Cisco多层交换园区网设计.docx

《Cisco多层交换园区网设计.docx》由会员分享，可在线阅读，更多相关《Cisco多层交换园区网设计.docx（35页珍藏版）》请在三一办公上搜索。

1、Cisco多层交换园区网设计模型Cisco多层交换园区网设计模型概述本文首先阐述如何使用多层交换机构建园区网，然后详细讲解多层交换网的设计要点。一般来说，使用分级设计的多层交换网络能够使网络工作在最佳状态，并具有较好的可伸缩性、容错性和可操作性。不管是用以太网做主干也好，ATM做主干也好，多层交换模式都有它的优点，分级设计使园区网的实现变得非常容易，排错也简单，因为多层交换的设计是模块化的，所以可以根据建筑物模块的增加来进行升级。第三层的作用可以让广播数据限制在核心交换网之外，并能通过OSPF和EIGRP协议在主干网上实现链路负载平衡功能。多层交换保持现有的寻址方式，容易迁移，Uplink F

2、ast通道和HSRP协议提供冗余和快速收敛。带宽升级可以从以太网到快速以太通道、千兆以太网到千兆以太通道，多层模块支持各种现有的协议。目 录园区网设计考虑因素2网络的桥接2寻址能力和升级能力2第二层交换3第三层交换4第四层交换4虚拟局域网VLAN和仿真局域网LANE4园区网设计的参考模型5Hub和路由器模型5园区网VLAN模型6ATM上的多协议交换7多层交换模型8新一代80/20 规则8多层交换模型的组成9冗余和负载平衡9带宽升级12核心层策略13定位服务器14ATM / LANE 主干14I P 多播访问 16迁移策略18安全性能19多层模型之间的桥接19多层模型的优点20附录A：实现多层设

3、计模型20以太网主干20服务器配置26ATM LANE主干27 小结：34园区网设计考虑因素平面桥接网最早的园区网被认为是在单一局域网上添加了多个新用户而形成的。这样的LAN是网络设备通过物理或逻辑线路连在一起构成的网络。在这样的网络中，所有网络设备共享半双工的10M可用以太网带宽。这时，整个网络是一个碰撞域，因为所有网络设备可以侦听到网络上传输的数据，会产生数据包冲突，因此就引进CSMA/CD碰撞检测机制来规划网络上的数据传输。当一个碰撞域上的数据传输变得非常拥挤时，就应该加入一个网桥，网桥是一个存储转发型的数据包交换机，他把整个网络分成若干个碰撞域，来减小数据包的碰撞，增加传输效率。网桥不

4、会隔离网端上的广播、多播和组播数据，就是说，整个园区网所有桥接网络是一个单一广播域。生成树协议STP的开发避免了数据回路。下面是STP广播域的主要特征：冗余链路被封锁不能传输数据不同节点之间存在非理想路经STP收敛通常需要40到50秒在第二层传输的广播数据会中断所有的主机在第二层产生的广播风暴会影响到整个域的主机隔离故障非常困难网络安全没有保障理论上，广播数据的大小受整个广播域的大小限制，实际上，管理一个桥接架构的园区网会随着网络的不断扩大而变得越来越难，一个的工作站的故障有可能造成整个网络的瘫痪。当设计桥接网的时候，每个桥接网段就相当于一个工作组，工作组服务器和客户机一样被放在同一个网段中，

5、使大部分数据传输在本地网段中，这就是遵循80/20 原则。寻址能力和伸缩能力路由器是一个用来构建互联网络的包交换机，负责在不同的广播域之间传输数据。路由器是根据网络地址而不是物理地址来转发数据包的。互联网络的可伸缩性比桥接的网络要好，因为路由器可以对网络地址进行总结，从而计算出一条最好的传输路径，路由器之间通常使用诸如OSPF、EIGRP之类的路由协议来交换路由信息。与STP相比，路由协议有以下特征：可以通过几条相同代价的路径来实现链路负载平衡在网络之间使用最小开销路经网络状态变化时进行快速收敛汇总路由信息为了控制广播数据，Cisco的路由器提供了许多增值功能来提高园区网的可管理性和可伸缩性，

6、这些功能是IOS的特性，现在几乎所有Cisco的路由器和交换机上都有。IOS软件的功能对每个协议都有特别的支持，它们包括：TCP/IPAppleTalkDECnetNovell IPXIBM SNA、DLSw、APPN在园区网中，从一端到另一端的路由跳数被称为网络直径，给园区网设计定义直径是需要有丰富的经验的，这就要用到分层设计模型，图1展示的就是一个路由器-HUB结构的典型设计。从一个建筑物的终端主机到另一建筑物的终端主机的路由跳数一般只有2跳，从终端主机到FDDI主干一般只有1跳。图1 ：用路由器和HUB组成的传统园区网第二层交换第二层交换是基于硬件设备的桥接，数据帧的发送是由专门的硬件来

