作者:(美)理查德 弗鲁姆(Richard Froom)、伊鲁姆 弗拉海(Erum Frahim)
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
CCNP SWITCH 300115学习指南试读:
前言
本书作为CCNP或CCDP认证的学习教材,可帮助正在准备SWITCH考试(300-115)的考生顺利通过考试。
本书中所有配置及实例均来自Cisco Catalyst 3750及6500平台的IOS。
今天的园区网不断在发展、扩容,对收敛时间和故障时间的要求越来越高。为了满足园区网的扩展需求,Cisco开发了多种新的交换特性来支持网络的增长,如生成树增强特性、端口捆绑,以及Trunking技术等。本书将逐一介绍以上及其他园区网交换特性。
此外,随着全球对Internet安全的重视,园区网内的安全性变得尤为重要。对于网络安全,大多数企业会过分强调Internet边缘的外部安全,却忽略了园区网的内部安全。攻击者可以从网络内部发起拒绝服务攻击或窃取内网数据。本书介绍了园区网架构中的几大构建区域,并着重讨论了每个区域中的网络安全。
本书使用了大量的配置案例和验证命令,用以帮助读者理解所学内容以并获得排障能力。每章的最后还设置了复习题,供读者巩固及复习本章的重要知识点。读者对象
本书适合从事网络架构、设计或管理工作的网络工程师或网络管理者阅读,尤其适合那些负责园区网实施或排障工作的网络管理员阅读。
对于那些计划参加SWITCH考试获取CCNP或CCDP认证的考生,本书也可作为SWITCH考试的学习材料阅读。读者在阅读本书之前,应先拥有CCNA路由交换认证或同等级别的技术能力,至少应具备以下基本技能。● 了解OSI参考模型及网络基础。● 能够操作及配置Cisco交换机或路由器,包括:● 查看并解释路由器或交换机的路由表;● 配置管理IP地址;● 配置静态及默认路由;● 启用交换机接口;● 配置IP标准和扩展的访问控制列表;● 管理网络设备安全;● 配置网络管理协议,管理设备配置、IOS镜像,以及license;● 使用show及debug等命令验证路由器及交换机的配置;● 理解TCP/IP及IPv6的工作原理。● 具备基本的配置、验证、排障IP连通性及交换问题的能力。
如果读者对上述知识与技能不甚了解,推荐从人民邮电出版社已出版的《CCENT/CCNA ICND 1认证考试指南》和《CCNA ICND 2认证考试指南》这两本书入手学习。SWITCH课程介绍
Cisco网站上有关于SWITCH考试(300-115)内容的详细说明,详见https:// learningnetwork.cisco.com/docs/DOC-24499。“以下主题包含的内容很可能会出现在SWITCH考试中。当然,考试中可能也会出现其他相关的主题。为了能更好地清晰反应考试内容,以下指南可能会随时做出变更而不另行通知。”
在本书写作之际,SWITCH考试范围见表0-1。
由于课时所限,Cisco SWITCH课程并不会涵盖这门考试的全部内容,也不会涉及考试可能出现的扩展主题,因为编写Cisco SWITCH课程和负责考试的并不是同一个团队。
本书提供了表0-1的考试范围中的所有主题(除了前面提到的那些基本知识)。本书所讲解的考试主题的深度,足以帮助考生通过考试。不过,这些主题的行文措辞相当普通,而Cisco的考试是在持续更新的,因此,作者不能保证考试中的所有知识点都被覆盖。表0-1 SWITCH考试范围主题#主题涵盖章节1.02层技术1.1交换机管理的配置与验证SDM模板第8章第1~10管理MAC地址表章排障err-disable问题第10章1.22层协议的配置与验证CDP、LLDP第8章UDLD第8章1.3VLAN的配置与验证access端口第3章VLAN数据库第3章常规VLAN、扩展VLAN、语音VLAN第3章1.4Trunk 配置与验证VTPv1、VTPv2、VTPv3、VTP修剪第3章Dot1Q封装第3章native VLAN第3章手动VLAN修剪第3章1.5EtherChannel的配置与验证LACP、PAgP、手动链路聚合第3章负载均衡第3章EtherChannel错误配置保护第3章1.6生成树的配置与验证PVST+、RPVST+、MST第4章交换机优先级、端口优先级、路径开销、STP计第4章时器PortFast、BPDU保护、BPDU过滤第4章环路保护、根保护第4章1.7其他LAN交换技术的配置与验证SPAN、RSPAN第8章1.8机框虚拟化及堆叠技术StackWise第9章2.0设备安全2.1交换机安全特性的配置与验证DHCP Snooping第10章IP源保护第10章动态ARP检测第10章端口安全第10章私有VLAN第10章风暴控制第10章使用Cisco IOS AAA和TACACS+或RADIUS实现设2.2备安全AAA与TACACS+和RADIUS第7章本地授权第7章3.0设备服务3.1第一跳冗余协议的配置与验证HSRP第6章VRRP第6章GLBP第6章本书组织结构
本书章节及附录的组织结构如下。
第1章,“基础知识回顾”,本章对基本的交换技术做了回顾,并对本书后续章节使用的术语做了简要介绍。本章尽可能地避免过多地交叉引用技术,因为大多数的交换技术贯穿在了所有章节中。
第2章,“网络设计原理”,涵盖了基本的园区网设计原理,包括园区网结构、Cisco Catalyst交换机,以及2层和多层交换机的区别。本章还简要介绍了Catalyst交换机的硬件功能性。
