【正文】 在訪問層和服務(wù)器區(qū)實現(xiàn)第二層交換可以獲得直接的安全利益。但在一個交換型網(wǎng)絡(luò)中，會話只建立在發(fā)送放和接受方，而且在服務(wù)器區(qū)，所有服務(wù)器到服務(wù)器的通信被限制在主干網(wǎng)上。防火墻由在一個叫做 DMZ（ demilitarized zone）的特殊網(wǎng)段上的一個或多個路由器和主機防 御系統(tǒng)組成， DMZ 上可能會接有特定的 WEB 緩存服務(wù)器和其他的防火墻設(shè)備。圖 20展示了一個有防火墻的 WAN 分布建筑模塊。訪問層 VLAN 和核心層之間的橋接由 RSM來完成，因為每個訪問層 VLAN 都是運行 IEEE生成樹協(xié)議的。所以要將 RSM 設(shè)置成 DEC 的 STP 橋接組，以便使所有的 IEEE 生成樹保持獨立。 Cisco 多層交換園區(qū)網(wǎng)設(shè)計模型 // 第 21 頁 mmxcf 譯 版本有 DEC 橋接協(xié)議數(shù)據(jù)單元的功能，它在 Catalyst 交換機上的 RSM 之間傳輸 DEC STP協(xié)議。如果在 RSM上運行低版本的 IOS 時，要讓一個 RSM 橋接主干上的單數(shù) VLAN，另一個 RSM 橋接雙數(shù) VLAN。建筑物模塊的設(shè)計思想使得園區(qū)中增加建筑物和添置服務(wù)器區(qū)的工作變得方便。HUB路由器模型 的邏輯結(jié)構(gòu)被保留了下來，這將會方便對現(xiàn)有網(wǎng)絡(luò)的遷移和升級。分布層交換機也通過訪問列表實現(xiàn)了訪問策略。有了 Cisco 的 IOS，多層交換模型支持園區(qū)網(wǎng)中用到的所有常用協(xié)議如 TCP/IP、 Apple Talk、 Novell IPX、 DEC、 IBM SNA、 NetBIOS等。最后要說明的是，多層模型和多層交換是用硬件來完成第三層交換的，跟第二層交換相比幾乎沒有什么性能上的損失。圖 21 展示了一個小型的企業(yè)級的園區(qū)網(wǎng)，園區(qū)中有兩個建筑，分別對應(yīng) North 和 South VTP 域，主干網(wǎng)是 VTP 主干域，在每個 VTP 域中，至少有一個交換機被設(shè)置成 VTP 服務(wù)器， VTP 服務(wù)器上記錄著到達域中每一Cisco 多層交換園區(qū)網(wǎng)設(shè)計模型 // 第 22 頁 mmxcf 譯 個 VLAN 的路線，交換機 d1a 是 North域的 VTP 服務(wù)器，交換機 d2a 是 South域的 VTP 服務(wù)器， ca 和 cb 都是 VTP 主干域的服務(wù)器，因為我們沒有把 VLAN 1 關(guān)聯(lián)在核心層中，所以核心層的交換機都是 VTP 服務(wù)器。有些訪問層交換機如ala 并不適合做 VTP 服務(wù)器，因為并非 North 域中所有的 VLAN 都出現(xiàn)在這個交換機上。在訪問層交換機 ala上使用 VTP透明模式可以使我們限制交換機學習到 VLAN 的設(shè)置。 VLAN 關(guān)聯(lián)負責在三角中傳輸 VLAN 10，左下角的交換機 d1a 是 VLAN 10 的 root。交換機 a1a上打開了快速上聯(lián)通道，連接了 三個端口到 VLAN 10。兩個RSM 模塊 r1a、 r1b 畫成了路由器，連在 VLAN 中， RSM r1a 連在交換機 d1a 的 3/1端口上。 圖 22： VLAN 10 的拓補結(jié)構(gòu) 圖 23 展示了 VLAN 11 的細節(jié)，交換機 d1b 是偶數(shù) VLAN 的 root，在交換機 a1a 上，關(guān)聯(lián)通道 2/1 處于備用模式， 2/2 是主通道，處于活動模式。 Cisco 多層交換園區(qū)網(wǎng)設(shè)計模型 // 第 23 頁 mmxcf 譯 圖 23： VLAN 11 的拓補結(jié)構(gòu) 這里需要說明一下，我們使用的是簡單的交換機命名規(guī)則，“ ala”中第一個字母“ a”代表訪問層 access，“ d”代表分布層 distribution，“ c”代表核心層 core。數(shù)字小的地址代表客戶機，如 ，數(shù)字大的表示服務(wù)器，如，另外， HSRP 網(wǎng)關(guān)路由器，每個 VLAN 的 RSM 主機地址除了 HSRP 的以外都相同，如下所示： RSM Host Address r1a r1b r2a r2b rca rcb rwan (Cisco 7500 WAN router attached to the backbone) North 域有四個子網(wǎng)： ， ， 和 ，分別對應(yīng) VLAN 10， 11， 12 和 13。