本節書摘來異步社群《ccnp switch (642-813 )學習指南》一書中的第1章,第1.2節,作者: 【美】richard froom , balaji sivasubramanian , erum frahim 譯者: 田果 , 劉丹甯, 更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。
ccnp switch (642-813 )學習指南
在下一節中,我們會着重介紹主要的園區網設計概念。另外,我們還會應用到前面介紹過的接入層、分布層和核心層的概念。在本章接下來的一個小節中,我們會定義實施和操作網絡的模型。
網絡的實施和操作是cisco生命周期模型中的兩個組成部分。在該模型中,網絡的生命及其組成部分會通過一個三角形結構來進行介紹,這個三角形結構始于網絡設計的準備階段,終止于實施完成後的網絡優化階段。這個結構是確定網絡能夠自始至終滿足終端使用者需求的關鍵。在這一節中,我們會介紹cisco生命周期法,及其對網絡實施的影響。
企業園區網架構可以應用在園區規模的網絡中,也可以應用在建築規模的網絡中,使用這種結構可以讓網絡設計變得更加靈活,讓網絡的實施和排錯變得更加輕松。在将這種架構應用到一棟建築物時,cisco園區架構就會将網絡分為建築接入層、建築分布層和建築核心層。
建築接入層:這一層的作用是使使用者可以連接配接到網絡裝置。在網絡園區中,建築接入層一般使用的是區域網路(lan)交換裝置,并通過這些裝置的端口來連接配接工作站和伺服器。在廣域網(wan)環境中,遠端站點的建築接入層可以使員工通過wan技術來通路公司的網絡。
建築分布層:這裡彙集了配線櫃,在這一層中,我們使用交換機來将工作組分到不同的網段中,并用交換機将園區網環境中可能存在的問題隔離在一個比較小的範圍内。
建築核心層:與園區骨幹網的作用相同,高速的骨幹網旨在以最快的速度交換資料包。由于核心層對于網絡連通性來說是最為關鍵的一層,是以它必須提供最進階别的可用性,并且必須能夠最快地适應網絡的變化。
圖1-12所示為一個擴充到多棟建築物的企業網拓撲執行個體。
這個企業網架構将企業網絡分為了實體、邏輯和功能三個區域。劃分這些區域使網絡設計者和工程師能夠根據裝置的位置以及模型中相應位置的功能,來在相應裝置上使用特定的網絡功能。
建築接入層彙集了終端使用者,并為終端使用者提供與分布層相連的上行鍊路。如果設計者選用了合适的cisco交換機型号,那麼接入層應該擁有以下優勢。
高可用性:很多硬體和軟體特性都可以用在接入層。設計者可以通過選擇合理的cisco交換機型号,來為重要的使用者組提供系統級的備援,如提供備援的supervisor引擎和備援的電源。另外,cisco交換機還提供了一些軟體特性來為使用者提供備援的預設網關,即在接入層交換機與分發層交換機之間使用雙鍊路連接配接,并在分布層交換機上運作fhrp(首跳備援協定),比如hsrp(熱備份路由協定)。這裡有一點值得注意,那就是隻有三層交換機才能支援fhrp和hsrp特性;而二層交換機則不會參與到hsrp和fhrp以及相應幀的轉發程序中。
網絡融合:部署在接入層的cisco交換機可以(可選地)為ip電話和無線接入點提供線上以太網供電(poe)技術,這使客戶能夠将語音資料融合到資料網絡中,并為使用者提供漫遊wan接入功能。
安全性:部署在接入層的cisco交換機可以(可選地)提供一些的安全功能,主要是通過使用一些工具(如端口安全、dhcp欺騙[dhcp snooping]、動态arp監控和ip源防護[ip source guard])來防止未經授權的使用者對網絡進行通路。這些特性将在本書的後續章節中進行探讨。
圖1-13所示的案例在接入層與分布層之間部署了備援的上遊連接配接。
部署分布層需要考慮的問題主要是網絡的可用性、快速路徑恢複、負載分擔和qos。一般來說,高可用性通常是通過在分布層到核心層,以及接入層到分布層之間部署兩條路徑來提供的。第3層等價負載分擔技術可以讓兩條從分布層連接配接到核心層的鍊路同時得到使用。
分布層負責執行路由選擇和資料包處理,它可以充當接入層和核心層之間的路由邊界。分布層代表了路由選擇域的重分布點,同時也是靜态和動态路由協定的分界線。分布層執行的任務包括做出受控制的路由選擇和過濾決策,進而實施基于政策的連通性和qos。為了進一步增強路由協定的性能,分布層還負責将來自接入層的路由彙總在一起。對于大多數網絡來說,分布層為接入層路由器提供了預設路由,并與核心層路由器之間使用動态路由協定進行通信。