第3章,“园区网架构”,介绍了VLAN、VTP、Trunking,以及端口聚合等技术。
第4章,“深入解析生成树”,本章深入地讨论了生成树以及今天的网络中有用的生成树增强特性。
第5章,“VLAN间路由”,讨论了VLAN间路由、相关的网络设计以及最佳的实现方法。此外,还讨论了动态主机配置协议(DHCP)和3层EtherChannel。
第6章,“第一跳冗余协议”,介绍了Cisco Catalyst交换机支持的第一跳冗余协议,包括热备份路由器协议(HSRP)、网关负载均衡协议(GLBP)和虚拟路由器冗余协议(VRRP)。
第7章,“网络管理”,介绍了AAA(认证、授权、审计)、网络时间协议(NTP)、802.1X,以及简单网络管理协议(SNMP),覆盖了Cisco Catalyst设备安全和网络管理内容。
第8章,“园区网交换特性与技术”,讲解了如何使用高级特性来增加园区网的可恢复性和可用性。本章还介绍了Cisco IOS IP SLA(服务等级协议)特性,以及使用交换机端口分析器(SPAN)和远程SPAN(RSPAN)完成网络监控。
第9章,“高可用性”,讨论了使用StackWise、虚拟交换系统(VSS),或冗余的Supervisor引擎实现交换机物理冗余。
第10章,“园区网安全”,深入研究了多种网络安全特性,如DHCP Snooping、IP源保护、动态ARP检测(DAI)、端口安全、私有VLAN,以及风暴控制。
附录A,“复习题答案”,该附录为各章课后复习题的答案。第1章基础知识回顾
在正式进入CCNP SWITCH这门针对园区网交换技术的课程之前,我们首先快速地回顾一遍CCNA中的相关知识点并简要地介绍其中部分技术,以便于本书内容的理解。由于这里提到的所有技术都是独立存在的,如生成树或虚拟LAN(VLAN),因此本章将这些基础知识汇总到一起进行复习,并且在后续章节中将不再重复类似的基础讲解。
如果读者十分了解交换术语,并对交换技术有着基本的认识,建议跳过此章,直接从第2章开始阅读。
本章涵盖如下CCNA基础交换知识点,后文会对涉及的知识做更多的介绍。● 集线器与交换机;● 网桥与交换机;● 今天的交换机;● 广播域;● MAC地址;● 基本的以太网帧格式;● VLAN;● 生成树(STP)协议;● Trunk;● 端口聚合(Port-channel);● 多层交换(MLS)。1.1 交换技术介绍
局域网交换(LAN Switching)这一术语正在逐渐变成历史。从20世纪90年代到21世纪头5年,局域网交换一词被广泛用来描述使用Cisco Catalyst交换机构建的LAN网络。然而,今天的LAN网络已经被分成了功能不同的两大阵营:数据中心(Data Center)网络和园区(Campus)网络。
本书着眼于园区网络。相比而言,园区网络通常选择更为保守的体系结构,使用Cisco Catalyst交换机来实现传统的2层或3层架构设计。而数据中心网络正处于发展阶段,主要定位于应用、dev/ops,以及软件可编程性。这些体系使用的是一些尖端的技术,如FabricPath、Dynamic Fabic Automation(DFA)、Application Centric Infrastructure(ACI)等。
本章后面内容主要介绍与园区网络相关的关键交换技术,这些技术贯穿于本书所有章节。这其中的许多技术会在后续章节做更多的介绍,但定义并快速复习一遍知识点还是有助于读者理解后续章节的。此外,由于园区网的所有特性相互交织在一起,很难用连续的方式依次介绍每种技术,因此,本章的内容也会使用便于阅读的格式进行编排。1.1.1 集线器与交换机
集线器(hub)这种产品已经作废,这一术语在今天已经很少提及。即使是最简单的家用多口以太网设备,在今天也都是交换机了。
回顾来看,集线器产品之所以退出了历史舞台,是由于端口共享带宽的机制造成的。交换机中的端口带宽是独享的。集线器可以将多台设备连接到同一网段。网段中设备彼此之间共享带宽。例如有一台100Mbit/s的集线器,其6个端口分别连接了6台设备,那么这6台设备彼此共享100Mbit/s带宽。也就是说,100Mbit/s的集线器会在所有连接设备之间共享这100Mbit/s的带宽。在OSI参考模型中,集线器被定义为1层(物理层)设备。集线器会监听线缆上的电信号并将信号传递给其他端口。
和集线器类似,交换机(switch)也可以将多台设备连接到同一网段,但两者也仅仅是这一点相似。交换机可使每台连接设备具有专用带宽,而非共享带宽。交换机与设备之间的带宽被预留出来用于双向的通信。如果6台设备连接到一台1Gbit/s交换机的6个端口上,每台设备之间都会有1Gbit/s的交换能力,而不是与其他设备共享带宽。交换机可以明显地增加网络中的可用带宽,从而提高网络的性能。相比集线器,交换机还支持许多额外的功能性,后文会介绍到这些特性。1.1.2 网桥与交换机
常规的交换机被认为是2层(数据链路层)设备。这里谈到的“层”(layer)指的是OSI 7层参考模型中的“层”。交换机不光要像集线器那样传递电平信号,还要将信号封装成2层帧(frame),并对帧进行转发处理。交换机处理帧使用的是一种早期更为常见的网络设备:透明网桥(bridge)。理论上讲,交换机也可以像透明网桥一样工作,但处理帧的性能要比网桥快得多(这是使用了特殊硬件及硬件架构的原因)。一旦交换机确定了帧应被发送到哪里,会将帧从单个(多个)端口发出。读者可以将交换机看做是一台可以在多个端口之间建立瞬时帧到帧连接的设备。1.1.3 今天的交换机