在 South域中，也使用了 VLAN 1，但卻是一個不同的子網(wǎng)。如下所示： Cisco 多層交換園區(qū)網(wǎng)設(shè)計模型 // 第 24 頁 mmxcf 譯 設(shè)備 IP 地址 網(wǎng)關(guān)地址 a1a a1b d1a d1b r1a N/A (HSRP primary for ) r1b N/A (HSRP backup for ) South 域有四個子網(wǎng)： ， ， 和 ，對應(yīng)著 VLAN 20， 21， 22 和 23。如下所示： 設(shè)備 IP 地址 網(wǎng)關(guān)地址 a2a a2b d2a d2b r2a N/A (HSRP primary for ) r2b N/A (HSRP backup for ) 主干域上有子網(wǎng) ，屬于 VLAN 99， HSRP 沒有被配置，因為“待命”狀態(tài)會禁止 ICMP 協(xié)議的回送。 Cisco 多層交換園區(qū)網(wǎng)設(shè)計模型 // 第 25 頁 mmxcf 譯 設(shè)備 IP 地址 網(wǎng)關(guān)地址 ca 代理 ARP 網(wǎng)關(guān) 掩碼 cb 代理 ARP 網(wǎng)關(guān) 掩碼 r1a N/A r1b N/A r2a N/A r2b N/A 交換機 a1a 的設(shè)置如下所示。最后一條命令， set spantree uplinkfast enable， 允許快速 STP 失效恢復功能。插槽 2 上有一塊 10/100M 的卡 ,端口 2/1， 2/2 和 2/3 用來鏈接交換機 a1a， a1b 和 d1b，這個交換機是雙數(shù) VLAN 10 和 12 的 STP root，我們將 VLAN 12， 13 和 99 從關(guān)聯(lián)口 2/1 移到交換機 a1a，將 VLAN 10， 11和 99 從關(guān)聯(lián)口 2/2 移到交換機a1b 上，將 VLAN 99 從關(guān)聯(lián)口 2/3 移到交換機 d1b 上以去除核心層中的回路。交換機 d1a 是 North 域的 VTP 服務(wù)器。這個交換機作為 的主 HSRP，也是雙數(shù)子網(wǎng) 和 的主 HSRP 網(wǎng)關(guān)，偶數(shù)子網(wǎng) 和 的備份HSRP 網(wǎng)關(guān)。我們在核心層交換機 ca 和 cb 上加了 RSM rca 和 rcb， RSM rca 是 的主 HSRP 網(wǎng)關(guān)，子網(wǎng) 的備份 HSRP網(wǎng)關(guān)。企業(yè)服務(wù)器 使用網(wǎng)關(guān) ，企業(yè)服務(wù)器 使用網(wǎng)關(guān) 。 圖 24：建立服務(wù)器區(qū) 圖 25 更詳細地展示了核心層交換機 ca 和 cb。 圖 25：服務(wù)器區(qū)的設(shè)計細節(jié) 交換機 ca 的設(shè)置如下： set prompt ca set vtp domain Backbone set vtp mode server set interface sc0 99 Cisco 多層交換園區(qū)網(wǎng)設(shè)計模型 // 第 28 頁 mmxcf 譯 set ip route default 0 set vlan 99 name set vlan 100 name set port channel 2/12 on (Fast EtherChannel VLAN 99) set port channel 2/34 on (Fast EtherChannel VLAN 100) set vlan 99 2/12 set vlan 100 2/12 set trunk 1/1 off set trunk 1/2 off set trunk 2/1 off (FEC is not an ISL trunk) set trunk 2/3 off (FEC is not an ISL trunk) RSM模塊 rca的設(shè)置如下： Hostname rca Interface vlan 99 ip add interface vlan 100 ip add standby 1 ip standby 1 priority 100 standby 1 preempt standby 2 ip standby 2 priority 50 router osfp 777 work area 0 ATM LANE 主干 圖 26展示了以 ATM/LANE為核心的多層交換網(wǎng)。