CCNP SWITCH(642-813)学习指南(txt+pdf+epub+mobi电子书下载)

作者：（美）理查德（Richard,F.）,（美）巴拉基（Balaji,S.）,（美）艾然（Erum,F.）

出版社：人民邮电出版社

格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT

CCNP SWITCH(642-813)学习指南试读：

前言

在过去的几年时间里，交换技术已经从简单的三层交换机发展到新的交换机，这些交换机可以支持四层到七层的特性。例如，服务器负载均衡、URL监控、防火墙、基于访问的控制等，并且还具备了更高的端口密度。多层交换机已经成为网络架构的“多合一”设备。这种发展的结果是，企业和服务提供商开始采用多层交换机来替代多种网络设备，例如路由器和网络设备。交换技术不再仅仅是网络架构的组成部分之一，它本身已经成为了网络架构，而无线技术则代表了最新的网络发展。

由于企业、服务提供商，甚至消费者纷纷开始部署多层交换网络，所以需要大量有经验且知识丰富专业人士参与到多层交换网络的设计、配置和支持领域。而CCNP和CCDP认证则可以证明网络专业人士的技术能力，进而为其提供就业竞争力。

CCNP和CCDP不仅仅是简历上的一个简单的名词，它更可以证明证书持有者在网络技术领域的经验、知识和竞争力。获得CCNP认证可以证明相关人员有能力在部署了多种协议的中大规模网络中安装、配置和运转LAN、WAN和拨号访问服务。而获得CCDP认证则可以证明相关人员有能力设计高性能、高可扩展、高可用的路由和交换网络，其中包括LAN、WAN和拨号访问业务等。

CCNP 和 CCDP 认证途径要求通过“SWITCH 642-813”考试。如果读者希望获得关于Cisco 认证的最新信息，可以访问网址：http://www.cisco.com/en/US/learning/le3/learning_career_certifications_and_learning_paths_home.html。

目标和方法

本书的内容是根据 Cisco SWITCH所设计的。Cisco SWITCH是 CCNP课程中的一门，是刚刚设计好的一门课程。本书为 Cisco 交换网络的实施提供了必备的知识和案例。本书中我们假设读者已经具备了 Cisco ROUTE 和TSHOOT 课程的知识基础。另外，本书的内容也足以满足读者备考 SWITCH 考试的需求。另外，本书还附带了 Cisco SWITCH 课程的e-learning内容。

为了完成上述任务，本书对SWITCH的理论部分进行了深入的解读，并为读者提供了设计和配置的案例。对SWITCH的深入解读包括对背景知识、标准参考读物以及Cisco.com罗列的文档的介绍。本书不仅会向读者提供认证考试和SWITCH课程中的必要信息，还希望通过向读者介绍的主题、理论和案例，使读者能够理解用于搭建当今复杂多层交换网络的主题。本书各章中为读者介绍的案例和问题可以帮助读者理解并应用各章中介绍的概念。本书的目标是帮助读者理解各章的内容，并在参加认证考试或SWITCH课程时能够将这些内容活学活用。

各章的复习题可以帮助读者自行评估这一章内容的学习成果。这些问题同样是备考的优秀资料。

读者对象

本书适合那些想要学习现代交换技术的人员，以及准备参加相关考试的人员。这类读者阅读本书必有所获。本书尤其适合那些具备一定路由交换知识，并且希望学习并深化其交换技能的人员。那些希望通过 Cisco SWITCH考试的读者可以从本书中找到他们通过考试所必备的一切信息。Cisco 网络学院 CCNP SWITCH 课程的学生也可以使用本书作为自己的官方教材。

Cisco认证与考试

Cisco提供了4种级别的路由交换认证考试，4种级别对于熟练程度的要求各有不同，这4个级别是入门级（Entry）、助理级（Associate）、专业级（Professional）和专家级（Expert），分别取这些级别认证的单词首字母，可以将它们称为CCENT（思科认证初级网络技师）、CCNA（思科认证网络工程师）、CCNP（思科认证网络高级工程师）和CCIE（思科认证网络专家）。除此之外，还有其他的认证，但是本书只介绍企业网络的认证考试。

如需查看 CCNP 认证最新的要求，读者可以访问 Cisco.com 并单击 Tranning andEvents。读者可以在这里找到其他关于考试的具体内容，比如考试的课程，以及如何注册考试等。

备考SWITCH考试的策略因读者技术水准、知识和经验的不同而略有差异。比如，如果读者学习过 SWITCH 课程，那么他/她备考的方法就可能与那些在工作中学会交换技术的读者有所不同。但是，无论读者的知识背景如何，本书都可以帮助他/她在最短的时间内找到通过考试的途径。

本书组织结构

本书在第一章中介绍了多层交换网络设计的基础。之后，本书讨论了多层交换环境中，一些设计特性的实施方法，如VLAN、生成树、VLAN间路由。本书具体的组织结构如下。

第1章，“分析Cisco企业园区架构”——这一章始于Cisco园区网架构和设计方案的简短介绍。接下来简要概述了园区网络的交换术语，随后是对Cisco交换机的简介。然后，这一章继续讨论了园区设计的基础。在这一章的最后，介绍了设计和实施网络的 PPDIOO生命周期法。

第2章，“在园区网中实施VLAN”——这一章介绍了在给定的园区网中实施虚拟VLAN（VLAN）的方法，其中包括对私用VLAN、VTP和802.1Q链路聚集协议的介绍。此外，这一章还介绍了在园区网中实施EtherChannel的方法。

第3章，“实施生成树”——这一章讨论了多种生成树协议，如PVRST+和MST，同时还提供了对这些协议的概述，以及配置案例。然后，这一章介绍了高级 Cisco STP 增强特性以及为生成树进行排错的方法。

第4章，“实施VLAN间路由”——这一章通过介绍VLAN间路由，而转入开始对三层交换技术进行介绍。在接下来的内容中，这一章讨论了动态主机配置协议（DHCP）。此外，这一章还介绍了基于CEF（Cisco快速转发）的多层转发。

第5章，“在园区网中实施高可用性和冗余性”——这一章介绍了园区网中的高可用性，接着介绍了具有自我恢复功能的网络的建设方法。这一章介绍了用于监测高可用性的工具，比如 SNMP和 IP SLA（服务水平协议）。这一章包含了交换机 Supervisor 引擎的高可用性选项和网关冗余性协议，如 HSRP（热备份路由器协议）、VRRP（虚拟路由器冗余性协议）和GLBP（网关负载分担协议）。

第6章，“保障园区网设备安全”——这一章概述了潜在的园区网安全性威胁，以及如何缓解这些威胁，其中可以利用的特性包括DHCP欺骗、DAI（动态ARP检测）和IP源防护。这一章接着介绍了保障交换机设备安全的方法、排错工具和技术，比如SPAN（交换端口分析器）和远程SPAN。

第7章，“在园区网架构中规划高级服务”——这一章讨论了Cisco交换机高级服务的应用。其中着重介绍了三种主要的服务，即IP电话通信（语音）、视频和无线技术。此外，由于这些高级服务都需要通过交换机上的一些额外特性来实施，因此本章也介绍了QoS和IP组播等内容。

附录A，“复习题答案”——该附录为各章课后复习题的答案。第1章 分析Cisco企业园区架构

本章涵盖了以下主题：

·企业园区网设计概述

·设计企业园区网

·使用PPDIOO生命周期法来设计和实施网络

在刚刚过去的半个世纪中，由于通信科技和计算机科技的蓬勃发展，企业的产量和竞争力都得到了大幅的提升。通过20多年的发展，企业园区网已经成为了企业计算机和企业通信架构中最核心的组成部分。然而，企业与通信科技共同增长繁荣的趋势并不会减退，目前，我们所处的环境正在经历新一轮的演变。由于企业的业务和网络的需求都在变得日趋复杂，因此，某种特定的网络模型业已无法满足企业园区网络在功能和服务方面的需求。

简而言之，在今天，设计一个企业园区网已经无异于设计一个大型综合系统——比如设计一个软件，甚至设计一个国际空间站。所以，设计人员必须依据工程方面的一些根本原则，才能确保其设计的网络在可用性、安全性、灵活性和可管理性方面，都能够满足今后的业务和技术需要。本章会向读者介绍企业园区设计的概念、以及成功部署园区网络的实施流程。1.1 企业园区网设计概述

Cisco 拥有多种企业园区网的设计模型，这些设计模型都是对各类企业网络的抽象与浓缩。不过，本书在介绍企业网络时，会将它们分为以下部分。

·核心骨干网。

·园区网。

·数据中心。

·分支机构/WAN。

·Internet边缘。

图1-1所示为一个高度概括的企业网示例。

园区网是企业网的一部分，是计算机架构的组成部分。一般来说，园区网的作用可以理解为：使终端用户能够从某一个地理位置访问网络通信服务和网络资源。这里的某一个地理位置可以是指楼宇的某一层，整个一栋楼，甚至某个地理区域内的楼群。有的网络只包含有一个园区网，这个园区网在网络中同时也充当核心网和骨干网的作用，也就是将网络的各个部分互连起来。园区核心网通常会将园区网、数据中心及网络中的 WAN 部分连接在一起。在大型企业中，整个网络中往往包含了多个园区网，它们分布在网络的不同位置，负责在终端用户与网络骨干之间建立连接。在图1-1所示的网络中，设计者将园区网和园区核心网从功能上进行了区分。从物理上讲，园区核心网一般都是一个整体，而园区网则往往在物理位置上分布在整个企业中，因为这样做可以削减线缆的开支。举个例子来说，将与终端用户连接的交换机分别放置于企业不同位置的布线柜中，往往比集中摆放这些交换机更加节省成本。图1-1 高度概括的企业网

数据中心也是企业网络的一部分，它通常是用来存放计算机系统及相关组成部分的设备。这里所说的计算机系统可以是指存放邮件、数据库或市场数据应用的服务器。曾几何时，人们提起数据中心，指的都是服务器集群。而数据中心里面的计算机系统则往往用来给园区网中的用户提供各种服务，如市场数据统计。但数据中心技术正在迅速地演变，人们希望有一种新的技术能够在虚拟技术的基础上对数据进行集中管理。不过，本书仅会介绍企业网络中的园区网部分；如果读者对 Cisco 数据中心的架构和技术感到意犹未尽，可以通过Cisco.com了解更多具体的信息。

注意：一般来说，在企业网中，园区网的作用可以理解为：使分布于某一个地理位置内的终端用户能够访问到网络通信服务和网络资源。而数据中心则是用来存放计算机系统及相关组成部分的设施。

注意：在后文中，我们会将企业园区网简称为园区网。换言之，在后文中我们一旦提到园区，所述内容都与企业网有关。

企业网的分支/WAN部分包含有路由器、交换机等设备，它的作用是连接总部办公室和各地的分支办公室，并在各个主站点之间建立连接。这里读者务需记住一点，许多大型企业网中都包含了多个园区和数据中心，并且这些园区和数据中心是相互连接的。在大型企业网中，设计者必须部署更高带宽的链路并追加使用一些路的特征，才能使多个数据中心与远程站点进行交互。Cisco将这些设计归类为DCI（数据中心互连，Data Center Interconnect）。不过，分支/WAN以及DCI都不在CCNP SWITCH课程及本书的涵盖范围之内。

Internet边界是企业网的一部分，它是由路由器、交换机、防火墙及其他网络设备所组成的，其作用是将企业网连接到Internet。在这一部分中，需要管理员使用一些必要的技术，以便使 Internet远程办公人员可以访问企业中的服务。一般来说，Internet边缘最关注的就是网络安全性，因为Internet边缘的作用就是将私有的企业往连接到公共的区域中。不过，企业网中 Internet 边界这一部分的内容同样超出了本书及 CCNP SWITCH 课程的讨论范畴。

提示：在很多出版物中，术语设计方案（Design）和架构（Architecture）的使用有些不够严谨。在本书中，架构指代一个模型，而设计方案则专指某个人或某些人所设计的一个网络拓扑。

下面我们进行一下复习，企业网是由5个不同的区域所组成的：核心骨干网、园区网、数据中心、分支机构/WAN以及Internet边缘。这些区域亦各有其组成部分，我们也可以在其他出版物或设计文档中定义一些其他的区域。考虑到 CCNP SWITCH 及本书的宗旨，我们在后文中只会强调企业网中的园区网部分。在下一节中，我们要开始讨论驱动网络设计方案及网络模型一体化（特别是数据中心）的规范标准。至于本节所介绍的知识，读者应该在设计园区网之前做到心中有数。1.1.1 驱动企业架构变化的法规标准

有很多法规标准带动了企业架构的发展变化。尽管在这些标准中，大多数关注的都是数据和信息，但是它们仍然驱动着网络架构向前发展。比如，为了确保数据如HIPAA （健康保险可携性与责任法案）所规定的那样安全，在网络中集成安全设备就变得至为重要。另外，萨班斯—奥克斯利法案（为维护财务数据的完整性而制定的法规标准）要求上市公司拥有多个冗余的数据中心，且它们的财务数据都是同步的，并应该实时进行复制。

由于本书所关注的内容是应用到了交换技术的园区网设计方案，因此，如何使设计的网络契合某些法规不在本书的讨论范畴之列。不过，法规标准对于数据中心、灾难恢复和业务连续性来说是至关重要的。无论在设计何种园区网时，设计者都应该在设计网络之前，首先查看一下可以应用到该场合中的相关法规标准。在闲来无事的时候，我们推荐读者阅读下面几个法规标准。

·萨班斯—奥克斯利。

·HIPAA。

·SEC 17a-4“Records to Be Preserved by Certain Exchange Members，Brokers andDealers（交易所会员、证券经纪人以经济商行保存交易记录的若干规定）”。

不过，上面的三个法案并不代表法规标准的全部内容，它们只是设计者必须首要思考并遵循的法规标准。如果还有某些法律适用于读者所在企业，那么读者在设计企业网络之前应该进行一下内部咨询，以获得更多具体的信息。在本书的下一节中，我们将会开始介绍设计健全园区网方案背后的动机。1.1.2 园区网设计方案

如果园区架构设计合理的话，那么网络应该是模块化的，是可以快速复原的，并且它的灵活性应该很强。换言之，设计优良的园区架构不仅节约时间，节省成本，而且还可以简化IT工程师的工作，并且能够让业务量显著提高。

为了重申上述观点，我们将通过以下特征介绍生产网的最佳设计方法和设计原则。

·模块化：根据模块化方式设计出来园区网更容易扩展和修改。通过使用结构单元式（也称为可分离式或模块式）的设计方式，相关人员在对网络进行扩展时，只需为网络添加新的模块即可，而无需重新设计一个新的网络。

·快速复原：部署、设计园区网的最理想结果是：在接近100%的时间里网络都可以正常工作，这同样也是网络应该实现的可用性指标。因为对于提供金融服务的园区网来说，即使出现1秒钟的故障，损失也有可能高达数百万美元。

·灵活性：业务上的变化旨在确保企业能够适应市场的发展。而业务变化也会影响企业对园区网的需求，从而需要园区网快速适应新的需求。接下来我们将介绍几种能够快速适应并易于变更的园区网设计方案。

在下一节中，我们要介绍一下在当前园区网设计方案诞生之前的传统园区网设计方案。这些知识是设计现代园区网的基础，因此相当具有参考价值。

1.传统的园区网设计方案

起初，传统园区网设计方案是建立在单一的二层拓扑和单臂路由基础上的。所谓单臂路由（Router-On-a-Stick）是指通过一台路由器与多个LAN相连，并由该路由器来路由这些网段之间的数据，这是园区网中一种传统的技术手段。

不过，单层的网络存在很多固有的限制。二层网络的限制是，它无法提供以下特性。

·扩展性。

·安全性。

·模块化。

·灵活性。

·快速恢复。

·高可用性。

在后面的小节“深入分析二层交换”中，我们还会介绍其他关于二层网络限制方面的信息。

二层网络的原始优势之一就是它的速度，搭建二层网络的优势也在于此。不过，随着Cisco Catalyst和 Nexus交换机装载了高速交换硬件之后，三层交换的性能目前已经能够与二层交换的性能并驾齐驱。有鉴于此，人们开始大规模地部署三层交换网络。比如，对于以下交换机来说，其三层交换性能就等同于二层交换性能：Catalyst 3000、4000和6500 系列交换机，以及 Nexus 7000 系列交换机。

注意：对于当代Cisco交换机来说，就吞吐量而言，三层交换性能已经等同于二层交换性能。

注意：Nexus系列交换机是相对新型的交换机，这个系列的交换机旨在用于部署数据中心。因此，这类交换机可以支持很高的带宽，速率可高达每秒数十万兆。另外，管理员也可以根据需要，让Nexus 交换机为市场数据应用提供低延迟交换、以太网光纤通道（FCoE）以及高可用性特性。不过，由于Nexus是为数据中心研发的交换机，因此，它们缺少一些Catalyst交换机所拥有的特性，比如为IP电话在线供电的功能等。

由于Cisco交换机的三层交换性能可以支持大型的网络，因此，为使网络更容易扩展，人们开始使用分层结构来设计园区网。在下一小节中，我们会简要介绍一下分层园区网的概念。这一概念的具体内容将在本书的后续章节中继续进行介绍；不过，在讨论其他园区网设计概念之前，我们仍然有必要简要介绍一下这些概念。

2.园区网设计方案中的分层模型

现在我们来思考一下 OSI（开放式系统互联）参考模型，它是一个为了帮助大家理解和实施计算机通信所设计的分层模型。由于OSI模型将计算机通信分为了很多层面，因此简化了两个计算机之间的通信任务。

同样的道理，为了简化园区网的架构，Cisco 也采取了分层的做法。由于分层模型中的每一层都只关注一个特定的功能，因此网络设计师就可以更轻松地为每一层选择最为适合的系统和特性。这种模型可以提供一个模块化的框架，使网络设计变得更加灵活，实施和排错变得更加轻松。Cisco 园区网架构可以将网络或网络中的模块化区域从根本上分为三个层面，即接入层、分布层和核心层。这三个层面分别具有以下特点。

·接入层：用来使用户、服务器或边缘设备能够访问网络。在园区网设计方案中，接入层一般包含为工作站、服务器、打印机、无线接入点等设备提供连接端口的交换机。在 WAN 环境中，对于远程办公人员或远程站点中的用户来说，接入层可以通过 WAN 技术来帮助他们访问公司的网络。接入层是园区网中特性最丰富的部分，因为设计网络的最佳做法就是在尽可能接近网络边缘的位置应用特性。这里所说的特性包括安全、访问控制、过滤、管理等，这些内容我们将在后续章节中具体介绍。

·分布层：这里汇集了配线柜，在这一层中，我们使用交换机来将工作组分进不同的网段中，并用交换机将园区网环境中可能存在的问题隔离在一个比较小的范围内。同样，分布层也汇集了园区边缘的 WAN 连接，并可以提供一定程度的安全性。一般来说，分布层位于接入层和核心层之间，充当服务和控制的边界。

·核心层（亦称骨干）：高速的骨干旨在以最快的速度交换数据包。在当代园区网设计方案中，核心骨干必须使用至少万兆的以太网链路来与其他交换机建立连接。由于核心层对于网络连通性来说是最为关键的一层，所以它必须提供最高级别的可用性，并且必须能够最快地适应网络的变化。该层的设计方案也应该实现扩展性和快速收敛。

分层化的模型并不属于创新，它作为园区网架构已经颇有一段时间了。最后，作为回顾，我们来复述一下对于非分层化模型来说，分层化模型所具有的优势。

·提供了模块化的设计方案。

·易于理解。

·灵活性强。

·易于扩展。

·提高了网络的可预测性。

·降低了排错的难度。

当我们将分层模型应用在模块化的园区网设计方案后，网络可以概括为图1-2所示的拓扑。图1-2 将分层模型应用于园区网的抽象示意图

在下一节中，我们将会介绍 Cisco 交换机的背景知识，并开始探讨 Cisco 交换机在园区网设计过程中所扮演的角色。1.1.3 多层交换机对网络设计的影响

在搭建园区网之前，必须首先了解一下以太网的交换功能。有鉴于此，下一节我们会对二层和三层术语的用法和概念进行一下介绍，以便我们可以在后文继续讨论企业园区网的设计。在这些内容中，有一部分是对CCNA知识的复习。

1.以太网交换技术的回顾

在网络技术领域中，进行产品营销时往往需要使用很多专业术语来描述产品的功能。结果是，在很多情况下，由于产品营销人员希望在众多厂商的产品中突出自己产品的优势，因此他/她就把很多专业术语进行了夸大。第2、3、4和7层交换等术语就是这样的一个例子。在网络技术领域中，这些术语往往言过其实，因此必须对这些术语的使用进行详查细审。

第2、3、4、7层交换这些术语是将交换特性结合在了OSI参考模型上。图1-3所示为OSI参考模型及其与协议和网络硬件之间的关系。

在下一节中，我们将对CCNA中的二层交换知识进行一下回顾。虽然这部分属于回顾的知识，但二层交换的概念对于后续章节的学习是至关重要的。图1-3 OSI模型与协议和网络硬件的关系

2.二层交换

在进行产品营销时，市场人员会将一台Cisco交换机列为二层交换机或者三层交换机，但是这种区分并不是绝对的，因为术语有时候和产品的功能并不完全一致。读者在此之前想必学过：二层交换机只能根据 MAC 地址对数据包进行交换。二层交换机能够比较轻松地提高网络带宽和端口密度。术语“第 2 层交换”是在暗示交换机所转发的帧不会以任何方式被修改。问题是，某些二层交换机（如 Catalyst 2960）却具有一些第3 层的特性，例如根据服务质量（QoS）来区分数据包、根据IP地址实施访问控制等。进行QoS标记（marking）时还会用到第4层信息，即根据TCP包头中的TCP端口号在IP包头中标记DSCP（区分服务编码点）位。当然，读者不必因为看到了前面的句子就急于在本章立刻掌握QoS技术，因为在后面的章节中，本书会对QoS的相关术语进行具体的介绍。这里重申一下，二层交换机无法根据IP地址对数据帧进行路由，它们的功能仅限于根据MAC地址对数据帧进行转发。虽然如此，二层交换机也可能支持某些特性，使它们能够读懂数据帧中与该特性相关的第3层信息。

由于众多因素的共同作用，传统的第2层交换机会受到网络扩展性的限制。结果是，与传统二层交换机相连的所有网络设备都必须位于相同的子网，并且为了进行地址解析，需要交换广播数据包。在这个过程中，所以参与交换广播数据包的网络设备，就组成了一个“广播域”。第2层交换机会在整个广播域中泛洪未知的单播、组播和广播流量。这样做的结果是，广播域内的所有网络设备都要处理全部泛洪流量。因此，随着广播域规模的扩大，域内设备就要花费更多资源去处理这些不必要的流量，这会最终使得这些网络设备不堪重负。为了避免出现这种情况，网络拓扑中的传统二层交换机就不能太多。另外，由于二层交换机缺乏QoS特性和安全特性，就也会限制低端二层交换机在园区网和数据中心环境中的应用。

不过，当前所有的 Cisco Catalyst交换机以及绝大部分传统的 Cisco Catalyst交换机都能够支持VLAN（虚拟局域网）技术。VLAN可以将流量分隔到相互隔离的广播域中，因此它可以将网络分为多个子网。于是，这项技术克服了前文提到的二层网络设计中的若干限制。本书将在后面的章节中具体讨论VLAN的相关内容。

图1-4所示为一台与工作站相连的二层交换机。由于交换机只能进行MAC地址转发，因此工作站必须与交换机位于相同的子网内，才能相互通信。图1-4 二层交换

3.三层交换

三层交换机带有三层路由选择功能。目前的很多 Catalyst 三层交换机都能够使用路由选择协议（如 BGP、RIP、OSPF 或 EIGRP）来制定最优的转发决策。不过，有些带有路由选择功能的Cisco交换机无法支持BGP协议，这是因为这些交换机的内存无法支撑规模较大的路由表。图1-5所示为一台三层交换机与多个工作站相连，这台交换机可以在两个子网之间路由数据包。图1-5 三层交换

注意：二层交换：

·根据MAC地址进行交换；

·扩展性有限，域中只能存在有限的几台交换机；

·有可能可以支持第3层特性，如QoS或访问控制。

三层交换：

·根据IP地址进行交换；

·兼具二层特性；

·设计方案扩展性良好。

4.四层交换与七层交换

四层交换和七层交换这两个术语不如第2层和第3层交换那么直白。所谓四层交换，是指根据协议会话进行交换。换言之，在交换决策的过程中，第4层交换不仅会使用源 IP 地址和目标 IP 地址，而且还要使用数据包中 TCP 和 UDP（用户数据报协议）部分所包含的 IP 会话信息。使用四层交换技术来对流量进行区分，最常用的方法就是通过TCP和UDP端口号来实现。服务器负载均衡技术（这是一个从第4层到第 7 层的交换特性）可以使用 TCP 信息（如 TCP SYN、FIN 和 RST 等）来制定转发决策（关于 TCP SYN、FIN 和 RST 的具体解释，请参考 RFC 793）。综上所述，第 4层交换机能够区分不同类型的 IP 数据流，例如区分 FTP、NTP（Network Time Protocol，网络时间协议）、HTTP、S-HTTP（Secure HTTP，安全 HTTP）和 SSH（Secure Shell，安全外壳程序）通信流量等。

七层交换功能是根据应用层信息来实现的。所谓七层交换，指的是内容智能（ContentIntelligence）。以浏览Web网页为例，内容智能需要使用某些特性，如URL监控、Cookies和主机数据包头等。再以VoIP为例，为了能够实现QoS，内容智能需要对呼叫目的地进行区分，例如区分出该呼叫是本地呼叫还是长途呼叫。

表 1-1 对 OSI 参考模型的七层进行了总结，同时还总结了每层的 PDU（Protocol DataUnit，协议数据单元）（PDU表示的是各层所交换的数据）。在阅读下表时，请读者注意帧和数据包之间的区别，以及它们与OSI层级之间的联系。在下表中，还有一列旨在举例说明工作在该层的设备。表1-1 与OSI模型各层相对应的PDU及设备1.1.4 深入分析二层交换

二层交换也常被人们称为基于硬件的桥接。在只有二层功能的交换机中，帧的转发是由 ASIC 负责处理的。此外，二层交换机将增加带宽的能力转移到配线架，而无需给网络增加不必要的复杂性。在第2层，当帧在一层接口（如从快速以太网接口到吉比特以太网接口的所有接口）之间传输的时候，其内容不需要进行任何修改。

简单地讲，当前的二层交换机具有如下的网络设计特点。

·旨在实现接近线速的性能。

·内置了高速专用的ASIC。

·低延迟交换。

·可扩展到多台交换机的拓扑，但拓扑中没有路由器和第3层交换机。

·支持第3层功能，例如 IGMP（Internet Group Management Protocol，Internet组管理协议）侦听和QoS标记。

·在大型网络中，扩展性有限，没有第3层边界。1.1.5 深入分析三层交换

三层交换是基于硬件的路由选择。通过提供路由选择域，三层交换机克服了二层设备扩展性不足的缺点。ASIC 和其他专用电路负责处理三层交换机中的数据包转发。第 3 层交换机处理数据包的方式和传统路由器一般无二，其中包括以下工作。

·根据第3层信息判断转发路径。

·通过第3层校验和来验证第3层数据包头部的完整性。

·减去数据包的TTL（生存时间）值，并验证其是否过期。

·在修改IP的过程中，修改源和目的MAC地址。

·在修改第3层信息的过程中，更新第2层CRC。

·处理并响应数据包中的任何选项信息，如ICMP（Internet Control Message Protocol，Internet控制消息协议）记录。

·为网络管理应用更新转发统计数据。

·在需要的时候，应用安全控制和服务分类。

要想实现三层路由选择功能，就要求设备具有修改数据包的能力。这个过程发生在所有的路由边界。图1-6描述了在设备执行三层路由选择的过程中，对数据包进行修改的需求，例中两台工作站之间在使用ICMP进行通信。图1-6 三层数据包修改示例