今天的交换机不仅支持帧的交换处理,许多交换机已经支持路由功能。此外,交换机还可以对流量进行优先处理,通过冗余来支持不中断的流量转发,围绕IP电话及无线网络提供融合性类网络服务。
总的来说,为了满足今天日益增加的网络需求,Cisco Catalyst交换机的设计支持了所有传统交换机特性以及业界领先的如下特性。● 应用智能:帮助网络识别出多种类型的应用,并保证这些应用的
安全性及优先性,从而提供最好的用户体验。● 统一网络服务:将无线和有线网络中的最优组件组合到一起,用
户可以使用任何设备无缝地连接到他人或网络资源。10G以太网
技术及以太网供电(PoE)技术支持新型应用及设备。● 不中断通信:使用冗余硬件、不中断转发(NSF)以及状态化切
换(SSO)技术来提供更可靠的连接。● 集成安全性:LAN交换机提供了安全的第一道防线来防御内部网
络攻击并阻止未经授权的入侵。● 运行管理性:为了更加容易地管理网络,IT工作者必须能够从某
一中心区域远程地集中配置、监控所有网络设备。1.1.4 广播域
在CCNA中我们学过,广播域是由一组网络设备组成的区域,区域中所有设备都能接收到域内任何一台设备发出的广播帧。广播域的边界通常是路由器(router)设备,这是因为路由器不转发广播数据帧。VLAN是广播域的一个实例。一个广播域通常是一个只包含单个IP子网的2层网络。下一节将继续讨论广播域中的地址使用。1.1.5 MAC地址
MAC地址作为数据链路层的标准地址,存在于连接到LAN中的每个端口或设备上。网络中的其他设备使用此地址来找出网络中某端口的具体位置,并创建、更新路由表及数据结构。MAC地址共6字节长,由IEEE控制管理。MAC地址也称为硬件地址、MAC层地址、物理地址。
MAC也被应用到虚拟设备上,例如,一台服务器上的多个虚拟设备都会拥有单独的MAC地址。此外,大多数设备都拥有多个MAC地址。一个简单的例子就是我们的笔记本,它同时拥有一个LAN MAC地址和一个无线MAC地址。下一节将继续介绍以太网中使用的标准帧格式。1.1.6 以太网帧格式
IEEE 802.3标准定义了MAC地址的标准的数据帧格式,以及用于协议扩展的附加格式。标准数据帧格式包含了以下7个字段,如图1-1所示。● 前导码(PRE):7字节长。PRE由交替出现的1和0组成,此字
段用于指示帧的开始,以便与网络中的所有接收端帧同步。● 帧起始定界符(SFD):1字节长。前6比特由交替的1和0组成,
后2比特是11,这两比特会中断同步模式并提醒接收方后续帧是
目的MAC地址。● 目的MAC地址(DA):6字节长。DA字段用于确定数据帧的接
收者。DA的首个字节中,最后2比特用于标识目的地是一个单独
的地址还是组地址(组播)。这两个比特的后一个比特(第8位)
标示出DA是单播地址(0)还是组播地址(1)。前一个比特(第7位)标识出DA是全局管理地址(0)还是本地管理地址(1)。其余比特是唯一分配的值,用来标识单个主机、一组主机,
或是网络中的全部主机。图1-1 标准IEEE 802.3 MAC数据帧格式● 源MAC地址(SA):6字节长。SA标识了发送者。SA始终是一
个单独的地址(单播),其格式与DA相同。● 长度/类型:2字节长。此字段可用来标识MAC客户数据(数据字
段)的字节数,或者当帧封装成其他格式时,用作帧的类型ID。
如果“长度/类型”字段值少于1500,将表示为长度字段,定义
了数据字段的字节大小。如果值大于1536,将表示为类型字
段,定义了发送或接收的特殊帧类型。● 数据:由n个连续的字节组成,其中46≤n≤1500。当数据字段长
度小于46时,会使用填充位(pad)填充至46字节。提示:
Cisco Catalyst交换机可通过支持小巨人帧的方式最大支持9000字节的数据帧。● 帧校验序列(FCS):4字节长。其中包含了32比特的循环冗余
校验(CRC)值,CRC值由发送端计算,并由接收端重新计算
以确定数据帧是否遭到损坏。FCS是基于DA、SA、长度/类型,
以及数据字段生成的。1.1.7 基本交换功能
当一台交换机收到一个数据帧后,必须要决定如何处理此帧。交换机可能会忽略此帧、将此帧从某个端口发出,或从多个端口发出。
为了确定如何操作数据帧,交换机须要了解网段中所有设备的位置信息。设备的位置信息存放在内容可寻址存储(CAM,专用于存储表项的一段内存)表中。CAM表存储着每台设备的MAC地址、学习MAC地址的端口,以及端口所属VLAN。随着交换机不断地接收新的数据帧并学习,CAM表也会随之更新。下一章会继续讲解CAM表。
CAM表中的信息决定了应该如何处理接收的数据帧。为了确定如何发送一个帧数据,交换机首先会查看收到帧的目的MAC地址,并在CAM表中检索这一MAC地址。CAM表会显示出去往某个特定目的MAC地址的数据帧应从哪个接口(或端口)发出。简单地讲,基本的2层交换功能遵守着以下的选路原则。● 如果目的MAC地址存在于CAM表中,交换机将根据CAM表中目
的MAC对应的出站端口将数据帧从此端口发出。这一过程称为
转发(forwarding)。● 如果CAM表中检索到的出站端口与接收到数据帧的入站端口相
同,则不需要将数据帧从此端口原路发送回去,并且将忽略该数
据帧。这一过程称为过滤(filtering)。● 如果目的MAC不在CAM表中(即未知的单播地址),交换机会将
数据帧发送给与接收帧的入站端口所属相同VLAN的所有端口。
这一过程称为泛洪(flooding)。泛洪不会发送回入站端口。● 如果收到的数据帧的目的MAC地址是一个广播地址(FFFF.FFFF.FFFF),交换机也会执行泛洪(flooding)行为,
