【正文】 Cisco 多層交換園區(qū)網(wǎng)設(shè)計(jì)模型 概述 本文首先闡述如何使用多層交換機(jī)構(gòu)建園區(qū)網(wǎng)，然后詳細(xì)講解多層交換網(wǎng)的設(shè)計(jì)要點(diǎn)。一般來說，使用分級(jí)設(shè)計(jì)的多層交換網(wǎng)絡(luò)能夠使網(wǎng)絡(luò)工作在最佳狀態(tài)，并具有較好的可伸縮性、容錯(cuò)性和可操作性。 不 管是用以太網(wǎng)做主干也好， ATM 做主干也好，多層交換模式都有它的優(yōu)點(diǎn)，分級(jí)設(shè)計(jì)使園區(qū)網(wǎng)的實(shí)現(xiàn)變得非常容易，排錯(cuò)也簡(jiǎn)單，因?yàn)槎鄬咏粨Q的設(shè)計(jì)是模塊化的，所以可以根據(jù)建筑物模塊的增加來進(jìn)行升級(jí)。第三層的作用可以讓廣播數(shù)據(jù)限制在核心交換網(wǎng)之外，并能通過 OSPF 和 EIGRP 協(xié)議在主干網(wǎng)上實(shí)現(xiàn)鏈路負(fù)載平衡功能。多層交換保持現(xiàn)有的尋址方式，容易遷移， Uplink Fast 通道和 HSRP 協(xié)議提供冗余和快速收斂。帶寬升級(jí)可以從以太網(wǎng)到快速以太通道、千兆以太網(wǎng)到千兆以太通道，多層模塊支持各種現(xiàn)有的協(xié)議。 目 錄 園區(qū)網(wǎng)設(shè)計(jì) 考慮因素 ?????????????????????? 2 網(wǎng)絡(luò)的橋接???????????????????????? 2 尋址能力和升級(jí)能力???????????????????? 2 第二層交換???????????????????????? 3 第三層交換???????????????????????? 4 第四層交換???????????????????????? 4 虛擬局域網(wǎng) VLAN 和仿真局域網(wǎng) LANE???????????? 4 園區(qū)網(wǎng)設(shè)計(jì)的參考模型 ????????????????????? 5 Hub 和路由 器模型????????????????????? 5 園區(qū)網(wǎng) VLAN 模型????????????????????? 6 ATM 上的多協(xié)議交換???????????????????? 7 多層交換模型 ????????????????????????? 8 新一代 80/20 規(guī)則????????????????????? 8 多層交換模型的組成???????????????????? 9 冗余和負(fù)載平衡?????????????????????? 9 帶寬升級(jí)????????????????????????? 12 核心層策 略???????????????????????? 13 定位服務(wù)器???????????????????????? 14 ATM / LANE 主干????????????????????? 14 I P 多播訪問 ??????????????????????? 16 遷移策略????????????????????????? 18 安全性能????????????????????????? 19 多層模型之間的橋接???????????????????? 19 多層模型的優(yōu)點(diǎn) ???????????????????? ???? 20 附錄 A：實(shí)現(xiàn)多層設(shè)計(jì)模型 ??????????????????? 20 以太網(wǎng)主干???????????????????????? 20 服務(wù)器配置???????????????????????? 26 ATM LANE 主干????????????????????? 27 小結(jié)： ?????????????????????????? 