1.2 分层网络的设计
CCNP SWITCH 300-115认证考试指南
1.2 分层网络的设计
一个园区网络是指包含许多LAN(局域网)的企业网络,这些部署在一幢或多幢建筑物内的LAN能够相互连通,并且通常位于相同的地理区域。不仅如此,企业往往还拥有整个园区网络及其基础设施(例如物理线缆)的管理权限。从网络类型而言,园区网络一般由有线LAN和共享的无线LAN组成。
掌握网络中数据流1的特点,对于园区网络的设计有着至关重要的作用。为了提升网络中数据转发的速率,你可以选择并使用高速LAN技术,或是“简单粗暴”地直接提升网络带宽。尽管这些方式都是有效的,但是从整个网络设计的宏观角度出发,提升网络效率的根本重点应当是了解、学习和预测数据流的特点。在这样的前提下,网络流量才能够被高效地转发和管理。网络设计者也可从中受益,提升园区网络的可扩展性,以便适应未来增长的需求。
从一个简单的例子出发,假设存在这样一个网络:一系列PC、打印机和服务器全部连接到一个相同的网络分段(segment)2,并使用192.168.1.0子网地址段,如图1-1所示。所有这些设备共享该网络分段的可用带宽。
回顾我们在CCNA课程中所学习到的知识,当两个或多个主机尝试在同一时间点利用共享式网络介质传输数据时,它们所发送的数据帧便会相互碰撞和干扰。一旦发生这样的冲突,那么参与冲突的主机便需要立即停止数据的转发,等待一段随机的时间后才能重新发送各自的数据。我们把此处共享式网络介质的边界范围称之为一个冲突域。图1-1中,整个共享的网络分段代表着一个冲突域。
当然,在一个网络分段内连接6台主机的情况可能并不怎么“拥挤”。但是如果一个网络分段内连接了上百台主机,那么此时该网络的性能表现将变得非常糟糕,这是因为所有的主机设备都在争抢共享介质的使用权。为了改善这一情况,你可以利用网络分割的方法,减少在一个网络分段内所连接的设备数量。换句话说,也就是减小冲突域的大小,降低冲突发生的概率(因为在相同的时间点,需要转发数据的设备数量减少了)。
广播流量也能够对2层网络的性能表现带来负面的影响,因为每一个广播帧都会被泛洪给位于相同网络分段内的所有主机。如果网络分段的规模较大,那么广播流量也会成比例地增长,并逐渐耗尽网络的可用带宽。另外,所有连接于网络分段的主机都必须监听和处理每一个广播帧。为了有效地控制广播流量的大小,通常采用的办法是为LAN分段设置一个边界,使得广播流量无法穿越该边界或是向边界外发送。2层网络中广播帧所能到达的范围被称为广播域。
为了限制冲突域的大小,在交换机的每个独立接口上不应当连接过多数量的主机。最为理想的情况是,每一台主机应当专用一个交换机接口,这样的话,所有的主机都能够以全双工模式工作,从而完全杜绝了冲突域可能带来的不利影响。交换机接口不会传递帧冲突,因此每一个交换机接口都是一个独立的冲突域——即使这些接口属于相同的VLAN。
相比较而言,当广播流量被转发时,它将被泛洪给所有的交换端口。事实上,广播帧会被发送给一个VLAN内所有的交换端口。也就是说,一个VLAN定义了一个广播域的范围。为了减小广播域的大小,你可以把一个网络分割为多个较小规模的2层VLAN,然后再重组这些VLAN。所有较小规模的VLAN必须通过3层设备互连,例如一台路由器或多层交换机,如图1-2所示。因此,这里我们对图1-1所示的简单网络进行相应的改进,把原本的网络分段划分为两个较小的分段或VLAN,然后通过一台多层交换机(交换机A)相连。3层设备不会把帧冲突从一个网络分段传递到另一个网络分段。同样,它也不会在网络分段之间转发广播流量。
1.2.1 可预测的网络模型
最为理想的情况是,你所设计的网络应当具备可预测的特性,并且能够提供较低的维护成本和较高的可用性。例如,一个园区网络应当能够从故障和拓扑变更中快速地恢复,并且这种恢复行为是可预见的。园区网络应当支持扩展,以适应今后的扩张和更新。另外,随着网络协议及流量朝着多样化的方向发展,园区网络还应保持足够出色的性能表现,即无论用户处在网络中怎样的位置,用户访问所需资源的需求都能够得以满足。
换句话说,设计一个园区网络的主题思想应当围绕着所有的数据流,而不是某一类特殊的流量。最为理想的设计是,网络中所有用户与他们所需访问资源的距离是相等的。如果一个位于网络末节的用户需要穿越两台交换机才能到达电子邮件服务器,那么位于网络中其他位置的用户在访问电子邮件服务时也应当跨越两台交换机的距离。