将数据帧发送给与接收帧的入站端口所属相同VLAN的所有端
口。当然不包括接收帧的入站端口。
下一节将继续讲解Cisco Catalyst交换机和Nexus交换机中将一组端口划分进各自LAN网段常用的流行技术。1.1.8 VLAN
由于交换机是基于数据帧在物理端口之间交换数据的,因此可以在此基础上对其进行扩展,使其在逻辑上对端口进行分组。每个逻辑端口组叫做虚拟局域网(VLAN)。交换机可以确保来自组内某个端口的流量不会发送到其他端口组中(这属于路由功能)。这些端口组(VLAN)可看做是独立的LAN网段。
每个VLAN也是一个独立的广播域。根据透明网桥的算法,广播包(去往所有设备的包)将发送给相同组(即VLAN)内的其他所有端口。处于相同VLAN的所有端口同处在一个广播域下。
下一节继续介绍构建2层域使用的传统生成树技术。1.1.9 生成树协议
像前面提到的那样,交换机的转发算法会在接收帧所在端口的VLAN中将所有未知数据帧和广播数据帧泛洪至同VLAN内所有端口。这就会导致一个潜在的问题。如果运行这一算法的网络设备连接成了一个物理环路,泛洪的数据帧(如广播)将会沿着环路永远地在交换机之间传递。一旦物理上连接成了环路,环路中的数据帧将会以指数形式成倍增加,继而造成网络障碍。
当然,网络中的环路也有好处,即提供冗余性。如果某条链路故障,流量仍可使用其余路径到达目的地。为了充分发挥冗余性的优势而不受物理环路的限制,这就引出了一种叫做生成树(STP)的协议。生成树的规范定义于IEEE 802.1D标准中。
生成树协议的作用是用来识别并临时阻塞网段或VLAN中的环路。一旦网络中的交换机都运行了生成树,就会选举出一个根桥或根交换机。其他交换机会衡量自身到根交换机的距离。如果到达根交换机有多条路径,就说明网络存在环路。接着,交换机会使用STP算法来确定哪个或哪些端口需要被阻塞(block)以中断环路。生成树是动态的,如果网段中的某条链路发生故障,先前被阻塞的端口有可能恢复成为正常的转发(forward)模式。
生成树在本书后面章节还会继续涉及。下一节介绍如何在单个端口上传输多个VLAN流量。1.1.10 Trunk
Trunk是一种可以使多个VLAN独立运行于多台交换机间的十分常用的技术。当然路由器和服务器也可以使用Trunk技术,可使其同时处于多个VLAN中。如果网络中只有一个VLAN,那大可不必考虑Trunk;如果网络中有多个VLAN,那么就应该考虑Trunk技术的优势了。
一台交换机上的一个端口通常只属于一个VLAN;所有在这个端口发送或接收的流量都会认为属于端口配置的这个VLAN。不过可以将端口配置成Trunk模式来发送或接收更多的VLAN流量。为了区分不同的VLAN,Trunk技术会给每个数据帧贴上VLAN信息,这一过程称为打标签(tagging)。此外,Trunk需要同时配置在链路两端,因为对端端口也必须能够区分VLAN信息才能保证通信的正确。同前面小节的风格一致,更多的内容会在本书后续章节中呈现。1.1.11 端口聚合
端口聚合(port channel)是一种将多条物理链路逻辑上捆绑到一起的技术,捆绑后的多条链路作为一条逻辑链路存在,而不再各自独立工作。当有多条链路连接到相同的设备时常会用到。聚合端口会将流量分布给组内的所有链路来提高冗余性,当某条链路发生故障时,流量会自动分配给其余正常链路。聚合链路两端的设置必须保持一致。正常情况下,在设备之间建立多条平行连接会造成物理环路,生成树会阻塞部分端口以消除环路,但当配置端口聚合技术后,生成树会将聚合端口看做是一个逻辑端口来运行生成树,不会阻塞聚合端口。后面章节会继续介绍端口集合的更多内容。1.1.12 多层交换
多层交换(MLS)是一种可让交换机基于3层或4层头部信息转发数据帧的技术。几乎所有Cisco Catalyst 3500平台以上及最新的交换机都支持MLS技术。如今MLS一词正逐渐变成一种历史技术,因为当今几乎所有交换机都能支持MLS。MLS最重要的一点是交换机使用专用的硬件来路由或交换数据帧,从而使其性能达到线速(wire-rate)。在交换机中有效地引入路由功能可以使交换机能够在核心网中的VLAN之间进行路由选择。下一章还会介绍更多的MLS技术。1.2 本章小结
本章简短地回顾了许多常见技术以及与交换技术相关的知识点。本书的后续章节也涵盖了这些主题,还会介绍其他与安全相关的交换技术。第2章网络设计原理
当我们每次去公司办公或是去学院或大学上课,在访问重要的应用、工具或上网时,都会使用到园区网络。通常,人们会使用便携设备访问互联网,如通过iPhone手机连接公司的WiFi热点,通过园区网收发邮件、编写工作日报或发送即时消息。因此,网络建设的负责人需要遵循合理的园区网设计原理及设计规则,从而为网络提供充分必要的稳定性、可扩展性及弹性来实现100%的在线业务。
本章围绕网络设计和网络结构中的一些核心概念以及Cisco交换机的架构细节,开始了园区网设计原理的探索之旅。在设计、构建一个园区网时,这些知识将十分有帮助。本章主要分为以下两大主题:● 园区网结构;● Cisco交换机与其体系结构。2.1 园区网结构
园区网(campus network)被认为是企业或机构基础设施的一部分,用来互联各种终端设备,如电脑、笔记本,或是用无线接入点(AP)访问内网(intranet)或Internet资源。内网资源包括公司网页、呼叫中心应用、文件及打印服务,以及任何终端用户从电脑上访问的资源。
