分析Cisco企业园区架构
本篇是基于《CCNP SWITCH(642-813)学习指南》做的学习笔记。如有纰漏,恳请指正。
1.1 企业园区网设计概述
Cisco拥有多种企业园区网的设计模型,这些设计模型都是对各类企业网络的抽象与浓缩。可以分为以下部分:
·核心骨干网 连接园区网、数据中心、分支机构/WAN和Internet边缘
·园区网 作用是使终端用户能够从某一地理位置访问网络通信服务和网络资源。有的网络只包含一个园区网,这个园区网也充当核心骨干网的作用。园区网通常会将园区网、数据中心及网络中的WAN部分连接在一起。
·数据中心 用来存放计算机系统及相关组成部分的设备。这里说的计算机系统只存放邮件、数据库、市场数据应用的服务器。
·分支机构/WAN 包含路由器、交换机等设备,用以连接总部办公室和各地的分支办公室,并在各个主站点之间建立连接。
·Internet边缘 由路由器、交换机、防火墙及其他网络设备所组成。将企业连接到Internet。
1.1.1驱动企业架构变化的法规标准
法规标准对于数据中心、灾难恢复和业务连续性来说至关重要。设计者都应该在设计网络之前,首先查看一下可以应用到该场合中的相关法规标准。如果还有某些法律适用于读者所在企业,那么读者在设计企业网络之前应该进行一下内部咨询,以获得更多具体信息。
1.1.2园区网设计方案
园区网设计合理的话,网络应该是模块化的、可以快速恢复的、灵活性很强。优良的园区架构设计不仅节约时间,节约成本,而且还可以简化IT工程师的工作,并且能让业务量显著提升。
·模块化 根据模块化设计出来的园区网更容易扩展和修改。使用结构单元式的设计方式,相关人员在对网络进行扩展时,只需为网络添加新的模块即可,无需重新设计一个新的网络。
·快速恢复 部署、设计园区网的最理想结果是:在接近100%的时间里网络都可以正常工作。这同样也是网络应该实现的可用性指标。
·灵活性 业务上的变化旨在确保企业能够适应市场的发展。而业务变化也会影响企业对园区网的需求,从而取药园区网络快速适应心的需求。
1. 传统的园区设计方案
起初,传统园区网设计方案是建立在单一的二层拓扑和单臂路由基础上的。单臂路由(Router-On-a-Stick)是指通过一台路由器与多个LAN相连,并由改路由器来路由这些网段之间的数据。
单层的网络存在很多固有限制,二层网络的限制是无法提供以下特性。
·扩展性
·安全性
·模块化
·灵活性
·快速恢复
·高可用性
二层网络的原始优势之一就是速度,不过,随着Cisco Catalyst和Nexus交换机装载了高速交换硬件之后,三层交换的性能已经能和二层交换的性能并驾齐驱。有鉴于此,人们就开始大规模的部署三层交换网络。比如对于以下交换机来说,其三层交换性能就等同于二层交换性能:Catalyst3000、400和6500系列交换机,以及Nexus7000系列交换机。
由于Cisco见环境的三层交换性能可以支持大型网络,因此,为使网络更容易扩展,人们开始使用分层结构设计园区网。
(PS:对于当代Cisco交换机来说,就吞吐量而言,三层交换性能已经等同于二层交换性能。Nexus系列交换机旨在用于部署数据中心,可以支持很高的带宽,速率可达每秒数十万兆。另外,管理员可以根据需要,让Nexus交换机为市场数据应用提供低延迟交换、以太网光纤通道(FCOE)以及高可用性特征。不过,由于Nexus是为数据中心研发的交换机,因此他们缺少一些Catalyst交换机所拥有的特性,比如IP电话在线供电的功能等)
2. 园区网设计方案中的分层模型
