Cisco局域网交换机配置手册(第2版•修订版)
设计一个交换网络必须考虑很多方面。一个大型企业网或园区网的扩容或重新设计似乎非常复杂或者不知如何下手。一种公认的、有条理的交换网络设计方法能够简化设计过程并使网络更有效率且更具扩展性。
本节包含的经验和想法可作为设计指南手册,以帮助用户周全地考虑全面的网络体系结构和配置。手册中的部分内容请参阅本书中对应其交换特性的章节。
1.使用LAN交换机合理地将LAN划分成最小的冲突域。
2.将企业网络规划成一个层次结构网络。
一个基于分层结构设计的网络为网络行为预知、网络中任何位置延迟一致性(基于交换机跳数)、可扩展性提供了基础。如果网络需要扩展,用户可以添加更多的交换机模块到现存的体系结构中。
图2-1显示了划分成3个不同层的基础网络体系。
接入层1:由用于连接终端用户的交换机组成。
分布层2:由用于汇聚接入层流量的交换机组成。
核心层:由用于汇聚分布层流量的交换机组成。
提示:
在中小型企业网络中,分布层可以被忽略掉。接入层交换机直接上连至核心层设备,这种设计方法称为紧缩核心(collapsed core)设计法。
为了实现高可用性,网络层每台交换机需要部署两条冗余上行链路连接到两台上层交换机。如果单条链路失效或整台交换机失效,可快速地使用另一条上行链路。上行链路故障切换的工作交给2层的生成树协议(STP)或3层的路由协议来处理。
3.层次设计中各层的交换功能性定位。
接入层:通常接入层交换机具有高端口密度、低成本、可满足用户接入或安全方面的特性、具有多个高速uplink接口等特点。对于一般的网络接入层来说,2层交换设备已经足够,尽管3层交换设备能为上层应用(例如IP电话)提供高可用性。
分布层:分布层交换机具有高端口密度的高速端口,并可提供更高的交换能力,理想的分布层交换机应使用3层交换设备。
核心层:核心层应由网络中最高端的一台或多台交换机构成,用于汇聚分布层交换机的流量。实际情况是,尽管3层交换增加了高可用性和增强的QoS,但在核心层是可以使用2层交换机的。通常具有两台交换机的核心层足以满足一个完整企业网络的需要。
4.标识提供相同功能的网络资源。
将提供相同功能的网络资源标识出来,使之成为网络设计中的功能组件或模块。图2-2给出了许多模块的实例,并指出了模块如何与网络层次设计相适应。
提示:
图2-2所示的网络将连接到上层的上行链路简化为单条链路。在真实的网络中,为了实现高可靠性,总是需要添加两条冗余上行链路连接到两台上层交换机上。
在这个例子中,每台接入层交换机都可能有两条上行链路连接到两台最近的分布层交换机上。此外,图中所示模块内的每台分布层交换机也可能有两条上行链路连接到两台核心层交换机上。换句话说,图2-1中的基本原理需要应用在图2-2的企业设计中。
服务器群与大型机:分别被称为服务器模块与大型机模块。
Internet接入、电子商务、企业外部网络服务器群、防火墙群:称为Internet模块。
远程接入:称为WAN模块。
通讯服务器和网关:称为PSTN模块。
传统网络(令牌环、FDDI等):由于此类网络使用路由器来提供到多种网络介质类型的连通性,故也称为WAN模块。
公共用户工作组:位于同一栋建筑、同一层楼或一层楼的同一个区域的终端用户称为交换机模块。一个典型的交换机模块有一组接入层交换机和分布层交换机,并且每台交换机都与分布层交换机进行互连。
a.核心模块。
如果在核心模块中使用2层交换机,那么互连两台核心交换机时不要造成生成树环路。
确保为每个VLAN指定并配置了主根桥和备根桥交换机。通常,根桥的放置应靠近核心层。相关内容请参考第7章中的7.2节。
如果使用了3层交换机,那么3层交换机应使用多条链路与核心交换机相连。相关内容请查阅第4章中的4.4节。
在一个三层的核心网络中,尽可能地使用3层路由协议来提供冗余的路由路径,即实现等价多路径(ECMP)。相关内容请查阅第8章中的8.3节。
为了实现完全冗余,核心层交换机应连接到每台分布层交换机上。如果核心层或分布层未使用3层设备,那么使用STP BackboneFast技术可以缩短STP的收敛时间。相关内容请查阅第7章中的7.2节。
b.服务器模块。
使用冗余上行链路连接到分布层或核心层,并使用STP UplinkFast技术(第7章的7.2节)或者HSRP(第8章的8.3节)来实现快速的故障切换。
出于冗余性的考虑,应在服务器上使用双网卡(NIC),并且每块网卡连接到不同的交换机线路卡或模块上。
c.Internet模块。