在不同的时期,园区网为终端用户访问公司应用或工具(处于数据中心)提供了连通性。起初,在2005年之前,园区网这一术语及其架构是与应用服务器集群以及计算网络相关的。而今天,这种连接服务器集群、应用服务器,以及计算节点的网络称为数据中心网络(data center network)。
在过去的几年中,数据中心由于对高可用性、低延迟、高性能的要求,相比园区网其架构已经变得越来越复杂。因此,数据中心网络可能会使用园区网中没有的高端技术,如FabricPath、VXLAN、Application Centric Infrastructure(ACI)等。本书创作之际,在CCNP SWITCH这门课程中,数据中心的这些技术是不在考试范围内的。尽管如此,为了使读者不与园区网原理相混淆,本书还是会简单地列出两类网络之间的差异。
接下来的多个小节将会详细介绍层次化网络设计中的每个组成部分。2.1.1 层次化网络设计
一个扁平化的企业园区网是一张使用2层交换机连接PC、服务器、打印机的简单网络。扁平网络不需要太多的子网规划。此外,子网内的所有设备处在同一个广播域,并且广播会泛洪给所有直连的网络设备。由于终端设备(平板电脑、PC)会使用CPU和I/O资源去处理广播,因此广播包会浪费一定的带宽及系统资源。在一个只有10台设备的扁平网络中,可能还没有什么问题,但在一个用户成百上千的网络中,资源与带宽浪费的问题就变得十分严重了(见图2-1)。图2-1 扁平化与层次化网络设计
这种广播问题以及许多其他的限制最终得出的结果是,扁平化网络并不能满足大多数中小企业的网络需求。为了满足大多数企业园区网不断扩容的需要,必须使用一种层次化的网络架构。相比扁平网络,图2-2示范了园区网络中层次化网络设计模型。图2-2 层次化网络模型
层次化的网络模型允许设计者将网络划分成多个层级。为了理解分层的重要性,我们先来思考一下OSI参考模型,这是一个为了理解和实现计算机通信所设计的分层模型。由于OSI将计算机通信划分为了许多层面,因此简化了设备之间通信所需要的工作。同理,使用层次化模型逐层建设的思想,也会减少园区网设计的难度。
再来看图2-2,层次化模型的网络被划分成3个特殊功能的层级:核心层(core)、分布层(distribution)、接入层(access)。这种模型提供了一个模块化的、灵活的框架,当网络升级或扩容时不需要大规模修改或返工。
例如,在办公楼里加入一个新的部门时,仅需要增加一个分布层和接入层,使其上联到现有的核心层即可(需考虑核心层性能)。只需要对新增的设备进行操作,现有网络不会受到影响,除了简单的物理增加之外,增加交换机的配置也非常容易,这是因为在网络设计之初都是遵循层次化原则的,所以,大多数的配置目标都是事先确定好的。
层次化模型中的接入层、分布层、核心层分别具有以下特点。● 接入层:用来允许用户访问网络应用及相关功能。在园区网中,
接入层通常一般由多口交换LAN设备组成,用来连接工作站、IP
电话、无线AP、打印机等。对于远程办公人员或远端站点来
说,在WAN环境中,接入层可通过WAN技术帮助其访问公司网
络。● 分布层:分布层主要使用模块化或3层交换机,用来将接入层交
换机配线间、楼层或其他物理区域汇聚起来。类似地,分布层也
汇聚了园区网边缘的WAN连接,并可提供基于策略的连通性。● 核心层(也叫做骨干):核心层是一个高速的骨干区域,旨在以
最快的速度交换数据包。在大多数园区网中,核心层还具备了路
由转发能力(后面章节会继续讨论)。由于核心层对于网络连通
性来说处于至关重要的位置,所以其必须提供高级的可用性,并
且能够快速适应网络变化。核心层也应具备动态可扩展性以适应
网络扩容及故障时的快速收敛。
接下的小节将依次介绍接入层、分布层,以及核心层的更多细节。1.接入层
如图2-3所示,接入层由一组互联终端设备(PC、打印机、投影仪等)的交换机组成。接入层交换机还可以向融合性网络进行扩展,如IP电话及无线AP可以通过接入层交换机访问园区网中的其他区域。
由于连接到接入层的设备多种多样,并且使用着各种各样的服务与动态配置机制,使得接入层成为了园区网中最具优势的区域。这些优势如下所示。● 高可用性:在没有路由功能的接入层中,通过在接入层与分布层
之间使用冗余的链路,可为用户提供冗余的默认网关来提供高可
用性。这种默认网关的冗余性的机制叫做第一跳冗余协议(FHRP,first-hop redundancy protocol)。FHRP会在本书后续章
节详细介绍。图2-3 接入层● 融合性:接入层交换机通常可为IP电话、瘦客户端、无线AP等
终端提供PoE(Power over Ethernet)供电技术。PoE允许客户
无需考虑电源问题,可以轻而易举地将IP电话和无线AP放置在
任何物理位置。此外,接入层还支持融合性特性,可以支持最佳
的IP电话及无线AP软件配置,使语音及无线数据融合到数据网
络中。这些特性也会在后续章节介绍。● 安全性:接入层还提供了额外的安全服务,通过使用一些安全工
具,如端口安全、服务质量(QoS)、DHCP Snooping、动态
ARP检测(DAI)、IP源防护来防止未授权用户访问网络资源。
这些特性同样会在后续章节中进行讨论。
说完了接入层,下一节继续介绍接入层的上一层:分布层。2.分布层
园区网中的分布层在接入层和核心层之间扮演着服务边界及控制边界的角色。接入层和核心层本质上都是专门具有特殊用途的区域。比如接入层就是专用于连接终端设备的,而核心层是专用于为整个园区网提供不中断转发的。与之相比,分布层的用途就非常多了。图2-4所示为一个园区网的分布层。图2-4 分布层