为了简化园区网的构架,Cisco也采取了分层的做法由于分层模型中的每一层都只关注一个特点的功能,因此网络设计师就可以更轻松地为每一层选择最为合适的系统和特征。这种模型可以提供一个模块化的框架,使网络设计变得更加灵活,实施和排错变得更加轻松。Cisco园区网架构可以将网络或网络中的模块化区域从根本上分为三个层面,即接入层、分布层和核心层:
·接入层 也叫做访问层。用来使用户、服务器或边缘设备能够访问网络。在园区网设计方案中,接入层一般包含为工作站、服务器、打印机、无线接入点等设备提供连接端口的交换机。在WAN环境中,接入层可以通过WAN技术帮助远程用户访问公司网络。接入层是园区网中特性最丰富的部分,因为设计网络的最佳做法就是在尽可能接近网络边缘的位置应用特征。这里说的特征包括安全、访问控制、过滤、管理等。
·分布层也称为汇聚层。这里汇集了配线柜,在这一层中,我们使用交换机将工作组分进不同的网段中,并用交换机将园区网环境中可能存在的问题隔离在一个比较小的范围内。同样,分布层也汇集了园区边缘的WAN连接,并可以提供一定程度的安全性。一般来说,分布层位于接入层和核心层之间,充当服务和控制的边界。
·核心层 也称作骨干层。高速的骨干旨在以最快的速度交换数据包。在当代园区网设计方案中,核心骨干必须使用至少万兆的以太网链路来与其他交换机建立连接。由于核心层对于网络连通性来说是最为关键的一层,所以它必须提供最高级别的可用性,并且必须能够最快地适应网络的变化。该层的设计方案也应该实现扩展性和快速收敛。
分层话模型具有的优势:
·提供了模块化的设计方案
·易于理解
·灵活性强
·易于扩展
·提高了网络的可预测性
·降低了排错的难度
1.1.3多层交换机对网络设计的影响
1. 以太网交换技术回顾
第2、3、4、7层交换这些术语是将交换特性结合在了OSI参考模型上。下面为OSI参考模型及其与协议和网络硬件之间的关系。
2. 二层交换
二层交换机只能根据MAC地址对数据包进行交换。二层交换及能够比较轻松地提高网络带宽和端口密度。术语“第二层交换“是在暗示交换机所转发的帧不会以任何方式被修改。(某些二层交换机具有一些第三层的特性)
3. 三层交换
三层交换机带有三层路由选择功能。目前很多Catalyst三层交换机都能够使用路由选择协议(如BGP、RIP、OSPF和EIGRP)来定制最优的转发决策。有些带有路由选择功能的Cisco交换机吴发支持BGP协议,这是因为这些交换机的内存无法支撑规模较大的路由表。
二层交换:
·根据MAC地址表进行交换
·扩展性有限,域中只能存在有限的几台交换机
·有可能可以支持第三层特性,如QoS或访问控制
三层交换:
·根据IP地址进行交换
·兼具二层特性
·设计方案扩展性良好
4. 四层交换与七层交换
四层交换是指根据协议会话进行交换。第四层交换不仅会使用源IP地址和目标IP地址,还要使用数据包中TCP和UDP部分所包含的IP会话信息。使用四层交换技术来对流量进行区分,最常用的方法就是通过TCP和UDP端口号来实现。服务器负载均衡技术(这是一个从第四层到第七层的交换特性)可以使用TCP信息(如TCP、SYN、FIN和RST等)来制定转发决策。综上所述,第四层交换机能够区分不同类型的IP数据流,例如区分FTP、NTP、HTTP、S-HTTP、和SSH流量信息等。
七层交换功能是根据应用层信息来实现的。所谓七层交换,指的是内容智能。以浏览web网页为例,内容智能需要使用某些特性,如URL监控、cookies和主机数据包头等。再以VoIP(Voice over IP,IP承载语音技术)为例,为了实现QoS,内容智能需要对呼叫目的地进行区分,例如区分出该呼叫是本地呼叫还是长途呼叫。
1.1.4深入分析二层交换
