本節書摘來自異步社群《ccnp switch 300-115認證考試指南》一書中的第1章,第1.3節子產品化網絡的設計,作者 【美】david hucaby(戴維 胡卡比),更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
1.3 子產品化網絡的設計
ccnp switch 300-115認證考試指南
借助分層網絡的設計思想來設計一個全新的3層網絡是非常簡單的任務。當然,你也可以把目前現有的網絡遷移為分層結構的設計。當完成這樣的設計改進後,網絡會變得更加組織有序,同時具備高效性和可預測性的優點。但是,簡單的分層網絡設計并不能為你提升網絡的備援性和可擴充性。是以,當交換機或鍊路發生故障,當網絡需要增加一些大型的附加元件時,你會感到束手無策。
如圖1-8左半部分所示的分層網絡,所有的層面都僅僅使用一條鍊路與相鄰層面建立連接配接。如果任意一條鍊路發生故障,那麼該網絡的特定部分就會變得孤立無援。另外,所有的接入層交換機都聚合到一台彙聚交換機上,如果彙聚交換機出現了故障,那麼此時所有的使用者也會面臨被孤立的境地。
為了緩解彙聚交換機發生故障所帶來的潛在威脅,你可以為園區網絡增加一台備援的彙聚交換機。另外,為了避免可能的鍊路失效,你同樣能夠在接入交換機與彙聚交換機之間增加一條備援鍊路。在完成上述所有改進之後,目前園區網絡的拓撲情況如圖1-8的右半部分所示。
對于圖1-9所示的小型網絡而言,這裡所提供的備援性已經非常完備了。但是随着網絡規模的不斷增長,越來越多的備援交換機和備援鍊路需要被考慮到網絡設計中去,那麼此時的設計過程可能會變得非常混亂。例如,假設圖1-9所示的網絡需要增加更多的接入交換機,以便滿足新搬入企業大樓或相鄰大樓的部門員工的網絡需求。那麼新增的接入層交換機是否需要與兩台彙聚交換機建立雙宿主連接配接呢?是否還需額外部署新的彙聚交換機呢?如果答案是肯定的,那麼對于任意一台彙聚交換機而言,是否需要與其他彙聚交換機及核心交換機建立全互連(fully meshed)的網絡連接配接呢?
圖1-10所示描繪了為了滿足上述所有需求,一種可能的網絡設計方案。在這樣的網絡設計中,交換機之間建立了過多的互連連接配接,以至于想要準确定位特定的vlan、掌握生成樹拓撲、區分3層連接配接等問題的難度已經不亞于進行一場“頭腦風暴”了。盡管這種網絡設計也能夠為使用者提供必要的連通性,但是對于網絡是如何正常工作的,以及當故障發生後如何有效地進行故障排除等此類問題,不得不說是網絡維護者的一種 “災難”。相比于組織有序、結構合理的網絡設計,這裡所展示的網絡更像是一張繁瑣雜亂的蜘蛛網。
為了使園區網絡的設計始終保持組織有序、結構簡單和可預測的優勢,你可以采用一種子產品化的邏輯設計方法。這種方法的核心思想是,把分層網絡模型的每一個層面分解為基礎的功能性單元。這些單元,或稱之為建築子產品,能夠靈活地制定大小,并最終作為網絡元件被使用。同時,這些單元還必須具備可擴充性,以便适應未來網絡的擴張。
如上所述,你可以把企業園區網絡劃分為以下幾種基本的單元或建築子產品。
交換子產品——一組接入層交換機,以及與之互連的彙聚層交換機。由于該單元包含了兩個交換層面(接入層和彙聚層),是以也被稱為接入彙聚子產品。圖1-8至圖1-10中,虛線方框中所示的内容描繪了典型的交換子產品。
核心——園區網絡的骨幹,負責連接配接所有的交換子產品。
關鍵
事實上,除了上述兩種基本的單元以外,還有一些其他的相關單元存在。盡管這些單元并不會對園區網絡的整體功能性造成太多影響,但是它們卻具有一定的獨立性,也能夠被添加到園區網絡的設計中。例如,資料中心包含了企業的核心資源或服務,它可以擁有自己獨立的接入層和彙聚層交換機,形成最終連接配接到園區網絡核心層的交換子產品。不僅如此,如果資料中心的規模足夠大的話,它也可以擁有自己的核心交換機,然後連接配接到園區網的核心。交換子產品包含了接入層和彙聚層的所有交換裝置,并連接配接到核心層,提供跨越整個園區網的端到端的連通性。為了适應網絡的持續擴張,你可以把新增的接入層交換機連接配接至現有的一對彙聚交換機上,如圖1-11所示。另外,你也可以增加一個全新的接入彙聚交換子產品,進而覆寫新的區域,如圖1-12所示。