高可用性、快速路径恢复、负载均衡、QoS等都是设计分布层时应考虑的重要因素。一般来说,高可用性通常是通过在分布层到核心层的3层冗余,以及接入层到分布层之间的2层或3层冗余提供的。3层的等价负载分担技术可以使分布层到核心层之间的两条上行链路以多种负载均衡方式同时使用。负载均衡技术会在后文探讨。注释:
除了负载均衡(load-balancing),等价多路径(ECMP,equal-cost multipathing)是另一个用来描述等价负载分担的术语。不过,ECMP通常使用在数据中心架构中而非园区网。本书会同时使用这两个术语,不加以区分。
在接入层使用2层设计的网络中,分布层常用来终结VLAN,充当着接入层和核心层之间的路由边界。分布层常代表了路由选择域之间重分布的点,或是静态路由协议和动态路由协议的分界线。分布层也可以执行一些操作,如对特定路由进行处理及过滤,从而实现基于策略的连通性、安全性和QoS。这些特性使得流经园区网的流量得到更严格的控制。
为了进一步增强路由选择协议的性能,分布层通常还用来汇总接入层路由。如果3层路由扩展到了接入层,那么分布层一般会向接入层提供一条默认路由,并与核心层路由器之间运行动态路由选择协议进行通信。
此外,分布层可以通过第一跳冗余协议(FHRP)来提供冗余的默认网关。FHRP技术包括热备份路由协议(HSRP)、网关负载均衡协议(GLBP),以及虚拟路由器冗余协议(VRRP)。FHRP为连接到下游接入层设备的第一跳默认网关提供了冗余性及高可用性。当接入层使用3层路由功能时,FHRP就失去其作用了。
总的来说,当接入层未使用3层路由功能时,分布层可提供以下功能:● 在连接核心层及接入层的路径上,使用多条链路来提供高可用性
与等价负载分担;● 一般用来终结2层VLAN域;● VLAN间路由流量并发送给核心层;● 汇总接入层路由;● 部署基于策略的连通性(流量过滤、QoS、安全性);● 提供FHRP技术。3.核心层
核心层是连接整个园区网的骨干区域,如图2-5所示,也是企业网中其他层级或区域的汇聚点。核心层必须提供最高等级的冗余性并能快速适应网络变化。
从设计的角度来看,园区网核心层的部署最为简单,但却最为重要。核心层使用一组有限的服务来保证业务高可用以及100%的在线时间。在大型企业网中,核心网部分必须提供不中断、始终可用的业务。其核心设计思想就是提供相应级别的冗余性,以保证在设备任何组件(下挂交换机、引擎、线路卡、矩阵、电源、风扇等)发生故障时,都不会影响业务流量的转发。网络设计时还必须要考虑到偶发的硬件及软件的升级或修改不能中断现有网络业务。核心层中不应部署复杂的策略,也不应直接连接用户或服务器。在高可用方面,应尽可能减少控制平面配置,主要通过设备的物理冗余来降低业务中断风险。图2-6举例说明了一个通过核心层(园区骨干)连接数据中心所组成的大型园区网。图2-5 核心层图2-6 大型园区网
图2-7示范了一个连接企业网其他功能区域的核心层。在这个例子中,核心层连接着数据中心,而边缘分布层区域用来连接WAN、远程接入,以及Internet。网络管理区域使用带外方式(out-of-band)工作,其重要性同样也是不言而喻的。
总的来说,核心层具有如下的特点:● 汇聚整张园区网,提供到数据中心、WAN,以及其他远程网络
的连接;● 具有高可用行、弹性,以及软硬件无缝升级的能力;● 不直接连接服务器、PC、AP等终端设备;● 具备核心路由选择功能;● 网络具有未来扩容及投资保护能力;● 具备支持硬件冗余性,如Catalyst 4500及6800系列平台。图2-7 企业网络中的核心层2.1.2 接入层中的3层交换
随着交换机产品越来越廉价,3层交换机的价格也趋于平民化。因为价格便宜及其本身的一些优势,接入层设计正从传统的2层交换机逐渐升级为3层交换机。无论是使用3层设备还是2层设备,都各有利弊。图2-8对比说明了在上联分布层的接入层中使用2层技术和3层技术的区别。
在接入层中部署2层交换会导致接入层和分布层之间的冗余链路不能完全被利用。而且,由于2层(广播)域大小的限制,2层交换同样限制了网络扩展规模。图2-8 接入层中的3层交换
在接入层中部署3层交换可以看作是对2层交换的一种扩展,最主要的原因是可以在接入层设备上对VLAN进行终结,而且接入层到分布层交换机之间的所有链路都是路由链路,所有接入层和分布层的设备都能加入到路由进程中。
使用2层交换的接入层设计是一种传统的、节省投资的解决方案,同时也会面临着接入层与分布层之间冗余链路利用率低的问题(生成树选举的结果)。3层交换设计可以实现流量区分(例如,访客流量应与内网流量相隔离)。3层交换还需要仔细规划IP地址。3层交换接入设备中VLAN通常不会使用在网络中的另一台接入层交换机上,因为每个VLAN都代表了特定了业务。相比2层交换,3层交换的缺点之一是园区网中的设备物理位置不能随意变更(IP地址的原因),除非使用了高级移动网特性。注释:
在对一个具备扩展性和弹性的网络架构进行维护时,今天的网络技术如DFA和ACI可以增强设备的可移动性。在本书创作之际,DFA和ACI仍属于数据中心技术,超出了CCNP的考试范围。
总而言之,在园区网的接入层中使用3层交换技术正日趋流行。而且,下一代的网络架构也能解决3层路由中最大的问题:可移动性。
本章下一节将介绍将层次化模型在企业网架构中的应用。2.1.3 Cisco企业园区网架构
Cisco企业园区网架构遵循着传统层次化的园区网设计模型,如图2-9所示。图2-9 Cisco企业园区网
