本节书摘来异步社区《CCNP SWITCH (642-813 )学习指南》一书中的第1章,第1.2节,作者: 【美】Richard Froom , Balaji Sivasubramanian , Erum Frahim 译者: 田果 , 刘丹宁, 更多章节内容可以访问云栖社区“异步社区”公众号查看。
1.2 企业园区网设计
CCNP SWITCH (642-813 )学习指南
在下一节中,我们会着重介绍主要的园区网设计概念。另外,我们还会应用到前面介绍过的接入层、分布层和核心层的概念。在本章接下来的一个小节中,我们会定义实施和操作网络的模型。
网络的实施和操作是Cisco生命周期模型中的两个组成部分。在该模型中,网络的生命及其组成部分会通过一个三角形结构来进行介绍,这个三角形结构始于网络设计的准备阶段,终止于实施完成后的网络优化阶段。这个结构是确保网络能够自始至终满足终端用户需求的关键。在这一节中,我们会介绍Cisco生命周期法,及其对网络实施的影响。
企业园区网架构可以应用在园区规模的网络中,也可以应用在建筑规模的网络中,使用这种结构可以让网络设计变得更加灵活,让网络的实施和排错变得更加轻松。在将这种架构应用到一栋建筑物时,Cisco园区架构就会将网络分为建筑接入层、建筑分布层和建筑核心层。
建筑接入层:这一层的作用是使用户可以连接到网络设备。在网络园区中,建筑接入层一般使用的是局域网(LAN)交换设备,并通过这些设备的端口来连接工作站和服务器。在广域网(WAN)环境中,远程站点的建筑接入层可以使员工通过WAN技术来访问公司的网络。
建筑分布层:这里汇集了配线柜,在这一层中,我们使用交换机来将工作组分到不同的网段中,并用交换机将园区网环境中可能存在的问题隔离在一个比较小的范围内。
建筑核心层:与园区骨干网的作用相同,高速的骨干网旨在以最快的速度交换数据包。由于核心层对于网络连通性来说是最为关键的一层,所以它必须提供最高级别的可用性,并且必须能够最快地适应网络的变化。
图1-12所示为一个扩展到多栋建筑物的企业网拓扑实例。
这个企业网架构将企业网络分为了物理、逻辑和功能三个区域。划分这些区域使网络设计者和工程师能够根据设备的位置以及模型中相应位置的功能,来在相应设备上使用特定的网络功能。
1.2.1 深入分析接入层
建筑接入层汇集了终端用户,并为终端用户提供与分布层相连的上行链路。如果设计者选用了合适的Cisco交换机型号,那么接入层应该拥有以下优势。
高可用性:很多硬件和软件特性都可以用在接入层。设计者可以通过选择合理的Cisco交换机型号,来为重要的用户组提供系统级的冗余,如提供冗余的Supervisor引擎和冗余的电源。另外,Cisco交换机还提供了一些软件特性来为用户提供冗余的默认网关,即在接入层交换机与分发层交换机之间使用双链路连接,并在分布层交换机上运行FHRP(首跳冗余协议),比如HSRP(热备份路由协议)。这里有一点值得注意,那就是只有三层交换机才能支持FHRP和HSRP特性;而二层交换机则不会参与到HSRP和FHRP以及相应帧的转发进程中。
网络融合:部署在接入层的Cisco交换机可以(可选地)为IP电话和无线接入点提供在线以太网供电(PoE)技术,这使客户能够将语音数据融合到数据网络中,并为用户提供漫游WAN接入功能。
安全性:部署在接入层的Cisco交换机可以(可选地)提供一些的安全功能,主要是通过使用一些工具(如端口安全、DHCP欺骗[DHCP Snooping]、动态ARP监控和IP源防护[IP Source Guard])来防止未经授权的用户对网络进行访问。这些特性将在本书的后续章节中进行探讨。
图1-13所示的案例在接入层与分布层之间部署了冗余的上游连接。
1.2.2 分布层
部署分布层需要考虑的问题主要是网络的可用性、快速路径恢复、负载分担和QoS。一般来说,高可用性通常是通过在分布层到核心层,以及接入层到分布层之间部署两条路径来提供的。第3层等价负载分担技术可以让两条从分布层连接到核心层的链路同时得到使用。
分布层负责执行路由选择和数据包处理,它可以充当接入层和核心层之间的路由边界。分布层代表了路由选择域的重分布点,同时也是静态和动态路由协议的分界线。分布层执行的任务包括做出受控制的路由选择和过滤决策,从而实施基于策略的连通性和QoS。为了进一步增强路由协议的性能,分布层还负责将来自接入层的路由汇总在一起。对于大多数网络来说,分布层为接入层路由器提供了默认路由,并与核心层路由器之间使用动态路由协议进行通信。