二层交换也常被人称为基于硬件的桥接。在只有二层功能的交换机中,帧的转发是有ASIC(Application Specific Integrated Circuit一种集成电路)负责处理的。此外二层交换机将增加带宽的能力转移到配线架,而无需给网络增加不必要的复杂性。
简单来讲,二层交换具有如下的网络设计特点。
·旨在实现接近线速的性能
·内置了高速专用的ASIC
·低延迟交换
·可扩展到多台交换机的拓扑,但拓扑中没有路由器和第三层交换机。
·支持第三层功能,如IGMP(Internet Group Management Protocol,Internet组管理协议)侦听和QoS标记
·在大型网络中,扩展性有限,没有第三层边界
1.1.5深入分析第三层交换
三层交换是基于硬件的路由选择。通过提供路由选择域,三层交换机克服了二层设备扩展性不足的缺点。ASIC和其他专用电路负责处理三层交换机中的数据包转发。第三层交换机处理数据包的方式和传统路由器一般相同,其中包括以下工作。
·根据第三层信息判断转发路径
·通过第三层校验和来验证第三层数据包头部的完整性
·改变数据包的TTL值,并验证其是否过期
·在修改IP的工程中,修改源和目的MAC地址
·在修改第三层信息的过程中,跟新第二层CRC(Cyclic Redundancy Check循环冗余校验)
·处理并响应数据包中的任何选项信息,如ICMP(Internet Control Message Protoco, Internet控制报文协议)记录
·为网络管理应用更新转发统计数据
·在需要的时候,应用安全控制和服务分类
要实现三层路由选择功能,就要求设备具有修改数据包的能力。
ARP协议(Address ResolutionProtocol地址解析协议),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。
1.1.6理解多层交换
多层交换将二层交换和三层路由选择的功能结合了起来。具体而言,多层交换机不仅能够对园区网络中的通信流量进行线速转发,而且还能满足第三层的连通性要求。此外,多层交换机还支持很多其他的第二、三层特性。例如,很多多层交换机支持QoS标记技术。通过综合第二层和第三层功能和特性,多层交换机具有易于部署的特点,并且能够简化网络拓扑。
另外三层交换机可以通过对二层的汇聚,来限制生成树规模,这也可以简化网络结构。第三层路由协议还能够支持负载分担、快速收敛、扩展性及网络控制等功能。
1.1.7Cisco Catalyst交换机简介
这里将介绍一些在园区网、骨干网和数据中心环境中比较常用的交换机型号。
1. Catalyst 6500系列交换机
Catalyst 6500系列交换机是Cisco生产的全线交换机中最受欢迎的型号。这种型号的交换机部署广泛,不仅限于园区网、数据中心和骨干网,也常用于部署服务器、WAN、分支机构等,这种型号的交换机既可用于企业网络,也可用于服务提供商网络。其具有以下特点:
·最多有13个插槽可以用来安装扩展模块
·在能够使用超额订阅(oversubscription)的型号中,每个插槽可以支持最大16个万兆(10Gb)以太网接口
·在当代硬件中,每个槽位支持的最大带宽为80Gb/s
·支持带有大量二层和三层交换特性的Cisco IOS
·在安装特定模块之后,可以支持上达七层的特性
·可根据冗余和高可用性方面的需要而安装荣誉的电源、风扇及Supervisor引擎
·支持三层不间断转发功能(NSF),因此设备在切换引擎时,路由对等体关系不会受到影响
·向后兼容功能和投资保护策略,使其拥有漫长的生命周期。
2. Catalyst 4500系列交换机
