企业网三层架构

三层架构

• 园区 ：工厂，政府机关，写字楼，校园，公园等，这些公共场所内为实现数据的互通所搭建的网络都可以称为园区网。不同的园区网搭建的侧重点可能不同。
• 三层架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，每层都存在冗余，通过网络冗余备份来保证网络的可用性和稳定性，从而保障企业的日常业务运营。
  
• 由上图可看出，完整的三层架构中分为三个层次：接入层、汇聚层、核心层，每层实现特定的功能，提高效率。
• 接入层：只要目的是是终端设备接入到网络中来，提供接入端口并增加端口密度，接入层一般采用二层交换机。
• 汇聚层：主要目的是汇聚接入层收集的流量，在搭建时，汇聚层应成STP的根网桥和终端设备的网关，一般使用三层交换机
• 核心层：主要作用是完成公网和私网之间数据的快速转发，一般选择路由器作为核心层设备
• 冗余：一个真正的三层架构，一定会存在冗余，冗余是三层架构的核心，冗余又分为：1.线路冗余，2.设备冗余，3.网关冗余，UPS冗余（UPS：不间断电源，保证企业设备的电源全年在99.9999%的时间内可用）

WLAN

• WLAN：无线局域网，广义上指以无线电波，激光，红外线等来代替有线局域网的部分或全部传输介质所有构建的网络。
• 无线连接需要依靠可以发射和接收无线信号的无线设备，而这些设备最终也需要通过有线接入到网络中。
• 三层架构中接入层可以使用WLAN，将AP（无线接入点）设备连接到接入层，使其他设备可以通过无线连接网络

无线网络天生的缺陷

• 无线信号的穿透性较差，无线采用的是以太网技术：频分 ，而民用无线网络使用的是低频频段进行数据传输，低频频段的先天缺陷就是穿透性差。
• 无线网传输速率和信号强度有关，而且它的传输效率远低于有线连接，在我们电脑上查看的无线传输速率其实是双向速率
• 无线网络传输效率较低，速度较慢，无线局域网相当于在同一个冲突域中，如果有设备同时发出信号，会抵消信号；无线技术解决冲突的方法是采用CSMA/CA（载波侦听多路访问/冲突避免技术）。

CA技术避免冲突的做法：
1，在侦听到范围内没有信息发送时，不直接发送信号，而是，先给自己设置一个随机的计时器。
2，CSMA/CA技术采用停等式流控。每次发送信号都需对方确认

链路聚合技术

• 在下图中，两个交换机相连，每个交换机都连接着两台终端，假设该交换机的所有接口都是百兆口，当两端的设备相互访问时，200M的流量来到SW1上需要到SW2上，而SW1和SW2间只连接着一条百兆链路，流量只能分两次传输，延迟大大增加
  
• 为解决上述问题，我们可以升级设备性能，将交换机相连的接口升级为千兆口，但设备升级成本比较高，我们又不想花费太多，此时就想到交换机间一条链路不够，那连接两条链路同时传输也可以解决问题。
• 交换机间连接两条链路看似可行，但由于交换机间运行STP，即使连接了两条链路，也会被阻塞一条链路；而且即使没有STP，单个MAC只能与一个接口产生映射，单播是只会向一个接口发送数据，而发送广播包的时候，交换机会向复制广播包同时向着两个接口各发送一份数据。
• 为解决上述问题，出现了链路聚合技术： 将多个物理接口捆绑成为一个逻辑接口，即将多条物理链路逻辑上聚合成一条链路。可以在不升级硬件设备的条件下，达到增加链路带宽的效果。

链路聚合技术是应用在以太网网络体系下的技术，我们一般将逻辑链路成为聚合链路聚合链路在华为体系中被称为（ETH-TRUNK），将多条物理链路称为成员链路；相应的，将聚合后的逻辑接口称为聚合接口（ETH-TRUNK接口），将聚合前的物理接口称为成员接口。

• 链路聚合技术的限制要求：1.链路对端必须是同一台设备；2.所有的成员接口应该具有相同的速率，双工模式，相同的类型以及接口放通的列表，所属的VLAN等参数都需要完全相同。

原理

• 华为设备默认使用基于流的负载分担方式进行聚合链路的数据转发。同一数据流只通过一个接口传输，不同流可以走不同的成员接口。判断数据流的方法有很多，华为设备默认采用基于数据包中的源目IP地址来判断，也可以通过以下命令进行判断方式的调整。

[sw1-Eth-Trunk1]load-balance ? # 更改判断数据流的方法
dst-ip According to destination IP hash arithmetic # 只根据目标IP判断
dst-mac According to destination MAC hash arithmetic # 只根据目标MAC判断
src-dst-ip According to source/destination IP hash arithmetic # 根据源IP和目标IP进行判断
src-dst-mac According to source/destination MAC hash arithmetic # 根据源MAC和目标MAC进行判断
src-ip According to source IP hash arithmetic # 只根据源IP进行判断
src-mac According to source MAC hash arithmetic # 

ensp配置

• 首先创建聚合接口

[sw1]interface Eth-Trunk 0 # 创建聚合接口并进入配置视图
[sw1-Eth-Trunk0]