7、解决，通常是使用ASIC芯片。如今，在园区网的设计中，集线器通常被交换机取代。交换机与集线器相比，它的优点是非常突出的，试想，一个有100人的工作组使用集线器共享一个半双工的10M网段，那么平均每个人只有分配到100K左右的带宽，如果是用全双工的交换机的话，那么每端口的带宽是20M，相差甚大，但服务器的端口就成了瓶颈。交换机可以使网络设计在每个网段上提供更多的主机数，使一个完整的园区网方案中包含更少的逻辑网络或者物理网络。然而，交换机也和网桥一样有他们共同的局限性，网络的广播数据还是会随着网段上主机数目的增加而增加。广播也影响着主机传输数据，STP限制、收敛速度慢和冗余链路封闭的问题仍然存在。

8、第三层交换第三层交换的实质是基于硬件的路由，数据包的发送也是通过ASIC芯片来完成的。在园区网设计中，第三层交换机可以依靠协议、接口和特殊功能的支持来代替路由器，支持标准数据包头并改写TTL值的第三层交换模式叫逐包转发模式。高档的Layer 3 交换机的实现方法因生产厂家而异，Cisco的12000千兆交换路由器是以线速率实现包的快速转发的。Catalyst系列交换机使用的是通过ASIC芯片开发的超级交换引擎，Cisco的第三层交换机是跟标准相兼容的，可以把它当作高速路由器连到网络外部的设备上。Cisco的第三层交换机在Catalyst的基础上结合了IOS提供的多协议支持功能和基于第三层硬件交

9、换的技术。路由交换模块RSM是一个由IOS支持的和Cisco7500系列一样的RSP2引擎。NetFlow卡 是一个用来在Catalyst5000的超级引擎上升级的功能子卡，基于硬件的第三层交换机就是通过在NetFlow功能卡上的ASIC芯片来实现包交换的。第四层交换第四层交换指的是在硬件路由的基础上再加上应用程序的功能。在TCP或UDP数据流中，应用请求被编码成端口号放在数据报的头部。Cisco的路由器可以用扩展访问列表来控制数据传输，也可用NetFlow交换模式进行流量计算。Catalyst系列的交换机可以在第三层交换和第四层交换之间自由切换，当它被用作第三层交换的时候，NetFlow功能

10、卡通过目标IP地址来区别数据流量，当它被用作第四层交换的时候，NetFlow功能卡是通过原IP地址、目标IP地址、原端口号和目标端口号来区分数据流量的。因为两种模式都是基于同一种硬件的，所以两种模式几乎没有什么区别。如果是要通过应用程序来进行流量控制就选择第四层交换，如果是要通过应用程序进行流量统计就使用第三层交换。多层交换多层交换指的是“一次路由，然后交换”，它可以根据MAC地址、IP地址、协议和端口号进行交换。在高性能的网络中，这种技术被广泛采用。虚拟局域网VLAN和仿真局域网LANE在园区网中跨网段交换的实现方法是VLAN技术。一个VLAN是从物理网络布局独立出来的逻辑网络，可以跨交换机

11、组成一个VLAN，每一个VLAN是一个独立的广播域，功能和一个扩展桥接网段相似，STP通常在交换机之间起作用。图2展示了三个VLAN，分别是Pink、Purple和Green，每种颜色代表一个工作组，也表示一个逻辑子网：Pink = 172.16.1.0Purple = 172.16.2.0Green = 172.16.3.0图2 ：虚拟局域网VLAN技术支持园区在范围内实现VLAN的一个技术是VLAN关联(trunk)。VLAN关联使得在两个交换机之间可以传输多个逻辑网络的数据，交换机和路由器的VLAN关联只须连接一条网线。在图2中服务器X可以同时和三个VLAN交换数据，黄色的线路表示有IS

12、L协议运行的部分，ISL负责传输不同VLAN之间的信息。ISL、802.10和802.1Q都是用来在VLAN之间互相通信的标记协议，所谓标记就是在VLAN之间传输的数据帧头部添加了一个整数值，用来区别不同的VLAN。ATM上的LANE允许在单一的ATM网络上形成逻辑局域网，ATM上的LANE使用和VLAN相似的数据报头，使用ISL、802.10和802.1q协议，所以ELAN和以太网VLAN是相互兼容的。在图2中，交换机B和交换机C作为LANE的LEC客户身份连接三个VLAN，使他们能够通过ATM主干相互通讯。服务器B也是一个LEC，为VLAN服务，它能直接和三个VLAN相互通信。ATM LA