Catalyst 4500系列交换机是一个相当受用户欢迎的交换机系列,很多中小型企业都在园区网的分布层或折叠核心层(Collapsed Core)部署了这个系列的交换机设备。所谓折叠核心层设计方案是指将核心层和分布层设计在同一个区域中。比Catalyst 6500系列交换机次一级,但依然支持很多的二层和三层特性。具有以下特点:
·最多有10个插槽可以用来安装扩展模块
·每个插槽可以支持多个万兆以太网接口
·支持Cisco IOS
·支持二层交换和三层交换
·可出于冗余和高可用性方面的需要而安装荣誉的电源、风扇及Supervisor引擎
3. Catalyst 4948G、3960和3560系列交换机
Catalyst 4948G、3960和3560系列交换机是园区网中最常用的固定端口交换机,它们主要用于网络的接入层。有以下特点:
·可以配置大量的固定端口,其中包括最多48个1Gb/s接入层端口和4个用于连接分布层的上行链路10Gb/s以太网接口
·支持Cisco IOS
·支持二层交换和三层交换
·不能安装冗余的硬件
4. Catalyst 2000系列交换机
Catalyst 2000系列交换机是纯二层的交换机,他们无法支持三层路由选择功能,但是也能支持一些其他的三层特性。这些特性一般都会应用在园区网中的接入层。特点如下:
·可以配置大量的固定端口,其中包括最多48个1Gb/s接入层端口和多个用于连接分布层的上行链路10Gb/s以太网接口
·支持Cisco IOS
·仅支持二层交换
·不能安装冗余的硬件
5. Nexus 7000系列交换机
Nexus 7000系列交换机是Cisco最优秀的数据中心交换机。Nexus7000的软件无法支持Cisco IOS的任何特性。总结如下:
·模块化交换机,可以安装最多18个模块
·每个插槽支持最大230Gb/s
·支持Nexus(NX-OS)
·10槽位机箱采用了前后通风的设计方式
·支持冗余的Supervisor引擎、风扇、电源
6. Nexus 5000和2000系列交换机
Nexus 5000和2000系列交换机是专为部署接入层的数据中心而设计的低延迟交换机。这些交换及目前都是纯二层交换机,但是他们支持低延迟的直通式交换功能。Nexus 5000交换机是为万兆以太网应用而设计的产品,它也可以支持FCOE技术。
1.1.8硬件交换和软件交换术语
硬件交换是指通过专门的硬件(ASIC)在任意一层(第二层至第七层)处理数据包的行为。ASIC通常能够达到线速的吞吐量,它不会设备应用了某些高级特性(QoS标记、ACL处理或IP重写)而降低性能。与通过CPU实现的传统的数据帧”软件交换”相比,通过硬件实现交换和路由选择,流量的速度明显更快。
ASIC在交换构架中更容易扩展,而CPU扩展性则不强。在对数据包以分布式的方法进行硬件交换时,不仅Catalyst交换机的Supervisor引擎上集成了ASIC,而且交换机的每个线路模块上也集成了ASIC。ASIC会受到内存容量的限制,内存越大,交换机就能支持更多数量的ACL。此外ASIC并不支持Cisco IOS的全部特性。(例如Catalyst 6500系列交换机就必须对所有需要执行NAT的数据包进行软件交换)
1.1.9园区网流量类型
常见流量类型:
流量类型 |
描述 |
数据流 |
带宽 |
网络管理 |
网络中会出现很多不同类型的管理流量,比如BPDU、CDP更新、SNMP、SSH、RMON流量。有些设计者会为某种类型的管理流量分配一个独立的VLAN,以简化排错工作 |
流量会在各层间流动 |
低 |
语音 |
语言流量分两种:端点设备之间的信令信息,以及语音通话自身的数据包。一般来说,从IP电话出入的数据包会被划分到语音流量专用的VLAN中(利用QoS标准来授予语音流量更高的优先级) |