1.3.1 确定交換子產品的大小
從概念上而言,交換子產品就是包含了接入層和彙聚層裝置的園區網基本建構單元。但是在确定交換子產品的大小時,你依然需要考慮一些重要的因素。交換子產品中可用交換裝置的數量靈活地決定了交換子產品的規模大小。從接入層來看,接入交換機的選擇結果通常是基于端口的密度或需要接入的使用者數量所得到的。
彙聚層的規模大小取決于一台彙聚裝置需要聚合或連接配接的接入層交換機的數量。在面對這個問題時,你可以考慮如下的一些因素:
流量類型和模型(pattern);
彙聚層應當具備的3層交換的能力;
連接配接到接入層交換機上的使用者數量總和;
子網或vlan的地理邊界。
在設計一個交換子產品時,如果僅僅根據使用者的數量,或是子產品中包含終端裝置的多少進行決策判斷的話,那麼最終得到的結果往往是不準确的。通常情況下,一個交換子產品中所部署的使用者數量不應當超過2000個。盡管這一條件在交換子產品大小的初期評估時是有用的,但是這種評估卻沒有涉及作為一個功能性網絡應當考慮的動态因素。
是以,交換子產品的大小應當主要根據如下條件來确定:
流量的類型和行為;
工作組的大小和數量。
由于網絡擁有動态的本質,是以你可以簡單地設計一個足夠大的交換子產品,以便輕松處理子產品内必要的負載任務。但是,随着網絡中使用者和應用數量的不斷增長,最初所設計的子產品大小(即使是非常大的交換子產品)也會逐漸無法滿足網絡的需求,此時你便需要拆分原始的交換子產品,并将其分解為多個規模較小的交換子產品。再次重申,交換子產品的大小是基于交換子產品中實際的資料流和資料模型來确定的。你可以使用一些網絡分析應用及工具來評估、模組化和測量這些流量參數。
注意:
如何進行網絡分析的過程已經超出了本書所論述的範疇。流量的評估、模組化和測量都是非常複雜的主題,并且它們都擁有各自專用的分析工具。
一般而言,如果出現了下面的情況,那麼則表明交換子產品的規模過大。
位于彙聚層的路由器(或多層交換機)遇到了性能瓶頸,出現流量擁塞。這種擁塞可能是由于大量的vlan間流量、過多的cpu占用率,或部署了大量高開銷的政策和安全特性(如通路控制清單、隊列技術等)導緻的。
大量的廣播或多點傳播流量消耗了交換子產品中過多的交換資源。廣播群組播流量需要被複制,然後同時從大量接口轉發出去,這一過程需要耗用多層交換機的一些資源。如果廣播或多點傳播流量的大小非常可觀,那麼這對于交換子產品的性能影響也是不容忽視的。
1.3.2 交換子產品的備援
在所有的網絡設計中,網絡元件無可避免地需要面對發生故障失效的狀況。例如,如果電路保險開關跳閘或意外地被關閉,那麼交換機也可能會停電當機。解決這一問題的最好方法是,任意一台交換機都使用兩路獨立的供電電源,甚至于每一套供電裝置都連接配接到兩個不同的電力供應源,進而使得交換機電力供應的可靠性足以應付上述故障失效的情況1。類似于上面的情況,一台交換機可能由于自身内部的因素造成當機失效,一條鍊路可能由于傳輸媒體的問題(如媒體子產品故障、光纖被切斷等)出現線路中斷。綜上所述,為了設計一個更為彈性的網絡2,你應當考慮為網絡中的各種網絡元件建立備援元件。
為了達到備援的目的,一個交換子產品應當包含兩台用于聚合接入層交換機的彙聚交換機。其中,每一台接入層交換機都擁有兩條上聯線路——各自連接配接到不同的彙聚交換機。盡管這種備援設計的實體線纜非常容易畫出,但是邏輯上的連通性卻并不明顯。例如,圖1-13展示了隻部署了一個vlan a的交換子產品,并且vlan a跨越了多台接入交換機。對于這樣的交換子產品,你可以非常輕松地在接入層機房發現一些能夠互相連通的接入交換機,或是察覺到兩個相鄰的房間共享了同一個vlan。但是請注意圖中帶有陰影的線條,這些線條描繪了一個vlan是如何跨越每一台交換機(包括接入和彙聚交換機)以及連接配接交換機的每一條線路的。對于一個vlan需要出現在所有的接入交換機上,以及利用備援的上聯線路以獲得高可用性的執行個體而言,這樣的設計是可以接受的。