分布层将二层和多层交换功能结合在了一起,它负责将工作组划分进不同网段并且隔离网络故障,进而阻止这些故障蔓延到核心层。一般来说,分布层用来终结接入层交换机发起的VLAN。分布层会将网络服务连接到接入层,并实施QoS、安全、流量负载和路由选择等策略。分布层可以通过FHRP(如HSRP)、GLBP(网关负载均衡协议)或VRRP(虚拟路由器冗余协议)来提供冗余的默认网关。这样一来,当某一个分布层结点出现故障或者被管理员移除时,端点依然可以连接到默认网关。
重申一下,分布层可以为园区网提供以下功能。
- 汇集接入层交换机。
- 为简化起见而分隔接入层。
- 汇总去往接入层的路由。
- 总是用两条链路来连接上游核心层路由器。
(可选)可以应用数据包过滤、安全特性和QoS特性。
图1-14所示为一个园区网的分部层,其作用是让多台接入层交换机互联。
1.2.3 核心层
核心层是园区网连接的骨干,它是企业网另外几层的汇聚点,也是企网中另外几层设备的汇聚点。核心层必须提供高级的冗余特性并且能够更快地适应变化。核心层设备是最可靠的设备,它们可以在网络中出现故障时重新路由流量,也可以对网络拓扑的变化作出快速响应。核心层设备必须能够实施可扩展的协议和技术、可替代的路径以及负载分担特性。在未来有必要对网络进行扩展时,核心层将有助于管理员扩展网络。
核心层应该是一个高速的三层交换环境,它通常会使用硬件加速服务,比如10吉比特以太网。为了当链路和节点出现单点故障时能够实现快速收敛,核心层可使用冗余的点到点三层互联,因为这种设计方式在收敛时速度最快。核心层不应该通过软件对数据包进行任何操作,比如检查访问列表或者过滤,因为这会降低数据包的交换速度。Catalyst和Nexus交换机支持访问控制列表和过滤,同时这也不会降低交换的性能,因为它们是在硬件交换路径中支持这些特性的。
图1-15所示为一个园区网络的核心层,它汇集了很多分布层的交换机并最终连接到接入层交换机。
重申一下,核心层可以为园区网和企业网络提供以下功能。
将位于分布层的交换机同网络的其他部分汇集到一起。
通过提供冗余的汇集点来实现快速收敛和高可用性。
可以在未来随着分布层和接入层的扩展而扩展。
1.为什么需要核心层
如果没有核心层,位于分布层的交换机就必须采用全网状互联的方式相互连接。这种设计方式很难扩展,并且会多使用很多线缆,因为每栋新建筑的分布层交换机都需要和其他所有的分布层交换机全互联。如果使用这种全网状的连接方式,那么每个分布层交换机都需要使用海量的线缆。另外,这种全网状的连接方式会增加路由选择的复杂程度,进而会在网络添加新邻居时给管理员制造麻烦。
在图1-16中,2号楼两个相互连接的交换机的分布层模块需要使用4条新的链路来和1号楼的相应模块进行连接。而3号楼需要使用8条新的链路来和当前所有分布层交换机连接1,也就是一共需要使用12条链路才能使分布层交换机相互连接。4号楼则需要再使用12条新的连接,从而分布层交换机总共需要使用24条链路。这4个分布层模块使每个分布层交换机上添加了8个IGP(内部网关路由协议)邻居。
因此,部署核心层是这种环境中的推荐做法,我们需要部署一个专用的园区网核心层来将3个以上的物理分段连接起来,这里所说的物理分段可以指企业园区中的楼宇,或者大型园区中4个以上建筑分布层中的交换机对。如果管理员在Cisco交换机上使用了以下资源,那么园区网核心层就可以使网络的扩展操作变得更加轻松。
- 扩展到密集万兆和千兆端口。
- 将数据、语音和视频无缝地集成到网络中。
- LAN汇聚,也可以(可选地)对WAN和MAN进行汇聚。
2.将园区核心层作为企业骨干网
核心层是园区网连接的骨干,也可以将其作为企业网架构中其他各层的汇集点。核心层可以提供高级别的冗余,可以迅速适应网络的变化。核心层设备是最可靠的设备,它们可以在网络出现故障时重新路由流量,可以对网络拓扑的变化作出快速响应。核心层设备必须能够实施可扩展的协议和技术、可替代的路径以及负载分担特性。在未来有必要对网络进行扩展时,核心层将有助于管理员扩展网络。核心层可以简化企业中网络设备之间互联的方式,同时也可以降低不同物理网段(如各建筑的不同楼层)之间路由的复杂程度。
图1-17所示案例将核心层作为骨干,来连接企业网中的数据中心和Internet边缘设备。除了核心层在企业网架构中的逻辑作用,它的构成和功能则由该企业网的规模和类型所决定。不是所有实施园区网的环境都需要部署核心层。园区网也可以将核心层和分布层的功能都结合在分布层中,这样可以减小拓扑的规模。在下一节中,我们将详细讨论这种案例。
1.2.4 小型园区网示例
小型园区网络或大型分支机构网络是指终端设备小于200台的网络,同时在小型园区网中,网络服务器和工作站有可能物理地连接在同一个配线柜中。在小型园区网中的交换机也许不需要拥有很高的性能,也不需要具备很强的扩展性。