一般从接入层流向核心层或数据中心的服务器 |
低 |
IP组播 |
IP组播流量会从某个特定的源地址发往一组MAC地址。组播流量会在网络中产生大量的数据流。因此,交换机和路由器的正确配置就很重要 |
一般从接入层流向核心层最后流向数据中心 |
很高 |
一般数据 |
最典型的应用流量,它与文件和打印服务、Internet浏览、数据访问及其他共享应用有关。流量例子有:服务器报文块、NCP(网件核心协议)、SMTP(简单邮件传输协议)、SQL和HTTP等 |
通常从接入层流向核心层最后流向数据中心 |
中低 |
清道夫类(Scavenger class) |
清道夫类包含了所有协议或模式超过了正常数据流的流量。这样做是为了保障网络中的流量不会出现过量的情况,以防止终端系统PC上的恶意程序在网络中作乱。清道夫类也作用于尽力而为类型的流量,如点到点流量 |
没有规律 |
中高 |
1. 点到点的应用
有些流量使用的是点到点模型,即数据流在两个端点之间进行发送典型的点到点应用如下:
·即时消息 两个对等体在两个终端系统之间建立通信连接。当连接建立起来之后,设备可以直接对话
·文件共享 有些操作系统或应用需要能够直接访问其他工作站上的数据。大多数企业都禁止使用这种应用,因为它们缺乏集中的或者网络管理的安全性。
·IP电话呼叫 IP电话呼叫对网络的要求十分严格,因为这种流量需要通过QoS来讲抖动降至最低
·视频会议系统 视频会议对网络的要求极高,因为它非常消耗带宽,而且需要使用CoS(服务类别)。
2. 服务端/服务器应用
许多企业流量都是基于客户端/服务器模型的,因此在这种模型中,去往服务器的连接最有可能成为带宽的瓶颈。特别是对于财务和市场交易的数据中心应用则需要使用低延迟交换机,如Nexus 5000系列交换机。
典型应用有:
·邮件服务器
·文件服务器
·数据库服务器
对应于用的访问:
·快捷
·灵活
·尽在掌握(安全)
3. 客户端-企业边缘应用
客户端-企业边缘应用是使用企业边缘的服务器来为企业和企业的公共服务器之间交换数据。这些应用包括外部邮件服务器和外部web服务器。在园区网和企业边缘之间,最核心的通信问题就是安全性和可用性。
Ps: 在设计园区网之前,设计者必须首先了解企业中的网络流量和模式。因为它们会最终决定网络的规模、网络的特性,以及园区网中应该使用哪种交换机。
1.1.10SONA及无边界网络的概述
如果设计者使用了合理的网络架构,那么业务战略和it投资就会相得益彰。以服务为导向的网络架构(SONA)是Cisco专为设计高级网络功能而提出的一种架构取向。SONA对于连接网络服务与应用并解决业务需求,提供了指导方针、最佳做法和实施蓝图。SONA描绘了智能企业网络中的三个层次:
·网络基础设施层 在此,所有IT资源在融合网络平台上互联。这些IT资源包括服务器、储存设备和客户端设备。网络基础设施层表示出这些资源是如何存在于网络的不同位置的,如园区网、分支机构、数据中心、WAN、MAN(城域网)和远程办公地点。在这一层中,客户的目标是随时随地连接网络。
·交互服务层 利用网络基础设施的应用和业务流程有效分配资源
·应用层 包含商业应用和协作应用。在这一层中,客户的目标是满足业务需求,并重复利用交互服务的效率。
SONA将应用智能的嵌入到了网络基础设备中,使网络可以识别不同的应用和服务,并能够更好地为他们提供支持。
以SONA框架设计园区网拥有以下优势:
·使所有区域中的网络基础设施具有融合、虚拟、智能、安全和集成特性
·节省成本
·增加效益
·更快捷地部署心的服务和新的应用
·强化业务流程
Ps:SONA完全是一个指导网络设计的模型!