ARP（Address Resolution Protocol，地址解析协议）在第3 层数据包修改过程中扮演着重要的角色。当图1-5中的工作站A向工作站B发送5 个ICMP Echo 请求消息的时，就会依次发生下列事件（假定本例中所有设备正要通信，它们使用的是静态IP地址而非DHCP，并且当前没有事件可以触发无故ARP）。

1.工作站A向它的默认网关发送一条ARP请求，以获取默认网关的MAC地址。因为如果不知道默认网关的MAC地址，工作站A就不能向本地子网之外发送任何通信流量。在本例中值得注意的是，工作站A的默认网关是具有2个以太网接口的Cisco 2600路由器。

2.作为默认网关的 Cisco 2600 路由器以 ARP Reply 来响应 ARP 请求，并且将其发往工作站A的单播MAC地址和IP地址，同时应答消息中指明了默认网关的MAC地址。在接收到 ARP 请求之后，默认网关也在其 ARP 表中添加了工作站 A 的 ARP条目。

3.工作站A以默认网关的MAC地址作为目标MAC地址，以工作站B的IP地址作为目的IP 地址，发送了第1 条ICMP Echo 请求。

4.路由器接收到ICMP Echo 请求，并且判断出去往目的IP地址的最短路径。

5.因为默认网关没有目的IP地址（工作站B）的ARP条目，因此它会丢弃工作站 A 发出的首个 ICMP Echo 请求。如果 ARP 表中不存在相应 ARP 条目，默认网关就会丢弃相应的数据包，而不会将数据包保存下来，这是定义ARP的RFC文档中所规定的。

6.默认网关向工作站B发送一条ARP请求，以获取工作站B的MAC地址。

7.在接收到ARP请求之后，工作站B以自己的MAC地址来发送ARP响应消息。

8.此时，工作站A开始通过默认网关向工作站B的目标IP地址发送第2个ICMPEcho请求。

9.在接收到第2 个ICMP Echo 请求时，默认网关已经拥有了工作站 B的 ARP条目，因此，默认网关会将帧的源MAC地址修改为自己的MAC地址，将目标MAC地址修改为工作站B的MAC地址，然后将帧转发到工作站B。

10.工作站 B接收到ICMP Echo 请求，并使用默认网关的目的 MAC地址来向工作站A的 IP 地址发送ICMP Echo 应答消息。

图1-6所示说明了修改第2层地址和第3层地址是在工作站A和工作站B路径之间的不同位置执行的。该图和示例举例说明了第3层路由选择和交换的基本操作过程。

路由器的数据包转发操作与第3层交换之间的主要区别在于物理实现方式上的不同。三层交换机会使用不同的硬件来实现转发，并且比传统路由器拥有更多的端口。

二层交换、三层转发和三层交换等概念都适用于单一平台：多层交换机。因为三层交换机的设计目标是用于处理大量的 LAN 流量，所以网络设计人员可以在需要使用路由器和交换机的网络中使用第3层交换机，因为它能够经济有效地取代传统路由器和过去的单臂路由设计方案。1.1.6 理解多层交换

多层交换将二层交换和三层路由选择的功能结合了起来。一般而言，网络领域会交替使用术语“三层交换机”和“多层交换机”来描述支持二层和三层交换功能的交换机。就具体术语而言，多层交换机不仅能够对园区网络中的通信流量进行线速转发，而且还能够满足第3层的连通性要求。这不仅解决了吞吐量的问题，而且有助于消除存在第3层瓶颈的设计形式。此外，除了支持路由选择和交换功能之外，多层交换机还支持很多其他的第2、3层特性。例如，很多多层交换机支持QoS标记技术。通过综合第2层和第3层功能和特性，多层交换机具有易于部署的特点，并且能够简化网络拓扑。

另外，三层交换机可以通过对二层的汇聚，来限制生成树的规模，这也可以简化网络结构。除此之外，与传统的第2层特性相比，第3层路由协议还能够支持负载分担、快速收敛、扩展性以及网络控制等功能。

最后，让我们来进行一下回顾。多层交换是一个营销术语，它指代兼具第2层交换和第3层路由功能的Cisco交换机。从设计的角度上看，所有企业园区设计方案都在某些方面包含了多层交换机，尤其是在网络的核心层和分布层部分。有些企业网的设计方案正在进化为，在接入层之上完全使用第3层交换设计，以便未来在各个接入端口上支持第3层网络端口。在以后的几年中，园区网的发展趋势是成为一个由廉价的三层交换机所构成的纯三层环境。

注意：在本书的后文中，我们会交替使用多层交换机和三层交换机这两个术语。1.1.7 Cisco Catalyst 交换机简介

Cisco 拥有多款型号的二层及三层交换机。为了简化起见，本节仅着重介绍那些在园区网、骨干网和数据中心环境中比较常用的型号。读者如需了解完整的 Cisco 交换机型号列表，可以访问Cisco.com的产品文档。

1.Catalyst 6500 系列交换机

Cisco Catalyst 6500 系列交换机是 Cisco 生产的全线交换机中最受欢迎的型号。这种型号的交换机部署广泛，不仅限于园区网、数据中心和骨干网，也常常用于部署服务、WAN、分支机构等，这种型号的交换机既可用于企业网络，也可用于服务提供商网络。考虑到 CCNP SWITCH 和本书的涵盖范围，我们仅将 Cisco Catalyst 交换机总结为如下特点。

·最多有13个插槽可以用来安装扩展模块。

·在能够使用超额订阅（Oversubscription）的型号中，每个插槽可以支持最大16个万兆（10 Gigabit）以太网接口。

·在当代硬件中，每个槽位支持的最大带宽为 80 Gbit/s。

·支持带有大量二层和三层交换特性的 Cisco IOS。

·在安装了特定模块之后，可以支持上达七层的特性。

·可根据冗余和高可用性方面的需要而安装冗余的电源、风扇及Supervisor引擎。

·支持三层不间断转发功能（NSF），因此设备在切换引擎时，路由对等体关系不会受到影响。

·向后兼容功能和投资保护策略，使其拥有漫长的生命周期。

2.Catalyst 4500 系列交换机

Cisco Catalyst 4500 系列交换机是一个相当受用户欢迎的交换机系列，很多中小型企业都在园区网的分布层或折叠核心层（Collapsed Core）部署了这个系列的交换机设备。所谓折叠核心层设计方案是指将核心层和分布层设计在同一个区域中。Catalyst 4500 是Catalyst 6500的次一级型号，但是它依然支持很多的二层和三层特性。总而言之，我们可以对Cisco Catalyst 4500系列交换机进行如下总结。

·最多有10个插槽可以用来安装扩展模块。

·每个插槽可以支持多个万兆以太网接口。

·支持 Cisco IOS。

·支持二层交换和三层交换。

·可出于冗余和高可用性方面的需要而安装冗余的电源及Supervisor引擎。

3.Cisco Catalyst 4948G、3960 和 3560 系列交换机

Cisco Catalyst 4948G、3960和 3560 系列交换机是园区网中最常用的固定端口交换机，它们主要用于网络的接入层。我们可以对它们给出如下的总结。

·可以配置大量的固定端口，其中包括最多 48个1 Gbit/s 接入层端口和4 个用于连接分布层的上行链路10 Gbit/s 以太网接口。

·支持 Cisco IOS。

·支持二层交换和三层交换。

·不能安装冗余的硬件。

4.Cisco Catalyst 2000系列交换机

Cisco Catalyst 2000 系列是纯二层的交换机，它们无法支持三层路由选择功能，但是也能支持一些其他的三层特性。这些特性一般都会应用在园区网中的接入层。我们可以对这类交换机进行如下的总结。

·可以配置大量的固定端口，其中包括最多48个1Gbit/s接入层端口和多个用于连接分布层的上行链路10 Gbit/s 以太网接口。

·支持 Cisco IOS。

·仅支持二层交换。

·不能安装冗余的硬件。

5.Nexus 7000 系列交换机

Nexus 7000 系列交换机是 Cisco 最优秀的数据中心交换机。该产品发布于 2008 年；Nexus 7000 的软件无法支持 Cisco IOS的任何特性。不过，我们可以对Nexus 7000 系列交换机进行如下的总结。

·模块化交换机，可以安装最多18个模块。

·每个插槽支持最大230 Gbit/s。

·支持Nexus（NX-OS）。

·10 槽位机箱采用了前后通风的设计方式。

·支持冗余的Supervisor引擎、风扇和电源。

6.Nexus 5000 和 2000 系列交换机

Nexus 5000和2000系列交换机是专为部署接入层的数据中心而设计的低延迟交换机。这些交换机目前都是纯二层交换机，但是它们支持低延迟的直通式交换（ Cut-Through Switching）功能。Nexus 5000 交换机是为万兆以太网应用而设计的产品，它也可以支持FCOE（以太网光纤通道）技术。1.1.8 硬件交换和软件交换术语“硬件交换”和“软件交换”这两个术语会贯穿本书的全文。在业界，术语“硬件交换”是指通过专门的硬件（ASIC）在任意一层（从第2层到第7层）处理数据包的行为。ASIC（应用专用集成电路）通常能够达到线速的吞吐量，它不会因为设备应用了某些高级特性（例如 QoS 标记、ACL [访问控制列表]处理或IP重写等）而降低性能。

注意：还有一些其他的术语，描述的也是硬件交换，如“硬件方式”、“使用ASIC”和“基于硬件”等。本书会在通篇交替使用这些术语。MLS（多层交换）是描述硬件交换的另一个常用术语。不过这个术语所表达的信息可能有点含糊。例如，对于Catalyst 5500交换机来说，术语MLS是描述一种老式的硬件交换方法和特性。而在当今的术语中，MLS则表示使用ASIC的高级特性（如NAT [网络地址转换]、QoS和访问控制等）后，设备仍然能够以线速（即所有端口以全双工，接口的最高速率同时发送流量的速度）对数据帧进行路由或交换。

与通过CPU实现的传统的数据帧“软件交换”相比，通过硬件实现交换和路由选择，流量的速度明显更快。很多 ASIC（特别是三层路由选择所使用的 ASIC）需要使用被称为TCAM（三重内容寻址内存）的专用内存，并且还需要结合使用数据包匹配算法来获得优越的性能，而 CPU 只是简单地使用更高的处理速度来达到更高的性能。一般而言，ASIC的性能和可用性都比CPU优秀。此外，ASIC在交换架构中更易于扩展，而CPU则扩展性不强。在对数据包以分布式的方法进行硬件交换时，不仅 Catalyst交换机的Supervisor 引擎上集成了ASIC，而且交换机的每个线路模块上也集成了ASIC。

ASIC会受到内存容量的限制。例如，由于Catalyst 6500系列交换机比Catalyst 3500系列交换机的ASIC内存更大，所以Catalyst 6500系列交换机也就能够支持更多数量的ACL。一般而言，ASIC内存的规模与交换机的开销和应用成比例。此外，ASIC并不支持传统Cisco IOS的全部特性。例如，对于安装了Supervisor II Engine和MSFC2（Multilayer Switch Feature Card，多层交换特性卡）的Catalyst 6500系列交换机来说，它们必须对所有需要执行NAT（网络地址转换）的数据包进行软件交换，而无法使用任何专用的线路来进行交换。不过，伴随着产品的推陈出新以及内存价格的走低，ASIC将能够支持更多的内存及更丰富的特性。

考虑到 CCNP SWITCH 这门课的宗旨和园区网的设计方案，我们极大简化了这一节里介绍的概念。读者可以在后面提到这些术语的章节中应用我们在本节介绍的内容。从下一节起，我们要把视线从交换硬件和技术转移到园区网络类型当中。1.1.9 园区网流量类型

园区网设计方案是和网络的规模息息相关的。不过，各层中的流量模式和流量类型对于打造园区网设计方案来说同样至关重要。每种类型的流量都代表一种特定的需求，比如带宽和流模式等。表1-2罗列了多种不同类型的流量，这些流量都有可能出现在园区网中。因此，设计者在设计园区网之前，必须能够鉴别不同的数据流、流量的类型及它们的模式。表1-2 常见的流量类型

表1-2着重列出了常用的流量类型，以及相关描述、常用流模式和占用带宽（BW）的高低。BW 这一列主要介绍的是该类流量的常见速率，范围是从低到很高，这一列的作用主要是进行比较。注意：该表仅罗列了常用的流量类型及其常见的特性，还有一些并不那么典型的流量在园区中也是屡见不鲜的。

考虑到园区网的设计宗旨，读者应该关注网络中的流量类型，特别是组播流量。对于一些以服务器为核心的应用来说，组播流量往往仅限于数据中心。不过，只要组播流量进入到了园区网中，就需要慎重对待，因为组播会严重影响园区网的设计方案。在下一节中，我们会深入并具体地介绍个各类不同的应用及其流量的特点。

注意：在园区网中，管理员需要谨慎对待IP组播流量的需求，也就是必须在设计园区之前就把组播考虑周详，因为它需要占用很高的带宽。

图1-7所示为一个企业网的示例，在该示例中，虚线标出的各类流量模式代表了哪些连接有可能受到网络占用率过高的影响。图1-7 网络流量类型

1.点到点的应用

有些流量使用的是点到点模型，即数据流在两个端点之间进行发送，而这两个端点有可能相距很远。点到点应用包括这样一种应用形式，即大量的网络流量都从一台终端设备（比如一台PC或者IP电话）通过企业网发往另一台设备（见图1-8）。有些流量对带宽和延迟并不敏感，而另外一些流量则需要对等体设备之间实时互动。典型的点到点应用如下所示。图1-8 高级点到点应用

·即时消息：两个对等体在两个终端系统之间建立通信连接。当连接建立起来之后，设备可以直接进行对话。

·文件共享：有些操作系统或应用需要能够直接访问其他工作站上的数据。幸运的是，大多数企业都禁止使用这种应用，因为它们缺乏集中的或者网络管理的安全性。

·IP电话呼叫：IP电话呼叫对网络的要求十分严格，因为这种流量需要通过QoS来将抖动降至最低。

·视频会议系统：视频会议对网络的要求极高，因为它非常消耗带宽，而且需要使用CoS（服务类别）。

2.客户端/服务器应用

许多企业流量都是基于客户端/服务器模型的，因此在这种模型中，去往服务器的连接最有可能成为带宽瓶颈。这种模型过去对网络带宽的要求比较高，但是今天，与应用的需求相比，它已经算是十分节省带宽的了。比如，对于应用来说，1 Gbit/s以太网比10 Gbit/s以太网的开销更具有优势，因为应用所需的带宽很少会超出1 Gbit/s。而且，由于在装备有高性能三层交换机的网络中，交换机延迟对绝大多数客户端/服务器应用来说并不重要，因此设计师可以将服务器集中放置，而不将其放置在工作组中，因为这样做从技术的角度上看更加灵活，而且也可以削减管理开支。不过，网络延迟对于财务数据和市场数据等应用（如29West和Tibco）来说至关重要。对于那些必须把延迟降至最低的环境，Cisco提供了一些低延迟的模块，这些模块可以安装在Nexus 7000系列和Nexus 5000及2000上，而这些系列的交换机全部都是低延迟的。考虑到本书及 CCNP SWITCH 的目标，读者需要掌握的就是财务和市场交易的数据中心应用所需要使用低延迟交换机，比如Nexus 5000系列交换机。

图1-9所示为客户端/服务器应用的数据流示意图。图1-9 客户端/服务器数据流

在大型企业中，用户在访问数据中心服务器组中的应用时，应用流量可能会穿过一个以上的配线柜或VLAN。客户端-服务器集群应用有一个20/80规则，也就是只有20%的流量会留在本地LAN网段，而80%的流量都会离开本地网段并去往中心服务器、Internet等。客户端-服务器集群应用包括以下内容。

·企业邮件服务器。

·通用文件服务器。

·用于保存企业应用信息（如人力资源信息、目录或销售应用）的通用数据库服务器。

大型企业中的用户需要快速、灵活、安全地访问重要的应用。比如，交易商需要随时能够访问交易应用，并在与其他交易商的竞争中，以良好的响应时间取胜。为了满足这些需求，并且保持低廉的网络管理成本，解决方案可以设计为将服务器部署在数据中心的通用服务器集群中。在数据中心使用服务器集群需要一个能够快速复原，并且高度冗余的网络架构，同时该架构应该可以提供足够的吞吐量。一般来说，在这种情况下，我们可以部署带有最快速LAN技术（如万兆以太网）的高端LAN交换机。对于Cisco交换机来说，当前的趋势是在数据中心部署Nexus交换机，同时在园区中部署Catalyst交换机。在园区中使用Catalyst交换机，同时在数据中心使用Nexus交换机属于一种市场转型，它摆脱了过去在整个企业中都部署 Catalyst 交换机的早期设计模型。在本书出版时，Nexus 交换机还不能运行传统Cisco路由器和交换机上的Cisco IOS系统。Nexus运行的系统是Nexus-OS （NX-OS），该系统来自于 Cisco MDS SAN 平台的SAN-OS系统。

Nexus 交换机的价格比 Catalyst 交换机昂贵，而且它也不支持电话通讯技术、在线供电技术、防火墙技术或负载分担服务等。不过，Nexus 交换机可以实现更高的吞吐量，更低的延迟、更高的可用性和更多的万兆以太网接口，这些都适合数据中心环境的需求。在下一节中，我们会具体介绍Cisco交换机相关的信息。

3.客户端-企业边缘应用

客户端-企业边缘应用是使用企业边缘的服务器来为企业和企业的公共服务器之间交换数据。这些应用包括外部邮件服务器和外部Web服务器。

在园区网和企业边缘之间，最核心的通信问题就是安全性和可用性。那些安装在企业边缘的应用对于企业流量来说很可能是不可或缺的；因此，这些流量出现故障就有可能为企业带来难以估量的损失。

那些通过电子商务应用来为合作伙伴提供支持的企业，也常常将他们的电子商务服务器部署在企业边缘。而这些服务器与位于园区网中的服务器进行通信同样至关重要，因为数据需要双向复制。因此，这些应用要求网络能够实现优秀的冗余性，并且可以快速复原。

图1-10所示为在一个与Internet互联的客户端-企业边缘应用中，数据流的形态。

在前面的章节中，我们已经介绍过，图 1-10 中的客户端-企业边缘应用会通过企业网的Internet边缘来传输流量。

我们在这里重申，在设计园区网之前，设计者必须首先了解企业中的网络流量和模式。因为数据的流量和模式最终会决定网络的规模、网络的特性，以及园区网中应该使用哪种型号的 Cisco 交换机。在对园区网展开进一步的讨论之前，我们首先会在下一节中介绍两个Cisco网络架构，这两个网络架构有助于读者理解成功设计网络所需的因素。1.1.10 SONA 及无边界网络的概述

如果设计者使用了合理的网络架构，那么业务战略和 IT 投资就会相得益彰。作为 IT通信的骨干，企业架构中的网络元素正在变得愈加重要。以服务为导向的网络架构（SONA）是Cisco专为设计高级网络功能而提出的一种架构取向。图1-10 客户端-企业边缘应用的数据流

图1-11所示即为从市场角度上观察，所得到的SONA示意图。

SONA对于连接网络服务与应用并解决业务需求，提供了指导方针、最佳做法和实施蓝图。SONA框架的概念是：网络是一个通用元素，它使IT架构中的所有组成成分相互连接并各司其职。SONA描绘了智能企业网络中的三个层次。

·网络基础设施层：在此，所有的 IT 资源在融合网络平台上互联。这些 IT 资源包括服务器、储存设备和客户端设备。网络基础设施层表示出这些资源是如何存在于网络中的不同位置的，如园区网、分支机构、数据中心、WAN、MAN （城域网）和远程办公地点。在这一层中，客户的目标就是能够随时随地连接网络。图1-11 SONA概述

·交互服务层：为利用网络基础设施的应用和业务流程有效分配资源。

·应用层：包含商业应用和协作应用。在这一层中，客户的目标是满足业务需求，并充分利用交互服务的效率。

SONA这三层之间的关联关系是，SONA将应用智能嵌入到了网络基础设备中，使网络可以识别不同的应用和服务，并能够更好地为它们提供支持。

根据SONA框架来设计园区网拥有以下优势：

·使所有区域中的网络基础设施具有融合、虚拟、智能、安全和集成特性：Cisco融合网络包含了所有的IT技术，其中包括计算、数据、语音、视频和存储。另外，整个网络也为各种应用的传递工作提供了更高的智能，这些应用包括语音和视频。由于员工可以在全球的任何地点使用相同的一套UC（统一通信）工具，因此员工的工作效率也会相应提升。

·节省成本：在 Cisco SONA 模型中，网络提供的电能和灵活性让实施新的应用变得更加轻松，因此这可以降低部署成本和实施费用。管理员可以根据需要来通过语音、数据和视频应用提供各种网络服务。

·增加效益：它的协作服务和产品特性使员工之间能够在一个富媒体会议系统中共享大量不同类型的信息。比如，在语音通话的过程中，联系中心的客服人员可以通过使用某种工具（比如 Cisco WebEX）与客户共享一个Web 窗口，这样可以加速问题的解决速度，也可以增加客户的知识。协作使联系中心的客服人员减少了在每一通电话上所消耗的时间，却可以提高客户的满意度。这里还有一个节省成本的例子，那就是使用 Cisco WebEx 来主持虚拟会议。

·更快捷地部署新的服务和新的应用：通过存储的虚拟化、云计算和其他网络资源，企业可以更好地部署交互式通信服务。由于语音产品和服务可以自动部署、监测、管理和升级，因此 Cisco IT网络的可靠性就变得更加强大，同时IT资源也能最大限度地得到利用。云计算是新科技的下一股潮流，这股潮流很快也会应用到企业环境中。

·强化业务流程：使用了SONA模型之后，IT部门可以更好地强化业务流程，并且在网络出现问题时，IT部门可以通过集成的应用和智能的网络服务快速将网络复原。这里的例子包括更新控制程序（Change-Control Process），它能够让网络达到99.999%的正常运行时间。

读者务须记住，SONA完全是一个指导网络设计的模型。由于园区网的设计主要集中在Cisco交换特性和功能上，因此读者在设计企业网的园区网部分时，只需对SONA模型拥有一个概括性的理解。

读者如果希望阅读更多关于SONA的信息或者获取更多关于SONA的材料，可以访问Cisco.com。

在2009年10 月，Cisco推出了一个新的企业网络架构，叫做无边界网络。在应用了SONA模型之后，无边界网络的模型可以使企业网络超越边界的限制，使用户能够从任何地点访问到企业网络，进而提高企业的效益、降低业务和IT成本。无边界网络相对于SONA的一大进步是，前者的框架更强调使那些发展中的企业成为国际化公司，于是使用了“无边界”这个术语。就 CCNP SWITCH 而言，读者只需在整体上理解 SONA 即可，因为无边界网络是一个新的框架结构。有兴趣的读者可以访问 Cisco.com 来了解更多关于无边界网络的信息。

重申一下，SONA和无边界网络都是市场架构，它们构成了网络设计的整体框架。为了设计园区网，设计者还应该关注建筑需求、园区网流量、网络规模和一般性的需求。在下一节中，我们将在园区设计中应用生命周期法，并深入探讨园区网设计过程中更加具体的内容。1.2 企业园区网设计

在下一节中，我们会着重介绍主要的园区网设计概念。另外，我们还会应用到前面介绍过的接入层、分布层和核心层的概念。在本章接下来的一个小节中，我们会定义实施和操作网络的模型。

网络的实施和操作是Cisco生命周期模型中的两个组成部分。在该模型中，网络的生命及其组成部分会通过一个三角形结构来进行介绍，这个三角形结构始于网络设计的准备阶段，终止于实施完成后的网络优化阶段。这个结构是确保网络能够自始至终满足终端用户需求的关键。在这一节中，我们会介绍Cisco生命周期法，及其对网络实施的影响。

企业园区网架构可以应用在园区规模的网络中，也可以应用在建筑规模的网络中，使用这种结构可以让网络设计变得更加灵活，让网络的实施和排错变得更加轻松。在将这种架构应用到一栋建筑物时，Cisco 园区架构就会将网络分为建筑接入层、建筑分布层和建筑核心层。

·建筑接入层：这一层的作用是使用户可以连接到网络设备。在网络园区中，建筑接入层一般使用的是局域网（LAN）交换设备，并通过这些设备的端口来连接工作站和服务器。在广域网（WAN）环境中，远程站点的建筑接入层可以使员工通过WAN技术来访问公司的网络。

·建筑分布层：这里汇集了配线柜，在这一层中，我们使用交换机来将工作组分到不同的网段中，并用交换机将园区网环境中可能存在的问题隔离在一个比较小的范围内。

·建筑核心层：与园区骨干网的作用相同，高速的骨干网旨在以最快的速度交换数据包。由于核心层对于网络连通性来说是最为关键的一层，所以它必须提供最高级别的可用性，并且必须能够最快地适应网络的变化。

图1-12所示为一个扩展到多栋建筑物的企业网拓扑实例。

这个企业网架构将企业网络分为了物理、逻辑和功能三个区域。划分这些区域使网络设计者和工程师能够根据设备的位置以及模型中相应位置的功能，来在相应设备上使用特定的网络功能。1.2.1 深入分析接入层

建筑接入层汇集了终端用户，并为终端用户提供与分布层相连的上行链路。如果设计者选用了合适的Cisco交换机型号，那么接入层应该拥有以下优势。

·高可用性：很多硬件和软件特性都可以用在接入层。设计者可以通过选择合理的 Cisco 交换机型号，来为重要的用户组提供系统级的冗余，如提供冗余的Supervisor引擎和冗余的电源。另外，Cisco交换机还提供了一些软件特性来为用户提供冗余的默认网关，即在接入层交换机与分发层交换机之间使用双链路连接，并在分布层交换机上运行 FHRP（首跳冗余协议），比如 HSRP （热备份路由协议）。这里有一点值得注意，那就是只有三层交换机才能支持FHRP和HSRP特性；而二层交换机则不会参与到HSRP和FHRP以及相应帧的转发进程中。图1-12 应用了分层设计思想的企业网络

·网络融合：部署在接入层的Cisco交换机可以（可选地）为IP电话和无线接入点提供在线以太网供电（PoE）技术，这使客户能够将语音数据融合到数据网络中，并为用户提供漫游WAN接入功能。

·安全性：部署在接入层的 Cisco 交换机可以（可选地）提供一些的安全功能，主要是通过使用一些工具（如端口安全、DHCP 欺骗[DHCP Snooping]、动态 ARP监控和IP 源防护[IP Source Guard]）来防止未经授权的用户对网络进行访问。这些特性将在本书的后续章节中进行探讨。

图1-13所示的案例在接入层与分布层之间部署了冗余的上游连接。图1-13 有两条上行连接的接入层1.2.2 分布层

部署分布层需要考虑的问题主要是网络的可用性、快速路径恢复、负载分担和QoS。一般来说，高可用性通常是通过在分布层到核心层，以及接入层到分布层之间部署两条路径来提供的。第3层等价负载分担技术可以让两条从分布层连接到核心层的链路同时得到使用。