Cisco企业园区网架构将企业网络划分成了物理区域、逻辑区域、功能区域。这些区域允许网络设计者及工程师能够根据设备的位置及模型中相应位置的功能,来在相应设备上部署特定的网络特性。
需注意在设计中并没有指定每层具体的角色,所以构建一个园区网络时没有绝对的参照规则。当然理论上园区网应由3个层级的交换机组成,不过这并非是一个严格的标准。在许多小型园区网中,网络中只有2个层级的交换机,其中核心层和分布层合并在了一种交换机中,即压缩到一起的分布层与核心层。不过,在许多网络中由于反复扩容、业务繁杂、设备物理位置的限制等因素,可能会出现4层甚至更多的层级。
层次化的网络通常定义了交换机的物理拓扑,但却未定义拓扑中的交换机型号。层次化设计的核心思想是层级中的每个组件都可提供一组特定的功能及服务,并扮演着设计中规划的具体角色。
在CCNP SWITCH这门课程中,接入层、分布层、核心层又称为建筑接入层(building access layer)、建筑分布层(building distribution layer)、建筑核心层(building core layer)。术语building暗示了每个层级都是位于建筑物中。像之前提到的那样,物理边界并不一定是建筑物,可能是一层楼、几层楼或一个配线间。本书为了方便,还是使用了access layer、distribution layer、core layer这3个术语。
总的来说,网络设计师在构建Cisco企业园区网时应遵循层次化模型并通过物理或逻辑边界划分成多个层级。尽管今天的园区网设计日趋复杂,但核心思想还是通过物理或逻辑边界将网络划分成接入层、分布层、核心层。2.1.4 核心层的重要性
当第一次学习园区网设计时,许多人都会问一个问题:为什么需要核心层?在一个含有许多楼宇或相似建筑设施的园区网中,省去核心层,将其功能放入分布层可能会节省部分初始投资(因为省去了一层交换机的采购)。图2-10给出了一个包含4栋完全互联的独立建筑的网络设计,其核心层被压缩进了分布层中。图2-10 省去核心层的网络设计
尽管在设计之初,使用这种设计会减少一定的投资,但这种网络非常难于扩展,而且会用掉大量的线缆。因为每栋新建筑的分布层交换机都需要全互联到其他的交换机,所以分布层交换机越多,布线的数量也会以指数形式增加。此外,全网状拓扑也会增加路由选择的复杂程度,并且在网络中添加新邻居时也会给管理者产生新的工作量。
在图2-10中,2号建筑的分布层中,两台互联交换机共需要4条链路来与1号建筑实现全互联连接。而3号建筑则需要再新建8条链路实现所有分布层交换机的全互联。而4号建筑则还需要12条新的连接。4组建筑共需要24条来实现分布层全互联。
再来看看图2-11,有一组专门的核心层设备来满足扩容需求,而不用要求分布层全互联。当园区网中分布层区域数量增加、网络物理面积扩大,或网络复杂性增加时,核心层的优势就很明显了。在一个大型、复杂的园区网环境中,核心层可以为整个园区网提供巨大的性能及扩容能力,并可以部署额外的安全特性服务。图2-11 带有核心层的扩展网络
什么时候需要部署核心层呢?这一问题的答案要视许多因素而定。设计一张具有独立核心层的园区网主要能解决许多设计上的困难,当然,其最主要的作用还是提供可扩展性以及减少园区网迁移、扩容、调整所带来的风险。一般而言,小型网络中配置更改不频繁,且很少涉及到网络核心,因此通常不会设计核心层区域,但随着网络规模的扩大以及复杂程度的增加,配置变更将更多涉及核心层设备。这时,将核心层与分布层功能从物理上分离到不同的物理设备上的优势就显而易见了。
简而言之,小型网络可以设计省略掉核心层,但中到大型网络中,必须设计专门的核心层设备来保证功能模块化及可扩展性。
总结一下本章介绍的层次化模型,虽然网络分层是老生常谈的内容,但层次化模型仍然适用于今天的园区网设计。出于复习的目的,对各层做一个简单的总结。● 接入层将终端设备,如PC、无线AP、打印机等连接到网络。● 分布层具有多种功能,最重要的还是对分布层进行汇聚。分布层
可以设计为终结下行2层VLAN,也可以设计为提供对下3层路由。● 核心层是整张园区网的汇聚点,具有高速交换性能。
下一节将继续研究园区网络中的网络设备:Cisco交换机。2.2 Cisco交换机选型
交换机是园区网中最基本的互联组件。Cisco具有针对不同需求的众多交换机平台可供选择。在本书创作之际,Cisco将Catalyst系列定位于园区网交换机,而将Nexus系列定位于数据中心交换机。所以在CCNP课程里,更多介绍的还是Catalyst系列交换机。
图2-12列举了当前推荐的Catalyst交换机。当然,在竞争激烈的园区网交换机市场中,Cisco始终保持着Catalyst交换机平台的更新,使其保持更新的功能、更优的性能、更大的密度,以及更低廉的价格优势。图2-12 Cisco Catalyst系列交换机
熟悉Catalyst 6500平台的读者可以看到,图2-12中并未列出Catalyst 6500系列交换机。尽管Catalyst 6500这条产品线在业界已驰骋多年,但Cisco最终还是决定将其淘汰并升级为Catalyst 6800系列。对于本书的许多读者来说,Catalyst 6500交换机仍是其职业生涯中颇具情怀的一款产品。
Cisco提供了两种类型的网络交换机:固化交换机与模块化交换机。相比模块化交换机,固化交换机无法更改或添加其他模块。在企业网接入层中,可优先考虑Cisco Catalyst 2960-X系列。这一系列提供了具有众多配置参数的低端交换机。
