)講解多層交換網(wǎng)的設(shè)計要點。一般來說，使用分級設(shè)計的多層交換網(wǎng)絡(luò)能夠使網(wǎng)絡(luò)工作在最佳狀態(tài)，并具有較好的可伸縮性、容錯性和可操作性。 不 管是用以太網(wǎng)做主干也好， ATM 做主干也好，多層交換模式都有它的優(yōu)點，分級設(shè)計使園區(qū)網(wǎng)的實現(xiàn)變得非常容易，排錯也簡單，因為多層交換的設(shè)計是模塊化的，所以可以根據(jù)建筑物模塊的增加來進行升級。第三層的作用可以讓廣播數(shù)據(jù)限制在核心交換網(wǎng)之外，并能通過 OSPF 和 EIGRP 協(xié)議在主干網(wǎng)上實現(xiàn)鏈路負(fù)載平衡功能。多層交換保持現(xiàn)有的尋址方式，容易遷移， Uplink Fast 通道和 HSRP 協(xié)議提供冗余和快速收斂。帶寬升級可以從以太網(wǎng)到快速以太通道、千兆以太網(wǎng)到千兆以太通道，多層模塊支持各種現(xiàn)有的協(xié)議。 目 錄 園區(qū)網(wǎng)設(shè)計 考慮因素 ?????????????????????? 2 網(wǎng)絡(luò)的橋接???????????????????????? 2 尋址能力和升級能力???????????????????? 2 第二層交換???????????????????????? 3 第三層交換???????????????????????? 4 第四層交換???????????????????????? 4 虛擬局域網(wǎng) VLAN 和仿真局域網(wǎng) LANE???????????? 4 園區(qū)網(wǎng)設(shè)計的參考模型 ????????????????????? 5 Hub 和路由 器模型????????????????????? 5 園區(qū)網(wǎng) VLAN 模型????????????????????? 6 ATM 上的多協(xié)議交換???????????????????? 7 多層交換模型 ????????????????????????? 8 新一代 80/20 規(guī)則????????????????????? 8 多層交換模型的組成???????????????????? 9 冗余和負(fù)載平衡?????????????????????? 9 帶寬升級????????????????????????? 12 核心層策 略???????????????????????? 13 定位服務(wù)器???????????????????????? 14 ATM / LANE 主干????????????????????? 14 I P 多播訪問 ??????????????????????? 16 遷移策略????????????????????????? 18 安全性能????????????????????????? 19 多層模型之間的橋接???????????????????? 19 多層模型的優(yōu)點 ???????????????????? ???? 20 附錄 A：實現(xiàn)多層設(shè)計模型 ??????????????????? 20 以太網(wǎng)主干???????????????????????? 20 服務(wù)器配置???????????????????????? 26 ATM LANE 主干????????????????????? 27 小結(jié)： ?????????????????????????? 34 園區(qū)網(wǎng)設(shè)計考慮因素 平面橋接網(wǎng) 最早的園區(qū)網(wǎng)被認(rèn)為是在單一局域網(wǎng)上添加了多個新用戶而形成的。這樣的 LAN 是網(wǎng)絡(luò)設(shè)備通過物理或邏輯線路連在一起構(gòu)成的網(wǎng)絡(luò)。在這 樣的網(wǎng)絡(luò)中，所有網(wǎng)絡(luò)設(shè)備共享半雙工的 10M 可用以太網(wǎng)帶寬。這時，整個網(wǎng)絡(luò)是一個碰撞域，因為所有網(wǎng)絡(luò)設(shè)備可以偵聽到網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，會產(chǎn)生數(shù)據(jù)包沖突，因此就引進 CSMA/CD 碰撞檢測機制來規(guī)劃網(wǎng)絡(luò)上的數(shù)據(jù)傳輸。 當(dāng)一個碰撞域上的數(shù)據(jù)傳輸變得非常擁擠時，就應(yīng)該加入一個網(wǎng)橋，網(wǎng)橋是一個存儲轉(zhuǎn)發(fā)型的數(shù)據(jù)包交換機，他把整個網(wǎng)絡(luò)分成若干個碰撞域，來減小數(shù)據(jù)包的碰撞，增加傳輸效率。