关键
Cisco提出了一种非常优秀的分层网络设计方法,这种方法使得网络设计者能够根据不同的层级设备将网络组织起来。遵循这种方法所设计出来的网络非常高效和智能,同时具备很好的可扩展性及高度的可管理性。
为了突出分层网络的设计概念,这里重绘了图1-4来说明这个问题。图1-5中出现了两个明显的分层结构:接入层,即与终端用户距离最近的交换机所构成的层面;汇聚层,即用于聚合接入层交换机的层面。
需要注意的是,遵循上文所给定的分层结构,你可以非常简单地描述不同的流量路径。无论终端用户的位置如何,流量路径总是从接入层源起,流向汇聚层,甚至再到核心层。即使是两个位于网络不同末节的终端用户之间的流量,也同样存在着一致性和可预测性,即接入层>汇聚层>核心层>汇聚层>接入层。
每一个网络分层层面都拥有自己的明显特点,这些特点在园区网络的不同位置点上提供了恰当的物理和逻辑上的网络功能。想要成功地设计一个分层结构的网络,理解所有分层层面的概念及其功能或限制是非常重要的先决条件。
1.2.2 接入层
关键
接入层负责把终端用户接入到园区网络中。接入层交换机通常为用户提供2层的连通性(VLAN)。部署在该层面的设备,有时也被称为建筑接入交换机,这些设备应当具备如下特点:
低开销的交换端口;
高密度的端口设计;
可扩展的上联线路;
高可用性;
具备汇集网络服务的能力(数据、语言、视频);
安全特性和服务质量(QoS)。
1.2.3 汇聚层
关键
汇聚层为园区网络的接入层和核心层提供了相互的连通性。部署在该层面的设备,有时候也被称为建筑汇聚交换机,这些设备应当具备如下能力:
聚合多台接入层交换机;
为数据包提供高吞吐量的3层路由处理性能;
安全特性和基于策略的连通性控制;
QoS特性;
拥有连接到核心层和接入层的高速链路,且这些链路具备很好的可扩展性和冗余性。
汇聚层聚合(或汇集)了所有接入层设备的上联链路。除此以外,汇聚交换机还必须能够处理来自于所有已连接设备的流量集合。这些交换机应当拥有高密度设计的高速链路,以便支持众多接入层交换机的聚合。
汇聚层收敛VLAN和广播域,支持路由转发、流量过滤及安全特性。因此,位于汇聚层的交换机还必须具备对数据包执行高吞吐量路由转发的性能。
需要注意的是,汇聚层通常是园区网络3层边界的开始,接入层VLAN流量在这里执行路由转发。
1.2.4 核心层
关键
园区网络的核心层负责为所有的汇聚层设备提供连通性。核心,有时也被称为骨干,必须尽可能高效地对流量进行交换转发。核心层交换机必须具备以下特点:
极高的3层路由转发吞吐量;
避免部署一些高开销或不必要的数据包处理策略(如访问控制列表、数据包过滤);
提供冗余和回弹特性,从而获得出色的高可用性;
高级QoS功能。
部署于园区网络核心层或骨干区域内的设备应当专门针对高速转发进行优化,这是因为核心层必须处理大量的数据(这些数据来自于整个园区网),因此核心层的设计理念必须总是遵循极简化和高效性的目标。
尽管园区网络的设计一般遵循3层的分级设计方法(接入层、汇聚层和核心层),但在某些情景下,这种分层的设计可以在一定程度上被收缩或简化。例如,一些小型或中型园区网络并不具备构建完整3层分级结构的规模需求。因此对于这样的情景,你可以选择把汇聚层与核心层合并,以便简化网络结构,减少费用开销。当汇聚层与核心层相互合并,成为一个单独的交换层面时,这种设计被称之为收缩核心的网络设计。
1译者注:此处原文为traffic flow。对于中文而言,traffic和flow都可以被翻译为流量。但是需要注意的是,它们所表述的含义却有所不同。在网络领域中,traffic是指数据流量,是对一系列数据包的静态描述;flow是指一系列数据包流动的状态,是对行为的动态描述。在非网络领域中,traffic flow也被翻译为交通流,因此traffic是指参与交通行为的人和车,而flow是指所有交通参与者的一种行动状态。希望读者能够对照两者的区别,并加深理解traffic flow的含义。
2译者注:这里的网络分段是从物理的角度来进行描述的,即所有设备共享相同的网络介质,它们位于同一个冲突域;但通常我们所谓的网络分段,是指在逻辑上采用同一个IP子网地址的设备的集合,它们位于同一个广播域。