基于园区网络需求的不同,在企业网分布层中可以选择使用固化或模块化的交换机。例如可以在分布层中使用Cisco Catalyst 3850-X系列模块化交换机。Catalyst 3850-X支持不同接口类型的网络模块(以太网或光纤),以及冗余的电源模块。在小型企业网中,3850-X可以充当核心层交换机的角色。而在大型企业网中,3850-X通常定位于接入层设备,使用其3层功能来实现高冗余性。
在企业网核心层中,通常都是模块化核心交换机,如Cisco Catalyst 6500或Catalyst 6800系列。这类核心交换机的所有组件,如RP或Supervisor引擎、以太网接口线卡、电源等,都是以模块形式单独安装在机框中的。这种高度模块化的设计可使用户按照需求定制设备的高可用性。
如果网络的流量很大,还可以将Cisco Catalyst 4500-X系列交换机部署到分布层。Catalyst 4500-X是一款支持冗余Supervisor引擎及10 G以太网的模块化交换机。
Catalyst 6800、4500-X、3850-X、2960-X,所有系列的这些交换机都是可管理的。这表示可以在设备上配置管理IP地址,并通过SSH或Telnet远程连接到设备上。傻瓜交换机(不可管理)仅适用于家庭或非常小的企业环境。园区网环境中强烈建议使用可网管的交换机。
本小节介绍了Cisco多种平台的交换机及其网络定位。有关Cisco交换产品的更多信息,请访问http://www.cisco.com/c/en/us/products/switches/index.html。
接下来将对2层交换与3层交换(多层交换)进行比较。2.2.1 理解2层交换与多层交换
2层以太网交换机工作在OSI模型中的数据链路层。这类交换机通过数据帧中的目的MAC地址来做出转发决策。
复习一下基本的网络知识:交换机的每个端口都是一个冲突域,所以每台交换机端口与其相连的终端都处于各自的广播域中。由于链路间没有竞争,所有主机都可以工作在全双工模式下,全双工(full-duplex)是指主机可以同时接收和发送数据。与其相对的半双工(half-duplex)作为历史技术,只应用在集线器或10/100 Mbit/s交换机中。1 Gbit/s端口默认即工作在全双工模式。
在存储转发(store-n-forward)模式交换机收到数据帧后,会对帧进行错误检查。CRC检验有效的数据帧会被重新生成并转发出去。某些交换机型号,如大多数的Nexus交换机在处理帧时,仅读取2层信息而不进行CRC检查。这种处理方式也被称为直通转发(cut-through)交换。在将帧转发给另一个端口时,无需等待存储全部数据帧,从而降低了帧传输延迟。更低的交换延迟有益于数据中心网络中的低延迟应用,如算法交易程序(algorithm trading program)。对于CRC错误帧或损坏帧,终端设备网卡(NIC)或上层协议会将其丢弃掉。大多数Catalyst交换机使用的都是存储转发(store-n-forward)交换。1.MAC地址转发
为了确定数据帧应被发向哪里,交换机会检查自身的MAC地址表。MAC表中的信息可以是交换机被动接收或自动学习得来。交换机会监听入站数据帧,并检查其中的源MAC地址。如果MAC表中没有此地址,则MAC地址、入站端口、VLAN将会记录在转发表中。这张转发表也叫做CAM表。
当交换机收到了一个目的MAC未知的数据帧后,交换机会在入站端口所在VLAN中转发此数据帧(除了入站端口),这种行为称作未知单播泛洪。去往多个目的地的广播和组播流量的处理方式与此相同。
如图2-13所示,在第一个例子中,交换机在端口1上收到了一个数据帧。目的MAC地址为0000.0000.5555。交换机通过检索其转发表确定了此MAC地址记录在了端口5上,因此会将此数据帧从端口5中发出。
在第二个例子中,交换机在端口1上收到了一个广播数据帧。交换机会在同VLAN的所有端口下(除了端口1)转发此广播帧。由于接收帧的端口1属于VLAN 1,因此,此帧会被转发给交换机中的所有VLAN 1端口(除了端口2、端口4、端口5、端口6)。
下一节将从技术的角度继续介绍2层交换机的工作原理。图2-13 2层交换工作原理:MAC地址转发2.2层交换机工作原理
当交换机接收到一个数据帧后,首先会将帧放进入站队列。一个端口可以含有多个入站队列,通常这些队列用来处理不同的数据帧(如部署了服务质量[QoS])。简单来说,当交换机选择队列中数据帧进行传输时,会面临如下问题:● 数据帧将被发到哪里?● 是否有限制阻止帧的转发?● 是否有优先或标记操作需要应用到数据帧上?
交换机在转发策略过程中,上述3个问题是需要分别考虑的,图2-14所示的工作过程以及下列技术依次解释了这3个问题。● 2层转发表:2层转发表也叫做MAC地址表,用于确定如何转发
数据帧。MAC地址表包含MAC地址和目的端口信息。交换机会
在MAC表中检索入站数据帧的目的MAC地址,并使用表项中对
应的端口将数据帧发出。如果MAC中检索不到目的MAC地址,
数据帧则会泛洪给同VLAN下的所有端口。● ACL:访问控制列表(ACL)不光可以应用于路由器,还可以基
于MAC地址或IP地址应用到交换机上。通常中高端交换机可同时
支持基于MAC和IP地址的ACL,而2层交换机仅支持基于MAC地
址的ACL。● QoS:入站数据帧可以基于QoS参数进行分类。随后流量可以被
标记、指定优先级,或限速处理。
试读结束[说明:试读内容隐藏了图片]