網(wǎng)橋不會隔離網(wǎng)端上的廣播、多播和組播數(shù)據(jù)，就是說，整個園區(qū)網(wǎng)所有橋接網(wǎng)絡(luò)是一個單一廣播域。生成樹協(xié)議 STP 的開發(fā)避免了數(shù)據(jù)回路。 下面是 STP 廣播域的主要特征： 冗余鏈路被封鎖不能傳輸數(shù)據(jù) 不同節(jié)點之間存在非理想路經(jīng) STP 收斂通常需要 40 到 50 秒 在第二層傳輸?shù)膹V播數(shù)據(jù)會中斷所有的主機 在第二層產(chǎn)生的廣播風(fēng)暴會影響到整個域的主機 隔離故障非常困難 網(wǎng)絡(luò)安全沒有保障 理論上，廣播數(shù)據(jù)的大小受整個廣播域的大小限制，實際上，管理一個橋接架構(gòu)的園區(qū) 網(wǎng)會隨著網(wǎng)絡(luò)的不斷擴大而變得越來越難，一個的工作站的故障有可能造成整個網(wǎng)絡(luò)的癱瘓。 當(dāng)設(shè)計橋接網(wǎng)的時候，每個橋接網(wǎng)段就相當(dāng)于一個工作組，工作組服務(wù)器和客戶機一樣被放在同一個網(wǎng)段中，使大部分?jǐn)?shù)據(jù)傳輸在本地網(wǎng) 段中，這就是遵循 80/20 原則。 尋址能力和伸縮能力 路由器是一個用來構(gòu)建互聯(lián)網(wǎng)絡(luò)的包交換機，負(fù)責(zé)在不同的廣播域之間傳輸數(shù)據(jù)。路由器是根據(jù)網(wǎng)絡(luò)地址而不是物理地址來轉(zhuǎn)發(fā)數(shù)據(jù)包的?；ヂ?lián)網(wǎng)絡(luò)的可伸縮性比橋接的網(wǎng)絡(luò)要好，因為路由器可以對網(wǎng)絡(luò)地址進行總結(jié)，從而計算出一條最好的傳輸路徑，路由器之間通常使用諸如 OSPF、 EIGRP 之類的路由協(xié)議來交換路由信息。 與 STP 相比，路由協(xié)議有以下特征： 可以通過幾條相同代價的路徑來實現(xiàn)鏈路負(fù)載平衡 在網(wǎng)絡(luò)之間使用最小開銷路經(jīng) 網(wǎng)絡(luò)狀態(tài)變化時進行快速收斂 匯總路由信息 為了控制廣播數(shù)據(jù)， Cisco 的路由器提供了許多增值功能來提高園區(qū)網(wǎng)的可管理性和可伸縮性，這些功能是 IOS 的特性，現(xiàn)在幾乎所有 Cisco 的路由器和交換機上都有。 IOS 軟件的功能對每個協(xié)議都有特別的支持，它們包括： TCP/IP AppleTalk DEC Novell IPX IBM SNA、 DLSw、 APPN 在園區(qū)網(wǎng)中，從一端到另一端的路由跳數(shù)被稱為網(wǎng)絡(luò)直徑，給園區(qū)網(wǎng)設(shè)計定義直徑是需要有豐富的經(jīng)驗的，這就要用到分層設(shè)計模型，圖 1 展示的就是一個路由器 HUB 結(jié)構(gòu)的典型設(shè)計。從一個建筑物的終端主機 到另一建筑物的終端主機的路由跳數(shù)一般只有 2 跳，從終端主機到 FDDI 主干一般只有 1 跳。 圖 1 ：用路由器和 HUB 組成的傳統(tǒng)園區(qū)網(wǎng) 第二層交換 第二層交換是基于硬件設(shè)備的橋接，數(shù)據(jù)幀的發(fā)送是由專門的硬件來解決，通常是使用ASIC 芯片。如今，在園區(qū)網(wǎng)的設(shè)計中，集線器通常 被交換機取代。 交換機與集線器相比，它的優(yōu)點是非常突出的，試想，一個有 100 人的工作組使用集線器共享一個半雙工的 10M 網(wǎng)段，那么平均每個人只有分配到 100K 左右的帶寬，如果是用全雙工的交換機的話，那么每端口的帶寬是 20M，相差甚大，但服務(wù)器的端口就成了瓶頸。交換機可以使網(wǎng)絡(luò)設(shè)計在每個網(wǎng)段上提供更多的主機數(shù)，使一個完整的園區(qū)網(wǎng)方案中包含更少的邏輯網(wǎng)絡(luò)或者物理網(wǎng)絡(luò)。然而，交換機也和網(wǎng)橋一樣有他們共同的局限性，網(wǎng)絡(luò)的廣播數(shù)據(jù)還是會隨著網(wǎng)段上主機數(shù)目的增加而增加。廣播也影響著主機傳輸數(shù)據(jù)， STP 限制、收斂速度慢和冗 余鏈路封閉的問題仍然存在。 第三層交換 第三層交換的實質(zhì)是基于硬件的路由，數(shù)據(jù)包的發(fā)送也是通過 ASIC 芯片來完成的。