分布层负责执行路由选择和数据包处理，它可以充当接入层和核心层之间的路由边界。分布层代表了路由选择域的重分布点，同时也是静态和动态路由协议的分界线。分布层执行的任务包括做出受控制的路由选择和过滤决策，从而实施基于策略的连通性和QoS。为了进一步增强路由协议的性能，分布层还负责将来自接入层的路由汇总在一起。对于大多数网络来说，分布层为接入层路由器提供了默认路由，并与核心层路由器之间使用动态路由协议进行通信。

分布层将二层和多层交换功能结合在了一起，它负责将工作组划分进不同网段并且隔离网络故障，进而阻止这些故障蔓延到核心层。一般来说，分布层用来终结接入层交换机发起的VLAN。分布层会将网络服务连接到接入层，并实施QoS、安全、流量负载和路由选择等策略。分布层可以通过 FHRP（如 HSRP）、GLBP（网关负载均衡协议）或 VRRP （虚拟路由器冗余协议）来提供冗余的默认网关。这样一来，当某一个分布层结点出现故障或者被管理员移除时，端点依然可以连接到默认网关。

重申一下，分布层可以为园区网提供以下功能。

·汇集接入层交换机。

·为简化起见而分隔接入层。

·汇总去往接入层的路由。

·总是用两条链路来连接上游核心层路由器。

·（可选）可以应用数据包过滤、安全特性和QoS特性。

图1-14所示为一个园区网的分部层，其作用是让多台接入层交换机互联。图1-14 将多个接入层互联在一起的分布层1.2.3 核心层

核心层是园区网连接的骨干，它是企业网另外几层的汇聚点，也是企网中另外几层设备的汇聚点。核心层必须提供高级的冗余特性并且能够更快地适应变化。核心层设备是最可靠的设备，它们可以在网络中出现故障时重新路由流量，也可以对网络拓扑的变化作出快速响应。核心层设备必须能够实施可扩展的协议和技术、可替代的路径以及负载分担特性。在未来有必要对网络进行扩展时，核心层将有助于管理员扩展网络。

核心层应该是一个高速的三层交换环境，它通常会使用硬件加速服务，比如10吉比特以太网。为了当链路和节点出现单点故障时能够实现快速收敛，核心层可使用冗余的点到点三层互联，因为这种设计方式在收敛时速度最快。核心层不应该通过软件对数据包进行任何操作，比如检查访问列表或者过滤，因为这会降低数据包的交换速度。Catalyst和Nexus交换机支持访问控制列表和过滤，同时这也不会降低交换的性能，因为它们是在硬件交换路径中支持这些特性的。

图1-15所示为一个园区网络的核心层，它汇集了很多分布层的交换机并最终连接到接入层交换机。图1-15 汇集了分布层和接入层的核心层

重申一下，核心层可以为园区网和企业网络提供以下功能。

·将位于分布层的交换机同网络的其他部分汇集到一起。

·通过提供冗余的汇集点来实现快速收敛和高可用性。

·可以在未来随着分布层和接入层的扩展而扩展。

1.为什么需要核心层

如果没有核心层，位于分布层的交换机就必须采用全网状互联的方式相互连接。这种设计方式很难扩展，并且会多使用很多线缆，因为每栋新建筑的分布层交换机都需要和其他所有的分布层交换机全互联。如果使用这种全网状的连接方式，那么每个分布层交换机都需要使用海量的线缆。另外，这种全网状的连接方式会增加路由选择的复杂程度，进而会在网络添加新邻居时给管理员制造麻烦。

在图1-16中，2号楼两个相互连接的交换机的分布层模块需要使用4条新的链路来和1号楼的相应模块进行连接。而3号楼需要使用8条新的链路来和当前所有分布层交换机连接，也就是一共需要使用12条链路才能使分布层交换机相互连接。4号楼则需要再使用12条新的连接，从而分布层交换机总共需要使用24条链路。这4个分布层模块使每个分布层交换机上添加了8个IGP（内部网关路由协议）邻居。图1-16 在没有分布层的情况下进行网络扩展

因此，部署核心层是这种环境中的推荐做法，我们需要部署一个专用的园区网核心层来将3个以上的物理分段连接起来，这里所说的物理分段可以指企业园区中的楼宇，或者大型园区中4个以上建筑分布层中的交换机对。如果管理员在Cisco交换机上使用了以下资源，那么园区网核心层就可以使网络的扩展操作变得更加轻松。

·扩展到密集万兆和千兆端口。

·将数据、语音和视频无缝地集成到网络中。

·LAN 汇聚，也可以（可选地）对WAN和 MAN 进行汇聚。

2.将园区核心层作为企业骨干网

核心层是园区网连接的骨干，也可以将其作为企业网架构中其他各层的汇集点。核心层可以提供高级别的冗余，可以迅速适应网络的变化。核心层设备是最可靠的设备，它们可以在网络出现故障时重新路由流量，可以对网络拓扑的变化作出快速响应。核心层设备必须能够实施可扩展的协议和技术、可替代的路径以及负载分担特性。在未来有必要对网络进行扩展时，核心层将有助于管理员扩展网络。核心层可以简化企业中网络设备之间互联的方式，同时也可以降低不同物理网段（如各建筑的不同楼层）之间路由的复杂程度。

图1-17所示案例将核心层作为骨干，来连接企业网中的数据中心和Internet边缘设备。除了核心层在企业网架构中的逻辑作用，它的构成和功能则由该企业网的规模和类型所决定。不是所有实施园区网的环境都需要部署核心层。园区网也可以将核心层和分布层的功能都结合在分布层中，这样可以减小拓扑的规模。在下一节中，我们将详细讨论这种案例。图1-17 使用核心层将企业网的其他模块互联起来1.2.4 小型园区网示例

小型园区网络或大型分支机构网络是指终端设备小于200台的网络，同时在小型园区网中，网络服务器和工作站有可能物理地连接在同一个配线柜中。在小型园区网中的交换机也许不需要拥有很高的性能，也不需要具备很强的扩展性。

在很多情况下，少于200台终端设备的网络可以将核心层和分布层合并进同一层中。不过，由于成本的问题，这种设计会限制接入层交换机的数量。当网络中有很多VLAN时，低端多层交换机可以向终端用户提供路由服务。在一个小型办公环境中，一台低端的多层交换机（如 Cisco Catalyst 2960G）也许就能够满足整个办公环境中的二层LAN访问需求，而路由器（如 Cisco 1900 或 2900）则可以将办公室与大型企业网的分支机构/WAN 部分连接起来。

图1-17所示为一个小型园区网的示例，在该图中，园区骨干网将数据中心连接了起来。在该例中，骨干网可以部署Catalyst 3560E交换机，而接入层和数据中心则可以使用Catalyst2960G交换机，因为接入层对未来的扩展性和可用性方面要求并不是很高。1.2.5 中型园区网示例

对于一个中型园区网来说，网络中应该拥有200～1000台终端设备，网络的架构一般来说就是将接入层交换机通过上行链路连接到分布层的多层交换机上，而分布层的多层交换机可以支持中型园区网对于性能的需求。如果需要提供冗余，那么管理员可以将冗余的多层交换机连接到建筑接入层以实现全链路的冗余。在中型园区网中，最低也要使用Catalyst 4500系列或Catalyst 6500系列交换机，因为它们能够提供很多Catalyst 3000和2000系列交换机所无法实现的功能，如可用性、安全、性能等方面。

图1-18所示为一个中型园区网拓扑的案例。该例所示为一个由建筑分隔开的物理分布段。这里所说的物理分布段可以是指楼层、机架等。1.2.6 大型园区网示例

大型园区网是指拥有2000个以上终端用户的环境。由于已经没有比大型园区网规模更大的环境了，因此大型园区网的设计有可能要包含许多企业的扩展技术。在设计大型园区网时，人们往往会遵循前文介绍的分层模型，将网络划分成接入层、分布层和核心层。本书的图1-17所示为一个可以根据需要扩展成不同大小的大型园区网。

大型园区网应严格按照 Cisco 最佳做法的建议进行设计。本章前文中所介绍的各种最佳做法（如分层模型、部署三层交换机、在设计时选用 Catalyst 6500 和Nexus 7000系列交换机）只是支持这类规模园区网特性的冰山一角。有很多同类特性都会应用在小型或中型网络中，但是这些特性不能扩展到大型园区网中。

另外，由于大型园区网需要更多人来进行设计、实施和维护，因此有必要对参与者进行一下分工。本书在前文中曾提到企业网可分为园区、数据中心、分支机构/WAN和Internet边缘。这可以作为大型园区网参与者的基本分工方式。在后面的章节中，我们会介绍一些原本用于小型园区网，后来逐渐成为大型园区网需求的特性。另外，大型园区网需要相关人员谨慎设计、小心实施。关于设计和实施的问题，我们将在本章的下一节中进行介绍。图1-18 使用核心层将企业网的其他模块互联起来1.2.7 数据中心架构

数据中心的设计方案是企业网络的一部分，它同样采取了分层的方法来增强企业网络的扩展性、性能、灵活性、快速复原功能并且降低网络的维护难度。数据中心的设计方案可以分为3层。

·核心层：为所有进出数据中心的流量提供高速的数据包交换背板。

·汇聚层：提供一些重要的功能，如集成服务模块、定义二层域、处理生成树、提供冗余的默认网关等。

·接入层：将服务器通过物理方式连接到网络。

基于多层HTTP的应用在多层数据中心模型中占据着主导地位，这些应用支持着服务器的Web、应用和数据库层。接入层的网络设备既可以支持第2层拓扑，也可以支持第3层拓扑；并且它们还可以通过第2层邻接关系，来满足不同服务器之间的广播域和管理性需求。接入层设备的第2层功能在数据中心中更为盛行，因为有些应用需要通过第2层域来支持低延迟传输。构成数据中心的绝大多数服务器包括单/双RU（机架单元）服务器、集成了交换功能的刀片服务器、可提供透传（Pass-Through）线缆的刀片服务器、集群服务器以及具有多项超额订阅（Oversubscription）需求的大型机。图1-19所示案例高度概括了数据中心的拓扑。图1-19 数据中心拓扑

部署在汇聚层的多种汇聚层模块能够为接入层提供连通性支持。汇聚层可支持提供各种功能的集成服务模块，这些功能包括安全、负载分担、内容交换、防火墙、SSL卸载（SSL Offload）、入侵检测以及网络分析。

前文已经介绍过，本书着重于介绍企业网中的园区网设计，而并不涉及数据中心设计。然而，这里所介绍的大多数主题也都可以应用在数据中心设计中，比如VLAN的使用方法。数据中心设计在部署方法以及需求方面，与园区网设计有所区别。考虑到 CCNP SWITCH这门课的宗旨，我们会着重于介绍园区网设计的相关概念。

下一部分我们会讨论如何使用生命周期法来设计网络。这一部分并不涉及具体的园区网或交换技术，而是介绍了网络设计的最佳方法。有些读者可能会因为这一部分未涉及技术内容，而跳过下一小节；但它却是 CCNP SWITH课程以及实际部署中的重要部分。1.3 使用PPDIOO生命周期法来设计并实施网络

PPDIOO 表示准备（Prepare）、规划（Plan）、设计（Design）、实施（Implement）、运营（Operate）和优化（Optimize）。PPDIOO是Cisco生命周期法，它持续发展的生命周期定义了网络所需的各项服务。1.3.1 PPDIOO 的阶段

PPDIOO分为如下阶段。

·准备（Prepare）：准备阶段的工作内容包括确定企业需求、制定网络策略、提出高层次的概念性架构，并指出能够为该架构提供最佳支持的技术。相关人员可以在准备阶段针对所提架构进行商业个案评估，从而建立财政解释（ Financial Justification）。

·规划（Plan）：相关人员需要在规划阶段根据目标、设备、用户需求等因素，确立初始网络需求。规划阶段还包括描述每个站点的特征、评估所有现存的网络、执行缺口分析（Gap Analysis），从而确定当前的系统架构、站点和运营环境是否能够支持准备阶段提出的系统架构。项目规划有助于相关人员对任务、责任、重要里程碑和所需资源进行管理，并将其落实到网络变更过程中。相关人员应该在项目规划中对原始业务需求中确立的范围、开销和资源进行进一步确认。

·设计（Design）：在设计阶段，网络设计专家会根据规划阶段确立的初始需求，展开设计作业。网络设计细则是一份综合详实的设计方案，它需要满足当前的业务需要和技术需求，还包含了可用性、可靠性、安全、可扩展性以及性能支持方面的说明。设计细则是网络实施行为的基础。

·实施（Implement）：在实施阶段，相关人员会根据设计细则来建设网络，并将其他组成部分融合到网络中。网络细则的目标是在不影响现有网络运营且不造成安全漏洞的前提下，将设备集成到网络中。

·运营（Operate）：运营阶段是相关人员对网络设计的适合程度进行最终测试的阶段。运营阶段就是通过日常运营来维护网络的健康状态，日常运营工作包括维持网络的高可用性并减少网络花费。日常运营工作中出现的故障检测、修复和性能检测，可以为优化阶段提供第一手的数据。

·优化（Optimize）：相关人员需要在优化阶段对网络进行主动管理。主动管理的目标是在各类问题对企业网产生影响之前，发现问题并解决问题。当主动管理无法预测并缓解故障时，则需要反应式故障检测和修复（排错）。在PPDIOO进程中，如果网络中出现了大量问题和错误、网络性能没有达到预期效果，或者找出了新的应用来支持企业需要和技术需求，那么相关人员就可以在优化阶段重新对网络进行设计。

注意：尽管设计仅占了6个PPDIOO阶段之一，但有些设计元素贯穿了全部阶段。此外，管理员需要把这6个PPDIOO阶段当作一个模型或框架，而没有必要严格依照定义来使用它。

使用生命周期法的优势

除了保持设计过程有条不紊的进行，网络生命周期法还提供了一些重要优势。在园区网设计中应用生命周期法的主要原因如下所示。

·降低网络的总拥有成本。

·增加网络的可用性。

·提高业务的灵活性。

·快速访问应用和服务。

在当今的企业环境中，网络的总拥有成本显得尤为重要。企业管理者都希望能够降低企业的IT开支。不过适当的网络生命周期法可以通过下列行为，有效地减少网络成本。

·指出技术需求，并验证其有效性。

·规划基础设施的变更需求和资源需求。

·根据技术需求和企业目标，制定完善的网络设计方案。

·加速成功的实施过程。

·提高网络的效率，并且提高为网络提供支持的工作人员的效率。

·通过增加运营进程和工具的效率，从而减少运营成本。

网络的可用性永远是企业网的头等大事，网络停机的时间可能导致企业收益的损失。下面举出两个案例来说明网络停机带来的经济损失：比如当突然减息时，网络停机而无法进行市场交易；或者比如在黑色星期五（随感恩节而来的购物日），由于网络停机而无法进行信用卡交易。而网络生命周期法可以通过下列行为，增强网络的高可用性。

·分析网络的安全状态及其支持所提设计方案的能力。

·指定合适的硬件和软件版本，并确保它们既可以正常工作，又不至于过时。

·提出合理的运营设计方案，并验证网络的运营情况。

·在部署前，对提出的系统分阶段并对其进行测试。

·提升工作人员的技能。

·主动监测系统，并分析可用性趋势情况以及告警情况。

·主动识别安全漏洞，并定义补救规划。

企业需要快速地应对经济的转变。快速响应能够为企业带来其他企业所不具备的竞争优势。网络生命周期法可以通过下列行为，为企业带来灵活性。

·建立企业需求和技术战略。

·使站点做好准备，以便它能够支持管理员希望部署的系统。

·将技术需求和企业目标集成到详尽的设计方案中，并且证明网络可以实现指定的功能。

·熟练安装、配置和集成系统的各个组成部分。

·持续增强网络性能。

在生产环境中，网络应用和服务的可访问性至关重要。网络生命周期法可以通过下列行为，来加速网络应用和服务的访问速度。

·评估并改善运营准备工作，以便为当前和规划中的网络技术及服务提供支持。

·通过增强可用性、资源能力和性能，来提高服务交付的效率和效益。

·增强网络及在网络上运行的各类应用的可用性、可靠性和稳定性。

·管理并解决影响网络系统的各类问题，并保持软件应用不会过时。

注意：本书内容着重于使用PPDIOO建设企业园区网过程中的准备阶段、规划阶段和设计阶段。1.3.2 网络实施的规划

实施规划文档写的越详细，成功实施该规划的可能行也就越大。设计者通常得在实施规划中写出综合的实施步骤，从而使其他工作人员无需询问设计者，就能够根据这份完善的详细实施步骤完成网络的实施行为。在实际工作中，大多数大型企业的设计工程师几乎不会写出部署新设计方案的每一个步骤。而是由网络运营或实施工程师根据实施规划，来部署新的设计方案。

此外，相关人员在实施设计方案时，就算已成功进行了试点或雏形网络测试，仍必须考虑到失败的可能性。因此相关人员需要为每个步骤定义完善且简单的测试流程，还需要定义返回初始步骤的流程，以防在初始步骤中就有问题。

注意：最佳做法建议相关人员将实施步骤列在表格中，并与同事共同查看这些步骤。

1.实施的组成部分

网络设计方案的实施由几个阶段构成（安装硬件、配置系统、投入生产等）。每个阶段由一些步骤组成，每个步骤应该包含（但不仅仅包含）以下文档。

·步骤描述。

·参考设计文件。

·详尽的实施准则。

·预估实施所需的时间。

2.汇总的实施规划

表1-3提供了一个实施规划案例，该案例是要将用户迁移到新的园区网交换机上。各个企业间的实施步骤可能差别很大。实际工作中则可能为了满足企业的需求，使实施规划在外观和感觉上与案例截然不同。表1-3 汇总的实施规划案例续表

在这里对每个实施阶段中的每个步骤进行了简短的描述，并给出可以参考的细节实施规划，相关人员从那里可以获得更为详尽的实施信息。细节实施规划中的每个小节应该描述了完成每个阶段所需的严格步骤。

3.详细的实施规

详细的实施规划中应描述了完成实施阶段所必需的每个步骤，并且还必须包括工程师在实施规划的过程中，所要进行的确认和检查步骤。下面通过一个案例来描述网络实施规划。

6.2.4.5小节“在新园区网交换机上配置第2层接口（比如VLAN）、STP和QoS”

·交换机数量：8。

·物理端口与VLAN的映射关系，参考1.1节。

·使用4.2.3小节的配置模板来实施VLAN配置。

·物理端口与生成树配置的映射关系，参考1.2节。

·使用4.2.4小节的配置模板来实施生成树配置。

·物理端口与QoS配置的映射关系，参考1.3节。

·使用4.2.5小节的配置模板来实施QoS配置。

·预计每台交换机的配置时间为30分钟。

·由另一位工程师来检查有无更好的配置方式。

这一小节着重强调了PPDIOO的关键概念。尽管本节的主题不涉及技术，但这里强调的最佳做法会对任何网络设计和实施规划大有帮助。规划不善往往会导致实施失败。当今网络对于企业的运营至关重要，因此需要相关人员对其进行有效规划。因此，复习并使用Cisco生命周期法将会大大提高任意网络实施的成功率。1.4 总结

园区网正在不断地发生变化。变化之一就是园区网正在从传统/二层接入交换机设计方案（需求是将 VLAN 和子网扩展到多台接入交换机中），转变为基于虚拟交换机的设计方案。另一个变化就是由单一接入交换机提供多个子网，转变为基于路由的接入层设计方案。这些变化无不需要谨慎实施、小心部署。本章通篇详细介绍了分层设计的需求，以及其他的最佳方案，这些知识可为设计一个优秀的网络保驾护航。

随着网络的演变，网络中添加进来了很多新的功能，比如虚拟服务，或者移动性等。而在网络中引入这些功能的动机往往不一而足。安全风险的提高、架构灵活的需要、应用数据流的变化等，这些因素都驱动着网络架构不断地发展，使其功能日臻完善。不过，在业务的驱动下，园区网架构的功能和服务亦变得愈发复杂，如果管理员零打碎敲地实施这种网络，那么他/她很可能会以失败告终。换言之，一切优秀的架构必须建立在坚实的设计理论和设计原则的基础之上。对于所有需要设计和使用园区网的企业来说，它们都应找到一套坚实系统的理论原则，并以此来指导设计实践，这是一切成功的关键。1.5 复习题

下列问题可供读者检验本章的学习成果。正确答案请参考附录A“复习题答案”。

1.在下列企业网络组成部分中，哪部分的作用是为分布在各个地理位置的终端用户及设备提供接入服务？

a.园区网

b.数据中心

c.分支/WAN

d.Internet边缘

2.在下列企业网络组成部分中，哪部分的作用是部署计算机系统及相关的组成部分（这一部分往往被称为服务器集群）？

a.园区网

b.数据中心

c.分支/WAN

d.Internet边缘

3.企业网络的哪一部分起初被人们称为服务器集群？

a.园区网

b.数据中心

c.分支/WAN

d.Internet边缘

4.设计合理的园区网具有下列哪种特点？

a.模块化

b.灵活

c.可扩展

d.可用性高

5.起初，第2层网络的目的是为了满足LAN连接的性能需求，而三层路由器无法使多个接口以接近线速的速度运行。而今天，三层园区LAN网络可以达到与二层园区LAN同等的性能，这是因为：

a.现在的三层交换机内置了一个专用的硬件，它可以使二层和三层交换拥有近似的性能

b.总的来说，三层交换机的交换速度快于二层交换机

c.现在的三层交换机内部使用了多个虚拟的路由器，这方法可以提升接口的速率

6.为什么在设计数据中心时，二层域更加常用？

a.因为数据中心不需要像园区网一样拥有良好的扩展性

b.因为数据中心不需要实现快速收敛

c.因为数据中心重在降低延迟，而很多应用都是在第2层工作的，这种方法无需对三层协议头部进行处理

d.因为数据中心交换机（如 Nexus 7000）都是纯二层交换机

7.在CCNP SWITCH和本书的内容中，小型园区网中终端设备或用户的数量是多少？

a.不超过200名用户

b.不超过2000名用户

c.用户数量在500～2500之间

d.用户数量在1000～10000之间

8.在CCNP SWITCH和本书的内容中，中型园区网中终端设备或用户的数量是多少？

a.不超过200名用户

b.不超过2000名用户

c.用户数量在500～2500之间

d.用户数量在1000～10000之间

9.为什么应该使用分层设计的方法来设计网络？

a.可以简化大型网络的设计

b.降低排错的难度

c.与不分层的网络设计相比，可以降低50%的成本

d.在分层的网络中，数据包的传输速率更快，应用的延迟更小

10.下列哪一条不是二层交换的特性？在回答这个问题时，读者可能需要参考后面章节；本题的答案不只一个。

a.根据目的MAC地址进行转发

b.可以对数据帧进行分类，可以支持服务质量（QoS）特性

c.IP路由协议

d.使用VLAN将网络分为多个广播域

e.可以应用网络接入安全特性

11.下列哪些交换机可以支持IP路由选择？

a.Catalyst 6500

b.Catalyst 4500

c.Catalyst 3750、3560E

d.Catalyst 2960G

e.Nexus 7000

f.Nexus 5000

12.下列哪些交换机可以使用集成的冗余电源，进而实现电源的高可用性？

a.Catalyst 6500

b.Catalyst 4500

c.Catalyst 3750、3560E

d.Catalyst 2960G

e.Nexus 7000

f.Nexus 5000

13.下列哪个交换机可以支持冗余的Supervisor/路由选择引擎？

a.Catalyst 6500

b.Catalyst 4500

c.Catalyst 3750、3560E

d.Catalyst 2960G

e.Nexus 7000

f.Nexus 5000

14.下列哪个交换机使用了一个模块化的架构，即可以支持扩展模块并可以在未来进行扩展？

a.Catalyst 6500

b.Catalyst 4500

c.Catalyst 3750、3560E

d.Catalyst 2960G

e.Nexus 7000

f.Nexus 5000

15.下列哪种类型的流量所占用的网络带宽通常高于其他类型的流量？

a.IP电话通讯流量

b.Web流量

c.网络管理流量

d.在Wi-Fi园区网中应用的 Apple iPhone

e.IP组播

16.下列哪个应用属于点到点的应用？

a.视频会议

b.IP电话呼叫

c.工作站到工作站的文件共享

d.基于Web的数据库应用

e.目录管理工具（Inventory Management Tool）

17.下列哪个应用属于客户端到服务器的应用？

a.人力资源用户工具

b.公司Wiki

c.工作站到工作站的文件共享

d.基于Web的数据库应用

e.应用iTunes媒体共享

18.小型园区网有可能会合并分层模型中的哪两层？

a.接入层和分布层

b.接入层和核心层

c.核心层和分布层

19.在大型企业网中，下列哪一层通常用来连接数据中心、园区网、Internet边缘和分支/WAN部分？

a.专用的接入层

b.4个全互联的分布层

c.核心骨干网

20.在中等规模的园区网中，如果管理员部署了二层交换机，那么二层交换机最有可能部署在哪一层？

a.核心层

b.分布层

c.接入层

21.SONA是一个引导______演化的体系架构？

a.集成了应用的企业网络

b.架构更加智能的企业网络

c.集成了智能网络服务的商业网络

d.集成了智能网络服务的企业网络

e.架构更加智能的商业网络

22.SONA的三层是哪三层？

a.集成的应用层

b.应用层

c.交互服务层

d.智能服务层

e.网络基础设施层

f.集成的传输层

23.下列哪一条是对应用在园区网核心层的最佳描述？

a.快速、可扩展、可用性优秀的二层网络，用来连接不同的物理区域（如园区网的建筑）

b.总部和分布之间的点到多点链路，往往使用一种推播技术（Push Techology）

c.快速、可扩展、可用性优秀的三层网络，用来连接不同的物理区域（如园区网的建筑）

d.设备之间的物理连接，亦称为物理层

24.下列哪一条是对数据中心和园区骨干网之间关系的最佳描述？

a.园区骨干网负责将数据中心连接到园区网核心层

b.数据中心设备在物理上与企业分布层交换机直连

c.数据中心设备与接入交换机物理相连

d.数据中心设备的连接模型与用于企业网其他部分的三层网络模型不同

25.请用正确的顺序列出Cisco生命周期法。

a.提议

b.实施

c.规划

d.优化

e.准备

f.调查

g.设计

h.记录

i.运营

26.Cisco生命周期法的技术目标是什么？

a.提升安全性

b.简化网络管理

c.提高竞争性

d.提升可靠性

e.提高收益

f.提升客户支持

27.根据PPDIOO模型，在实施多个复杂的组成部分时，下列哪种方法是最高效的？

a.依次实施各个组成部分，在每一步都进行测试和验证

b.为效率考虑，应该同时实施所有这些组成部分

c.依次在各个物理位置上实施所有的组成部分第2章 在园区网中实施VLAN

本章涵盖了以下主题：

·在园区网中实施VLAN技术

·在Cisco园区网中实施链路聚集技术

·VLAN链路聚集协议

·私用VLAN

·使用EtherChannel来配置链路汇集

本章将会介绍 VLAN 的作用，以及使用 VLAN 为什么可以简化网络的管理和排错流程并提高网络的性能。本章将回顾端到端 VLAN（End-to-End VLAN）的技术架构，端到端VLAN是指通过企业园区网架构中的三层交换设备，打破交换机物理平台和本地VLAN的局限，使多台交换机能够使用统一的VLAN结构。除此之外，本章还会介绍部署VLAN时会使用到的关键特性，比如链路聚集协议以及VTP（VLAN链路聚集协议）。

本章会讨论如何决定将哪些 VLAN 扩展到所有交换机上，将哪些 VLAN 局限于本地交换机。本章的配置部分会介绍如何使一个单独的交换机端口承载一个或多个VLAN的流量，这取决于该交换机端口被配置为了Access端口还是Trunk端口。另外，本章还会介绍为何需要在园区网中配置VLAN，以及如何进行配置。