盡管上述設計是可行的,但這并非是最優的方案。vlan a為了跨越所有的接入交換機,它必須出現在子產品内所有可能的鍊路上。另外,兩台彙聚交換機也都必須支援vlan a,因為它們需要為所有vlan a的使用者提供3層路由的功能。此時,兩台彙聚交換機可以使用一種備援網關協定,進而為vlan内的使用者提供一個活動ip網關和一個備份網關。但是這種ups發生故障,也不會造成機房因停電而中斷服務。備援網關協定要求彙聚交換機之間必須建立2層的連通性。有關此類備援網關協定的介紹,本書将在第18章中進行論述。
需要注意的是,帶有陰影的鍊路連接配接形成了兩個三角形的環路。如果2層網絡中産生了環路,那麼這樣的2層網絡将無法維持穩定,并最終導緻崩潰。是以,交換網絡中必須存在一些機制用于檢測環路,并維護無環(loop-free)的網絡拓撲。
另外,一旦出現了2層環路,整個交換子產品将會成為一個單點故障域。如果一台屬于vlan a的主機因受到病毒侵擾而産生了大規模的廣播流量,那麼該交換子產品中的所有交換機及鍊路都會受到這些廣播流量的消極影響。
為了解決上述問題,交換子產品必須采用一種能夠從本質上杜絕2層環路的更好設計。如圖1-14所示,這種無環設計的交換子產品需要所有的接入交換機部署完全不同的vlan。換句話說,單個vlan不再被允許穿越到多台接入交換機。如圖中帶有陰影的鍊路所示,每一個vlan的傳輸範圍已經變成了一個“v”字形,而不是之前閉合的三角形環路。
2層和3層的邊界位置保持不變。所有的2層連通性全部由接入層提供,而彙聚層僅部署3層鍊路3。在杜絕了所有可能的2層環路後,交換子產品将不再依賴任何用于檢測及阻止環路的機制,其運作也會變得更加穩定。另外,由于每一台接入交換機都擁有兩條互不影響的上聯路徑去往彙聚層4,是以這兩條鍊路可以同時被完全利用,進而做到流量傳輸的負載均衡。同樣地,3層彙聚交換機也能夠利用路由協定在連接配接到核心層的備援鍊路上執行流量的負載均衡。
另外,你還可以把3層邊界從彙聚層下沉至接入層,隻要接入交換機支援路由功能即可。圖1-15展示了這種設計。此時,3層鍊路貫穿了整個交換子產品,是以網絡的穩定性将依賴于路由協定及更新的收斂表現。路由協定也能夠在備援的上聯鍊路上為資料包提供負載均衡的轉發,這能夠提高不同網絡層面之間鍊路的使用率。
為了更好地完成備援的分層網絡設計,你應當掌握下面這些非常有用的經驗指南。
在每一個層面中設計兩台交換機。
出于備援性考慮,每一台交換機都使用兩條鍊路連接配接到更高的層面。
在兩台彙聚交換機之間建立一條連接配接,但是不要為接入交換機建立這樣的連接配接(除非接入交換機支援一些進階特性,使得多台接入交換機能夠成為一個邏輯的堆棧或機箱)5。
不要讓vlan的範圍跨越彙聚交換機。彙聚層應當成為vlan、子網和廣播流量的邊界。盡管2層交換機能夠把vlan傳遞到其他交換機和其他分層層面,但是并不推薦這麼做6。vlan流量不應當穿越網絡核心。
1.3.3 網絡核心
在園區網絡中,一個核心層通常連接配接了兩個或更多的交換子產品。由于所有需要去往其他交換子產品的流量都必須穿越核心,是以核心層應當盡可能地展現出流量轉發的高效性和面對故障的快速回彈性。作為園區網絡的聚合中心,核心層所處理的流量要遠遠大于任何交換子產品。
如前所述,彙聚層與核心層都可以提供3層的網絡功能。是以,彙聚與核心交換機之間的互連接配接口應當被設計為3層可路由接口。你也可以在彙聚和核心交換機上使用一些2層鍊路,用于傳輸小範圍的vlan流量。對于這種情況,3層的交換虛拟接口(svi)将被用于路由這些小型vlan的流量。