13、NE仿效以太网，在面向连接的ATM中广播协议，网络中图中没有列出LANE配置服务器LECS、LANE服务器LES和未知广播服务器BUS，他们的作用是使LANE工作的更像以太网LAN，在Cisco LightStream1010、Catelyst5000的LANE卡和有ATM接口的路由器都支持这些功能。在一个VLAN上的以太网主机或服务器不能和另外一个VLAN的以太网主机或服务器相互访问。图2中，在VLAN Green中的客户机Z不能和VLAN Pink中的服务器Y相互通信，因为在两个VLAN中没由路由器提供服务，在后面的章节中，我们会讲到使用LANE技术来实现它们之间的通信。园区网设计的参考模

14、型HUB和路由器模型图1展示了一个由路由器和HUB组成的传统园区网，其中访问层的设备是HUB，分布层由路由器组成，核心层是FDDI光纤环网。在分布层中，路由器的作用是控制广播数据和对网络进行分段。在HUB和路由器之间的每条线路相当于一个逻辑网络，或者说是一个子网。几个HUB也可以通过桥接而组成一个子网。这种模式的优点是可升级性比较好，因为路由器具有智能化的路由协议如OSPF和EIGRP等。分布层是访问层跟核心层的分界线，分布层的路由器对网络进行分段，并隔离广播域，这样的设计易于管理、易于排错，被广泛采用，并能运行各种不同的协议如Novell IPX、AppleTalk和DECnet等。路由器和

15、HUB模型中的每个路由器的设置都是一样的，所以，他们的作用也是相同的、可预计的，这样对排错工作来说就显得比较容易。第3层的包转发由所有路由器共同来完成。这种经典设计可以随着应用的需要而升级，可以把原来的共享型HUB换成交换机，原来的分布层可以升级成为第3层交换，升级不会改变原来的地址结构、逻辑网络结构和路由器的运行状态。园区的VLAN模型图3展示了一个传统的园区VLAN设计，交换机被用在访问层、核心层和分布层，红、绿、蓝、紫代表四个工作组，分布在几个访问层交换机之间。工作组之间的访问由路由器X来负责，它集中了第3层交换和一些其他服务功能。几个工作组的企业服务器被放在路由器的后面，用黑色线条来标

16、明。各个VLAN之间的通信可以用ISL关联来实现，那样的话，路由器就成为一个“独臂路由器”，VLAN之间的数据传输要进入先路由器处理，然后输出。可以用几个这样的路由器来分担数据处理任务，从而可以减少应路由器引起的瓶颈问题，还可以增加冗余链路。图3传统的园区VLAN设计图4展示了一个升过级的园区VLAN模型，它具有多层交换的优点，交换机X是一个Catalyst5000多层交换机，独臂路由器被路由交换模块RSM和有NetFlow功能卡的第3层交换机取代，企业服务器也换成了100M快速以太网或200M快速以太通道来传输数据。园区网设计严格遵守80/20规则，如果有80%的网络传输在本网段上，那么在第

17、二层上将会有20%的网络传输从客户机到工作组服务器，然而要是有90%的通信量在客户机和企业服务器之间的话，那么独臂路由器将要承担90%的通信量，这样的网络的传输性能和扩展性能会被STP的局限性所限制。每个VLAN就相当于一个水平桥接网。园区网VLAN模型为跨建筑物的逻辑网络的设置带来了很大的方便，分布在不同楼层或建筑的同一工作组可以通过VLAN来连接，Cisco的解决方案是通过VLAN成员配置服务器（VMPS）和VLAN关联协议（VTP）来实现VLAN的创建。任何一个移动用户只要在任何一个交换机端口连上他的手提电脑，所连交换机就会发送一个询问到VMPS来决定用户的VLAN信息。图4：具有多层交

18、换功能的园区VLANATM上的多协议ATM上的多协议(MPOA)技术把第3层的穿通交换(cut-through)技术加到LANE上，ATM上MPOA的结构和ATM上的LANE相同，为每个ELAN进行的LECS和LES/BUS设置也相同 。图5展示了一个小型的MPOA园区网的组成部分。图5：MPOA园区网设计有了MPOA，网络中新的成员就是多协议客户(MPC)和多协议服务器(MPS)，这些都会由路由器X中的IOS来实现。当一个在Pink VLAN中的主机要和企业服务器建立通信时，第一个数据包就会由访问层交换机发出，这个交换机充当MPC角色，通过LANE把数据包发给MPS，就是路由器，路由器再把包