在有些情况下，设备必须位于同一个VLAN中，但是它们之间的通信却应该受到限制。此时，我们可以使用一种专门的特性，来准确地调整哪些设备可以由所有VLAN成员来访问，而哪些设备则应该隔离，这种特性称为私用 VLAN（Private VLAN）。在本章中，我们将描述如何使用和配置私用VLAN。

最后，当很多物理链路连接到同一台设备时，网络设计人员可以通过配置 EtherChannel，使所有这些链路都加入到一个虚拟的共用连接中。本章还介绍了各种可以用来配置EtherChannel的技术。

本章涵盖了以下主题：

·如果有一个大型企业网，设计者应如何根据企业业务和技术的需求与限制，来规划、设计和实施VLAN。

·如果有一个大型企业网，设计者应如何根据企业业务和技术的需求与限制，来规划、设计、实施并验证链路聚集协议。

·如何根据企业业务和技术的需求与限制，来规划、设计、实施并验证VTP。

·如何设计、实施并验证私用VLAN。

·如何在二层拓扑中根据企业业务和技术的需求与限制，来规划、设计、实施并验证EtherChannel。2.1 在园区网中实施VLAN技术

VLAN 是一组由拥有共同需求且与物理位置无关的终端设备所组成的逻辑分组，如图2-1所示，其中销售部、人力资源部和工程部分别属于不同的VLAN，而这些VLAN分别跨越了全部的3个楼层。终端设备包括终端用户工作站、服务器、路由器等诸如此类的设备。图2-1 VLAN 概述

尽管交换机不能在 VLAN 之间转发二层广播，但 VLAN 可以位于交换机网络中的任何位置。因为 VLAN 是一个单独的广播域，而最佳的园区网设计方案就是将一个 VLAN映射到一个IP子网。如果需要在VLAN间通信，那么数据包就需要穿越路由器或者三层设备。

一般来说，交换机的一个端口只能承载单个VLAN的流量。如果希望一个端口承载多个VLAN的流量，那么管理员就需要在Catalyst交换机上使用干道（Trunk）技术。通过使用 ISL（Inter-Switch Link，交换机间链路）封装或IEEE 802.1Q，干道就能够承载多个 VLAN的流量。本章将在下一节中具体讨论链路聚集（Trunking）的相关内容。由于VLAN是园区网设计的重要部分，因此几乎所有的Cisco设备都可以支持VLAN和链路聚集技术。

注意：大多数Cisco产品只能支持802.1Q链路聚集技术，因为802.1Q属于工业标准。本书只会对802.1Q进行详细介绍。

网络设计师在着手设计网络时，需要根据其对VLAN和Trunk的了解来创建实施计划。

在这一节中，我们会具体介绍如何设计、实施和验证VLAN技术，以及如何实现从业务和技术角度所规定的需求及限制条件。这要求工程师具有下列能力。

·描述不同的VLAN分割模型。

·讨论如何在分层网络中实施VLAN。

·在拿到一个企业网络的VLAN设计方案之后，能够制订一个实施的计划，给出多种选择，并分析不同选择所带来的结果。

·讨论实施VLAN的最佳方案。

·在拿到一个企业网络的 VLAN 设计方案之后，能够对 VLAN 进行配置、验证和排错。2.1.1 VLAN分割模型

在大型非分层网络中，网络通常是由很多终端设备所组成的，广播和未知的单波数据包会泛洪到网络的所有端口中。在这种情况下，使用VLAN的一大优势就是可以分割广播域。在VLAN中的所有设备都是同一个广播域的成员。如果一台终端设备传输一个二层广播数据包，那么该VLAN的所有其他成员都会收到这个广播数据包。交换机会过滤掉从不同VLAN各个端口或设备发来的广播消息。

在园区网设计方案中，网络管理员可以用以下两种模型来设计园区网：端到端的VLAN，以及本地VLAN，具体选择哪种模型取决于业务需求、技术需求、过去的经验、可能存在的动机等。如果设计者选择的模型合理，那么这个网络就会为人们发展业务搭建一个坚实的基础。这两个模型各有利弊。在为一个现有网络配置交换机时，管理员应该试着分析这个网络使用的模型，因为这有助于他/她理清各交换机的配置及其在网络中的逻辑关系。

1.端到端的VLAN

端到端的 VLAN 这个术语是指与遍布在整个企业网络中多台交换机的端口相关联的VLAN。在二层交换园区网中，一个 VLAN 所承载的流量会在整个网络中传输，如图 2-2所示，VLAN1、2、3扩展到了整个网络中的三台交换机上。

如果在网络中，端到端模型中的VLAN不止一个，那么管理员就需要在交换机之间使用一种特殊的链路（二层干道技术）来承载所有这些不同VLAN间的流量。

端到端的VLAN模型拥有下面一些特点。

·各VLAN遍布整个网络的所有位置。

·无论用户的物理位置何在，其都可以被划分进各个VLAN中。

·当用户在园区中移动时，该用户的VLAN成员关系不会发生变化，无论用户连接的是哪台物理交换机。

·出于管理的需要，用户一般会与某个给定的VLAN进行关联。这样可以使用户在网络中移动时，他们所在的组不发生变化。

·在同一个VLAN中，所有设备的地址一般也位于同一个IP子网中。

·交换机的VIP模式一般是服务器/客户端模式。图2-2 端到端的VLAN

2.本地VLAN

园区网架构是基于本地 VLAN 模型建立的。在本地 VLAN 模型中，不管用户的职能是什么，只要这些用户与一组位于相同地理位置的交换机相连，那么他们都会被划分进一个单独的VLAN中。本地VLAN一般局限于一个配线柜中，如图2-3所示，图中的VLAN是本地VLAN，它们会通过链路聚合技术连接到分布层交换机。如果用户从园区网的某一个位置移动到了另一个位置，那么他/她就会与新物理位置的 VLAN 建立连接，从而改变连接关系。图2-3 本地VLAN

在本地VLAN模型中，要想让用户能够访问到他们所需的资源，那么二层交换就要在接入层来实施，而路由选择则需在分布层和核心层来实施，如图2-3所示。

下面是一些本地VLAN的特点及使用指导。

·网络管理员在创建本地VLAN时，应该牢记的是网络的物理边界，而不是终端用户的工作领域。

·一般来说，本地VLAN存在于接入层和分布层之间。

·从本地VLAN发送出去的流量会被路由到分布层和核心层，以到达其他网络的目的地。

·要将VTP配置为透明模式，因为一台接入层交换机上的VLAN不应该被通告给网络中的其他交换机，管理员也不需要在其他交换机的VLAN数据库中手动添加这些VLAN。

·完全由本地VLAN构成的网络使用路由协议取代了二层网络的生成树技术，因此拥有收敛时间方面的优势。通常建议每台接入层交换机上配置1～3个VLAN。

3.端到端VLAN与本地VLAN的对比

在这一部分中，我们会主要介绍本地 VLAN 与端到端 VLAN 相比，所体现出来的优势与不足。

由于 VLAN 通常代表一个三层网段，因此每个端到端 VLAN 会使一个单独的三层网段延伸到全网的各个物理位置。下面是实施端到端设计的一些理由。

·可以将用户进行分组：即使用户在物理上是分离的，他们也可以被划分到一个共同的IP网段中。近期，虚拟化日渐成为了一种趋势。而VMWARE等解决方案也需要使用端到端的VLAN来扩展到园区的所有网段中。

·安全：可以让某个VLAN所包含的资源只能被网络中的一部分用户访问，或者使某种类型的流量仅能访问某个VLAN。

·应用服务质量（QoS）：可以给从某个 VLAN 访问网络资源的流量分配较高或较低的访问优先级。

·避免路由选择：如果VLAN用户的流量大多数去往相同VLAN内的设备，并且无需经过路由就可到达这些设备，那么即使流量可能会穿越多台交换机，用户仍然可以在他/她们的VLAN内访问资源，而不必将流量路由到VLAN之外。

·特殊用途VLAN：有时，一个VLAN的作用就是为了承载某一种类型的流量，而这种类型的流量必须分布到整个园区当中（比如组播、语音或为访问者创建的VLAN）。

·设计粗劣：对于没有明确目的，而把用户放入跨越园区网甚至跨越WAN的VLAN中的情况，当网络已经配置完成且开始运营后，企业会由于网络失效时间或其他策略性因素，犹豫是否要对设计进行改进。

下面是管理员在实施端到端的VLAN时应该予以考虑的因素。

·交换机端口是为每个用户提供的，并且会与一个特定的VLAN相关联。由于端到端VLAN中的用户可以位于网络中的任何位置，因此所有交换机都必须知道这个VLAN。也就是说，承载端到端VLAN流量的所有交换机都必须知道那些定义在各个交换机VLAN数据库中的VLAN。

·同样，在默认情况下，该VLAN的泛洪流量会穿越每一台交换机，即使那台交换机上没有任何属于这个端到端VLAN的活动端口。

·结果是，为带有端到端VLAN的园区网进行排错的难度颇大，因为在大型园区网中，去往某一个VLAN的流量可以穿过多台交换机，这就有可能在不知不觉间产生一些生成树的问题。

4.将VLAN映射到分层网络中

过去，网络设计者在设计网络时往往会使用 80/20 规则。这种规则的根据是观察所得的结果，即一般来说，网络中80%的流量会在网段的终端设备之间流动，只有20%的流量会去往远程的网段。因此，当时的网络架构更适宜使用端到端的VLAN。然而，为了避免使用复杂的端到端VLAN，设计者目前已经将服务器统一部署在了网络的中心位置，并使用户通过网络中的一两条路径来访问外部资源（如 Internet），因为现在许多流量都要穿越大量的网段。因此，目前的网络范例更接近 20/80 的比例，也就是大量的流量都会离开本地网段，于是本地VLAN的效率就会提高。

另外，由于采用手动的方式配置 IP 地址是一项繁重的工作，因此这一点使得端到端VLAN变得更有吸引力，因为当用户在网络中移动时，端到端的VLAN可以减轻IP地址的配置工作。不过，如果使用了DHCP，在每台电脑上配置IP地址就不再是一个艰辛的过程。因此，将VLAN扩展到整个企业中也就不会带来太多的好处；比如，网络中部署了集群或拥有其他需求。

本地VLAN是企业园区架构设计方案的一部分，如图2-4所示，因此在接入层使用的VLAN不应该扩展到除了与其直连的分布层交换机之外的其他分布层交换机中。比如VLAN1、10和VLAN2、20都仅限于本地接入层交换机。当从本地VLAN发起的流量穿过分布层交换机到达核心层时，设备就会对其进行路由。在这里，我们一般推荐管理员在每台接入层交换机上保留2到3个VLAN，而不要将所有VLAN都扩展到全体接入层交换机上。这样一来，如果整个园区网中穿越交换机的流量都来自同一个 VLAN，那么二层排错的工作就可以得到减轻。另外，由于STP是为冗余而配置的，因此交换机会将STP 限制在接入层和核心层交换机中，这样一来，当网络出现故障时，它也可以降低网络的复杂程度。

使用本地VLAN来实施企业园区架构具有以下优势。

·轻松判断数据流：这种简单的设计方案可以让判断二层和三层的数据流路径变得更加轻松。如果出现了某种故障，且网络中的冗余技术并没有解决这个问题时，那么一个简单的模型可以让管理员更轻松地找到问题的症结，并在相应的交换机上将问题解决。图2-4 在园区网架构设计方案中实施VLAN

·灵活的冗余路径：在实施PVST（每VLAN 生成树）或MSTP（多生成树）时，由于网络无环，因此所有链路都可以使用冗余的路径。

·高可用性：所有的网络基础设施都可以配备冗余路径。因此，如果首选的二层路径出现故障，那么接入层交换机上的本地VLAN流量还可以沿着另一条二层路径穿过建筑分布层交换机。如果接入层VLAN的默认网关出现了故障，那么路由器冗余协议可以实现故障倒换（Failover）。当生成树（STP）实例和 VLAN 都配置在了一台特定的接入层或分布层交换机上时，那么管理员也可以使用相应的方法来配置二层和三层冗余及协议。

·有限故障域：如果VLAN仅限于本地交换机，那么每个VLAN中的设备数量就不会太多，于是二层故障就会被限制在不大的用户范畴内。

·设计方案扩展性强：图 2-4 是一个企业园区架构的设计方案，管理员可以十分轻松地在网络中添加新的交换机，在必要的时候，也可以在网络中添加新的子模块。2.1.2 如何为VLAN制定计划

网络中VLAN模型的类型会影响实施VLAN的计划，以及验证VLAN的计划。在这一节中，我们只会着重介绍如何实施二层端到端VLAN的模型。在下一节中，我们则会重点在介绍园区网架构中使用本地VLAN模型的方法。

在这一节中，我们主要介绍在园区网中，为实施VLAN而创建计划所需的步骤。一般来说，规划端到端VLAN的实施包括以下任务。

步骤1 把握现有网络的流量。除非这个网络是您自己设计的，否则设计者一般在提供网络架构时都会带有他/她为网络定义的组。这些组通常代表子网及与其相关联的VLAN。收集这些VLAN号、名称、作用以及VLAN和IP地址之间的映射关系是十分有必要的。

步骤2 在拥有VLAN列表之后，应该记录下来园区的哪一部分需要使用哪个VLAN。这样做就确定了交换机之间的数据流向，以及哪个VLAN应该配置在哪台交换机上。

步骤3 VLAN一般是基于端口来进行划分的。在有的网络实施环境中，管理员可能会使用一种不同的方法，比如根据 dot1x 认证来划分。具体的配置方法取决于划分VLAN的方式。管理员还需要搞清楚那些交换机上没有使用的端口应该如何划分VLAN。是应该保留它们的默认配置，还是出于安全的目的把它们划分进一个不使用的VLAN，抑或将它们分配进默认VLAN中。

注意：本书仅关注如何静态地配置VLAN。

步骤4 在获得了所有与VLAN相关的信息之后，下一个重要的步骤就是配置Trunk（干道）。如果交换机之间需要进行通信，就需要使用Trunk。在配置Trunk时，管理员必须了解应该在哪里部署Trunk，是否应该在Trunk上允许所有的VLAN，以及 Native VLAN 应该如何设计等。

步骤5 VTP 可以简化 VLAN 的配置和修剪。管理员应该始终清楚其在当前的网络案例中是否有用。对于实施VTP而言，管理员应该了解需要在哪里实施VTP，应该用哪台交换机来充当服务器，哪台充当客户端，哪台应该配置为透明模式（如果有需要配置透明模式的话）。

注意：VTP将在本章后面的小节中详细介绍。

步骤6 最重要的是，管理员应该创建一个测试计划来实施VLAN，并察看其是否满足流量的需求及未来扩展的需要。2.1.3 设计VLAN的最佳做法

通常来说，网络设计人员在设计和实施VLAN及其组成部分时，都会根据业务需要及需求来进行设计和实施，不过在这一节中，我们将要介绍一些在园区网中实施VLAN时，具有普适价值的最佳做法，以咨读者参考。

下面是设计VLAN的最佳做法。

·对于本地VLAN模型来说，一般推荐设计者在每个模块上使用1～3个VLAN，然后就像我们在上文探讨的那样，将这些VLAN限制在几台接入层交换机和分布层交换机的范围内。

·不要将 VLAN1 作为未使用端口的“黑洞”。要将这些不使用的端口划分到其他VLAN中，只要不是VLAN 1就好。

·尽量将语音VLAN、数据 VLAN、管理 VLAN、Native VLAN、黑洞VLAN和默认 VLAN（VLAN 1）分开。

·在本地VLAN模型中，不要使用VTP。管理员可以用手动的方式配置Trunk上允许哪些VLAN。

·对于Trunk端口来说，应该关闭DTP并且手动对其进行配置。这里应该使用IEEE802.1Q 而不应该使用 ISL，因为 IEEE 802.1Q 能够更好地支持 QoS，而且 IEEE 802.1Q也是标准（即公有）协议。

·手动配置那些不打算用于Trunk链路的Access端口。

·阻止所有来自 VLAN 1的数据流量；VLAN 1 上只允许运行控制协议（如 DTP、VTP、STP BPDU、PAgP、LACP、CDP等）。

·出于安全性的考虑，不要使用Telnet，但可以使管理VLAN支持SSH协议。2.1.4 配置VLAN

所有 Cisco Catalyst交换机都能够支持VLAN。不过，各 Cisco Catalyst交换机所支持的VLAN数量却有所区别，其中高端的Cisco Catalyst交换机可以支持多达4096个VLAN。表2-1所示为各型号Catalyst交换机支持的最大VLAN数量。表2-1 Catalyst交换机的VLAN支持矩阵

VLAN范围

Cisco Catalyst交换机支持最多4096个VLAN，具体支持的VLAN 数量取决于设备的型号及软件系统的版本。表 2-2 所示为Cisco Catalyst交换机中 VLAN 的分配情况。

注意：对于安装了标准操作系统软件（Standard Software image）的Catalyst 2950和2955交换机来说，它们最多能够支持64个VLAN；对于安装了增强型系统软件（Enhanced Software Image）的Catalyst 2950 和2955交换机来说，它们最多能够支持250 个VLAN。Cisco Catalyst交换机不支持 VLAN 1002～1005，因为这些 VLAN 是为令牌环和 FDDI VLAN 所预留的。除此之外， Catalyst 4500 和 6500 系列交换机也不支持 VLAN 1006～1024。此外，好几个系列的交换机支持的VLAN比生成树实例更多。例如，Cisco Catalyst 2970支持 1005个 VLAN，但它只支持128个生成树实例。读者如需了解更多有关生成树实例数量的内容，可以查阅相关的Cisco产品技术文档。表2-2 VLAN范围

管理员如需在全局配置模式中创建新的VLAN，那么就应遵循下列步骤。

步骤1 进入全局配置模式。

步骤2 使用特定ID编号创建新的VLAN。

步骤3 （可选）命名VLAN。

例2-1所示为如何在全局配置模式中配置VLAN。

例2-1 在Cisco IOS的全局配置模式中创建VLAN

管理员如需在全局配置模式中删除VLAN，那么就应遵循下列步骤。

步骤1 进入全局配置模式。

步骤2 删除特定ID编号的VLAN。

注意：一旦删除了VLAN，那么除非将该VLAN所属的Access端口移动到其他VLAN，否则这些接入端口就会进入“inactive（静止）”状态。出于安全方面的考虑，如果端口处于“inactive”状态，那么它就不会再转发流量。

例2-2所示为如何在全局配置模式中删除VLAN。

例2-2 在全局配置模式下删除VLAN

管理员如需将交换机端口分配给先前所创建的VLAN，那么就应遵循下列步骤。

步骤1 在全局配置模式下通过输入下列命令，就可以进入希望添加到VLAN中的那个端口的配置模式。

步骤2 将端口指定为access端口。

注意：命令switchport host的作用是将某端口配置为主机设备（例如工作站或服务器）所连端口。在启用该特性的时候，就表示同时对该端口启用生成树PortFast并禁用EtherChannel特性。我们将在后面的章节中详细讨论上述特性。

管理员还需要在这里输入命令 switchport mode access，该命令的作用是使该端口不再尝试协商链路聚集（Trunking）。

步骤3 将该端口放入某个VLAN中，或从该VLAN中移除。

例 2-3 所示为如何将一个接口配置为 VLAN 200 中的接入端口。

例2-3 将一个Access端口分配进VLAN

注意：管理员需要在三层交换机上使用不带关键字的switchport命令，来将接口配置为二层接口。在将接口配置为二层接口之后，管理员可以再使用其他带关键字的switchport命令来配置二层属性，例如接入VLAN或链路聚集（Trunking）。2.1.5 验证VLAN的配置

正如我们已经在前文中介绍过的那样，根据PPDIOO，在配置好VLAN之后，下一个重要的步骤就是验证前面的配置。如需验证Catalyst交换机上的VLAN配置，那么就需要使用 show 命令来实现。在特权 EXEC 模式中，show vlan 命令能够显示特定 VLAN 的相关信息。表2-3 所示为命令show vlan 所能显示出来的字段。表2-3 show vlan字段描述

注意：PPDIOO表示准备、规划、设计、实施和优化五个步骤。在这一章中，我们的重点是如何根据这个模型来未在园区网中实施VLAN制订计划。

例 2-4 所示为如何根据 Cisco IOS 中的 VLAN 编号来显示VLAN的相关信息。

例2-4 根据Cisco IOS中的VLAN编号显示VLAN的相关信息

例 2-5 所示为如何根据 Cisco IOS 中的 VLAN 名称显示 VLAN 的相关信息。

例2-5 根据Cisco IOS中的VLAN名称显示VLAN的相关信息

如果管理员希望设备显示某个特定接口当前的配置信息，那么就应该使用命令showrunning-config interface interface_type slot/port 来实现。如果希望显示特定交换机端口的详细信息，那么就应该使用命令 show interface 来实现。如果使用带有关键字 switchport的命令 show interface interface_type slot/port，设备就不仅会显示出交换机的端口特征，而且还能显示 Native VLAN 和链路聚集（Trunking）等信息。通过使用命令 show mac-address-table interface interface_type slot/port，设备能够显示指定 VLAN 中特定接口的 MAC 地址表的信息。在排错时，这些命令可以帮助管理员判断直连设备是否正在向正确的VLAN发送数据包。

例 2-6 所示为如何显示特定接口的配置。如例 2-6 所示，接口 Ethernet 5/6 被管理员划分进了 VLAN 200 中，该端口的状态为 Access，因此该接口不会再协商链路聚集（Trunking）。

例2-6 显示特定接口的信息

例2-7所示为如何显示交换机端口的详细信息，例如端口VLAN和工作模式。如例2-7所示，管理员将快速以太网端口4/1配置为了Switchport端口，也就是一个二层端口，该端口的模式为Access，位于VLAN2中。

例 2-8 所示为如何显示 VLAN 1 指定接口的 MAC地址表信息。

例2-7 显示交换机端口的详细信息

例2-8 显示MAC地址表信息2.1.6 VLAN的排错

在排除与VLAN相关的故障的时候，管理员应当检查下列项目。

·物理连接。

·交换机配置。

·VLAN配置。

图2-5高度概括了交换机中可能发生的故障。图2-5 排除VLAN的故障

在下一节中，我们会介绍几种常见的VLAN问题，以及解决这些问题的行动计划。

1.吞吐量低的排错

管理员如需对相同VLAN中吞吐量低的问题进行排错，那么他/她就应该执行下列步骤。

步骤1 对于由2个端口组成的点到点交换机链路，故障有可能存在于链路的任一侧。此时我们需要确认链路两端的速度和双工模式设置是否一致。

步骤2 使用命令 show interface 来查看嫌疑接口存在哪种类型的错误。FCS（帧校验序列）错误、对齐（Alignment）错误和短帧（Runt）的组合往往说明双工模式不匹配；自动协商是常见的可能发生故障的原因，但也可能是由于手工配置不匹配所导致。

步骤3 如果存在使用生成树的多条冗余路径，那么管理员应该判断数据包会采用哪条二层路径。读者如需深入了解 STP（Spanning Tree Protocol，生成树协议）排错的内容，请参考本书的第3章。

如果从 show interface 命令的输出结果中，管理员发现冲突数目快速增加，那么故障就可能在于半双工链路超额订阅（Oversubscribed）、硬件故障、电缆损坏或双工不匹配。

2.通信问题的排错

当某台设备不能与VLAN内部的其他设备进行通信的时候，就需要采用下列方法来查找故障。

·使用命令 show interface、show mac和 show running来确认交换机端口上锁配置的VLAN成员关系正确无误，这一点我们已经在“验证VLAN的配置”一节中介绍过了。

·使用命令 show interface来确认交换机端口处于正常工作状态（Up），并且已经建立了连接。尝试在相应的交换机端口执行 shut和 no shut 命令来对该端口进行复位处理。2.2 在Cisco园区网实施链路聚集

干道（Trunk）能够在单条物理链路中承载多个VLAN的流量。而链路聚集（Trunking）的作用是将第 2 层操作扩展到整个网络中，如图 2-6 所示中端到端 VLAN 所示。VLAN 2中的主机能够通过单条 Trunk 链路与其他交换机中VLAN 2 的主机进行通信。同理，VLAN1 中的主机也能够与其他交换机上VLAN 1的主机进行通信。图2-6 VLAN 链路聚集

如果管理员希望让一个与两台交换机相连的Switchport端口承载多个VLAN，那么就必须将其配置为一个Trunk。如果从一个VLAN发来的帧穿越一条Trunk链路，那么在这个帧进入Trunk链路时，链路聚集协议就必须给这个帧打上标记，以标识这个帧是从哪个VLAN发送过来的。于是，接收帧的交换机就会知道这个帧来自哪个VLAN，并对其进行相应的处理。对于接收帧的交换机来说，当它将这个帧转发给与其相对应的Access链路时，就会移除掉这个 VLAN ID（VID）。

在配置802.1Q Trunk 链路时，必须在这条链路的每一段定义一个Native VLAN。Trunk链路会自动为每一个帧打上 VID 标记。而 Native VLAN的作用是让那些没有打上 VID标记的帧能够穿过Trunk链路进行转发。在这一节后面的一种内容中，我们会详细地对Native VLAN进行介绍。

在下一节中，我们会具体地介绍如何在多层交换网络中实现、配置和排错链路聚集（Trunking），其中包括下列主题。

·链路聚集协议。

·理解DTP。

·部署链路聚集协议的最佳做法。

·在 Cisco IOS中配置ISL和 802.1Q 链路聚集。

·验证链路聚集的配置。

·链路聚集的排错。2.2.1 链路聚集协议

这一节我们会具体介绍下列两种链路聚集协议。

·ISL（Inter-Switch Link，交换机间链路）：Cisco 私有的链路聚集封装方式。

·IEEE 802.1Q：业界标准的链路聚集方法。

由于ISL协议几乎已经过时，因此本书仅会着重介绍802.1Q。图2-7所示为ISL如何封装一般的以太网帧。目前，所有的Catalyst交换机都支持为来自多个VLAN的各类流量封装802.1Q标记，并放入同一个物理链路中。图2-7 ISL帧

IEEE 802.1Q Trunk 链路可以对帧进行标记，以承载多个 VLAN 发来的帧，在链路上传输的帧都可以通过这个标记来分辨这个帧属于哪个VLAN。

与 ISL 相比，IEEE 802.1Q/802.1p 标准提供了下列的内在结构性优势。

·与ISL相比，802.1Q帧的开销更低，因此802.1Q的效率比ISL略高。802.1Q的开销是4字节，而ISL的开销是30字节。

·802.1Q 是一种业界标准协议，并且得到了业界的广泛支持。

·802.1Q 支持QoS的 802.1p 字段。

图2-8所示为802.1Q帧的结构。

802.1Q以太网帧的报头包含下列字段。

·Dest—目的MAC地址（6字节）。

·Src—源MAC地址（6字节）。

·Tag—插入802.1Q标记（4字节，后面将详细介绍）。

— EtherType（TPID）—如果设置为0x8100，那么表示后面是802.1Q标记。

— PRI—3比特的802.1p优先级字段。

— CFI—规范格式标示符。对于以太网交换机，应设置为0，对于令牌环网络，则应设置为1。

— VLAN ID—VLAN字段，其长度是12比特。VLAN配置的最大编号是4094。如果VLAN ID为0，表示其为优先级帧，VLAN ID等于4095（FFF）为保留。CFI、PRI和VLAN ID代表TCI（Tag Control Information，标记控制信息）字段。图2-8 802.1Q 帧