在很多情况下,少于200台终端设备的网络可以将核心层和分布层合并进同一层中。不过,由于成本的问题,这种设计会限制接入层交换机的数量。当网络中有很多VLAN时,低端多层交换机可以向终端用户提供路由服务。在一个小型办公环境中,一台低端的多层交换机(如Cisco Catalyst 2960G)也许就能够满足整个办公环境中的二层LAN访问需求,而路由器(如Cisco 1900或2900)则可以将办公室与大型企业网的分支机构/WAN部分连接起来。
图1-17所示为一个小型园区网的示例,在该图中,园区骨干网将数据中心连接了起来。在该例中,骨干网可以部署Catalyst 3560E交换机,而接入层和数据中心则可以使用Catalyst 2960G交换机,因为接入层对未来的扩展性和可用性方面要求并不是很高。
1.2.5 中型园区网示例
对于一个中型园区网来说,网络中应该拥有200~1000台终端设备,网络的架构一般来说就是将接入层交换机通过上行链路连接到分布层的多层交换机上,而分布层的多层交换机可以支持中型园区网对于性能的需求。如果需要提供冗余,那么管理员可以将冗余的多层交换机连接到建筑接入层以实现全链路的冗余。在中型园区网中,最低也要使用Catalyst 4500系列或Catalyst 6500系列交换机,因为它们能够提供很多Catalyst 3000和2000系列交换机所无法实现的功能,如可用性、安全、性能等方面。
图1-18所示为一个中型园区网拓扑的案例。该例所示为一个由建筑分隔开的物理分布段。这里所说的物理分布段可以是指楼层、机架等。
1.2.6 大型园区网示例
大型园区网是指拥有2000个以上终端用户的环境。由于已经没有比大型园区网规模更大的环境了,因此大型园区网的设计有可能要包含许多企业的扩展技术。在设计大型园区网时,人们往往会遵循前文介绍的分层模型,将网络划分成接入层、分布层和核心层。本书的图1-17所示为一个可以根据需要扩展成不同大小的大型园区网。
大型园区网应严格按照Cisco最佳做法的建议进行设计。本章前文中所介绍的各种最佳做法(如分层模型、部署三层交换机、在设计时选用Catalyst 6500和Nexus 7000系列交换机)只是支持这类规模园区网特性的冰山一角。有很多同类特性都会应用在小型或中型网络中,但是这些特性不能扩展到大型园区网中。
另外,由于大型园区网需要更多人来进行设计、实施和维护,因此有必要对参与者进行一下分工。本书在前文中曾提到企业网可分为园区、数据中心、分支机构/WAN和Internet边缘。这可以作为大型园区网参与者的基本分工方式。在后面的章节中,我们会介绍一些原本用于小型园区网,后来逐渐成为大型园区网需求的特性。另外,大型园区网需要相关人员谨慎设计、小心实施。关于设计和实施的问题,我们将在本章的下一节中进行介绍。
1.2.7 数据中心架构
数据中心的设计方案是企业网络的一部分,它同样采取了分层的方法来增强企业网络的扩展性、性能、灵活性、快速复原功能并且降低网络的维护难度。数据中心的设计方案可以分为3层。
- 核心层:为所有进出数据中心的流量提供高速的数据包交换背板。
- 汇聚层:提供一些重要的功能,如集成服务模块、定义二层域、处理生成树、提供冗余的默认网关等。
- 接入层:将服务器通过物理方式连接到网络。
基于多层HTTP的应用在多层数据中心模型中占据着主导地位,这些应用支持着服务器的Web、应用和数据库层。接入层的网络设备既可以支持第2层拓扑,也可以支持第3层拓扑;并且它们还可以通过第2层邻接关系,来满足不同服务器之间的广播域和管理性需求。接入层设备的第2层功能在数据中心中更为盛行,因为有些应用需要通过第2层域来支持低延迟传输。构成数据中心的绝大多数服务器包括单/双RU(机架单元)服务器、集成了交换功能的刀片服务器、可提供透传(Pass-Through)线缆的刀片服务器、集群服务器以及具有多项超额订阅(Oversubscription)需求的大型机。图1-19所示案例高度概括了数据中心的拓扑。
部署在汇聚层的多种汇聚层模块能够为接入层提供连通性支持。汇聚层可支持提供各种功能的集成服务模块,这些功能包括安全、负载分担、内容交换、防火墙、SSL卸载(SSL Offload)、入侵检测以及网络分析。
前文已经介绍过,本书着重于介绍企业网中的园区网设计,而并不涉及数据中心设计。然而,这里所介绍的大多数主题也都可以应用在数据中心设计中,比如VLAN的使用方法。数据中心设计在部署方法以及需求方面,与园区网设计有所区别。考虑到CCNP SWITCH这门课的宗旨,我们会着重于介绍园区网设计的相关概念。
下一部分我们会讨论如何使用生命周期法来设计网络。这一部分并不涉及具体的园区网或交换技术,而是介绍了网络设计的最佳方法。有些读者可能会因为这一部分未涉及技术内容,而跳过下一小节;但它却是CCNP SWITH课程以及实际部署中的重要部分。