彙聚層與核心層之間的鍊路至少要求傳輸彙聚交換機傳遞給較高層面(即核心層)的流量負載,核心交換機之間的鍊路要求承載來自于另一台核心交換機的聚合流量。基于鍊路的平均使用率和未來網絡的增長量,以太網核心應當具備結構簡單和易于擴充的特性。在考慮核心層使用何種量級的鍊路時,你可以遵循從吉比特以太網遞進到10吉比特以太網的方式7。
一個典型的核心設計應當包含兩台多層交換機,并使用備援的方式連接配接兩個或多個交換子產品。這種備援的核心設計有時也被稱為雙核心,因為兩台核心交換機通常選用一緻的裝置型号,如圖1-16所示。需要注意的是,這裡的核心層是一個獨立的子產品,并沒有與其他子產品或層面合并。
所有交換子產品中的彙聚交換機都分别與核心層的兩台核心交換機建立了連接配接,而兩台核心交換機之間也使用了一條鍊路進行連接配接。
由于采用了雙核心的備援設計,是以每一台彙聚交換機都擁有兩條等價的路徑去往核心,兩條路徑的可用帶寬能夠被同時使用。這兩條上聯鍊路之是以能夠同時保持可用狀态,是因為彙聚層與核心層之間使用了3層連接配接,路由協定能夠執行等價的路由轉發。如果一台核心交換機發生了故障,那麼在路由協定完成路由收斂之後,流量會沿着另一條上聯路徑發送到正常的核心交換機。
如果園區網絡的規模持續增長,并要求覆寫兩幢大的建築物或辦公地點,那麼此時你可以複制核心層,如圖1-17所示。需要注意的是,經過擴充的雙節點備援核心包含了4台核心交換機,這種核心結構被稱為多節點核心。在核心層内,4台核心交換機兩兩相連,形成全互連。
盡管采用多點核心設計的4台核心交換機已經建立了全互連,但是園區網絡依然将其劃分為兩個雙核心的結構。每一個交換子產品隻和其中一個雙核心建立備援連接配接,而不是與所有4台核心交換機。
1.3.4 收縮核心
是否所有的網絡都适合采用不同的備援的核心層設計呢?答案可能并非如此。對于小型的園區網絡而言,建構一個獨立的核心層通常要求投入較為可觀的費用成本8。從平衡成本及性能的角度考慮,如果園區網絡的規模較小,那麼你可以選擇收縮核心的設計。收縮核心子產品是指在分層網絡中核心層收縮到彙聚層的一種設計。此時,彙聚層和核心層的功能由相同的交換裝置提供。
圖1-18展示了一個基本的收縮核心設計。盡管彙聚層和核心層的功能是由相同的裝置提供,但是保持功能上的區分以及正确的設計依然非常重要。需要注意的是,收縮核心不再是一個獨立的建築子產品了,而是被整合到之前獨立的彙聚層交換子產品中。
在收縮核心的設計中,每一台接入層交換機都擁有備援的兩條鍊路連接配接到彙聚層交換機。接入層承載的所有2層流量都将在彙聚交換機的3層接口上終結,這和基礎的交換子產品設計一樣。彙聚交換機互相建立備援的連接配接,以便在網絡故障時提供高可用性。
1.3.5 園區網絡中的核心規模
園區網絡的核心層由多台備援的交換機構成,并提供純粹的3層功能。路由協定為核心層執行路徑選擇,并維護正常的運作。對于所有的網絡而言,你都應當謹慎對待網絡中路由器和路由協定的設計。由于網絡拓撲可能會随時發生變化,是以路由協定也會産生更新以應對網絡變更。當網絡發生變更時,網絡的規模(路由器或交換機的數量)會影響到路由協定的性能表現,以及網絡的收斂速度。
盡管圖1-16所示的網絡規模看似很小,僅僅由兩個包含備援3層交換機(能夠執行路由選擇)的交換子產品組成,但是與大型園區網絡相比,它們在組成結構上是一緻的,隻是連接配接到核心層的交換子產品的數量有所不同。如果把每一台3層交換機都看作是路由器的話,那麼核心裝置必須與所有相連的彙聚交換機保持路由連接配接(即路由協定的鄰居關系)。大部分的路由協定在路由對等體的數量上存在着一定的限制,這些對等體可以是通過點到點鍊路建立,或是多點通路鍊路建立。在擁有大量交換子產品的網絡中,互連的多層交換機的數量也會變得非常可觀。那麼一台核心交換機需要顧慮與之相連的彙聚交換機的數量過多嗎?