·Len/Etype—指明长度（802.3）或类型（以太网II）的字段，其长度是2字节。

·Data—数据本身。

·FCS—帧校验序列（长度为4字节）。

IEEE 802.1Q 采用了修改原始帧的内部标记机制（如图 2-8 所示，它在原始帧的 FCS之上打“×”），并且将对包括标记在内的整个帧进行CRC重新计算，然后再将新的CRC值插入到新的FCS中。相比之下，ISL则会对原始帧进行封装，并且增加第2个FCS字段，FCS仅建立在头部信息之上，而不需要修改原始帧的FCS。

为了能够划分第二层帧的优先级，IEEE 802.1p 重新定义了802.1Q标记中的3 个最高有效位。

如果没有启用802.1Q的设备或者Access端口收到了一个802.1Q帧，那么标记的数据就会被忽略，而数据包则会作为以太网帧被交换给二层。这就允许管理员沿着 802.1Q Trunk路径来部署二层中间设备，如非管理型交换机（Unmanaged switch）、网桥。如果设备要处理打了标记的802.1Q帧，它就必须使其MTU（最大传输单元）高于1522。

小巨（baby giant）帧的大小大于标准 MTU的1500 字节，而小于2000字节。如果使用打上了标记的ISL和802.1Q帧，那么被标记帧的MTU将超过1500字节，交换机就将把这两种帧看作小巨帧。对于以太网上采用ISL封装的数据包，它的MTU是1548字节；对于以太网上采用802.1Q封装的数据包，它的MTU则是1522字节。

理解 802.1Q 链路聚集中的 Native VLAN

在默认情况下，802.1Q Trunk 会为转发未被标记的帧而定义 Native VLAN。交换机会从 Trunk 端口的 Native VLAN 转发未打标的二层帧，如图 2-9 所示。接收方交换机将把所有未标记的数据包转发到 Native VLAN 中。Native VLAN 是端口的默认 VLAN 配置。当端口不是 Trunk 的时候，Access VLAN 的配置定义了 Native VLAN。在使用 Cisco交换机的情况中，默认 VLAN 是 VLAN 1，管理员也可以将 Native VLAN 配置为其他VLAN。图2-9 Native VLAN

需要重点关注的是，两台设备之间的 802.1Q Trunk 端口有一个要求，那就是链路两端Native VLAN的配置必须相同。如果 802.1Q 链路的Native VLAN配置不匹配，那么 CDP （如果使用了CDP，并且CDP也工作正常的情况下）就会发送一条“VLAN配置错误”消息。对于某些 Cisco IOS 系统来说，如果 Trunk 链路上禁用了VLAN 1，CDP有可能就不会传输，或者自动关闭。

另外，如果 802.1Q 链路的任意一端出现了 Native VLAN 不匹配的情况，就有可能产生二层环路。理由是在这种情况下，VLAN 1的 STP BPDU（桥协议数据单元）会在未标记的情况下被发送给IEEE STP MAC 地址（0180.c200.0000）。2.2.2 理解DTP

除 Catalyst 2900XL和 3500XL 之外，所有新型的 Cisco Catalyst交换机都会在 Trunk端口使用一种被称为 DTP（Dynamic Trunking Protocol，动态链路聚集协议）的 Cisco私有点到点协议，并且使用 DTP 协议来协商链路聚集的状态。DTP 会与直接连接到Trunk端口的交换机来协商工作模式，并选择恰当的链路聚集协议。协商链路聚集可以避免在刚开始出现链路聚集配置错误，因而导致一些网络问题，所以推荐在多层交换网络中采用链路聚集协商的做法，不过最好的做法是在网络稳定之后，再更改为永久的Trunk。

1.Cisco链路聚集模式和方法

表2-4描述了Cisco交换机所支持的不同链路聚集模式。表2-4 链路聚集模式

注意：Cisco Catalyst 4000和4500交换机根据其Supervisor引擎的型号来决定其运行Cisco IOS还是Cisco CatOS。Catalyst 4000和 4500 的Supervisor 引擎不支持基于每个端口来执行ISL封装。读者可以参考Cisco.com来了解具体的信息。

图2-10所示为两条链路间DTP模式的各种组合。DTP模式的不同组合可以使端口成为Access端口或者Trunk端口。图2-10 DTP模式的配置

2.VLAN范围与对应关系

ISL支持的 VLAN 编号范围是从1～1005，而802.1Q VLAN 则支持 1～4094。如果使用的是 802.1Q 接口，那么 VLAN Trunk 的默认行为是允许所有标准和扩展的 VLAN 通过链路；如果使用的是ISL 接口，默认行为则是允许标准 VLAN ID 通过链路。2.2.3 链路聚集的最佳做法

在分层的设计方案中，接入层交换机是与分布层交换机相连的。这里也是需要管理员实施Trunk的位置，如图2-11所示。在该图中，每个接入层交换机与分布层交换机相连的都是Trunk链路，因为这些链路必须为各交换机承载两个VLAN。而分布层与核心层之间的链路往往是三层链路。同样，为了避免生成树的问题，我们推荐不要在两台分布层交换机之间采用二层Trunk链路连接，或者干脆不要用任何链路来连接它们。这样一来，接入层交换机就会被配置为生成树、无环路V型拓扑，一旦某个分布层链路出现故障，可以使用HSRP或VRRP协议来创建一个虚拟的默认网关。本章会在稍后部分详细介绍生成树、HSRP和VRRP的内容。图2-11 Trunk的实施

当链路另一端的交换机状态无法确定，或者其状态有可能在未来发生变化，那么DTP就会非常有用。当链路需要通过一种稳定的方式设置为 Trunk 链路时，将它们都设置成Trunk非协商（nonegotiate）可以提高收敛速度，从而在每次启动时至少节省2秒的时间。在两台交换机都是核心架构的组成设备时，我们推荐管理员采取这种方式来部署稳定的链路。

对于Trunk链路来说，我们推荐采用手动的方式来修剪那些不使用的VLAN。如果网络中使用了VTP协议，那么管理员也可以使用VTP修剪技术，不过手动修剪的方式（在switchport Trunk 上放行所需的VLAN）更加安全，因为它只会允许 Trunk 链路传递那些管理员允许并在链路上加以放行了的VLAN。另外，为了防止DTP欺骗，将不使用的VLAN充当 Trunk 链路上的Native VLAN 是一种非常值得推荐的做法。

如果该端口没有使用链路聚集，那么管理员可以使用接口模式的命令 switchport host来禁用链路聚集。这条命令功能强大，它会将相应的端口设置为Access模式，并同时启用PortFast。2.2.4 配置802.1Q链路聚集

管理员如需在 Cisco IOS软件中将交换机端口配置为 802.1Q 链路聚集端口，那么就需要使用下列命令。

步骤1 进入接口配置模式。

步骤2 选择封装类型。

步骤3 将接口配置为第二层Trunk接口。

步骤4 指定Native VLAN。

步骤5 配置Trunk上许可的VLAN。

注意：如果交换机使用的是12.1（13）E或后续的Cisco IOS版本，VLAN ID的范围可以选择1～4094中，除保留VLAN之外的ID。如果使用的是软件版本12.1（11b）E或后续的Cisco IOS版本，那么管理员就可能从Trunk端口中移除 VLAN 1。即使从Trunk中清除VLAN 1，Trunk接口仍会继续发送和接收管理流量。例如，无论端口中是否存在VLAN 1，CDP、VTP、PAgP（Port Aggregation Protocol，端口汇聚协议）和DTP信息都会使用VLAN 1进行发送。

例 2-9 所示为如何在 Cisco IOS 软件中将接口 FastEthernet 5/9 配置为 desirable模式的802.1Q链路聚集端口，且使该端口仅允许VLAN1到100发送数据。

例2-9 在Cisco IOS软件中将一个端口配置为802.1Q链路聚集端口2.2.5 验证链路聚集的配置

管理员如需在 Cisco IOS软件中验证链路聚集的配置，那么就应使用表2-5中所列出的命令。表2-5 验证干道配置的Cisco IOS命令

例2-10所示为端口的链路聚集配置。

例2-10 显示端口的链路聚集配置

例 2-11 所示为接口FastEthernet 5/8的交换机端口配置，该端口为 802.1Q Trunk 端口。

例2-11 显示交换机端口的链路聚集信息

例2-12所示为特定端口的Trunk信息。

例2-12 显示特定端口的Trunk信息2.2.6 链路聚集的排错

为了能够对Trunk端口的故障进行排错，管理员需要验证下列配置是否正确。

·接口的模式。

·Native VLAN。

·封装类型。

VLAN中的常见故障是设备不能跨越Trunk链路建立连接。为了解决该故障，我们推荐采用下列解决方案。

·确保链路两端的第二层接口配置是有效的，并且至少链路的一侧的 Trunk 模式为trunk 或 desirable。管理员可以在 Cisco IOS 软件中使用命令 show interface interface_id trunk来验证接口的 Trunk 配置。

·确保链路两端的Trunk封装类型是有效且兼容的。

·在 IEEE 802.1Q Trunk 链路中，确保 Trunk 两端的Native VLAN配置是相同的。

·在使用DTP的情况下，确保链路两端位于同一个VTP域中。2.3 VLAN 链路聚集协议

VTP协议的作用是在整个交换网络中分发和同步与VLAN的相关信息。VLAN名称重复、VLAN类型规范错误、违反安全规范等问题都会导致一定程度的故障，而VTP能够将因配置错误和配置不一致等原因而引发故障的机率降至最低。交换机只在 802.1Q 和 ISL干道中传送 VTP 消息。Cisco 交换机每 5 秒就会通过管理 VLAN（默认为 VLAN 1）以二层组播数据帧的形式传输一次 VTP 汇总通告。VTP 数据包会被发送给目的 MAC 地址01-00-0C-CC-CC-CC，且其逻辑链路控制（LLC）码为子网访问协议（SNAP）（AAAA），类型值为2003（位于SNAP头部）。

而SNAP的作用是规定IP数据包应该如何在IEEE 802网络中传输，当数据包为VTP 时，SNAP协议头部值为0x2003（该值主要用来将VTP数据包与CDP数据包进行区分，CDP数据包的SNAP协议头部值为0x2000）。——译者注

VTP是一种二层消息协议，它的作用是通过管理VTP域内的VLAN增加、删除或重命名来保持VLAN配置的一致性。

一个VTP域是由一台交换机或多台共享相同VTP环境的互连交换机所组成的。每台Catalyst交换机只能支持单个VTP域。

默认情况下，除非Catalyst交换机通过Trunk链路接收到了VTP域的通告，或者应用了VTP配置，否则Catalyst交换机都将处于“no-management-domain”状态，如图2-12所示。图2-12 VTP协议

通过采用下列方式，管理员不仅能够对单台VTP服务器进行配置，而且可以向网络中所连接的全部交换机发送这台VTP服务器的配置。

步骤1 管理员增加一个新的VLAN。

步骤2 VTP向VTP域中的所有交换机传播VLAN信息。

步骤3 为了能够合并新的VLAN数据，每台交换机都需要对配置进行同步。

VTP能够工作在下列模式之一：服务器模式（server mode）、客户端模式（client mode）、透明模式（transparent mode）和关闭模式（off mode）。默认情况下，VTP工作在服务器模式下，但是在管理员为设备指定管理域名称或设备学习到管理域名称之前，Catalyst 交换机不会通过Trunk接口向外传播VTP信息。

表2-6描述了VTP客户端、服务器、透明和关闭模式的特性。表2-6 VTP的工作模式

注意：在VTP版本3中，存在主服务器和辅服务器的概念。不过VTP版本3超出了本书的讨论范围，有兴趣的读者可以参考Cisco.com的文档来了解具体信息。

在合并所接收到的VLAN信息之前，接收VTP通告消息的设备会检查该消息的各种参数。首先，通告消息中的管理域名称和密码必须与本地交换机中的配置相匹配；其次，如果配置修订（revision）号说明消息是在当前正在使用的配置之后创建的，并且交换机是VTP服务器或客户端，那么交换机就会合并这条VLAN通告消息。

VTP 最重要的元素之一就是配置修订号（revision number）。每当 VTP 服务器修改其VLAN信息的时候，它的配置修订号都会递增1，然后以新的配置修订号来发送VTP通告消息。如果正被通告的消息的配置修订号高于VTP域中其他交换机所存储的配置修订号，那么域中的其他交换机就会使用通告的新信息来覆盖已有的VLAN配置，如图2-13所示。图2-13 VTP通告

由于 VTP 透明交换机不参与 VTP，因此这个模式的交换机既不会通告自己的 VLAN配置，也不会根据所接收的VTP通告来同步自己的VLAN数据库。

注意：所谓的覆盖过程是指如果VTP服务器删除了它所有的VLAN，并且以更高的修订号通告这个消息，那么VTP域中的客户端设备也将删除它们的VLAN。有鉴于此，管理员在使用该特性时应当格外谨慎。

下面我们来讨论VTP的下列属性。

·VTP修剪。

·VTP版本。

·VTP消息类型。

·VTP认证。

·实施VTP的最佳做法。

·VTP的配置。

·验证VTP的配置。

·VTP排错。2.3.1 VLAN修剪

VTP修剪技术会使用VLAN通告消息来判断Trunk连接何时正在扩散不必要的流量。在默认情况下，Trunk连接会承载VTP管理域中所有VLAN的流量。而一般情况下，企业网络中的某些交换机没有为每种VLAN都配置本地端口。如图2-14所示，交换机1和交换机4 支持静态配置在 Red VLAN 中的端口。图2-14 VTP修剪

VTP修建技术可以将泛洪的流量限制在恰到好处的范围内（即将流量限制在到达恰当的网络设备所必经的Trunk链路中），因此它能够提高链路的可用带宽。图2-14所示为一个启用了 VTP 修剪技术的交换网络。由于在交换机2、4的指示下，去往 Red VLAN 的流量受到了修剪，因此来自工作站A的广播流量就不会被转发到交换机3、5和6。

注意：无论Catalyst交换机是否采用了VTP修剪技术，它都会为每个VLAN运行一个STP实例。即使VLAN中没有活跃的端口，或者VTP修剪将VLAN从接口中移除了出去，每个VLAN仍然存在一个STP实例。基于上述原因，VTP修剪能够防止将泛洪流量传播给在特定VLAN中没有成员设备的交换机。不过，VTP修剪并不会删除掉交换机关于被修剪VLAN的信息。2.3.2 VTP 版本

Cisco Catalyst 交换机支持 3 种不同版本的 VTP：版本 1、版本 2 和版本 3。由于不同版本的 VTP 之间不能通信，因此管理员必须确定使用哪种版本的 VTP。此外，出于网络稳定性方面的考虑，Cisco建议只使一种版本的VTP。因为VTP版本3相对比较新，所以本章将重点讨论VTP版本1和版本2。

1.VTP版本1和版本2

VTP版本2支持下列版本1所不支持的特性。

·支持令牌环—VTP版本2支持令牌环LAN交换和令牌环VLAN。

·支持不能识别的 TLV（Type-Length-Value，类型长度值）—VTP 版本 2 服务器或客户端会将配置变化传播给其他的 Trunk 链路，即使对于它不能理解的TLV也是如此。VTP版本2服务器和客户端也会将其无法识别的TLV保存在NVRAM中。在设备的版本或镜像文件级别不同的情况下，这个功能的作用就会发挥出来。

注意：TLV可选信息可以被编码为一个类型长度值或协议内部的TLV元素。而使用TLV表示的好处之一是TLV序列更容易使用广义分析函数进行搜索。

·与版本无关的透明模式—在VTP版本1中，一个VTP透明模式的交换机会检查VTP消息中的域名和版本，并且只有当版本和域名与本机相匹配时才转发该消息。由于在Supervisor Engine 软件中只支持一个 VTP域，所以 VTP版本2 在透明模式下转发VTP消息时不会检查版本。

·一致性检查—在 VTP 版本 2 中，仅当用户通过 CLI 或 SNMP（Simple NetworkManagement Protocol，简单网络管理协议）输入新信息时，VTP 才会执行VLAN一致性检查（如VLAN名称和值）。但如果新的信息是通过VTP通告消息获得的，或者是从 NVRAM 中读取的，那么 VTP 就不会执行任何检查。如果所接收到的VTP消息的MD5（消息摘要算法5）是正确的，那么VTP版本2就将接收该信息。因为VTP版本1不支持令牌环VLAN，所以管理员应当在令牌环环境中使用VTP版本2。

如果域中的所有交换机都能够运行VTP版本2，那么管理员就应当在每台交换机上启用VTP版本2。VTP服务器会把这个版本号传播到VTP域中的其他支持VTP版本2的交换机。

2.VTP版本3

8.1 或更新版本的 Cisco CatOS 软件支持 VTP 版本 3，而所有最新版的 Cisco IOS也可以支持VTP版本3。VTP版本3与早期VTP版本的区别在于：VTP版本3不能直接处理VLAN。VTP版本3负责在管理域中分发一个数据库的列表。以下是VTP版本3的增强特性。

·支持扩展VLAN（1025～4094）。

·支持创建和通告pVLAN。

·增强了服务器认证。

·增强了保护机制，能够防止“错误的”数据库被意外地插到VTP域中。

·能够与版本1和版本2互动。

·能够基于端口来配置VTP。

注意：读者可以查看产品平台的配置指导，来了解其支持的VTP版本。

除了增加主服务器和辅助服务器模式，以及增加了数据库一致性的概念之外，VTP版本3与VTP版本1和版本2具有相同的特性。

注意：由于VTP版本3目前还没有得到广泛的应用，也不会作为考试考查的重点内容，因此本书仅着重介绍VTP版本1和版本2。2.3.3 VTP 消息类型

VTP可以使用多种消息类型来进行通信。下面是VTP使用的消息类型。

1.汇总通告消息（Summary Advertisement）

在默认情况下，Catalyst 交换机会每 5 分钟发送一条汇总通告消息。汇总通告消息会通知临近Catalyst交换机当前的VTP域名和配置修订号。

当交换机收到汇总通告消息数据包时，交换就就会将数据包中的VTP域名与其自己的VTP域名进行比较。如果名称不同，交换机就会忽略这个数据包。如果名称相同，交换机就会将自己的配置修订号与数据包的修订号进行比较。如果自己的配置修订号大于等于数据包的修订号，数据包也会被忽略。如果自己的配置修订号比较小，那么交换机就会发送通告请求消息。

2.子集通告消息（Subset Advertisement）

管理员在Catalyst交换机上添加、删除或修改VLAN时，配置被修改了的那台服务器交换机就会增加配置修订号，并发送一条汇总通告消息。随后，它又会发送一条或多条子集通告消息。每条子集通告消息中都包含有一个VLAN信息的列表。如果有多个VLAN，交换机就会请求服务器交换机发送多条子集通告消息来通告所有这些VLAN的信息。

3.通告请求消息（Advertisement Request）

在下列情况下，交换机需要发送VTP通告请求消息。

·交换机重启。

·VTP域名被修改。

·交换机收到了一条VTP汇总通告消息，且该消息的配置修订号高于其自身的修订号。

在收到通告请求消息之后，VTP设备就会发送一条汇总通告消息。在此之后，再发送一条或多条子集通告消息。2.3.4 VTP 认证

管理员可以通过使用VTP的密码特性，来保证VTP域的安全。不过，管理员必须确认VTP域中的所有交换机使用的都是相同的密码和域名，这一点非常重要；否则，密码和域名不一致交换机就不会成为VTP域的成员。Cisco交换机会使用MD5 算法来将密码编码为16字节。这些密码会在VTP汇总通告内部进行传播。在VTP中，密码是区分大小写的，并且密码的长度为8～64字符。采用VTP认证是推荐的做法。2.3.5 实施VTP的最佳做法

VTP一般用于新的网络中，旨在减轻配置VLAN的负担。不过，当网络规模变得越来越大以后，这种优势就会成为一种缺点。当服务器意外删除一个VLAN时，整个网络都会删除这个VLAN。如果一台已经定义好了VLAN数据库的交换机被部署到网络中，这个数据库就有可能会劫持VLAN数据库，即对VLAN的信息删删改改。有鉴于此，实施VTP的推荐做法是将所有交换机都配置为透明模式，并根据管理员需要手动地添加VLAN，越是大型网络越应如此。一般来说，VTP配置对于小型环境还是很有帮助的。2.3.6 VTP 的配置

管理员如需在Cisco IOS软件的配置模式中，配置VTP版本1和版本2的VTP服务器，那么他/她就需要在特权EXEC模式中执行下列步骤。

步骤1 进入全局配置模式。

步骤2 将VTP配置为服务器模式。

步骤3 配置域名。

步骤4 （可选）启用VTP版本2。

步骤5 （可选）指定VTP密码。

步骤6 （可选）在管理域中启用VTP修剪技术。

注意：VTP域中的所有交换机都必须具有相同的VTP口令和VTP版本。

例 2-13 所示为如何在 Cisco IOS 软件的全局配置模式中将 Catalyst交换机配置为 VTP服务器。

例2-13 在Cisco IOS软件中将交换机配置为VTP服务器2.3.7 验证VTP的配置

管理员可以使用命令 show vtp status来查看VTP 的配置及当前状态。

例2-14所示为如何通过使用show vtp status命令来验证VTP配置。在该例中，输出信息显示了VTP的版本、本地支持的VLAN编号、VTP的工作模式、VTP域名和VTP修剪模式等。

例2-14 显示VTP状态

管理员可以使用命令 show vtp counters命令来查看VTP 的统计数据。例2-15所示为如何在 Cisco IOS软件中查看 VTP统计信息。

例2-15 在Cisco IOS软件中显示VTP统计信息2.3.8 VTP 排错

通常情况下，VTP的配置故障是由于Trunk链路、域名、VTP模式和口令等配置不当所导致的。

在更改VLAN配置时，如果VTP不能更新其他交换机上的配置，那么就需要执行下列步骤来对VTP进行排错。

步骤1 确认交换机之间是通过Trunk链路所连接的。交换机只有在Trunk链路上才能交换 VTP 更新。管理员应该通过检查来确认所有的交换机到交换机的连接都使用了相同的链路聚集协议。此外，管理员还应该在 Cisco IOS软件中使用命令 show interface来查看每对链路伙伴的速度和双工模式是否相同。

步骤2 确保相应交换机上所配置的VTP域名（区分大小写）完全一致。只有相同VTP域中，交换机之间才会交换 VTP更新消息。管理员可以使用 show vtp status命令来验证上述配置。

步骤3 检查交换机是否工作在VTP透明模式中。因为只有VTP服务器或VTP客户端模式的交换机才能根据其他交换机的VTP更新来更新自己的VLAN配置。管理员可以使用 show vtp status命令来验证交换机上配置的 VTP模式。

步骤4 如果用户使用了VTP密码，那么还应当确认VTP域中所有交换机都使用了相同的密码和认证。2.4 私用VLAN

在有些情况下，管理员希望隔离位于交换机同一VLAN中终端设备间的通信，同时还不希望将这些设备划分进不同的IP子网中，因为划分多个IP子网会使IP地址遭到浪费。私用VLAN技术可以隔离同一个IP子网内的二层设备。管理员可以使交换机一些端口的流量只能到达某些与默认网关或备份服务器相连的端口。在执行了这种设置之后，虽然有些设备属于同一个VLAN，但它们之间却不能相互通信。私用VLAN主要部署在ISP环境中——特别是部署Web的环境中。以下与私用VLAN相关的话题将在本节中进行讨论。

·私用VLAN概述。

·私用VLAN及端口类型。

·假设有一个包含了私用VLAN的企业VLAN网络设计方案，此时管理员应该如何制定实施和验证计划；以及如何成功地执行这个计划。

·私用VLAN的配置。

·端口保护特性。2.4.1 私用VLAN概述

除了服务提供商自己的服务器以外，服务提供商还要在DMZ区域或VLAN中维护多个客户的设备。而这就会导致很多安全问题，因此对设备之间的流量进行一定程度的隔离是十分有必要的，即使位于同一个三层网段和VLAN中的设备也应该根据需要进行隔离。大多数基于 Cisco IOS的交换机都可以支持私用VLAN 技术，而这项技术可以让交换机共享一部分端口，而又隔离一部分端口，同时所有这些端口还都位于同一个VLAN中。

满足服务提供商这类需求的传统解决方案是为每个客户分配一个VLAN，每个VLAN使用一个不通的子网。然后再由三层设备在VLAN和Internet目的地之间提供连接。

下面是这种解决方案面临的问题。

·为每个客户都分配一个不同的VLAN就需要在服务提供商的网络设备上使用大量的三层接口。

·当很多VLAN互相通信时，生成树就会变得非常复杂。

·管理员必须将网络地址空间分为很多子网，而这样做会浪费地址空间，并且增加管理网络的复杂程度。

·管理员需要使用很多 ACL 应用来确保这些 VLAN 的安全性，这也会增加网络管理员的复杂程度。

私用VLAN及端口类型

私用VLAN中的端口属于以下3种类型之一。

·孤立端口（Isolated）：孤立端口完全与同一个 pVLAN 中的其他端口相隔离，唯一的例外是它能与杂合端口进行通信。私用VLAN会阻塞所有去往孤立端口的流量，只有从杂合端口发来的流量才会得到放行。而孤立端口收到的流量也只会发送给杂合端口，如图2-15所示，PC5和PC6属于同一个孤立VLAN，但是它们却不能与对方进行通信——它们都只能与杂合端口进行通信。

·杂合端口（Promiscuous）：杂合端口可以与所有VLAN中的端口进行通信，包括团体端口和孤立端口。杂合端口只是主VLAN的一部分，但是每个杂合端口都可以对应一个以上的辅助 VLAN。杂合端口一般是路由器端口、备份或共享的服务器端口、或者VLAN接口。如图2-15所示，在该图所示的拓扑中，路由器端口和共享的服务器端口是需要和所有端口进行通信的。

·团体端口（Community）：团体端口之间可以进行通信，它们也可以和杂合端口进行通信。这些接口和其他团体的接口是从二层隔离的，它们和其所在私用 VLAN中的孤立端口也是隔离的。如图2-15 所示，PC1和 PC2 的端口属于团体VLAN A，而 PC3和 PC4 则属于团体VLAN B。PC1和 PC2 相互可以通信，它们也都可以与杂合端口进行通信，但是它们不能与PC3和PC4进行通信，因为PC3和PC4属于不同的团体。图2-15 私用VLAN端口类型及VLAN

私用VLAN端口和多个支持它的VLAN相互关联，它们构成了私用VLAN的架构。私用VLAN会用以下方式使用VLAN。

·主pVLAN：这是pVLAN中的高级VLAN。主VLAN可以由多个辅助私用VLAN组成，而这些辅助VLAN与主VLAN属于同一子网。它会将杂合端口发来的流量发送给同一个主VLAN中的孤立端口、团体端口及其他杂合端口。

·辅助私用VLAN：每个辅助VLAN都是主VLAN的附庸VLAN，它们会被映射给主VLAN。而每台设备都会与辅助VLAN相连。

下面是两种辅助VLAN的类型。

·团体VLAN：如果某个端口属于团体VLAN，那么它就不仅能够与相同团体VLAN中的其他端口进行通信，而且还能够与 pVLAN 的杂合端口进行通信。在图 2-15中，PC1和 PC2 都属于团体 VLAN A，它们之间能够进行通信，但它们不能与属于团体VLAN B的 PC3和PC4 进行通信。

·孤立VLAN：如果某个端口属于孤立VLAN，那么它就只能与杂合端口进行通信。孤立端口不能与同一个孤立VLAN中的其他端口进行通信，如图2-15所示，虽然PC5和PC6位于相同的孤立VLAN中，但它们之间不能相互通信，而只能与杂合端口进行通信。每个pVLAN中只能有一个孤立VLAN。