在園區(qū)網(wǎng)設(shè)計中，第三層交換機可以依靠協(xié)議、接口和特殊功能的支持來代替路由器，支持標(biāo)準(zhǔn)數(shù)據(jù)包頭并改寫 TTL 值的第三層交換模式叫逐包轉(zhuǎn)發(fā)模式。 高檔的 Layer 3 交換機的實現(xiàn)方法因生產(chǎn)廠家而異， Cisco 的 12021 千兆交換路由器是以線速率實現(xiàn)包的快速轉(zhuǎn)發(fā)的。 Catalyst 系列交換機使用的是通過 ASIC 芯片開發(fā)的超級交換引擎， Cisco 的第三層交換機是跟標(biāo)準(zhǔn)相兼容的，可以把它當(dāng)作高速路由 器連到網(wǎng)絡(luò)外部的設(shè)備上。 Cisco 的第三層交換機在 Catalyst 的基礎(chǔ)上結(jié)合了 IOS 提供的多協(xié)議支持功能和基于第三層硬件交換的技術(shù)。路由交換模塊 RSM 是一個由 IOS 支持的和 Cisco7500 系列一樣的RSP2 引擎。 NetFlow 卡 是一個用來在 Catalyst5000 的超級引擎上升級的功能子卡，基于硬件的第三層交換機就是通過在 NetFlow 功能卡上的 ASIC 芯片來實現(xiàn)包交換的。 第四層交換 第四層交換指的是在硬件路由的基礎(chǔ)上再加上應(yīng)用程序的功能。在 TCP 或 UDP 數(shù)據(jù)流中，應(yīng)用請求被編碼成端口號放在數(shù) 據(jù)報的頭部。 Cisco 的路由器可以用擴展訪問列表來控 制數(shù)據(jù)傳輸，也可用 NetFlow 交換模式進行流量計算。 Catalyst 系列的交換機可以在第三層交換和第四層交換之間自由切換，當(dāng)它被用作第三層交換的時候， NetFlow 功能卡通過目標(biāo) IP 地址來區(qū)別數(shù)據(jù)流量，當(dāng)它被用作第四層交換的時候， NetFlow 功能卡是通過原 IP 地址、目標(biāo) IP 地址、原端口號和目標(biāo)端口號來區(qū)分?jǐn)?shù)據(jù)流量的。因為兩種模式都是基于同一種硬件的，所以兩種模式幾乎沒有什么區(qū)別。如果是要通過應(yīng)用程序來進行流量控制就選擇第四層交換，如果是要通過應(yīng)用程序 進行流量統(tǒng)計就使用第三層交換。 多層交換 多層交換指的是“一次路由，然后交換”，它可以根據(jù) MAC 地址、 IP 地址、協(xié)議和端口號進行交換。在高性能的網(wǎng)絡(luò)中，這種技術(shù)被廣泛采用。 虛擬局域網(wǎng) VLAN 和仿真局域網(wǎng) LANE 在園區(qū)網(wǎng)中跨網(wǎng)段交換的實現(xiàn)方法是 VLAN 技術(shù)。一個 VLAN 是從物理網(wǎng)絡(luò)布局獨立出來的邏輯網(wǎng)絡(luò)，可以跨交換機組成一個 VLAN，每一個 VLAN 是一個獨立的廣播域，功能和一個擴展橋接網(wǎng)段相似， STP 通常在交換機之間起作用。圖 2 展示了三個 VLAN，分別是 Pink、 Purple 和 Green，每種顏色 代表一個工作組，也表示一個邏輯子網(wǎng)： Pink = Purple = Green = 圖 2 ：虛擬局域網(wǎng) VLAN 技術(shù) 支持園區(qū)在范圍內(nèi)實現(xiàn) VLAN 的一個技術(shù)是 VLAN 關(guān)聯(lián) (trunk)。 VLAN 關(guān)聯(lián)使 得在兩個交換機之間可以傳輸多個邏輯網(wǎng)絡(luò)的數(shù)據(jù)，交換機和路由器的 VLAN 關(guān)聯(lián)只須連接一條網(wǎng)線。在圖 2 中服務(wù)器 X 可以同時和三個 VLAN 交換數(shù)據(jù)，黃色的線路表示有 ISL 協(xié)議運行的部分， ISL 負(fù)責(zé)傳輸不同 VLAN 之間的信息。 ISL、 和 都是用來在 VLAN 之間互相通信的標(biāo)記協(xié)議，所謂標(biāo)記就是在VLAN 之間傳輸?shù)臄?shù)據(jù)幀頭部添加了一個整數(shù)值，用來區(qū)別不同的 VLAN。 ATM 上的 LANE 允許在單一的 ATM 網(wǎng)絡(luò)上形成邏輯局域網(wǎng)， ATM 上的 LANE 使用和VLAN 相似的數(shù)據(jù)報頭，使用 ISL、 和 協(xié)議，所以 ELAN 和以太網(wǎng) VLAN 是 相互兼容的。在圖 2 中，交換機 B 和交換機 C 作為 LANE 的 LEC 客戶身份連接三個 VLAN，使他們能夠通過 ATM 主干相互通訊。服務(wù)器 B 也是一個 LEC，為 VLAN 服務(wù)，它能直接和三個 VLAN 相互通信。