34 園區(qū)網(wǎng)設(shè)計(jì)考慮因素 平面橋接網(wǎng) 最早的園區(qū)網(wǎng)被認(rèn)為是在單一局域網(wǎng)上添加了多個(gè)新用戶而形成的。這樣的 LAN 是網(wǎng)絡(luò)設(shè)備通過物理或邏輯線路連在一起構(gòu)成的網(wǎng)絡(luò)。在這 樣的網(wǎng)絡(luò)中，所有網(wǎng)絡(luò)設(shè)備共享半雙工的 10M 可用以太網(wǎng)帶寬。這時(shí)，整個(gè)網(wǎng)絡(luò)是一個(gè)碰撞域，因?yàn)樗芯W(wǎng)絡(luò)設(shè)備可以偵聽到網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，會(huì)產(chǎn)生數(shù)據(jù)包沖突，因此就引進(jìn) CSMA/CD 碰撞檢測(cè)機(jī)制來規(guī)劃網(wǎng)絡(luò)上的數(shù)據(jù)傳輸。 當(dāng)一個(gè)碰撞域上的數(shù)據(jù)傳輸變得非常擁擠時(shí)，就應(yīng)該加入一個(gè)網(wǎng)橋，網(wǎng)橋是一個(gè)存儲(chǔ)轉(zhuǎn)發(fā)型的數(shù)據(jù)包交換機(jī)，他把整個(gè)網(wǎng)絡(luò)分成若干個(gè)碰撞域，來減小數(shù)據(jù)包的碰撞，增加傳輸效率。網(wǎng)橋不會(huì)隔離網(wǎng)端上的廣播、多播和組播數(shù)據(jù)，就是說，整個(gè)園區(qū)網(wǎng)所有橋接網(wǎng)絡(luò)是一個(gè)單一廣播域。生成樹協(xié)議 STP 的開發(fā)避免了數(shù)據(jù)回路。 下面是 STP 廣播域的主要特征： 冗余鏈路被封鎖不能傳輸數(shù)據(jù) 不同節(jié)點(diǎn)之間存在非理想路經(jīng) STP 收斂通常需要 40 到 50 秒 在第二層傳輸?shù)膹V播數(shù)據(jù)會(huì)中斷所有的主機(jī) 在第二層產(chǎn)生的廣播風(fēng)暴會(huì)影響到整個(gè)域的主機(jī) 隔離故障非常困難 網(wǎng)絡(luò)安全沒有保障 理論上，廣播數(shù)據(jù)的大小受整個(gè)廣播域的大小限制，實(shí)際上，管理一個(gè)橋接架構(gòu)的園區(qū) 網(wǎng)會(huì)隨著網(wǎng)絡(luò)的不斷擴(kuò)大而變得越來越難，一個(gè)的工作站的故障有可能造成整個(gè)網(wǎng)絡(luò)的癱瘓。 當(dāng)設(shè)計(jì)橋接網(wǎng)的時(shí)候，每個(gè)橋接網(wǎng)段就相當(dāng)于一個(gè)工作組，工作組服務(wù)器和客戶機(jī)一樣被放在同一個(gè)網(wǎng)段中，使大部分?jǐn)?shù)據(jù)傳輸在本地網(wǎng) 段中，這就是遵循 80/20 原則。 尋址能力和伸縮能力 路由器是一個(gè)用來構(gòu)建互聯(lián)網(wǎng)絡(luò)的包交換機(jī)，負(fù)責(zé)在不同的廣播域之間傳輸數(shù)據(jù)。路由器是根據(jù)網(wǎng)絡(luò)地址而不是物理地址來轉(zhuǎn)發(fā)數(shù)據(jù)包的。互聯(lián)網(wǎng)絡(luò)的可伸縮性比橋接的網(wǎng)絡(luò)要好，因?yàn)槁酚善骺梢詫?duì)網(wǎng)絡(luò)地址進(jìn)行總結(jié)，從而計(jì)算出一條最好的傳輸路徑，路由器之間通常使用諸如 OSPF、 EIGRP 之類的路由協(xié)議來交換路由信息。 與 STP 相比，路由協(xié)議有以下特征： 可以通過幾條相同代價(jià)的路徑來實(shí)現(xiàn)鏈路負(fù)載平衡 在網(wǎng)絡(luò)之間使用最小開銷路經(jīng) 網(wǎng)絡(luò)狀態(tài)變化時(shí)進(jìn)行快速收斂 匯總路由信息 為了控制廣播數(shù)據(jù)， Cisco 的路由器提供了許多增值功能來提高園區(qū)網(wǎng)的可管理性和可伸縮性，這些功能是 IOS 的特性，現(xiàn)在幾乎所有 Cisco 的路由器和交換機(jī)上都有。 