注意：一个杂合端口只能为一个主VLAN提供服务。但一个杂合端口可以为一个孤立VLAN或多个团体VLAN提供服务。

管理员可以将主VLAN、孤立VLAN、团体VLAN以及其他支持私用VLAN的设备通过链路聚集连接起来，使pVLAN扩展多台交换机中。

图2-16所示为如何在服务提供商环境中实现pVLAN。在本例中，服务提供商在一个主 VLAN 中部署了3个客户：客户A属于团体 VLAN 100；客户 B属于团体 VLAN 200；客户 C属于隔离VLAN 300。尽管它们位于相同的子网中，但客户 A、B和 C的网络设备之间却不能相互通信。而客户A的团体VLAN中的所有设备都能相互通信，即使它们分别与多台不同交换机相连也不例外。此外，客户B的团体VLAN中的所有设备也能相互通信，但客户C的孤立VLAN中的设备之间则不能相互通信。2.4.2 私用VLAN的配置

如需配置私用VLAN，管理员应该遵循以下步骤。

步骤1 将VTP模式设置为透明模式。

步骤2 创建辅助VLAN。

步骤3 创建主VLAN。

步骤4 将辅助VLAN和主VLAN进行关联。其中，主VLAN中只能关联一个孤立VLAN，但是可以关联多个团体VLAN。

步骤5 将一个接口配置为孤立端口或团体端口。

步骤6 将这个孤立端口或团体端口关联给主-辅助pVLAN对。

步骤7 将一个接口配置为杂合端口。

步骤8 将这个杂合端口映射给主-辅助pVLAN对。图2-16 私用VLAN的实施

在 Cisco IOS 中配置私用 VLAN

管理员如需在 Cisco IOS系统中配置pVLAN，那么他/她就应该执行下列步骤。

步骤1 进入VLAN全局配置模式来配置pVLAN。

步骤2 将VLAN类型配置为pVLAN。

步骤3 退出配置模式。

步骤4 进入VLAN全局配置模式来配置主VLAN。

步骤5 如果配置主VLAN，要确保有二层辅助VLAN关联到了主VLAN。

步骤6 选择主VLAN的接口配置模式。

步骤7 将辅助VLAN映射到主VLAN的三层VLAN接口，使pVLAN入口流量能够执行三层交换。

步骤8 选择用来充当pVLAN主机或杂合端口的LAN端口。

步骤9 如果交换机端口默认工作在三层，那么将LAN端口配置为二层端口。

步骤10 将二层端口配置为pVLAN的主机端口或杂合端口。

步骤11 为了能够访问pVLAN的端口，需要将团体或孤立私用VLAN关联给pVLAN。

步骤12 将杂合端口映射到pVLAN。

步骤13 退出接口配置模式。

注意：在Cisco IOS中，管理员可以在多个不同的配置模式间切换，而并不需要退出全局配置模式。比如说，如果管理员正在配置接口级命令，那么他/她可以输入其他级别的命令，然后配置模式就会切换到相应的模式中，比如，随便输入一个全局参数，于是交换机的配置模式就会变为全局配置模式。2.4.3 验证私用VLAN

在完成配置之后，一定要对配置进行验证。下面是两条验证私用VLAN配置时的常见命令。

·show interface type slot/portswitchport

·show vlan private-vlan

例 2-16 所示为在 Cisco IOS 中验证 pVLAN 配置所使用的命令。命令 interface switchport很适合验证接口的端口配置及模式，如例2-16所示。

例2-16 验证私用VLAN（待续）2.4.4 私用VLAN配置案例

在这一部分中，我们将介绍如何在园区网中配置私用VLAN。本文会介绍如何在一台交换机上进行配置，然后再介绍如何将这个配置延伸到两台交换机上。

1.单交换机的私用VLAN配置

图 2-17 是这个案例的基础。图中的 DMZ 区域中包括两台 DNS 服务器、一台 Web服务器和一台SMTP服务器。所有服务器及与其相连的路由器都位于同一个子网中。DNS服务器部署了冗余设备，因此两台DNS服务器之间需要能够通信，以更新自己的条目。除此之外，它们也都需要能够和 Internet 通信。Web 服务器和 SMTP 服务器也需要能够与Internet进行通信，不过出于安全性的考虑，SMTP服务器不应该能够从Web或DNS服务器进行访问。另外，Web 服务器需要能够从 Internet 进行访问，但是无法从 SMTP服务器进行访问。图2-17 在单交换机环境中部署私用VLAN的案例

网络设计者可以使用访问控制列表实现上述功能，不过使用私用VLAN这种方法更加简单。连接 Internet 的端口应该设置为杂合端口。在图中，网络设计者将两台 DNS服务器部署在了团体 VLAN中，同时将 Web服务器和 SMTP服务器部署在了孤立VLAN中。

例2-17所示为私用VLAN的具体配置方法。在管理员将交换机设置为VTP透明模式以后，接下来的任务首先就是创建 VLAN。请读者注意，管理员在配置时将主 VLAN100关联给了孤立 VLAN 201 和团体VLAN 202。

例2-17 在单交换机的环境中配置私用VLAN

在定义好了私用 VLAN 之后，要将各个端口与主 VLAN 进行关联。其中，接口fastethernet 0/1 和 fastethernet 0/2 是 DNS 端口，因此管理员将私用 VLAN 100 关联给了202。而接口 fastethernet 0/3 和 fastethernet 0/4 分别是 WWW 和 SMTP 端口，因此管理员将私用 VLAN 100 关联给了 201。然后，管理员又将 VLAN 201 和 202 映射给了杂合端口，以此建立这两个 VLAN 与主 VLAN 100 之间的关联。这样一来，VLAN 201 和 202的流量就可以从杂合端口中流入流出了，而这个杂合端口也是 interface 0/24 的路由器端口。这里读者应该记住一点，VLAN 201、VLAN 202 以及杂合端口的所有设备，都是位于同一个子网中的。

2.跨越交换机的私用VLAN配置

私用VLAN也和普通的VLAN一样，它也可以扩展到多台交换机上。而Trunk端口可以承载主用VLAN和辅助VLAN的流量，并将其转发给邻居交换机，这与其他的VLAN没有什么区别。跨越交换机建立私用VLAN有一个特性，那就是从一台交换机的孤立端口发出的流量无法到达另一台交换机的孤立端口。管理员需要在路径中所有交换机上配置私用VLAN，其中也包括那些没有私用VLAN端口的交换机，这是为了保障私用VLAN配置的安全性，并且避免将其他配置的VLAN用作私用VLAN。如图2-18所示，交换机SWA和SWB拥有相同的私用VLAN，这些私用VLAN分布在两台不同的交换机，而这两台交换机则通过Trunk相连。图2-18 跨越交换机建立私用VLAN

鉴于VTP不支持私用VLAN，因此管理员必须手动在二层网络的所有交换机上配置私用VLAN。如果管理员只在路径上的某几台交换机上建立了主VLAN和辅助VLAN的关联，而没有在所有交换机上都建立这种关联，那么路径中各交换机的私用VLAN数据库和映射也会有所不同。而这种情况则有可能导致私用VLAN流量在这些交换机上产生不必要的泛洪。

如需以 Trunk 的形式，在主机端口或用于承载多个辅助 VLAN 的端口上传输私用VLAN的流量，也可以使用私用VLAN Trunk 特性。私用 VLAN的 Trunk 端口可以携带多个辅助VLAN和非私用VLAN。带有辅助VLAN或普通VLAN标记的数据包也可以私用VLAN的Trunk端口上接收和传输。

只有802.1Q封装才能支持私用VLAN主机Trunk特性。孤立Trunk端口可以让所有辅助端口的流量通过 Trunk。杂合 Trunk 端口可以将多个拓扑中需要的杂合端口的流量组合进一个Trunk端口中，而该Trunk端口则称在多个主VLAN流量。下面是使用私用VLAN Trunk特性的一些指导方针。

如果管理员希望使用私用VLAN的孤立（主机）端口来承载多个VLAN（无论这里的VLAN是普通 VLAN 还是多个私用VLAN 域），那么他/她可以通过孤立私用 VLAN Trunk端口来实现这一点。在连接不支持私用VLAN的下游交换机时，这项技术十分有用。

私用VLAN杂合Trunk的使用环境和私用VLAN杂合主机端口的环境一样，不过在此时端口必须承载多个VLAN，无论需要承载的VLAN是普通VLAN还是多个私用VLAN域。在连接不支持私用VLAN的上游交换机时，这项技术十分有用。

下面是配置私用 VLAN Trunk 特性的命令。首先，将一个二层接口配置为私用VLAN Trunk端口，命令如下。

如果该端口被设置为了杂合端口，应该使用mapping命令。

一旦配置好了Trunk，应该用下面的命令来配置其允许的VLAN。

用下面的命令配置Native VLAN。

例2-18所示为如何在接口fastethernet 5/2上配置私用VLAN Trunk特性。在例2-18中，主私用 VLAN 为 3，而端口会通过 Trunk 的方式来承载 VLAN 301 和 VLAN 302的流量。

例2-18 私用VLAN Trunk的配置

例 2-19 所示为如何验证管理员在端口上配置的私用 VLAN Trunk 特性。如下例所示，管理员将端口 fastethernet 5/2 配置为了辅助私用 VLAN Trunk，而且该 Trunk 正处于工作状态。

例2-19 验证私用VLAN Trunk的命令（待续）2.4.5 端口保护特性

Cisco 的低端交换机（如 Cisco 2960 系列交换机）并不支持私用 VLAN，但是它们也有一个不太强大的特性，即私用 VLAN 边缘特性（也称为受保护端口特性）。受保护端口是私用VLAN的简化版。在这种环境中，流量只能在受保护端口和不受保护端口之间，以及两个不受保护的端口之间流动，如图2-19所示。在图2-19中，两个受保护端口之间是不能通信的，它们只能与不受保护的端口进行通信。

私用VLAN边缘（受保护端口）这个特性对于交换机来说只有本地意义（这一点与私用 VLAN 不同），并且位于不同交换机上的两个受保护端口之间是不会相互隔离的。受保护端口并不会向同一台交换机其他受保护端口发送任何流量（如单播、组播或广播）。流量也不能在二层受保护端口之间进行转发。所有在受保护端口之间传递的流量都必须通过三层（L3）设备来进行转发。2.5 使用EtherChannel来配置链路聚集

在有的网络环境中，资源与使用资源的用户之间，也许距离相当遥远，因此交换机之间链路，或者交换机与服务器之间的链路也就因此会变得比较拥挤，而链路的速度又是有限的。EtherChannel 这项技术应用而生，它可以通过将多条物理链路绑定位一条逻辑链路的方式来解决这一问题。图2-19 受保护端口（私用VLAN边缘）

在这一节中，我们会介绍EtherChannel的优势、实施EtherChannel的各种技术，以及EtherChannel协议的类型。除此之外，本节还会介绍如何配置二层EtherChannel，以及如何在一个给定的EtherChannel对的物理链路中对流量进行负载分担。EtherChannel也可以工作在三层模式下。相关的内容我们会在下列的部分中具体进行介绍。

·理解EtherChannel的优势。

·对比PAgP（端口聚集协议）和LACP（链路聚集协议）。

·假如现在有一个企业VLAN网的设计方案，其中包含了二层的EtherChannel链路，那么应该如何配置并验证EtherChannel。

·EtherChannel负载分担选项。2.5.1 描述EtherChannel

高速交换以太网的推广得益于那些带宽敏感的内网增值应用。内网任意站点间的新应用（如视频信息、互动消息、VoIP 以及互动写字板[collaborative white-boarding]）使得人们越来越需要在园区网的边缘以及核心部署可扩展的带宽。与此同时，关键任务应用也需要网络的设计能够做到快速复原（resilient）。随着园区网中的交换以太网链路速度越来越高，用户也需要聚集已有的资源或者升级上行链路以及核心的速度，这样才能在全网范围内扩展网络的性能。

速率为100Mbit/s，且来自多个VLAN的流量于拓扑的底端汇聚于接入层的交换机上，并且这些流量需要发送给中间的分布层交换机。显然，两台交换机之间的链路带宽就必须大于 100Mbit/s，这样才能满足从所有 VLAN 流入流量的需求。这里的第一种解决方案是使用端口速率更快的端口，比如1Gbit/s或10Gbit/s的端口。不过，随着VLAN链路速率的提升，这种解决方案依然会遇到一些局限，那就是速率更高的端口也已经无法承载从所有VLAN发来的入站流量。还有一种解决方案是增加两边交换机上物理链路的数量，以此来增加交换机到交换机之间通信的总速率。不过这种方法同样存在缺陷，那就是各物理链路的配置必须严格一致。另一个问题是生成树有可能会阻隔其中的某条链路，如图2-20所示。在图2-20中，分布层与接入层之间的第二条链路就遭到了生成树的阻隔。图2-20 没有使用EtherChannel的以太网

EtherChannel 是一项由 Cisco 研发的技术，它旨在解决交换机与交换机之间的通信问题，方法是将多个快速以太网端口或吉比特以太网端口分组到一个逻辑通道中，如图2-21所示。于是，所有接入层与分布层交换机之间的链路都被捆绑进了EtherChannel中，并且都处于转发模式中。该技术拥有下列优势。

·这项技术依靠的是已有的交换机端口：也就是说，管理员大可不必通过升级交换机与交换机之间的链路，来提高连接的速度，这也可以节省网络的成本。

·绝大多数的配置都可以在 EtherChannel接口下完成，而不需要分别对各个端口进行配置。因此这可以确保在交换机到交换机之间的链路两端，配置是严格一致的。

·EtherChannel 可以实现冗余：由于所有的链路会被看成是一条逻辑连接，因此其中某一条物理链路断开并不会给拓扑带来任何的变化。于是生成树也就没有必要重新进行计算。只要交换机之间还有一条链路是正常工作的，那么 EtherChannel就会照常工作，尽管它的总吞吐量会相应降低。

·在同一个 EtherChannel 的几条链路上可以实现负载分担。根据硬件平台的不同，管理员可以用不同的方式来配置物理链路间的负载分担，如基于源、目的 MAC地址来实现，或者基于源、目的IP地址来实现。图2-21 使用了EtherChannel的以太网

管理员可以最多将8条物理链路捆绑为一条逻辑的EtherChannel链路。这里读者务必记住一点，EtherChannel 的作用是增加交换机之间链路的带宽。不过，支持 EtherChannel的设备并不仅限于交换机，对于非交换机类设备（比如说服务器），EtherChannel同样是一项时髦的技术。在很多情况下，EtherChannel会创建一条逻辑的点到点链路。EtherChannel链路可以存在于两条交换机之间，也可以存在于启用了EtherChannel的服务器和交换机之间，不过同一条EtherChannel链路不能向两台不同的交换机发送流量。一条EtherChannel链路总是只连接两条设备，而这两台设备相应端口的配置必须相同。如果一边的物理接口被配置为了Trunk，那么另一边也必须配置为Trunk。每个EtherChannel都有一个逻辑端口通道接口。每当管理员配置这个端口通道接口时，配置都会影响所有分配给了该接口的端口。（这里所说的命令可以是STP命令，或者将二层EtherChannel端口配置为Trunk或Access端口的命令。）

EtherChannel技术可以用来捆绑同一类型的端口。在二层交换机上，EtherChannel可以用来汇聚Access端口或Trunk端口。请记住，EtherChannel会创建出一条汇聚的链路，这条链路会被看作一条逻辑链路。如果两台交换机之间存在有多个EtherChannel链路时，生成树就会阻隔这些链路之一，以避免出现环路。当生成树阻隔了其中某条冗余链路时，它也就阻隔了一条EtherChannel，因此也就阻隔了所有属于这个EtherChannel链路的端口。如果只有一条 EtherChannel 链路，那么 EtheChannel 链路中所有物理链路都会处于 active状态，因为在这种情况下，生成树只能看到一条（逻辑）链路。

在三层交换机上，端口可以转换为路由端口。EtherChannel链路可以创建为三层链路。这项功能将在本书的第4章中具体进行介绍。2.5.2 PAgP与 LACP 协议

EtherChannel可以使用两个管理协议之一来创建Port-Channel。这些协议可以确保在创建好EtherChannel时，所有端口的配置都是相同的。在EtherChannel中，所有端口的速率、双工模式、VLAN信息的设置必须完全一致。在创建好通道之后，管理员无论对端口的配置进行什么修改，通道的其他端口也会被修改。下面是创建EtherChannel的两种协议。

PAgP（端口汇聚协议）是Cisco私有的协议，它可以用来自动创建快速EtherChannel链路。在使用PAgP配置EtherChannel链路时，PAgP数据包就会在启用了EtherChannel的端口之间发送，以协商建立起这条通道。在PAgP识别出匹配的以太网链路之后，它就会将这些链路放入一个EtherChannel组中。而生成树会将EtherChannel看成是一个单独的桥接端口。

LACP 是 IEEE 说明（802.3ad）的一部分，它可以将很多物理端口捆绑起来，来建立一条EtherChannel通道。LACP使交换机可以向对端发送LACP数据包，以协商一个捆绑的 EtherChannel 通道。这一功能与通过 PAgP 建立 Cisco EtherChannel 的过程类似。由于LACP 是 IEEE 标准的协议，因此管理员可以在混合交换机环境中使用这种协议来部署EtherChannel。而在Cisco环境中，这两种协议都是支持的。

在下面的章节中，我们会具体对这两种协议进行讨论。

1.PAgP模式

PAgP数据包每30秒发送一次。PAgP会通过这些数据包来查看两端的配置是否一致，并以此管理交换机两端添加链路及链路失效的问题。

PAgP可以检测两端的配置，并确保这些配置是兼容的，通过这种方式，PAgP就能够建立起EtherChannel链路。表2-7显示了PAgP的不同设置。表2-7 PAgP模式

注意：表2-7所示为PAgP模式。这种模式的名称与DTP协议有些类似，但是它们的功能却不尽相同。

如图2-22所示，两端的模式需要能够兼容。图2-22所示为两端选择的模式，以及协商的结果。如果管理员将一端配置为了Auto模式，那么这一端就会进入被动状态中，它只会等待另一端发起EtherChannel的协商。如果另一端设置的也是Auto，那么协商就永远也不会开始，因此 EtherChannel 也就不会建立起来。如果管理员在一端使用 no 命令取消了所有的模式，或者管理员根本没有进行过任何设置，那么接口就会进入 Off 模式，而EtherChannel就会被禁用。图2-22 PAgP模式的设置

这里应该注意“On”模式。使用这条命令等于手动将接口设置为了 EtherChannel，而无需进行任何协商。不过，只有另一端也设置为了“On”之后，这一设置才会有效。如果另一端被设置为通过PAgP进行协商，此时EtherChannel不会建立起来，因为On这一侧是不会进行协商的。

2.LACP模式

LACP所提供的协商优势与PAgP类似。LACP能够检测两端的配置，并确保两端的设置是匹配的，也是能够在需要的时候建立起EtherChannel来的，而LACP就是通过这种方式来创建EtherChannel的。表2-8所示为LACP的不同设置。表2-8 LACP模式

LACP也与PAgP一样，也就是说通过LACP建立EtherChannel也需要两端的模式能够兼容，如图 2-23 所示。图 2-22 所示为两端选择的模式，以及能否建立起 EtherChannel的结果。在这里我们还要再一次提及On模式，因为它可以无条件地建立EtherChannel的配置，还有一种方法就是LACP动态协商来建立EtherChannel。图2-23 LACP模式

下面是配置LACP时，管理员可以使用的一些其他参数。

·系统优先级：每台运行LACP的交换机都必须拥有一个系统优先级。系统优先级既可以由交换机自动获得，也可以由管理员通过命令行界面（CLI）来手动指定。而交换机会使用 MAC（Media Access Control，介质访问控制）地址和系统优先级来创建系统ID。

·端口优先级：交换机的每个端口都必须拥有一个端口优先级。端口优先级既可以由交换机自动获得，也可以由管理员通过命令行界面（CLI）来手动指定。端口ID是由端口优先级和端口标识符来创建的。当硬件局限不允许所有兼容的端口形成汇聚的时候，交换机会使用端口优先级来判断哪些端口应该处于备用模式中。

·管理密钥：交换机的每个端口都必须拥有一个管理密钥值，它既可以自动确定，也可以通过CLI手动进行配置。管理密钥定义了端口与其他端口进行汇聚的能力，这种能力是由以下因素决定的。

·端口的物理特征（例如数据速率、双工模式、点到点或共享介质）。

·管理员所建立的配置限制。

注意：所有前文提到的LACP选项都属于可选配置。一般来说，建议管理员使用默认的配置。如需配置其中的任何一项，可以参考配置的指导方针。

在启用了LACP之后，LACP就会尝试在一个通道内配置最大数量的兼容端口。在有些情况下，LACP 不能汇聚所有的兼容端口。例如，在远程系统的硬件限制更加严格的情况下就是如此。当这种情况发生时，所有不能主动包含在通道中的端口就会被进入热备份状态，并且只有在某一个通道端口出现故障时才会使用。2.5.3 使用EtherChannel来配置端口通道

在网络中实施EtherChannel之前，网络工程师应该对实施EtherChannel的步骤进行一番规划。提前进行规划可以减少实施过程中出现问题的几率，因为它会从逻辑上规划必要的步骤，同时规划哪些设备必须进行验证，以及如何进行验证。下面是规划 EtherChannel的指导方针。

·第一步是选择两台交换机上用于 EtherChannel的端口。这有助于解决之前配置端口时出现的问题，还可以确保相应的连接是可用的。

·网络设计师应该决定是将这条通道配置为三层连接还是二层连接。如果是二层连接，那么管理员就应该为每个接口指定相应的协议（PAgP 或 LACP），同时还应该配置一个通道组号码来将所有给定的端口关联给端口组，并了解是否会发生协商。

·如果是一个三层连接，管理员就需要创建一个虚拟接口。然后再给这个port-channel接口分配一个 IP 地址。接下来，拥有相同通道组号码的所有物理接口就会组成EtherChannel，而这些接口就是port-channel接口。

·在连接建立起来之后，管理员可以用几条命令来确保两端的 EtherChannel已经建立了起来，并且这条链路提供了汇聚的带宽。

1.配置EtherChannel的指导方针

在下一部分中，我们会介绍配置 EtherChannel 的推荐做法及指导方针。下面是配置EtherChannel的指导方针及限制。

·支持EtherChannel：在各模块上所有支持同一EtherChannel的以太网接口既不要求相连，也不要求它们位于同一个模块上（最大8个接口支持一个EtherChannel）。

·速率及双工模式：一个 EtherChannel 内的所有端口都必须工作在相同的速率和双工模式下。另外，如果某一个捆绑的接口处于关闭状态，那么这条链路就会失效，而流量就会通过EtherChannel捆绑的其他接口流向对端。

·交换端口分析器（Switched Port Analyzer）与 EtherChannel：如果某个端口被配置为SPAN目标端口，那么EtherChannel就不会建立起来。

·三层EtherChannel：管理员应该为port-channel逻辑接口分配三层地址，而不是为通道中的物理接口分配地址。

·VLAN匹配：管理员必须将一个EtherChannel内的所有端口划分进相同的VLAN中，或者将其配置为 Trunk端口。另外，两台交换机所有链路的 Native VLAN 也必须匹配。

·VLAN 的取值范围：EtherChannel 支持的 VLAN 范畴与二层 Trunk EtherChannel链路中的所有端口所允许的VLAN范畴相同。如果两边允许的VLAN范畴不同，那么接口就不会建立起 EtherChannel，即使这些接口被配置为了 auto 模式或desirable模式。对于二层EtherChannel来说，管理员既可以将EtherChannel中的所有接口分配进同一个VLAN中，也可以将这些接口配置为Trunk。

·STP路径开销：只要其他的配置是匹配的，那么即使接口配置了不同的STP端口路径开销，这些拥有不同STP端口路径也能形成EtherChannel。也就是说，管理员仅仅将STP端口路径开销设置为不同的值，不会使接口在建立EtherChannel的过程中出现不兼容的问题。

·端口通道（port channel）与接口配置的对比：在配置好了 EtherChannel之后，任何管理员应用在了port channel接口上的配置都会对 EtherChannel构成影响。而所有管理员应用在物理接口上的配置却只会影响到其配置的那个特定接口。

2.二层EtherChannel的配置步骤

管理员应该使用以下三步或四步来配置二层EtherChannel。

步骤1 指定组成EtherChannel组的接口。管理员在这里可以使用range命令来选择多个接口，并同时对这些接口进行配置。这里我们推荐的做法是一上来先关闭这些接口，这样一来，在配置没有完成的时候，接口就不会开始尝试在链路上创建EtherChannel。

步骤2 指定用来建立通道的协议。并不是在所有Catalyst平台上管理员都可以应用这条命令。另外，管理员也可以到步骤3再指定建立通道的协议。

步骤3 创建port-channel接口。如有需要，可以同时将规定好的物理接口划分给它。

步骤4 指定port-channel接口。管理员在配置port-channel接口时，可以在接口配置模式下配置一些额外的参数。而物理接口会继承这些参数。当配置完成之后，管理员应该重新启用EtherChannel中的物理端口。

例2-20所示为使用LACP在两台交换机之间建立二层EtherChannel链路的例子。如图2-24 所示，每台交换机都有两个端口保留了默认的配置。其中左边的那台交换机创建了EtherChannel 2，而右边的交换机则创建了 EtherChannel 5。这个号码只在设备本地有效，而不需要与对端的配置相匹配。而链路上的有效配置会由EtherChannel接口传播出去。通过配置，链路会无条件地进入 802.1Q Trunk 模式中，其中有些 VLAN 会受到修剪。图2-24 EtherChannel的配置

例2-20 EtherChannel的配置

例2-20所示为前面配置的指导方针。

·速率与双工：在 EtherChannel 中配置所有的接口，以此使所有的接口都工作在同一个速率及双工模式下。

·VLAN匹配：EtherChannel中的所有接口都必须分配进同一个VLAN中，或者将其配置为 Trunk 端口。另外，两台交换机所有链路的 Native VLAN 也必须匹配。

·VLAN 的取值范围：EtherChannel 支持的 VLAN 范畴与二层 Trunk EtherChannel链路中的所有端口所允许的VLAN范畴相同。

这里读者务须记住一点，那就是EtherChannel的接口配置必须和下层物理端口的配置相兼容。在前面的例子中，起初每个用来建立Trunk的端口上都没有特定的配置，也就是说这些端口默认应用的模式是动态auto模式。在这种模式下，端口会检测是否对端的端口也是Trunk端口，并且会在需要的情况下切换到Trunk模式。这种模式与配置在EtherChannel接口上的Trunk模式是相互兼容的。物理端口会继承EtherChannel的配置，并且将接口模式修改为Trunk模式。2.5.4 验证EtherChannel

在这一部分中，我们将介绍如何验证EtherChannel是否正确地建立了起来，以及是否工作正常。管理员可以使用很多命令来验证EtherChannel的配置。他/她可以在EtherChannel束中的任何一个接口上使用 show interface type port/mod EtherChannel 来查看接口在EtherChannel中的角色，如例2-21所示。

在例 2-21 中，接口 fastethernet 0/24 是 EtherChannel 束 1 中的成员接口，用来建立EtherChannel的协议是LACP。

例2-21 在接口下验证EtherChannel的命令

同样，管理员也可以使用命令 show etherchannel number port-channel 来查看特定port-channel的信息。

在例 2-22 中，port-channel 1 是由两个物理端口 fa0/23 与 fa0/24 组成的。它使用的是LACP 的 active 模式。它与另一台交换机之间的配置是相互兼容的，连接也正常地建立了起来。因此，port-channel的状态是“in use（工作正常）”。