在所有的核心層和分布層交換機上，都有一塊 LANE卡，用來連接以太網(wǎng)的 VLAN 98到 ATM ELAN主干上。 Cisco 多層交換園區(qū)網(wǎng)設(shè)計模型 // 第 29 頁 mmxcf 譯 圖 26：以 ATM/LANE為核心實現(xiàn)的多層交換網(wǎng) 在 ATM主干網(wǎng)上，只有一個 ELAN，就是子網(wǎng) ，這樣可以簡化核心層以及減少所需 SVC的數(shù)量。圖 27中，有 9個 LENE客戶機接到主干上， 交換機 d1a， d1b， d2a， d2b， ca和 cb的 LANE卡上，都有一個 LEC客戶端，用來連接到 VLAN 98上。路由器 rwan本身自帶有 ATM接口，因此也有 LEC客戶端。沒有通信的時候，每個 LEC實際上有 6條 VC，有 9個 LEC的 ATM主干中，我們得到： 54 x 90 Cisco 多層交換園區(qū)網(wǎng)設(shè)計模型 // 第 30 頁 mmxcf 譯 沒有通信的時候， ELAN主干一共有 54條 VC。這個數(shù)量還不是很大， LES/BUS不會就這樣崩潰的。要在一個 LEC上查看以打開的 VC數(shù)量的 話，使用命令 show atm vc. Rwanshow atm vc AAL / Peak Avg. Burst Interface VCD VPI VCI Type Encapsulation Kbps Kbps Cells Status ATM0/0 1 0 5 PVC AAL5SAAL 155000 155000 96 ACTIVE ATM0/0 2 0 16 PVC AAL5ILMI 155000 155000 96 ACTIVE ATM0/ 4 0 33 SVC LANELEC 155000 155000 32 ACTIVE ATM0/ 5 0 34 MSVC LANELEC 155000 155000 32 ACTIVE ATM0/ 6 0 35 SVC LANELEC 155000 155000 32 ACTIVE ATM0/ 7 0 36 MSVC LANELEC 155000 155000 32 ACTIVE ATM0/ 79 0 127 SVC LANEDATA 155000 155000 32 ACTIVE 以上的輸出顯示了 6條默認的 VC和一條打開的 VC數(shù)據(jù)通道，這條通道是為當前和路由器 rwan的 Tel會話而建立的。 訪問層交換機、分布層交換機和 RSM的設(shè)置基本上和上面的相同。下面是 ATM LANE卡上子接口的通常配置： 子接口 用途 根據(jù)需要為 LEC 保留 默認 ELAN (本 例中沒有使用 ) ATM主干 ELAN = VLAN 98 = 子網(wǎng) 一般不用 VLAN 98上管理接口 IP地址一定要記下來，非常重要，這有助于日后的管理工作。 Cisco 多層交換園區(qū)網(wǎng)設(shè)計模型 // 第 31 頁 mmxcf 譯 設(shè)備 IP 地址 r1a r1b r2a r2b rca rcb rwan aspca (活動 LECS) aspcb (待命 LECS) ca cb laneca n/a (活動 LES/BUS) lanecb n/a (待命 LES/BUS) 在交換機 ca的超級功能卡上，設(shè)置了以太網(wǎng) VLAN 98， 在核心層中，我們沒有使用 VLAN關(guān)聯(lián)或 VTP，所以 VLAN 1沒有用到?；顒拥奈锢斫涌?PHY A是 映射在 13字節(jié)的前綴中的，這個地址起源于 ATM交換機。 lanecashow lane default interface ATM0: LANE Client: .** LANE Server: .** LANE Bus: .** LANE Config Server: note: ** is the subinterface number byte in hex lanecbshow lane default interface ATM0: LANE Client: .** LANE Server: .** LANE Bus: .** LANE Config Server: note: ** is the subinterface number byte in hex 在 aspca和 aspcb上使用命令 show lane default來決定主導和備份的 LE