IOS 軟件的功能對(duì)每個(gè)協(xié)議都有特別的支持，它們包括： TCP/IP AppleTalk DEC Novell IPX IBM SNA、 DLSw、 APPN 在園區(qū)網(wǎng)中，從一端到另一端的路由跳數(shù)被稱為網(wǎng)絡(luò)直徑，給園區(qū)網(wǎng)設(shè)計(jì)定義直徑是需要有豐富的經(jīng)驗(yàn)的，這就要用到分層設(shè)計(jì)模型，圖 1 展示的就是一個(gè)路由器 HUB 結(jié)構(gòu)的典型設(shè)計(jì)。從一個(gè)建筑物的終端主機(jī) 到另一建筑物的終端主機(jī)的路由跳數(shù)一般只有 2 跳，從終端主機(jī)到 FDDI 主干一般只有 1 跳。 圖 1 ：用路由器和 HUB 組成的傳統(tǒng)園區(qū)網(wǎng) 第二層交換 第二層交換是基于硬件設(shè)備的橋接，數(shù)據(jù)幀的發(fā)送是由專門的硬件來解決，通常是使用ASIC 芯片。如今，在園區(qū)網(wǎng)的設(shè)計(jì)中，集線器通常 被交換機(jī)取代。 交換機(jī)與集線器相比，它的優(yōu)點(diǎn)是非常突出的，試想，一個(gè)有 100 人的工作組使用集線器共享一個(gè)半雙工的 10M 網(wǎng)段，那么平均每個(gè)人只有分配到 100K 左右的帶寬，如果是用全雙工的交換機(jī)的話，那么每端口的帶寬是 20M，相差甚大，但服務(wù)器的端口就成了瓶頸。交換機(jī)可以使網(wǎng)絡(luò)設(shè)計(jì)在每個(gè)網(wǎng)段上提供更多的主機(jī)數(shù)，使一個(gè)完整的園區(qū)網(wǎng)方案中包含更少的邏輯網(wǎng)絡(luò)或者物理網(wǎng)絡(luò)。然而，交換機(jī)也和網(wǎng)橋一樣有他們共同的局限性，網(wǎng)絡(luò)的廣播數(shù)據(jù)還是會(huì)隨著網(wǎng)段上主機(jī)數(shù)目的增加而增加。廣播也影響著主機(jī)傳輸數(shù)據(jù)， STP 限制、收斂速度慢和冗 余鏈路封閉的問題仍然存在。 第三層交換 第三層交換的實(shí)質(zhì)是基于硬件的路由，數(shù)據(jù)包的發(fā)送也是通過 ASIC 芯片來完成的。在園區(qū)網(wǎng)設(shè)計(jì)中，第三層交換機(jī)可以依靠協(xié)議、接口和特殊功能的支持來代替路由器，支持標(biāo)準(zhǔn)數(shù)據(jù)包頭并改寫 TTL 值的第三層交換模式叫逐包轉(zhuǎn)發(fā)模式。 高檔的 Layer 3 交換機(jī)的實(shí)現(xiàn)方法因生產(chǎn)廠家而異， Cisco 的 12021 千兆交換路由器是以線速率實(shí)現(xiàn)包的快速轉(zhuǎn)發(fā)的。 Catalyst 系列交換機(jī)使用的是通過 ASIC 芯片開發(fā)的超級(jí)交換引擎， Cisco 的第三層交換機(jī)是跟標(biāo)準(zhǔn)相兼容的，可以把它當(dāng)作高速路由 器連到網(wǎng)絡(luò)外部的設(shè)備上。 Cisco 的第三層交換機(jī)在 Catalyst 的基礎(chǔ)上結(jié)合了 IOS 提供的多協(xié)議支持功能和基于第三層硬件交換的技術(shù)。路由交換模塊 RSM 是一個(gè)由 IOS 支持的和 Cisco7500 系列一樣的RSP2 引擎。 NetFlow 卡 是一個(gè)用來在 Catalyst5000 的超級(jí)引擎上升級(jí)的功能子卡，基于硬件的第三層交換機(jī)就是通過在 NetFlow 功能卡上的 ASIC 芯片來實(shí)現(xiàn)包交換的。 