例2-22 使用port-channel命令来验证EtherChannel的工作状态

如果管理员在同一台设备上配置了多个 port-channel 接口，那么他/她可以使用命令show ether-channel summary 来简单地查看各port-channel的单向信息，如例 2-23 所示。

在例2-23中，交换机上配置了三条EtherChannel，其中组2和组7使用的是LACP，而组9使用的则是PAgP。这条命令还会罗列出每个EtherChannel的成员接口。另外，它也会显示出所有这三个EtherChannel组都是二层的EtherChannel，并且它们目前工作正常（in use）（这是通过Port-channel编号后面的字母SU来表示的）。

命令 show running 也会显示出一些与 EtherChannel组相关的配置信息。管理员在这里可以输入接口变量，以显示 EtherChannel 中某个物理接口的信息，或者显示 port-channel接口自身的信息。

在例2-24 中，接口gigabitethernet 0/48是 EtherChannel束7 中的一个接口。这个接口被设置为了Trunk模式，以确保其配置能够与port-channel接口中的配置相兼容。

例2-23 命令show etherchannel summary的输出信息

例2-24 命令show running-config interface的输出信息

在例2-25中，port-channel接口是一个设置为了Trunk模式的二层EtherChannel。

例2-25 命令show running-config interface port-channel的输出信息2.5.5 EtherChannel 负载分担选项

当EtherChannel建立起来之后，流量就会在多条链路之间负载分担。在这一部分中，我们会介绍如何在EtherChannel的多个端口之间配置负载分担。

在同一个EtherChannel的多个端口成员之间实现负载分担是配置EtherChannel的一个重要因素。如图2-25所示，两台工作站通过一台交换机与路由器进行通信。路由器和交换机之间的链路是一条依赖于两个物理端口的 EtherChannel 链路。假如大量流量都是从 PC发往路由器的，那么这种流量如何在两条物理链路上进行负载分担呢？如果负载分担是基于目的IP地址的，那么大多数流量都会通过同一条物理链路进行转发。因为路由器只能通过一个IP地址去往EtherChannel束中对端接口，因此这个IP地址只会与第一个物理端口相关联，也就是说所有去往这个地址的流量都会通过同一条物理链路到达对端。而这会使负载分担机制的效率变得很低。从另一方面来说，如果负载分担是基于源 MAC 地址来执行的，那么流量就会相当好地在两条物理链路之间进行分担，因为交换机上拥有每一台PC的MAC地址。图2-25 EtherChanne负载分担

管理员可以把负载分担选项当作一个规则，从而极大程度上丰富配置的多样性。举例来说，如果某条通道上的流量只去往单一的MAC地址，那么管理员既可以根据目的MAC地址进行配置，使其总是选择通道中的相同链路；也可以根据源地址进行配置，这样做可以实现更好的负载分担。

注意：EtherChannel可以在一个通道中的多台链路上分担流量。默认的方法与负载分担的方法会因Cisco交换机系列的不同而有所不同。2960、3560和3750默认为src-mac，而4550和6500系列默认为src-dst-ip。这是三层交换机的推荐选项。

负载分担会在全局应用于交换机上的所有EtherChannel。管理员如需配置EtherChannel负载分担，可以使用命令 port-channel load-balance 来实现这这项技术。负载分担可以基于这些变量来实现。负载分担有以下关键字。

·src-mac：源MAC地址。

·dst-mac：目的MAC地址。

·src-dst-mac：源和目的MAC地址。

·src-ip：源IP地址。

·dst-ip：目的IP地址。

·src-dst-ip：源和目的IP地址（默认）。

·src-port：源TCP/UDP（用户数据报协议）端口。

·dst-port：目的TCP/UDP端口。

·src-dst-port：源和目的TCP/UDP端口。

上面的各类模式其实都可以顾名思义。比如，源 MAC 地址转发是指当数据包被发送给EtherChannel时，设备会根据入站数据包的源MAC地址来判断应该将数据包从通道的哪个端口转发出去。于是，来自不同主机的数据包就会从通道的不同端口中转发出去，而来自同一台主机的数据包也会从通道的同一个端口中转发出去，这就实现了负载分担（而交换机学到的MAC地址并不会变化）。

而目的MAC地址转发是指当数据包被发送给EtherChannel时，设备会根据数据帧的目的 MAC 地址来判断应该将数据包从通道的哪个端口转发出去。于是，去往同一目的地的数据包就会从通道的同一个端口中转发出去，而去往不同主机的数据包则会从通道的不同端口中转发出去。

在例2-26中，管理员将EtherChannel负载分担机制配置为了使用源和目的IP地址对来实施负载分担。并且将这一规则应用给了IPv4和IPv6流量，而非IP负载分担机制则会基于源和目的MAC地址对来实现。读者不难发现，在使用源-目的IP地址来实施负载分担时，负载分担的结果往往是将流量分为三七开，然后沿着两条链路转发出去。

例2-26 EtherChannel的负载分担（待续）2.6 总结

VLAN是交换机端口的逻辑分组，它连接着各种类型的节点，无论这些节点的物理位置位于何处。VLAN划分是基于数据流的模式来进行的。VLAN通常分为端到端的VLAN和本地VLAN。其中端到端的VLAN会延伸到整个网络，而本地VLAN则仅限于建筑接入层和建筑分布层子模块中的交换机。而如何创建VLAN实施计划则依业务需求和技术需求而定。

此外，Trunk是二层互联设备之间的二层点到点链路，它可以承载多个VLAN的流量。ISL和802.1Q是连接两台交换机的两个链路聚集协议。802.1Q是开放标准的协议，该协议可用于VLAN链路聚集。

VTP 的作用是将配置在交换网络中与 VLAN 相关的信息进行分发和同步。VTP 修剪技术可以防止 Trunk 链路上未知流量的泛洪。有时，管理员需要在小型网络环境中配置VTP，而大型网络中则更适合配置 VTP 透明模式。在多个交换机上配置 VLAN 时，管理员应该确保所有这些交换机上的配置都是匹配的，并且这些交换机处于同一个域中。

除此之外，管理员也可以使用私用 VLAN 来精确地调整同一 VLAN 中设备之间的通信。私用VLAN要和一个主VLAN相互关联，然后再映射给一个或多个端口。主VLAN可以映射给一个孤立VLAN 和多个团体 VLAN。私用 VLAN 可以使用正规的 802.1Q Trunk或私用VLAN Trunk来扩展到多台交换机上。

如需提高带宽，实现网络的冗余性，管理员可以使用EtherChannel技术来捆绑交换机之间多个独立的链路。EtherChannel 可以动态地在交换机之间进行配置。这既可以使用Cisco 私有的PAgP 协议来实现，也可以使用IEEE 802.3ad 标准的LACP协议来实现。管理员可以将接口划分给 EtherChannel ，然后再对创建的 port-channel 接口进行配置。EtherChannel会分担EtherChannel束中所有链路的流量。而这种方法可以有效提高负载分担机制的效率。2.7 复习题

下列问题可供读者检验本章的学习成果。正确答案请参考附录A“复习题答案”。

1.判断题：对于 ISL 链路聚集协议来说，交换机链路两端的设备必须具有相同的Native VLAN。

2.判断题：在大多数最新版本的软件中，Cisco Catalyst 6500 最多能够支持 1024 个VLAN。

3.判断题：如果管理员从 Trunk 端口清除了Native VLAN，那么 CDP、PAgP 和DTP就会使用编号最小的VLAN来发送流量。

4.判断题：端口属于不同团体VLAN的主机间能够互相通信，但它们不能与隔离VLAN中的成员进行通信。

5.判断题：在VTP客户端模式中，交换机可以添加和删除VLAN。

6.判断题：VTP版本1能够支持令牌环。

根据例2-27的配置回答问题7～9题。

例2-27 问题7～9的配置

7.如果例2-27 中的接口协商建立起了链路聚集，哪个 VLAN 会成为Native VLAN？

a.VLAN 1

b.VLAN 5

c.VLAN 9216

d.如果端口协商建立链路聚集，那么将不存在Native VLAN

8.在哪种情况下，例2-27中的接口能够协商建立ISL链路聚集？

a.端口是EtherChannel的成员

b.链路伙伴将被协商端口默认设置为ISL链路聚集

c.链路伙伴将被协商端口的链路聚集模式设置为“开启”

d.因为接口静态配置为802.1Q链路聚集，所以该接口不能协商建立链路聚集

9.下列哪句话可以正确描述例2-27中的接口配置？

a.接口是VLAN 5 的成员，并且可以协商成为 Trunk端口

b.接口能够与 Native VLAN（VLAN 5）协商建立ISL Trunk

c.接口能够协商建立 802.1Q Trunk 端口，并且能够与 Native VLAN（VLAN 1）工作

d.因为接口配置为Access VLAN 5，所以它不能协商建立 Trunk 端口

e.如果将主机工作站连接到该端口，它必须配置链路聚集

根据例2-28的配置回答问题10～12题。

例2-28 问题10～12的配置

10.根据例2-28的配置，哪个VLAN是 Native VLAN？

a.VLAN 1

b.VLAN 2

c.VLAN 5

d.如果端口协商建立链路聚集，那么就不存在Native VLAN

11.根据例2-28的配置，如果链路伙伴（对等体交换机）配置为动态链路聚集模式，那么如下哪种描述是正确的？

a.因为接口采用了dot1q封装，所以它将不能协商建立Trunk端口

b.因为Native VLAN 和Access VLAN不匹配，所以它不能协商建立 Trunk 端口

c.如果对等交换机端口配置为动态企望（dynamic desirable）模式的链路聚集，那么接口就能够协商建立Trunk端口

d.如果两侧配置相同的接入VLAN，那么接口就能够协商建立Trunk端口

12.根据例4-32的配置，哪个VLAN是Access模式的VLAN？

a.VLAN 1

b.VLAN 2

c.VLAN 5

d.VLAN 1001

13.在实施VLAN的时候，如何能够改善网络的整体性能？

a.隔离发生故障的雇员

b.限制广播流量

c.将交换机端口分组为逻辑团体

d.在VLAN之间强制发生第三层路由选择过程

14.与端到端VLAN相比，本地VLAN的两个优势是什么？（双选）a.易于管理

b.无需使用三层设备

c.允许更加确定的网络

d.根据逻辑共同特性对用户进行分组

e.将用户和资源部署在同一个VLAN中

15.哪种提示符表示用户正处在 Cisco IOS 软件的VLAN 数据库配置模式中？

a.Switch#

b.Switch(vlan)#

c.Switch(config)#

d.Switch(config-vlan)#

16.哪种交换机端口能够忽略 DTP 的配置，而无条件地将交换机端口设置为 Access模式？

a.接入（Access）

b.非协商（Nonegotiage）

c.动态自动（Dynamic auto）

d.动态企望（Dynamic desirable）

17.ISL封装帧的FCS中包含哪种信息？

a.CRC计算

b.报头计算

c.ASIC计算

d.协议无关

18.802.1Q使用的是内部标记机制，这个标记会被插在哪个字段之后？

a.类型（Type）

b.SA

c.数据（Data）

d.CRC

19.哪条命令能够在 Cisco IOS软件中正确地将端口配置为ISL封装？

a.Switch(config-if)#switchport mode trunk isl

b.Switch(config-if)#switchport mode encapsulation isl

c.Switch(config-if)#switchport trunk encapsulation isl

d.Switch(config-if)#switchport mode trunk encapsulation isl

20.哪条命令能够正确地将 Native VLAN 设置为VLAN 5？

a.switchport native vlan 5

b.switchport trunk native 5

c.switchport native trunk vlan 5

d.switchport trunk native vlan 5

21.如果某个链路伙伴的二层接口模式被设置为了 dynamic auto，那么链路伙伴的接口配置模式应当如何配置才能建立起Trunk？（双选）

a.配置为Trunk模式

b.配置为Access模式

c.配置为非协商（Nonegotiate）模式

d.配置为动态自动（Dynamic auto）模式

e.配置为动态企望（Dynamic desirable）模式

22.Catalyst交换机默认的VTP模式是什么？

a.客户端（Client）模式

b.Access模式

c.服务器（Server）模式

d.透明（Transparent）模式

23.VTP版本2会在何时执行一致性检查？

a.从NVRAM中读取信息时

b.所接收到VTP消息的摘要是正确的时

c.从VTP消息中获得新信息时

d.通过CLI或SNMP输入新信息时

24.在 Cisco IOS 软件中，哪条命令能够正确地将 VTP 版本设置为版本1？

a.vtp v1-mode

b.vtp v2-mode

c.no vtp version

d.no vtp version 2

25.VTP版本1和VTP版本2支持下述哪些VTP模式？

a.主服务器模式

b.服务器模式

c.客户端模式

d.透明模式

26.在完成VTP配置之后，哪条命令能够验证VTP的配置？

a.show vtp status

b.show vtp counters

c.show vtp statistics

d.show vtp status counters

27.哪条命令可以纠正VTP口令错误的问题？

a.password vtp 0

b.clear vtp password

c.clear password vtp

d.vtp password password_string

28.VTP修剪的目的是什么？

29.pVLAN的优势是什么？

30.若网络中包括工作站A和B，并且两台工作站都是相同团体pVLAN的成员，那么它们之间能够通信吗？如果它们是不同团体 pVLAN 的成员，那么它们之间能够通信吗？如果它们是相同隔离 pVLAN 的成员，那么它们之间能够通信吗？它们能够与相同的杂合端口进行通信吗？请对您的答案进行解释。

31.判断题：如果将EtherChannel的一端设置为Auto，而将另一端设置为On，那么EtherChannel就会建立起来。

32.EtherChannel会提供下列哪些解决方案？（双选）

a.提供冗余

b.可以帮助管理员解决带宽有限的问题

c.因为有了EtherChannel，交换机之间的链路可以传输一个以上的VLAN

d.可以限制去往本地交换机的广播第3章 实施生成树

本章涵盖了以下主题：

·生成树协议的演化

·生成树协议基础

·快速生成树协议

·多生成树

·生成树的增强

·实施生成树协议的推荐做法

·STP排错

实现高可用性是企业网络的主要目标之一，这是因为企业网严重依赖多层交换网来为它们生产价值。一种确保高可用性的方法是通过网络来提供设备、模块和链路的二层冗余。但是，二层的网络冗余有可能会引入桥接环路，如果产生桥接环路，数据包就会永远在设备间循环，占用网络带宽。而生成树协议可以识别并防止二层环路。

本章将会介绍生成树协议，包括每VLAN快速生成树增强版（PVRST+）和多生成树（MST）。本章还会介绍如何配置协议，以及如何配置生成树协议稳定性机制。3.1 生成树协议的演化

在网络拓扑中，如果交换机之间存在多条冗余路径，那就有可能产生环路。如果存在环路，消息就有可能不断复制。在出现环路的情况下，有些交换机就会看到一些站点同时出现在交换机的两侧。这种情况会扰乱转发算法，并使复制出来的数据帧得到转发。为了在阻止环路的同时还能提供路径冗余，STP（生成树协议）定义了一个在扩展网络中可以延伸到所有交换机上的树形结构。STP只允许存在一条活动的（active）路径，并同时阻塞其他冗余路径，如图3-1所示。在活动路径失效的情况下，冗余路径中就会有一条路径成为活动路径。图3-1 生成树协议

STP有很多种类。

·第一个STP称为DEC STP，是由 Radia Perlman 在 1985年于DEC公司（数据设备公司）开发出来的。

·在1990 年，IEEE基于Perlman设计的算法公布了首个协议标准——802.1D。后来又于1998年和2004年公布了后来的版本，其中包含了多种扩展版本。

·CST（公共生成树）假设整个桥接网络中只有一条 802.1D 生成树实例，而不管网络中有多少个 VLAN。由于这个版本的生成树协议只有一个实例，因此它消耗的CPU和内存需求比其他版本要低一些。不过，同样由于只有一个实例，因此根桥只有一个，树型结构也只有一个。这也就是说所有VLAN的流量都会通过相同的路径。这就有可能产生次优流量。而且，当固有的802.1D计时机制导致拓扑发生变化时，网络的收敛时间也比较慢。

·PVST+（每 VLAN 生成树增强版）是 Cisco对 STP 进行增强后的版本，它会为网络中配置的每个 VLAN 提供一个独立的 802.1D 生成树实例。这个独立的实例支持很多增强特性，如PortFast、BPDU防护（BPDU guard）、BPDU过滤（BPDU filter）、根防护（root guard）和环路防护（loop guard）。为每个VLAN分别创建一个VLAN会占用更多的CPU和内存资源，但是这可以为每个VLAN生成一个根桥。使STP树对每个 VLAN 的流量来说都是最优的。这个版本的收敛速度与 802.1D 类似，不过收敛是基于每个VLAN进行收敛的。

·快速 STP（RSTP）或IEEE 802.1w是 STP的进化版本，它可以使 STP 更快地收敛。这个版本可以解决很多收敛的问题，不过由于这仍然是单实例的STP协议，因此它无法解决出现次优路径的问题。为了实现快速收敛，这个版本的CPU和内存需求比CST稍高，但是比PVRST+要小一些。

·多生成树是一个IEEE标准，它是由早期Cisco私有的多实例生成树协议（MISTP）方案演进而来的。为了减少网络中所需的STP实例数量，MST可以将多个拥有同样数据流量需求的 VLAN 映射进同一个生成树实例中。Cisco 的实施方案可以提供最多16个RSTP实例（802.1w）并将同一个物理和逻辑拓扑中的多个VLAN组合进一个公共的 RSTP 实例中。每个实例都支持 PortFast、BPDU 防护（BPDU guard）、BPDU 过滤（BPDU filter）、根防护（root guard）和环路防护（loop guard）。这个版本的CPU和内存需求比PVRST+少，但是比RSTP要多。

·PVRST+是 Cisco 对 RSTP 的增强版本，与 PVST+类似。它可以为每个 VLAN 分别提供一个独立的802.1w实例。这个独立的实例支持很多增强特性，如PortFast、BPDU 防护（BPDU guard）、BPDU 过滤（BPDU filter）、根防护（root guard）和环路防护（loop guard）。这个版本同时解决了收敛速度问题和次优路径流量的问题。因此，这个版本所需的CPU和内存资源也最高。

从收敛速度的角度上来看，RSTP 算法远比 802.1D STP 要优越得多，甚至也比 PVST+的速度更快。它大大提高了任何一个VLAN在链路建立起来时拓扑收敛的速度，同时它也大大削减了任何非直连链路出现故障时，BackboneFast的收敛时间。

表3-1将各类STP协议所需的资源和收敛速度进行了比较。目前，MST和PVRST+已经成为了主导协议；因此，我们将在本书中着重介绍这两种协议。

注意：在Cisco交换机中，PVST+是在启用VLAN时的默认STP协议。表3-1 生成树协议的比较3.2 生成树协议基础

在网络中建立无环路径的过程中，STP使用了根桥、根端口、指定端口和非指定端口的概念。从下面的内容我们将开始具体讨论根桥、根端口、指定端口、非指定端口这几个概念。下面我们将讨论定义在 STP IEEE 802.1D标准中的基本STP操作。

802.1D及其后继协议通过管理通向给定网段的物理路径来防止网络中出现环路。STP能够在实现物理路径冗余的同时避免网络中出现不良的活动环路。STP 是一个 IEEE 委员会标准，委员会将其定义为了802.1D。快速生成树则被定义为了802.1w。

STP和RSTP的行为如下。

·STP 会强制一些端口进入备份状态，使其不会侦听、转发或泛洪数据帧。总的效果是最后只有一条路径能够通向一个网段，而该路径随时处于活跃状态。

·如果网络中通往任何一个网段的连通性出现了问题。STP 或 RSTP 就会通过自动激活先前的非活动（inactive）路径来重建连接（前提是网络中存在冗余路径）。

STP操作

起初，STP会通过下列步骤来收敛出一个逻辑无环的网络。

1.选举 1 个根网桥：STP 协议会通过一个进程来选举根网桥。在给定的网络中，每个VLAN中只能有1个网桥担当根网桥。在根网桥上，所有的端口都会成为指定端口。指定端口不仅能够发送和接收流量，而且还可以发送和接收配置消息或BPDU。在图3-2所示的案例中，由于交换机X（SW X）的优先级参数最低，因此它赢得了根网桥的选举。图3-2 STP操作

2.选择所有非根网桥的根端口：STP 协议会在每个非根网桥上建立 1 个根端口。根端口所连路径是非根网桥到根网桥之间开销最低的路径。根端口可以发送和接收流量。如果非根网桥到根网桥之间存在多条等价路径，那么非根网桥就会选择端口 ID 最低的端口作为根端口。端口 ID 是由优先级和端口号共同所组成的，如果所有具备根端口资格的端口优先级相同，那么默认端口号最小的端口就会成为根端口。在图3-2所示的情况中，交换机Y（SW Y）到达根网桥的最低开销路径是通过100BASE-TX连接的快速以太网链路。

3.选择各个网段的指定端口：STP 会在网桥上为每个网段分别建立一个指定端口，它到达根网桥的路径开销最低。在图3-2所示的情况中，因为根网桥直接连接到了两个网段，所以这两个网段的指定端口也就位于根网桥上。因为每个网段只有1个指定端口，所以交换机Y上的10BASE-T以太网端口就是非指定端口。交换机首先会将到根网桥路径开销最低的端口选择为指定端口。如果发生路径开销相等的情况，那么网桥 ID 就会打破这种僵局。表3-2对非指定交换机上的端口角色进行了总结。表3-2 非指定交换机上的端口角色

STP可以通过检查一台交换机上交换机端口的角色，来判断出转发数据帧的最佳路径。

在运行STP的交换机上的每个二层端口都处于下列4种端口状态之一。

·Blocking（阻塞状态）：此时，二层端口为非指定端口，也不会参与数据帧的转发。该端口通过接收BPDU来判断根交换机的位置和根ID，以及在STP拓扑收敛结束之后，各交换机端口应该处于什么状态（是根端口、指定端口还是非指定端口）。在默认情况下，端口会在这种状态下停留20秒钟的时间（最大周期）。

·Listening（侦听状态）：生成树此时已经根据交换机所接收到的BPDU而判断出了这个端口应该参与数据帧的转发。于是，交换机端口就将不再满足于接收BPDU，而同时也开始发送其自己的 BPDU，并以此通告邻接的交换机该端口会在活动拓扑中参与转发数据帧的工作。在默认情况下，端口会在这种状态下停留15秒钟的时间（转发延迟）。

·Learning（学习状态）：这个二层端口准备参与数据帧的转发，并开始填写 CAM表。在默认情况下，端口会在这种状态下停留15秒钟的时间（转发延迟）。

·Forwarding（转发状态）：这个二层端口已经成为了活动拓扑的一个组成部分；它会转发数据帧，并同时收发BPDU。

·Disabled（禁用状态）：这个二层端口不会参与生成树，也不会转发数据帧。

在判断由哪个端口来充当根端口（即通往根桥的最佳端口）时，各台交换机都会使用一个开销（cost）值。各类端口链路的速度分别关联一个开销值。去往根桥的总开销是本地交换机与根桥之间路径上所有链路的开销之和。

默认的端口开销值如下所示。

·10Gbit/s链路：开销值为1。

·1Gbit/s链路：开销值为4。

·100Mbit/s链路：开销值为19。

·10Mbit/s链路：开销值为100。

在图3-3中，交换机0000.1111.3333有三条链路可以连接到根网桥。现在我们假设这三条链路都是100Mbit/s链路。图3-3 生成树端口开销

这样的话，端口1和端口2的开销就都是19。端口3的开销值则是38，因为它代表了到达根桥的总路径开销（19+19）。于是，由于端口1或端口2到达根桥的开销更低，因此这两个端口就会被选举为根端口。

当两个端口的开销相等时，就会通过优先级值来决定谁来充当根端口。优先级是由一个默认值和端口号所组成的。这个默认值为128。因此第一个端口的优先级就是128.1，第二个端口则是128.2，以此类推。根据这种方法，当根端口需要通过优先级来进行判断时，优先级最低的端口就会被选举为根端口。3.3 快速生成树协议

当网络拓扑发生变更的时候，快速生成树协议（802.1w，亦称为 RSTP）能够显著提高重新计算生成树的速度。RSTP 不仅定义了另外两种端口角色：替代端口、备份端口，而且还定义了三种端口状态：丢弃状态（discarding）、学习状态和转发状态。本部分将介绍STP（802.1D）和RSTP（802.1w）之间的区别。

802.1D STP标准的设计初衷是在网络出现中断的情况下能够大约在1分钟之内理解并恢复连接，以此为网络提供足够的性能。随着 LAN 环境中出现了第 3 层交换，桥接技术与路由解决方案之间就产生了竞争关系。而路由解决方案中的协议（OSPF（Open Shortest Path First，开放式最短路径优先）和 EIGRP（Enhanced Interior Gateway Routing Protocol，增强型内部网关路由选择协议））能够在大约1秒左右提供可替换的路径。

Cisco使用某些新特性（例如UplinkFast、BackboneFast和PortFast）增强了原有的802.1D规范，进而加快了桥接网络的收敛时间。其缺点在于：这些机制是私有的，并且需要进行一些额外的配置。

IEEE 802.1w标准（RSTP）是在802.1D 标准基础上的改进，而不是一个全新的标准。它在大体上保留了802.1D的体系，大多数参数未做任何修改，因此对于熟悉802.1D标准的用户来说，他们能够在配置新协议的时候找到熟悉的感觉。在大多数情况下，RSTP 能够比 Cisco 的私有扩展特性工作得更好，并且几乎不进行额外的配置。此外，为了能够基于每个端口来与老式网桥进行互操作，802.1w 可以重返到 802.1D。如果重返到 802.1D，那么特定网段中802.1w的优势就会被取消。

RSTP 会选择一台交换机作为连接到活动拓扑的生成树的根，并且为交换机上的不同端口分别分配端口角色，具体角色取决于端口是否是活跃拓扑的一部分。

在交换机、交换机端口或LAN出现故障之后，RSTP能够提供快速连接的能力。通过在它们之间实施明确的握手协议，所连网桥的新根端口和新指定端口就会过渡到转发状态。RSTP允许对交换机端口进行配置，使端口能够在交换机重新启动之后直接过渡到转发状态。

在 Cisco Catalyst 交换机上，快速版本的 PVST+（又称为 RPVST+）是为每个 VLAN分别实现 RSTP 的版本。目前的各型号的 Cisco Catalyst交换机都支持 RPVST+。3.3.1 RSTP 端口状态

RSTP中只存在3种端口状态，它们分别对应于端口可能的3种工作状态：丢弃状态、学习状态和转发状态。RSTP 802.1w 丢弃状态代表了802.1D STP 的禁用、阻塞和监听状态之和。

表3-3描述了RSTP端口状态的特性。表3-3 RSTP端口角色续表

在 IEEE 802.1D STP中，端口状态与端口在活动拓扑中的角色（如根端口、指定端口等）是相关的，无论该端口是阻塞流量还是转发流量都是如此。比如，从操作的角度上看，处于阻塞状态的端口和处于侦听状态的端口没有什么区别。这两种状态都会丢弃数据帧并且也都不会学习 MAC 地址。它们之间的实际区别在于生成树分配给端口的角色。因此我们完全可以认为，处于侦听状态的端口不是指定端口就是根端口，而且迟早会进入转发状态。问题是，当这个端口进入了转发状态，我们就无法通过端口的状态来判断该端口是一个根端口还是一个指定端口。然而，在RSTP看来，阻塞状态的端口和侦听状态的端口没有区别；这两种状态都会丢弃数据帧，也都不会学习MAC地址。因此，RSTP取消了端口角色与端口状态之间的相关性。在所有的端口状态下，一个端口都会接收并处理BPDU数据帧。表3-4对802.1D的端口状态与RSTP的端口状态进行了对比。表3-4 802.1D端口状态与RSTP端口状态的对比3.3.2 RSTP 端口角色