答案是否定的,因為實際直連的對等關系數量是很少的,即便園區網絡的規模很大。通常,接入層vlan終結于彙聚層交換機上(除非接入層部署為3層),交換子產品中唯一的路由對等體是在備援的彙聚交換機之間建立的,目的是為接入層vlan提供路由備援性。在彙聚和核心邊界,每一台彙聚交換機隻與兩台核心交換機建立3層的連接配接,是以,一台核心與一個交換子產品的路由對等體關系隻有2個。
當多層交換機用于彙聚層和核心層時,路由協定會把兩個層面之間的備援鍊路作為等價路徑。流量在這些鍊路上傳輸時會采用負載均衡的方式,進而提高了鍊路的帶寬使用率。
核心層設計的最終着眼點是确定核心交換機的性能及型号,使其能夠應對入站的負載。從最基礎的要求出發,每一台核心交換機必須能夠處理當所有彙聚上聯鍊路使用率為100%的情況。
1.3.6 選擇cisco産品建構分層網絡
在真正開始着手對園區網絡進行設計之前,你應當熟悉一些實際的裝置型号,以及它們各自适合于哪一個網絡層面。cisco擁有豐富的交換産品線,提供了每個層面所需的功能,并且勝任于各種規模的園區網絡。
對于本節所讨論的主題,不妨假設一個大型的園區網絡需要覆寫許多建築大樓,一個中型的園區網絡可能需要接入幾幢建築物,而一個小型的園區網絡隻需要覆寫一幢大樓即可。
無論是大型、中型還是小型的園區網絡,你都需要基于它們各個層面必須提供的功能來選擇正确适合的cisco産品。但不要害怕産品手冊中列出的大量參數和表格,相反地,你應當試圖了解哪些交換機适合于既定的網絡及其層面。
在接入層,較高的端口密度、以太網供電(poe)和較低的價格通常是需要考慮的條件。catalyst 2960-x、3650和3850系列交換機可以提供48個接入端口的規格。如果需要獲得更多的端口,那麼你可以選擇添加一些支援的交換子產品用以擴充端口數量。catalyst 4500e系列交換機提供了一個靈活的子產品化交換機箱,支援各種線速轉發夾。不僅如此,4500機箱還支援備援的supervisor引擎子產品,進而為網絡提供非常出色的高可用性(包括支援零當機時間的更新)。表1-3列出了一些通常被用于接入層的交換機平台。
1譯者注:例如,我們為機房采購兩套ups(不間斷供電系統),每一套ups分别連接配接不同的供電網絡。即便某一個供電網絡或ups發生故障,也不會造成機房因停電而中斷服務。
2譯者注:一個有彈性的網絡是指網絡在出現失效和故障時,能夠利用自身現有的備援條件,非常迅速地從失效或故障中恢複過來。
3譯者注:接入層與彙聚層之間依然使用2層鍊路建立連接配接。
4譯者注:生成樹協定不會阻塞其中一條上聯鍊路,因為在這種設計中并沒有環路的存在。
5譯者注:不要連接配接屬于不同交換子產品的彙聚交換機,這樣會使得網絡變得異常複雜。
6譯者注:這裡的意思是指不要把彙聚交換機設計為單純的2層交換機。
7譯者注:通常情況下,如果核心層下聯線路采用1gbit/s的鍊路,那麼為了保障核心層高速轉發的特性,推薦核心層互連線路采用10gbit/s的鍊路。
8譯者注:核心層往往需要選擇高性能的裝置型号,例如cisco 6500系列交換機,高性能也就意味着高成本投入。
9譯者注:ge是指gigabit-ethernet,即吉比特以太網;poe+支援30w的供電功率,upoe支援高達60w的供電功率。