第四層交換 第四層交換指的是在硬件路由的基礎(chǔ)上再加上應(yīng)用程序的功能。在 TCP 或 UDP 數(shù)據(jù)流中，應(yīng)用請(qǐng)求被編碼成端口號(hào)放在數(shù) 據(jù)報(bào)的頭部。 Cisco 的路由器可以用擴(kuò)展訪問列表來控 制數(shù)據(jù)傳輸，也可用 NetFlow 交換模式進(jìn)行流量計(jì)算。 Catalyst 系列的交換機(jī)可以在第三層交換和第四層交換之間自由切換，當(dāng)它被用作第三層交換的時(shí)候， NetFlow 功能卡通過目標(biāo) IP 地址來區(qū)別數(shù)據(jù)流量，當(dāng)它被用作第四層交換的時(shí)候， NetFlow 功能卡是通過原 IP 地址、目標(biāo) IP 地址、原端口號(hào)和目標(biāo)端口號(hào)來區(qū)分?jǐn)?shù)據(jù)流量的。因?yàn)閮煞N模式都是基于同一種硬件的，所以兩種模式幾乎沒有什么區(qū)別。如果是要通過應(yīng)用程序來進(jìn)行流量控制就選擇第四層交換，如果是要通過應(yīng)用程序 進(jìn)行流量統(tǒng)計(jì)就使用第三層交換。 多層交換 多層交換指的是“一次路由，然后交換”，它可以根據(jù) MAC 地址、 IP 地址、協(xié)議和端口號(hào)進(jìn)行交換。在高性能的網(wǎng)絡(luò)中，這種技術(shù)被廣泛采用。 虛擬局域網(wǎng) VLAN 和仿真局域網(wǎng) LANE 在園區(qū)網(wǎng)中跨網(wǎng)段交換的實(shí)現(xiàn)方法是 VLAN 技術(shù)。一個(gè) VLAN 是從物理網(wǎng)絡(luò)布局獨(dú)立出來的邏輯網(wǎng)絡(luò)，可以跨交換機(jī)組成一個(gè) VLAN，每一個(gè) VLAN 是一個(gè)獨(dú)立的廣播域，功能和一個(gè)擴(kuò)展橋接網(wǎng)段相似， STP 通常在交換機(jī)之間起作用。圖 2 展示了三個(gè) VLAN，分別是 Pink、 Purple 和 Green，每種顏色 代表一個(gè)工作組，也表示一個(gè)邏輯子網(wǎng)： Pink = Purple = Green = 圖 2 ：虛擬局域網(wǎng) VLAN 技術(shù) 支持園區(qū)在范圍內(nèi)實(shí)現(xiàn) VLAN 的一個(gè)技術(shù)是 VLAN 關(guān)聯(lián) (trunk)。 VLAN 關(guān)聯(lián)使 得在兩個(gè)交換機(jī)之間可以傳輸多個(gè)邏輯網(wǎng)絡(luò)的數(shù)據(jù)，交換機(jī)和路由器的 VLAN 關(guān)聯(lián)只須連接一條網(wǎng)線。在圖 2 中服務(wù)器 X 可以同時(shí)和三個(gè) VLAN 交換數(shù)據(jù)，黃色的線路表示有 ISL 協(xié)議運(yùn)行的部分， ISL 負(fù)責(zé)傳輸不同 VLAN 之間的信息。 ISL、 和 都是用來在 VLAN 之間互相通信的標(biāo)記協(xié)議，所謂標(biāo)記就是在VLAN 之間傳輸?shù)臄?shù)據(jù)幀頭部添加了一個(gè)整數(shù)值，用來區(qū)別不同的 VLAN。 ATM 上的 LANE 允許在單一的 ATM 網(wǎng)絡(luò)上形成邏輯局域網(wǎng)， ATM 上的 LANE 使用和VLAN 相似的數(shù)據(jù)報(bào)頭，使用 ISL、 和 協(xié)議，所以 ELAN 和以太網(wǎng) VLAN 是 相互兼容的。在圖 2 中，交換機(jī) B 和交換機(jī) C 作為 LANE 的 LEC 客戶身份連接三個(gè) VLAN，使他們能夠通過 ATM 主干相互通訊。服務(wù)器 B 也是一個(gè) LEC，為 VLAN 服務(wù)，它能直接和三個(gè) VLAN 相互通信。