1.2 企业园区网设计
Cisco园区架构将网络分为接入层、分布层、核心层。这个企业网架构将企业网络分为了物理、逻辑和功能三个区域。划分这些区域使网络设计者和工程师能够根据设备的位置以及模型中相应位置的功能,来在相应设备上使用特定的网络功能。
1.2.1深入分析接入层
接入层汇集了终端用户,并为终端用户提供与分布层相连的上行链路。设计得当,将有以下优势:
·高可用性 可以为重要用户提供冗余Supervisor引擎和电源。还可以为用户提供冗余的默认网关(在接入层交换机与分布层交换机之间使用双链路连接,在分布层交换机上运行FHRP[首条冗余协议]等)。
·网络融合 接入层交换机可以为IP电话无无线接入点提供在线以太网供电(PoE)技术,使客户能够将语音数据融合到数据网络中,并未用户提供漫游WAN接入功能。
·安全性 接入层交换机可以提供一些安全功能(如端口安全、DHCP欺骗、动态ARP监控和IP源防护)防止未经授权的用户对网络进行访问。
1.2.2 分布层
部署分布层需要考虑的问题主要是网络的可用性、快速路径恢复、负载分担和QoS。一般地,高可用性通常是通过在分布层到核心层,以及接入层到分布层之间部署两条路径来提供的。分布层将二层和多层交换功能结合在了一起,它负责将工作组划分进不同网段并且隔离网络故障,进而阻止这些故障蔓延到核心层。分布层还将终结接入层交换机发起的VLAN。分布层提供以下功能:
·汇聚接入层交换机
·为简化起见而分隔接入层
·汇总去往接入层的路由
·总是用两条链路来连接上游核心层交换机/路由器
·可以应用数据包过滤、安全特性、和QoS
1.2.3 核心层
核心层是园区网连接的骨干,是另外几层的汇聚点。必须提供高级冗余特性并且能够更快地适应变化,还必须实现能够实施可扩展的协议和技术、可替代的路径以及负载分担特性。总结特性如下:
·将位于分布层的交换机同网网络的其他部分汇集到一起
·通过提供冗余的汇集点来实现快速收敛和高可用性
·可以在未来随着分布层和接入层的扩展而扩展
1. 为什么需要核心层
如果没有核心层,位于分布层的交换机就必须采用全网状互联的方式相互连接。这种方式难扩展,并且浪费线缆。
2. 将园区核心层作为企业骨干网
核心层可以简化企业中网络设备之间互联的方式,同时也可以降低不同网段之间(楼层之间)路由的复杂程度。
1.2.4 小型园区网示例
小型园区网或大型分支机构网络是指终端设备小于200台的网络,同时在小型园区网中,网络服务器和工作站有可能物理地连接在同一个配线柜中。在小型园区网中的交换机也许不需要拥有很高的性能,也不需要具备很强的扩展性。在小型园区网中还可以将分布层和核心层合并进同一层中。
使用设备示例:Catalyst 2960G交换机,Cisco1900/2900路由器
1.2.5 中型园区网示例
对于一个中型园区网来说,网络中应该拥有200-1000台终端设备。
使用设备示例:Catalyst 4500/6500系列交换机
1.2.6大型园区网示例
大型园区网是指拥有2000个以上终端用户的环境。
1.3 使用PPDIOO生命周期法来设计并实施网络
PPDIOO表示 准备、规划、设计、实施、运营和优化。PPDIOO是Cisco生命周期法,它持续发展的生命周期定义了网络所需的各项服务。
1.4 总结
园区网正在不断地发生变化。变化之一就是园区网正在从传统/二层交换机设计方案转变为基于虚拟交换机的设计方案。另一个变化就是由单一接入交换机提供多个子网转变为基于路由的接入层设计方案。
随着网络的演变,网络中添加进来了很多新功能,比如虚拟服务,或者移动性等。而在网络中引入这些功能的动机往往不一而足。安全风险的提高、架构灵活的需要、应用数据流的变化等都驱动着网络架构的不断发展,使其功能日臻完善。