分布層将二層和多層交換功能結合在了一起,它負責将工作組劃分進不同網段并且隔離網絡故障,進而阻止這些故障蔓延到核心層。一般來說,分布層用來終結接入層交換機發起的vlan。分布層會将網絡服務連接配接到接入層,并實施qos、安全、流量負載和路由選擇等政策。分布層可以通過fhrp(如hsrp)、glbp(網關負載均衡協定)或vrrp(虛拟路由器備援協定)來提供備援的預設網關。這樣一來,當某一個分布層結點出現故障或者被管理者移除時,端點依然可以連接配接到預設網關。
重申一下,分布層可以為園區網提供以下功能。
彙集接入層交換機。
為簡化起見而分隔接入層。
彙總去往接入層的路由。
總是用兩條鍊路來連接配接上遊核心層路由器。
(可選)可以應用資料包過濾、安全特性和qos特性。
圖1-14所示為一個園區網的分部層,其作用是讓多台接入層交換機互聯。
核心層是園區網連接配接的骨幹,它是企業網另外幾層的彙聚點,也是企網中另外幾層裝置的彙聚點。核心層必須提供進階的備援特性并且能夠更快地适應變化。核心層裝置是最可靠的裝置,它們可以在網絡中出現故障時重新路由流量,也可以對網絡拓撲的變化作出快速響應。核心層裝置必須能夠實施可擴充的協定和技術、可替代的路徑以及負載分擔特性。在未來有必要對網絡進行擴充時,核心層将有助于管理者擴充網絡。
核心層應該是一個高速的三層交換環境,它通常會使用硬體加速服務,比如10吉比特以太網。為了當鍊路和節點出現單點故障時能夠實作快速收斂,核心層可使用備援的點到點三層互聯,因為這種設計方式在收斂時速度最快。核心層不應該通過軟體對資料包進行任何操作,比如檢查通路清單或者過濾,因為這會降低資料包的交換速度。catalyst和nexus交換機支援通路控制清單和過濾,同時這也不會降低交換的性能,因為它們是在硬體交換路徑中支援這些特性的。
圖1-15所示為一個園區網絡的核心層,它彙集了很多分布層的交換機并最終連接配接到接入層交換機。
重申一下,核心層可以為園區網和企業網絡提供以下功能。
将位于分布層的交換機同網絡的其他部分彙集到一起。
通過提供備援的彙集點來實作快速收斂和高可用性。
可以在未來随着分布層和接入層的擴充而擴充。
1.為什麼需要核心層
如果沒有核心層,位于分布層的交換機就必須采用全網狀互聯的方式互相連接配接。這種設計方式很難擴充,并且會多使用很多線纜,因為每棟建立築的分布層交換機都需要和其他所有的分布層交換機全互聯。如果使用這種全網狀的連接配接方式,那麼每個分布層交換機都需要使用海量的線纜。另外,這種全網狀的連接配接方式會增加路由選擇的複雜程度,進而會在網絡添加新鄰居時給管理者制造麻煩。
在圖1-16中,2号樓兩個互相連接配接的交換機的分布層子產品需要使用4條新的鍊路來和1号樓的相應子產品進行連接配接。而3号樓需要使用8條新的鍊路來和目前所有分布層交換機連接配接1,也就是一共需要使用12條鍊路才能使分布層交換機互相連接配接。4号樓則需要再使用12條新的連接配接,進而分布層交換機總共需要使用24條鍊路。這4個分布層子產品使每個分布層交換機上添加了8個igp(内部網關路由協定)鄰居。
是以,部署核心層是這種環境中的推薦做法,我們需要部署一個專用的園區網核心層來将3個以上的實體分段連接配接起來,這裡所說的實體分段可以指企業園區中的樓宇,或者大型園區中4個以上建築分布層中的交換機對。如果管理者在cisco交換機上使用了以下資源,那麼園區網核心層就可以使網絡的擴充操作變得更加輕松。
擴充到密集萬兆和千兆端口。
将資料、語音和視訊無縫地內建到網絡中。
lan彙聚,也可以(可選地)對wan和man進行彙聚。
2.将園區核心層作為企業骨幹網
核心層是園區網連接配接的骨幹,也可以将其作為企業網架構中其他各層的彙集點。核心層可以提供進階别的備援,可以迅速适應網絡的變化。核心層裝置是最可靠的裝置,它們可以在網絡出現故障時重新路由流量,可以對網絡拓撲的變化作出快速響應。核心層裝置必須能夠實施可擴充的協定和技術、可替代的路徑以及負載分擔特性。在未來有必要對網絡進行擴充時,核心層将有助于管理者擴充網絡。核心層可以簡化企業中網絡裝置之間互聯的方式,同時也可以降低不同實體網段(如各建築的不同樓層)之間路由的複雜程度。
圖1-17所示案例将核心層作為骨幹,來連接配接企業網中的資料中心和internet邊緣裝置。除了核心層在企業網架構中的邏輯作用,它的構成和功能則由該企業網的規模和類型所決定。不是所有實施園區網的環境都需要部署核心層。園區網也可以将核心層和分布層的功能都結合在分布層中,這樣可以減小拓撲的規模。在下一節中,我們将詳細讨論這種案例。
小型園區網絡或大型分支機構網絡是指終端裝置小于200台的網絡,同時在小型園區網中,網絡伺服器和工作站有可能實體地連接配接在同一個配線櫃中。在小型園區網中的交換機也許不需要擁有很高的性能,也不需要具備很強的擴充性。