端口角色定义了交换机端口最终的状态，也定义了它处理数据帧的方式。RSTP 的优势之一就是端口角色和端口状态可以相互独立地进行转化。RSTP定义了如下的端口状态。

·根端口：根端口是每台非根网桥上选择出来与根网桥相连的端口。每台交换机上只能有一个根端口。根端口在稳定工作状态的拓扑中处于转发状态。在图3-4中，根端口的标记是R。

·指定端口：在每个网段中至少会有一个交换机端口作为该网段的指定端口。在拓扑的稳定工作状态下，有指定端口的交换机会在这个网段中接收去往根网桥的数据帧。每个网段只能有一个指定端口。而这个指定端口会处于转发状态。所有与某个特定网段相连的交换机都会侦听所有的 BPDU，并判断自己是否要在这个网段中充当指定交换机。在图3-4中，指定端口的标记是D。

·替代端口（Alternate）：替代端口是用来提供去往根网桥替代路径的端口。替代端口在稳定工作状态的拓扑中处于丢弃状态。替代端口出现在非指定交换机上，并且会在当前的指定端口出现故障时过渡为指定端口。在图 3-4 中，替代端口的标记是A。

·备份端口（Backup）：备份端口是指定交换机上的一个额外的交换机端口，它的作用是为交换机充当指定交换机的那个网段提供一条备份链路。备份端口的端口ID高于指定交换机指定端口的端口ID。在稳定工作状态的拓扑中，备份端口处于丢弃状态。在图3-4中，备份端口的标记是B。

·禁用端口：在生成树工作的过程中，禁用端口不担当任何角色。图3-4 RSTP端口状态

根端口和指定端口这两种角色会让相应的端口参与到活动拓扑的转发过程中。而替代端口和备份端口这两种角色则是把相应的端口排除出活动拓扑的转发过程。表3-5比较了802.1D的端口角色和RSTP的端口角色。表3-5 802.1D端口类型与802.1w端口类型的对比续表

设立这些额外的端口角色使RSTP可以定义备份的交换机端口，以防止拓扑出现变更或者网络出现故障。替换端口会在相应网段的指定端口出现故障时过渡到转发状态。3.3.3 快速过渡到转发状态

快速过渡到转发状态是 IEEE 802.1w 所提出的最重要的特性。在提出802.1w 之前的时间里，在将端口过渡到转发状态之前，生成树算法只能被动地等待网络收敛。而RSTP会确认端口是否已经安全地过渡到转发状态，并且不依赖于计时器配置。为了实现端口的快速收敛，协议需要依赖于以下两种新的变量。

·边缘端口。

·链路类型。

链路类型会对每个参与RSTP的端口进行归类。链路状态可以自动通过端口的双工模式来获得。在默认情况下，全双工模式的端口会被看成是点到点端口，而半双工模式的端口则会被看成是共享端口。这个自动设置的链路类型可以通过手动配置来覆盖。在当今的交换网络中，大多数链路都是工作在全双工模式下的，因此它们也就都会被RSTP看作是点到点的链路。于是，它们就成为了能够快速过渡到转发状态的端口。图3-5所示为依赖于端口操作模式的RSTP链路类型。图3-5 RSTP链路类型

表3-6定义了RSTP的链路类型。表3-6 RSTP链路类型

那些直接连接到终端工作站的端口，通常不会在网络中产生桥接环路；因此，也就可以允许它们直接过渡到转发状态，而跳过监听和学习阶段。这样的端口可以通过手工配置的方法指定为边缘端口。当链路发生转变的时候，边缘端口不会产生拓扑变更。如果边缘端口接收到BPDU，那么它将立即放弃边缘端口的状态，并且成为一个正常的生成树端口。

边缘端口（也就是启用了PortFast的端口）和点到点链路可以快速过渡到转发状态。在为了执行端口过渡而检查链路类型参数之前，RSTP必须确定端口的角色。

·根端口：不使用链路类型参数。一旦端口接收到了根的 BPDU，根端口可以快速过渡到转发状态而非指定端口则会进入阻塞状态。这个操作过程称为sync（同步）。

·替代和备份端口：在大多数情况下都不使用链路状态参数，因为这类端口需要基于 RSTP 的操作来到达这些状态。只有在一种情况下管理员才需要明确配置链路类型参数，那就是由于管理员对网络拓扑的了解非常深入，因此他/她能够判断出这个端口的最终状态。

·指定端口：要确保在最大程度上使用了链路类型参数。只有当链路类型参数表明这是一条点到点链路时，指定端口才能过渡到转发状态。

RSTP边缘端口是永远不需要与另一台交换机设备相连的端口，如图3-6所示。在启用之后，它会立刻过渡到转发状态。图3-6 RSTP边缘端口

边缘端口的概念对于 Cisco 生成树用户来说可谓无人不知，无人不晓，因为它的概念等同于PortFast特性（PortFast将在后文的“PortFast”部分进行介绍）。所有用来与终端工作站直连的端口都不希望有交换机设备与自己相连，因此可以让它们立刻过渡到STP转发状态，换句话说就是跳过侦听和学习这两个颇为消耗时间的阶段。因为当边缘端口过渡到禁用或启用状态时，它（或启用了PortFast的端口）都不会使拓扑产生变化。

与PortFast不同，收到了BPDU的边缘端口会立刻失去其边缘端口的身份并同时成为一个普通的生成树端口。当边缘端口收到BPDU时，它就会生成一个拓扑变更通告（TCN）消息。

在 Cisco RSTP 的实施中，边缘端口的配置中会保留 PortFast关键字，从而使全网过渡到RSTP的过程更加平滑。在RSTP同步（syn）过程中，如果将一个与另一台交换机相连的端口配置为了边缘端口，那么就会给RSTP带来一些问题。

当生成树算法将某个端口选择成为指定端口的时候，在将端口过渡到转发状态之前，802.1D仍然需要等待两倍的转发延迟周期（默认为15秒的2倍）。在RSTP中，这个条件相当于一个处于阻塞状态的指定端口。图3-7分布阐述了RSTP的快速过渡过程。假设根网桥和交换机A之间创建了一条新的链路。那么这条链路两端的端口都会进入指定阻塞状态，直到它们从对方那里收到了一个BPDU消息。图3-7 RSTP的提议（Proposal）与许可（Agreement）

当指定端口处于丢弃或学习状态时（仅在本例所述的情况下），它就会将其发送的BPDU数据包的proposal（提议）位置位。在图3-7的步骤1中，根网桥的p0端口就在发送这样的数据包。由于交换机A收到了更优的信息，因此它立刻意识到p1是一个新的根端口。于是，交换机A就会开始进行同步，也就是根据需要将非边缘指定端口放入阻塞状态中，以证实是否其所有的端口都与新接收到的那个更优的BPDU实现了同步。

为了说清楚同步机制在不同类型端口上的不同效果，我们不妨假设交换机A上有一个替代端口p2，和一个指定转发端口p1。为了实现同步，交换机A只需要阻塞端口p3，并使其进入丢弃状态。虽然交换机A的所有端口都进入了同步状态，但它可以为刚刚选择的端口（端口p1）取消阻塞状态，并向根发送一个许可（agreement）消息。这个消息是对提议（proposal）BPDU 的复制，只不过将置位的比特位由提议位（agreement）换成了许可（agreement）位。这可以确保端口p0清楚地了解这个许可（agreement）消息是对哪个提议（proposal）消息的响应信息。

当p0接收到了许可消息，它可以立刻过渡到转发状态。然后，根就会开始向它的邻居提议，并尝试快速过渡到转发状态。提议许可机制的速度之所以很快是因为它并不依赖于任何的计时器。这种握手机制会快速转播到网络的边缘，并在拓扑出现变更之后快速恢复网络的连通性。如果一个指定丢弃端口在发送了提议（proposal）消息之后没有收到许可（agreement）消息，那么它就会进入到传统的802.1D的侦听-学习进程中，并最终缓慢地过渡到转发状态。在远端网桥无法理解 RSTP BPDU 的情况下或远程网桥的端口阻塞的情况下，就会出现这种情况。

当一个网桥丢失了它的根端口，它就会将其最优的替代端口直接过渡到转发模式。将替代端口选择为新根端口的过程会造成拓扑的变更。802.1w拓扑变更机制会清除上游网桥MAC地址表中的相应条目，这部分的内容我们将在接下来的内容中进行介绍。3.3.4 RSTP 拓扑变更机制

当802.1D网桥检测到拓扑变更的时候，它将首先通过可靠机制来通知根网桥。在根网桥知道网络拓扑发生变更的时候，它将在发出的BPDU中设置TC标志（flag），然后这个BPDU 就会通过正常机制传输给网络中的所有网桥。当网桥接收到了具有 TC 标志比特位设置的BPDU，那么它就会把桥接表的老化时间降低到转发延迟的秒数，进而可以保证相对快速地清除陈旧的信息。

在图3-8所示的案例中，管理员在根桥和网桥A之间添加了一条链路。假设在网桥A和根桥之间已经存在一条非直连的链路（通过图3-8中的C、D进行连接）。生成树算法会阻塞一个端口，并禁用掉桥接环路。首先，当它们启动时，位于根网桥和网桥A之间链路上的端口就会进入侦听状态。于是，网桥A就可以直接接收到根网桥发来的消息。它会很快在指定端口上向树叶的方向发送自己的BPDU。一旦网桥B和网桥C从网桥A那里收到了新的更优信息之后，它们就会立刻将信息发送给树叶。在几秒钟之内，网桥D就会收到根发来的BPDU并立即禁用掉p1端口。生成树可以重新计算网络新拓扑。目前唯一的问题是，在根网桥和网桥A之间的链路最终过渡到转发状态之前，网络需要经历两倍的转发延迟时间，如图3-9所示。也就是说，此时流量会中断30秒钟，这是因为802.1D算法缺乏一种反馈机制来明确地通告网络说，在大约多少秒钟之后，网络就会收敛。

在RSTP中，只有在非边缘端口进入转发状态的情况下才会导致拓扑变更。与802.1D不同的是，连接故障并不会产生拓扑变更。换言之，如果某个端口进入阻塞状态，那么不会导致相应的网桥产生 TC BPDU。图3-8 在802.1D中，网络拓扑开始变更图3-9 802.1D的网络收敛

如图3-10所示，当RSTP网桥检测到拓扑变更的时候，它就会执行下列行为。图3-10 RSTP中的拓扑变更机制

1.在必要的情况下，RSTP 网桥会启动 TC While 计时器，它的数值等于所有非边缘指定端口及其根端口 hello 时间的 2 倍。TC While 计时器是 RSTP 网桥主动通知网络中其他网桥拓扑发生了变化所需要的时间间隔。

2.RSTP网桥清除与所有非边缘端口相关联的MAC地址。

3.一旦在端口上运行TC While计时器，那么设置了TC比特位的端口就会发出BPDU。当计时器处于活跃状态的时候，网桥甚至会在根端口上发送BPDU。

当网桥从邻居接收到具有TC比特位设置的BPDU时，它会执行下列行为。

1.网桥清除在所有端口（接收拓扑变更的端口除外）上学到的MAC地址。

2.网桥启动 TC While 计时器，并且在它所有的指定端口和根端口上发送设置了 TC比特位的 BPDU 数据包；除非需要通知老式设备，否则 RSTP 不需要使用特定的 TCN BPDU。

目前，拓扑变化的传播过程是一步到位的。事实上，发起拓扑变化的设备会在整个网络中泛洪这个消息，这一点和 802.1D 不同，因为后者只有根网桥才会发送 TC 位置位的BPDU消息。RSTP的这种机制比802.1D的机制要快得多。在RSTP实施方案中，设备没有必要等待根网桥接到通告消息，然后再在最大周期计时器与转发延迟计时器相加所得的时间中，为整个网络维护拓扑变化状态。

现在，读者就可以理解RSTP是如何处理与图3-10类似的情况了。A和根网桥之间链路的端口会在它们启动之后，马上就进入指定阻塞状态。迄今为止，所有事情的发展都与纯802.1D环境别无二致。不过，在这一阶段中，网桥A和根网桥之间会进行协商。一旦接收到根的BPDU，网桥A就会阻塞非边缘指定端口。这个过程称为同步（sync）。在完成同步之后，网桥 A 就会明确授权根网桥将其端口过渡到转发状态。图 3-11 所示为在网络中执行这一过程的结果。在图中可以看到，交换机A和根网桥之间的链路被阻塞，而这两台网桥会交换BPDU。图3-11 RSTP的拓扑变化

当交换机A阻塞了它的非边缘指定端口时，交换机A和根网桥之间的链路就会进入转发状态。此时仍然不可能出现环路。因为此时虽然交换机A上方的链路没有得到阻塞，但是交换机A下方的链路却被阻塞。总之，潜在的桥接环路会在另一个位置被切断。这种切断逻辑连接的做法，会随着交换机A向下转发根网桥产生的新BPDU，而沿着生成树传播下去。在这一阶段，交换机A上新阻塞的端口也会通过协商，快速过渡到转发状态，而这些端口在交换机B和交换机C上的邻居端口都会开始进行同步。除了通向A的根端口之外，交换机B只有边缘指定端口。因此，它没有端口需要阻塞，也不需要在阻塞某个端口之后才授权交换机A过渡到转发状态。同理可知，交换机C唯一需要阻塞掉的端口，就是其通向交换机D的指定端口。

读者要记住一点，RSTP最终形成的拓扑和802.1D的案例完全一致，也就是说最终阻塞的端口也是交换机D的端口p1。换句话说，在新的BPDU沿着生成树进行发送的同时，最终的网络拓扑就会形成。在这个快速收敛的环境中，没有使用到任何的计时器。RSTP引入的唯一的新机制是：交换机可以在其新的根端口上发送确认消息，以授权其立刻过渡到转发状态，并绕过会产生双倍转发延迟的侦听和学习阶段。3.3.5 PVRST+网桥标识符

使用生成树要求每台交换机都有一个独立的BID。在早先的802.1D标准中，BID是由网桥优先级和交换机的 MAC 地址所组成的，所有的 VLAN 都由一个 CST 来代表。由于PVST+或PVRST+需要为每个VLAN运行一个独立的生成树实例，因此就需要通过BID字段来承载 VLAN ID（VID）信息。解决的方法是，重复使用Priority（优先级）字段的一部份，用其充当扩展系统ID，以承载VID信息。这个扩展系统ID的作用并不仅限于PVRST+，它在PVST+和MST配置中也十分有用。

为了安置扩展系统ID，原始的802.1D的16比特网桥优先级字段需要被分成两个字段，而扩展系统ID则成为了BID中的一个组成部分，如图3-12所示。图3-12 带有扩展系统ID的网桥标识符

·网桥优先级：这里仍然需要使用一个 4 比特的字段来承载网桥的优先级。由于比特数有限，因此优先级的表达是从4096这个数值的基础上开始增加的，而不是从1开始增加。因为并不是全部16字节的字段都可以使用。默认的优先级与802.1D相同，也是32768，这是一个中间值。

·扩展系统ID：在当前的情况下，这是用来为PVST+承载VID信息的12比特字段。

·MAC地址：这个6字节的字段负责承载单个交换机的MAC地址信息。

由于MAC地址自身的优势，因此BID值永远是唯一的。因此当优先级和扩展系统ID被追加在了交换机MAC地址前的时候，交换机上的每一个VLAN也就都可以由一个独立的BID来表示了。

如果管理员没有配置优先级，那么每台交换机上的优先就都是同样的默认优先级，于是为每个VLAN选举根的工作就会基于MAC地址来完成。这种方法等于是采用了一种随机的方式来选举理想的根网桥；有鉴于此，我们建议管理员为他/她希望充当根网桥的交换机配置一个较低的优先级。

在16比特的网桥优先级字段中，只有头4比特是用来承载实际优先级的。因此，优先级是在4096的基础上增加 VLAN 号，而计算出来的，如表3-7所示。比如，对于 VLAN 11而言，如果优先级为默认，那么16比特的优先级字段值则是32768+11=32779。表3-7 带有扩展系统ID的网桥优先级3.3.6 与802.1D的兼容性

RSTP可以和传统的STP一起工作。不过，读者应该知道，当802.1w和传统的网桥一起工作时，前者固有的快速收敛优势就无法发挥出来。

每个端口都会维护一个变量，这个变量定义了运行在对应网段上的协议。如果该端口在连续两个hello时间内，连续接收到了与其当前操作模式不对应的BPDU，它就会进入其他的STP模式。3.3.7 Cisco 生成树默认配置

Cisco Catalyst交换机支持下列三类生成树。

·PVST+

·PVRST+

·MST

Cisco Catalyst交换机默认的生成树模式是 PVST。在这种模式下，每个VLAN都有一个独立的STP实例。这样做的直接结果是，当STP用同样的方式为每个VLAN完成计算之后，同一个交换机就会成为所有VLAN的根网桥。拓扑上的每一次变化都会对所有VLAN造成完全相同的影响。于是，冗余链路都会以同样的方式在网络的相同位置被阻塞。因此，在这种配置模式下，冗余链路之间也不会进行负载分担。3.3.8 PortFast

生成树PortFast能够使得被配置为二层Access端口的接口立即进入转发状态，也就是绕过侦听状态和学习状态。管理员可以在连接到一台工作站或服务器的二层Access端口上启用 PortFast 特性，使这些设备立即连接到网络中，而不必等待生成树进行收敛。在图3-13中，一台服务器和一台工作站通过启用了PortFast特性的端口，连接到了一台接入交换机上。图3-13 PortFast场景示例

图3-13所示为配置了PortFast特性的接口的STP状态机的改变。在图中所示的情况下，STP 将直接从阻塞状态跳到转发状态，而跳过侦听状态和学习状态。此外，PortFast 特性还能够抑制拓扑变更通告（TCN）。

注意：PortFast的目的是尽量缩短Access端口等待STP收敛的时间。启用PortFast的优势在于能够防止DHCP超时的问题。除在特定的网络设计之外，一般都只应当在Access端口上启用该特性。如果管理员在连接到其他交换机的端口上启用了PortFast，则有可能存在产生桥接环路的风险。3.3.9 配置PortFast特性

在基于 Cisco IOS软件的 Catalyst交换机上，管理员可以通过下面的接口模式命令，来启用或禁用PortFast特性。

例3-1所示为用户配置和验证PortFast特性的信息。

例3-1 在基于Cisco IOS软件的Catalyst交换机上配置和验证PortFast特性

管理员可以在建筑物接入子模块的交换机上全局启用PortFast特性，而不必分别在各个端口上明确启用PortFast特性。管理员必须明确禁用与分布层交换机相连的上行链路端口中启用的Portfast特性。在全局启用PortFast只会影响Access端口，而不会影响Trunk端口。管理员可以使用命令spanning-tree portfast trunk在Trunk端口上启用portfast特性。

管理员可以在全局配置模式中使用下列命令，来全局启用PortFast特性。

在禁用协商通道（Channel）和聚集协商（Trunking）的基础之上，强烈推荐管理员在终端用户端口和服务器端口上启用PortFast特性。这样配置的结果是，使得相应端口能够在链路启动中立即开始转发帧。管理员可以在基于 Cisco IOS 软件的Catalyst交换机上，使用下列命令，使接口获得所需的配置。

例3-2所示为如何在连接主机的接口上进行配置。

例3-2 在基于Cisco IOS软件的Catalyst交换机上配置主机接口3.3.10 配置基本的PVRST+参数

要实施PVRST+，可以执行下列步骤。

1.在全局启用PVRST+。管理员应该在广播域上的所有交换机上配置PVRST+，如图3-14所示。图3-14 PVRST+的拓扑实例

2.将一台交换机指定并配置为根网桥。

3.将一台交换机指定并配置为次（备份）根网桥。

4.在上行链路上使用优先级和开销（cost）参数来启用负载分担。

5.验证上述配置。

例 3-3 所示为拓扑中一台非根交换机上VLAN 2 的 RSTP 信息，如图3-14 所示。

例3-3 使用命令show spanning tree来查看PVRST+（待续）3.4 多生成树

MST（Multiple Spanning Tree，多生成树）将IEEE 802.1w RST 算法扩展到了多个生成树。MST的主要目的是降低与网络的物理拓扑相匹配的生成树实例的总数，进而降低交换机的CPU周期。PVRST+会为每个VLAN运行独立的STP实例，而不考虑那些也许用不着使用很多不同STP拓扑的物理拓扑。而MST则可以使用最少数目的STP实例来匹配现有物理拓扑的数目。

图 3-15 所示为一个常见的网络设计方案，它的特征是接入层交换机 A 与建筑分布层子模块交换机D1和D2相连。在这个案例中，我们一共使用了1000个VLAN，而网络管理员通常希望流量可以在接入层交换机的上行链路上通过VLAN的奇数和偶数编号（或者通过其他某种方式）来实现负载分担。图3-15 VLAN负载分担

如图3-15所示，例中有2条链路和1000个VLAN。这1000个VLAN映射到2个MST实例。于是，每台交换机就不需要维护1000个生成树实例，而只需要维护2个生成树实例，从而降低了对交换机资源的要求。对于图3-15所示拓扑的2个MST实例的这个概念，可以扩展到4096个VLAN。与PVRST+相比较，MST的收敛速度更快，并且向后兼容802.1D STP、802.1w（RSTP）和Cisco PVSTP+等架构。

通过对VLAN进行分组并将其关联到生成树实例，MST可以在干道上组建多生成树。每个实例都拥有独立于其他生成树实例的拓扑。这种架构可以为数据流量提供多条转发路径，并且支持负载均衡功能。如果其中某条转发路径出现了故障，也不会影响到不同转发路径中的实例，因此这种方法可以提高网络的容错能力。

在大型网络中，通过使用不同的VLAN和不同的生成树拓扑，管理员可以更好地管理网络和冗余路径的使用。MST生成树实例只能存在于能够兼容VLAN实例分配的网桥上。通过使用相同的 MST 配置信息来配置一组网桥，就可以允许它们参加到特定生成树实例组之中。术语“MST区域”就是指一组相互连接，并且具有相同MST配置的网桥。

如果管理员正在部署企业园区网模型，那么实施 MST 就是没有必要的，因为对于这种方案而言，活动VLAN实例（也即STP实例）的数量很小，而且也相当稳定。

在图3-15所示的案例中，最终的逻辑拓扑只存在两种不同情况，因此也就只需要使用两个生成树实例。如果在图3-15所示的情况下，即1000个VLAN当中，管理员要将半数的VLAN映射到一个不同的生成树实例中，那么就没有必要运行1000个生成树实例。

如图3-16所示，在运行MST的网络中，下列说法是正确的。

·因为半数VLAN采用一个VLAN实例，所以仍然可能实现预期的负载均衡。

·因为交换机只需要处理两个实例，所以交换机的利用率比较低。图3-16 MST

从技术角度上看，MST是图3-16所描述场景的最佳解决方案。因为MST是一种比较新的协议，不过，MST也因此有可能存在下列问题。

·与普通的生成树相比较，MST协议更佳复杂，因此也就需要对工作人员进行额外的培训。

·对于与老式网桥的交互过程，有时存在某些问题。

MST可以让管理员在Trunk上创建多个生成树，方法是将VLAN进行分组，并将它们与生成树实例进行关联。每个实例都有一个独立于其他生成树实例的拓扑。这种架构可以让多条路径同时处于活跃转发的状态，因而可以实现负载均担。

通过CST，可以提高网络的容错能力，因为一个实例（转发路径）出现故障未必就会影响到其他实例。这种从VLAN到MST的分组必须在同一个MST区域的所有网桥中保持一致。

在大型网络中，管理员可以将不同的VLAN和生成树划分进网络的不同部分，因此管理员就可以更加轻松地管理网路，并实现路径的冗余。生成树实例只能存在于能够兼容VLAN实例分配的网桥上。

管理员必须使用相同的 MST 配置信息来配置一组网桥，才能让它们加入到一个特定的生成树实例集中。这种相互连接，并且具有相同MST配置的一组网桥被称为“MST区域”。拥有不同MST配置的网桥或运行802.1D协议的传统网桥则可以看做位于不同的MST区域中。3.4.1 MST 区域

MST 主要的改进就是它能够将多个 VLAN 映射到单个生成树实例中。然而，这也会导致另一个问题，那就是如何确定VLAN与实例之间的对应关系。更准确地讲，设备需要根据所接收的BPDU，来识别出这些实例及其所映射的VLAN。

在 802.1Q 标准中，所有的实例都将映射到唯一公共的实例，所以它并不复杂；而在PVST+的情况中，每个VLAN都要承载各自实例的BPDU（每个VLAN一个BPDU）。

对于网络中运行MST的每台交换机，它们的MST配置中，都包括了如下三种属性。

·包含数字和字母的配置名称（32字节）。

·配置修订号（2字节）。

·1个包含4096个要素的表，它将机箱所潜在支持的4096个VLAN映射到给定实例。

为了成为公共 MST 区域的一部分，交换机组必须共享相同的配置属性。对于是否能够将配置正确地传播到整个区域，这将取决于网络管理员。

为了保证VLAN到实例的映射是一致的，协议必须能够准确地识别区域的边界。有鉴于此，BPDU中也要包含区域特征。不过，由于交换机只需要知道它们是否与邻接交换机位于相同的区域中，因此它们并不会在BPDU中传播准确的VLAN到实例的映射。所以，交换机只会发送 VLAN 到实例映射表的摘要、配置修订号和名称。一旦交换机接收到BPDU，那么它就会提取出消息摘要（它是以数学函数的方式从VLAN到实例的映射表中得到的数值）并且将其与自己计算的摘要进行比较。如果摘要存在区别，那么接收到这个BPDU的端口就位于区域边界。

以普通术语来表达，如果网段中的指定网桥位于不同的区域，或者如果它接收到了传统的802.1D BPDU，那么端口就位于区域边界。在图3-17 中，B1 上的端口位于区域A 的边界，而B2和B3上的端口位于区域B内部。图3-17 不同MST区域的交换机3.4.2 MST 的扩展系统 ID

与PVRST+相同的是，MST也使用了一个12比特的扩展系统ID字段，如图3-18所示。在MST中，这个字段包含了MST的实例编号。图3-18 MST 网桥ID3.4.3 配置MST的基本参数

启用MST需要通过多个步骤的操作才能完成，其中包括将一定范围的VLAN映射到单个MSTI中。

由于MST适用于多个VLAN的情况，因此它的配置量就会大于PVST+或RPVST+。当管理员通过命令 spanning-tree mode mst 启用了 MST 之后，他/她还需要通过其他配置命令来配置区域和实例。

请看图3-19，图中有三台交换机，6个VLAN需要进行配置。这三台交换机上必须配置生成树。其中交换机A和交换机B都是分布层交换机。它们二者之一会成为扮演根网桥角色的交换机。图3-19 MST 示例

这里有一种解决方案是配置两个实例的MST，每个实例都包含网络中的一半VLAN。交换机A充当分配了奇数VLAN那个实例的根网桥。而交换机B则充当分配了偶数VLAN那个实例的根网桥。

表3-8所示为在网络中配置MST的所有步骤，而例3-4则显示了交换机A和交换机B上最终的用户配置，配置结果如图3-20所示。交换机A充当实例1的根网桥，而交换机B则充当实例2的根网桥。而其余部分的配置（包括名称、VLAN和实例的分组方式）则是相同的。表3-8 在基于IOS的 Cisco Catalyst 交换机上配置MST 的步骤

试读结束[说明：试读内容隐藏了图片]

下载完整电子书