使用服务器负载均衡功能来将流量分布到服务器群中的多台服务器上。相关内容请查阅第10章中的10.1节。
使用防火墙负载均衡功能来将流量分布到防火墙群中的多台防火墙上。相关内容请查阅第10章中的10.2节。
d.交换机模块。
每台接入层交换机有两条上行链路连接到两台单独的分布层交换机上。
在接入层交换机上使用STP UplinkFast技术来减少上行链路故障切换的时间。
在接入层端口上使用STP PortFast技术来减少终端用户的启动时间。
要对穿越接入层上行链路的流量进行负载均衡,可以调整STP参数来让某个接入VLAN只使用某条上行链路,而另一接入VLAN使用另一条上行链路(此技术应用在分布层中的2层设备上)。除了这种方法外,还可以调整分布层中3层设备的HSRP优先级,以实现某个分布层交换机支持某个接入VLAN,而其他的分布层交换机支持其他VLAN。
如果分布层使用3层设备,应对连接到接入层的下行链路接口使用被动接口技术,被动接口所连接的接入层中不能存在路由器设备。
5.其他考虑事宜。
a.为每个VLAN配置一台STP的主根桥和一台备用根桥,且配置尽可能地靠近核心层。相关内容请查阅第7章中的7.2节。
b.广播域。
通过控制VLAN规模来限制广播域的大小。可以在网络中任何位置对VLAN进行扩展,但VLAN扩展的同时也增加了广播域的大小。
应考虑在交换机端口上使用广播抑制技术。相关内容请查阅第11章中的11.1节。
c.VLAN中继协议(VTP)。
配置练习时推荐使用VTP透明模式,而不是服务器/客户端模式。
使用VTP手工修剪来修剪Trunk链路上传输的特定VLAN。此操作可减少Trunk链路上不必要的广播流量。
d.Trunk扩展。
将多条Trunk链路捆绑在一起组成一个EtherChannel。出于容错性的考虑,将EtherChannel划分到多个交换机模块中。相关内容请查阅第4章中的4.4节。
不要配置Trunk链路的协商,而应该手动指定成“on”模式。相关内容请查阅第6章中的6.3节。
e.QoS。
应在网络中每台交换机上部署QoS技术。QoS技术必须被端到端节点正确地支持。相关内容请查看第13章中的13.2节。
将QoS可信边界扩展到可信的边缘设备(例如IP电话)。
使用策略来控制非关键业务的数据流。
f.冗余交换机模块。
在单网卡(NIC)主机环境中的服务器群交换机上考虑使用冗余Supervisor引擎。
如果在每个网络层中都具有冗余的上行链路,那么两台物理上分开的交换机可一直提供冗余性。在只有单个可用uplink接口的分布层或核心层交换机上可以使用冗余的Supervisor引擎。
在机箱上的Supervisor引擎之间使用高可用冗余特性。开启版本控制功能,使得交换机可以在不中断业务的前提下升级OS。相关内容请参阅第3章中的3.6节。
g.端口安全及认证机制。
使用端口安全,可对连接到接入层交换机安全端口上的终端用户的MAC地址或者用户数量进行控制。相关内容请参考第11章中的11.3节。
在接入层交换机端口上对用户进行身份认证。第11章中的11.8节描述了如何配置端口认证,使得用户需要登录或认证通过才能准许访问网络。
使用VLAN ACL来控制对VLAN的访问。相关内容参考第11章中的11.4节。
动态ARP检测(DAI)是一种验证网络中ARP数据包的安全特性。相关内容参考第11章中的11.9节。
DHCP监听提供了抵御拒绝服务(DoS)攻击的安全手段。相关内容参考第11章中的11.9节。
IP源保护可以用来阻止IP哄骗,其原理是在DHCP侦听保护下,只允许从某个特定端口获得的IP地址流量通过。相关内容参考第11章中的11.9节。
h.终端发现。
LLDP作为一种邻居发现协议,用于支持网络中的非Cisco设备以实现设备之间的互操作性。交换机支持IEEE 802.1AB3标准。
用在介质端点设备中的LLDP(即LLDP-MED)作为LLDP协议的扩展,工作在端点设备之间(例如IP电话)和网络设备之间(例如交换机)。
CDP作为一种设备发现协议,运行在所有Cisco制造的设备的第2层(数据链路层),Cisco制造的设备包括路由器、网桥、接入服务器和交换机。
1译者注:部分文档将access layer译为访问层。
2译者注:根据结构网络用途的不同,分布层(distribution layer)也可称为汇聚层(aggregation layer)。
3译者注:LLDP协议已经被认可为IEEE 802.1AB标准。