在很多情況下,少于200台終端裝置的網絡可以将核心層和分布層合并進同一層中。不過,由于成本的問題,這種設計會限制接入層交換機的數量。當網絡中有很多vlan時,低端多層交換機可以向終端使用者提供路由服務。在一個小型辦公環境中,一台低端的多層交換機(如cisco catalyst 2960g)也許就能夠滿足整個辦公環境中的二層lan通路需求,而路由器(如cisco 1900或2900)則可以将辦公室與大型企業網的分支機構/wan部分連接配接起來。
圖1-17所示為一個小型園區網的示例,在該圖中,園區骨幹網将資料中心連接配接了起來。在該例中,骨幹網可以部署catalyst 3560e交換機,而接入層和資料中心則可以使用catalyst 2960g交換機,因為接入層對未來的擴充性和可用性方面要求并不是很高。
對于一個中型園區網來說,網絡中應該擁有200~1000台終端裝置,網絡的架構一般來說就是将接入層交換機通過上行鍊路連接配接到分布層的多層交換機上,而分布層的多層交換機可以支援中型園區網對于性能的需求。如果需要提供備援,那麼管理者可以将備援的多層交換機連接配接到建築接入層以實作全鍊路的備援。在中型園區網中,最低也要使用catalyst 4500系列或catalyst 6500系列交換機,因為它們能夠提供很多catalyst 3000和2000系列交換機所無法實作的功能,如可用性、安全、性能等方面。
圖1-18所示為一個中型園區網拓撲的案例。該例所示為一個由建築分隔開的實體分布段。這裡所說的實體分布段可以是指樓層、機架等。
大型園區網是指擁有2000個以上終端使用者的環境。由于已經沒有比大型園區網規模更大的環境了,是以大型園區網的設計有可能要包含許多企業的擴充技術。在設計大型園區網時,人們往往會遵循前文介紹的分層模型,将網絡劃分成接入層、分布層和核心層。本書的圖1-17所示為一個可以根據需要擴充成不同大小的大型園區網。
大型園區網應嚴格按照cisco最佳做法的建議進行設計。本章前文中所介紹的各種最佳做法(如分層模型、部署三層交換機、在設計時選用catalyst 6500和nexus 7000系列交換機)隻是支援這類規模園區網特性的冰山一角。有很多同類特性都會應用在小型或中型網絡中,但是這些特性不能擴充到大型園區網中。
另外,由于大型園區網需要更多人來進行設計、實施和維護,是以有必要對參與者進行一下分工。本書在前文中曾提到企業網可分為園區、資料中心、分支機構/wan和internet邊緣。這可以作為大型園區網參與者的基本分工方式。在後面的章節中,我們會介紹一些原本用于小型園區網,後來逐漸成為大型園區網需求的特性。另外,大型園區網需要相關人員謹慎設計、小心實施。關于設計和實施的問題,我們将在本章的下一節中進行介紹。
資料中心的設計方案是企業網絡的一部分,它同樣采取了分層的方法來增強企業網絡的擴充性、性能、靈活性、快速複原功能并且降低網絡的維護難度。資料中心的設計方案可以分為3層。
核心層:為所有進出資料中心的流量提供高速的資料包交換背闆。
彙聚層:提供一些重要的功能,如內建服務子產品、定義二層域、處理生成樹、提供備援的預設網關等。
接入層:将伺服器通過實體方式連接配接到網絡。
基于多層http的應用在多層資料中心模型中占據着主導地位,這些應用支援着伺服器的web、應用和資料庫層。接入層的網絡裝置既可以支援第2層拓撲,也可以支援第3層拓撲;并且它們還可以通過第2層鄰接關系,來滿足不同伺服器之間的廣播域和管理性需求。接入層裝置的第2層功能在資料中心中更為盛行,因為有些應用需要通過第2層域來支援低延遲傳輸。構成資料中心的絕大多數伺服器包括單/雙ru(機架單元)伺服器、內建了交換功能的刀片伺服器、可提供透傳(pass-through)線纜的刀片伺服器、叢集伺服器以及具有多項超額訂閱(oversubscription)需求的大型機。圖1-19所示案例高度概括了資料中心的拓撲。
部署在彙聚層的多種彙聚層子產品能夠為接入層提供連通性支援。彙聚層可支援提供各種功能的內建服務子產品,這些功能包括安全、負載分擔、内容交換、防火牆、ssl解除安裝(ssl offload)、入侵檢測以及網絡分析。
前文已經介紹過,本書着重于介紹企業網中的園區網設計,而并不涉及資料中心設計。然而,這裡所介紹的大多數主題也都可以應用在資料中心設計中,比如vlan的使用方法。資料中心設計在部署方法以及需求方面,與園區網設計有所差別。考慮到ccnp switch這門課的宗旨,我們會着重于介紹園區網設計的相關概念。
下一部分我們會讨論如何使用生命周期法來設計網絡。這一部分并不涉及具體的園區網或交換技術,而是介紹了網絡設計的最佳方法。有些讀者可能會因為這一部分未涉及技術内容,而跳過下一小節;但它卻是ccnp swith課程以及實際部署中的重要部分。