• 在聚合接口中划入成员接口，华为设备上为保证所有成员接口的配置相同，要求做链路聚合的成员接口聚合前不允许做任何配置，只能在聚合后在聚合接口中进行配置。

# 方法1：在聚合接口视图中划入成员接口
[sw1-Eth-Trunk0]trunkport GigabitEthernet 0/0/1 0/0/2
# 方法2：在物理接口配置，将其划入到对应的聚合接口中
[sw1]int g 0/0/1
[sw1-GigabitEthernet0/0/1]eth-trunk 0 # 划入聚合接口

VRRP

• VRRP：虚拟路由器冗余技术，由于解决单点网关故障导致局域网络与外网失联的问题，目前VRRP主要存在两个版本：VRRP V2：主要针对IPV4网络来设计的。VRRP V3 ：主要针对IPV6网络设计的。
• VRRP利用一组路由器（同一个LAN中的接口）协同工作，但是只有一个处于Master状态，处于该状态的路由器（的接口）承担实际的数据流量转发任务。在一个VRRP组内的多个路由器接口共用一个虚拟IP地址，该地址被作为局域网内所有主机的缺省网关地址。
• VRRP会决定哪个路由器是Master，Master路由器负载接收发送至用户网关（也就是发向上文提到的虚拟IP地址）的数据包并进行转发，以及响应PC对于其网关的ARP请求。
• Backup路由器侦听Master路由器的状态，并准备随时接替Master路由器的工作。

工作过程

• 在一个局域网中，有一组运行VRRP的路由器接口，如上图中R1的G 0/0/0口和R2的G 0/0/0口，我们会先定义一个虚拟IP（不同于局域网其他设备的IP）为该局域网的网关

在VRRP中存在一个组的概念，我们需要将协同工作的路由放到同一个组里面，通过配置VRID（由8位二进制构成）来区分不同的VRR
虚拟的IP地址需要注意两点1，需要手工配置；2，需要和真实的物理接口在同一个网段，这个虚拟网关还会自动生成一个虚拟的MAC地址：0000 - 5e00 - 01XX（最后两位16进制也就是8位二进制和该组对应的VRID相同。）

• 然后R1和R2需要决定哪个路由器为主路由器，只有主路由器拥有虚拟IP的归属权；一旦网关接口配置激活了VRRP，则所有网关都将发送携带参数的VRRP数据包，进行主备关系选举。选举结束之后，只有主会周期发送VRRP数据包，周期为1s，其他设备仅侦听主发送的VRRP包。主路由器会接收发送至用户网关（也就是发向上文提到的虚拟IP地址）的数据包并进行转发，以及响应PC对于其网关的ARP请求。

主备关系选举时：先比较优先级，在比较接口的IP地址
优先级默认值为100，取值范围为0 - 255，优先级大的为主；优先级接口IP地址大的为主

• 如果备份设备在3.6S（超时时间的计算公式：3x周期时间 + 偏移时间（256 - 优先级）/ 256）中还没有收到主发送的VRRP数据包，则将重新进行选举。

配置

• 接口上激活VRRP组

[r1]interface g 0/0/0 # 进入接口
[r1-GigabitEthernet0/0/0]vrrp vrid 10 virtual-ip 192.168.1.254 # vrrp vrid 组号 virtual-ip 虚拟IP
[r1-GigabitEthernet0/0/0]

• 修改优先级

[r1-GigabitEthernet0/0/0]vrrp vrid 10 priority ?
INTEGER<1-254> The level of priority(default is 100)

• 查看VRRP

[r2]display vrrp brief 
Total:1     Master:0     Backup:1     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
1     Backup       GE0/0/0                  Normal   192.168.1.3  

• 开启上行链路检测，如下图中假如R2为主路由器，当PC访问R3的环回时，PC会将流量交由R2转发，当R2故障，R1会代替R2成为主路由器，在这个过程中，只有3.6秒的时间PC访问不到R3；而如果R3与R2间的链路故障，R2依然是主路由器，但R2无法直接访问R3，只能通过R1访问R3，这就导致了PC访问R3时，会先将流量交给R2，然后R2将流量交由R1转发，增加了延时。这种情况可通过开启上行链路检测，当主路由器发现访问外网的链路故障时，会自动的下降本地VRRP优先级。
  

# 追踪G 0/0/1口，如果G 0/0/1口故障则网关接口的VRRP优先级降低50（默认降低10）
[r2-GigabitEthernet0/0/1]vrrp vrid 10 track interface GigabitEthernet 0/0/1 reduced 50