19、转发到目的MPC，然后路由器就告诉两个MPC，它会为它们建立一条SVC虚通道，然后通过SVC直接传输数据。有了MPOA，IP组播数据可以在建立的SVC上传输。多点传输的数据包发送时首先发给本地ELAN中的未知广播服务器BUS，扩散到本地ELAN，然后，路由器X通过路由表把多点传输播数据包拷贝并发送给所有目的ELAN上的BUS，让他们往自己所在ELAN上的主机发送多点传输数据包，所有要发送的多播内容按照次序重复以上步骤。除了IP以外，其他协议的数据包都是通过LANE路由器LANE的途径来通信，而不用建立一条直通方式的SVC。MPOA设计时要考虑好广播、多播和非IP协议数据通信的数量对路由器性能的

20、影响，当网络的组播数据占主导地位，或者交换机连接着ATM主干时就要考虑配置MPOA了。多层交换模型新的80/20规则传统的80/20规则的优点我们已经在前面的章节讲过了。有了园区网VLAN模型，逻辑网络可以分布在园区不同的建筑物内，80/20规则随着企业内部网络的应用需要而变化得很快，越来越多的企业把应用程序做成WEB数据库，服务器被统一放置在一个地方，大部分的数据通信需要在本网段以外传送，只有20%的数据在本网段中。这样，传输模式就变成20/80规则了。多层模型的组成多层交换的作用满足了20/80交通规则，在Catalyst5000上的多层交换有两个部件，路由交换模块RSM和Net Flow

21、功能卡，RSM是一个做在卡上的由IOS支持的多协议路由器，功能和Cisco7500路由器差不多。NetFlow功能卡是一个为Catalyst5000交换机超级引擎升级的子卡，它通过ASIC芯片进行第2层和第3层的线速率交换，这里要说明一点，通过NetFlow卡工作时，不管第2层交换也好，第3层交换也好，它们的性能是一样的。图6展示了一个简单的多层交换的园区网设计。园区内有3栋建筑A、B和C，通过核心层的主干网连在一起。分布层由Catalyst5000交换机组成，这个多层设计吸取了第2层交换的优点，在访问层和核心层中采用Catalyst系列的交换机，并在分布层中采用多层交换系统。多层交换的设计沿

22、用了传统的HUB路由器模型的逻辑网络结构和地址，升级非常容易。访问层的子网在分布层终止，另外，主干网上的子网也在分部层上终止。这样，多层交换并没有使用园区范围的VLAN，但是它却具有我们所希望的VLAN的优点。图6：用多层交换组建多层的园区网因为多层交换是在分布层中进行的，这使得路由选择具有很多优点。分布层形成了一道广播屏障，广播数据就不会发到主干网上。分布层上也可以运行Cisco IOS的增值功能，比如：分布层上的交换机把Novell服务器的地址存在缓存中，如果有工作站要求询问临近服务器信息，路由器就代替服务器把信息发给它，然后丢弃查询数据包，以免它在网络上广播。另一个例子就是给移动IP用户

23、发送DHCP信息。在分布层中实现的另一个Cisco IOS的功能是本地移动区LAM，LAM让那些没有部署DHCP或者由静态IP地址和网关的主机在园区内自由移动，路由器负责将移动用户的地址信息传播出去。事实上，Cisco的IOS有几百种功能，它们可以提高企业网络的稳定性、可升级性和易管理性。这些功能支持园区网中所有可能用到的协议，包括DECnet、AppleTalk、IBM SNA、Novell IPX、TCP/IP等，还有很多其它的协议。这些功能的一个共同的特征是考虑“整体模式”，它可以把整个网络作为一个整体，与“部分模式”相反，如考虑端口密度和性能，只支持单个部分而不是一个整体。“部分模式”

24、对企业网络的稳定性、可升级性和易管理性没什么作用。多层模型的最大优点取决于它的分级设计和模块化。分级是因为各层之间的定义非常分明，非常专业，模块化是因为同一个层中的各个部分起着相同的作用。模块化的一个重要的优点是不同的技术可以在模块中的同一个逻辑网段上共存而不相互影响，例如，令牌环网可以被以太网取代，FDDI可以被快速交换以太网取代，HUB可以被路由器取代，快速以太网可以被ATM 的LANE取代，ATM 的LANE可以被千兆以太网取代，如此等等。所以模块化设计可以使得技术的兼容和迁移变得非常简单。模块化的另一个突出的优点是每一层中的设备都按照同一个程序运行，所以，设置工作和故障排除也变得相对容

25、易，整个设计着重考虑的是工作性能、路径选择和故障恢复。在访问层，一个子网相当于一个VLAN，一个VLAN工作组可以定义在一个或者几个交换机上，当然，也有可能几个VLAN定义在一个交换机上，如果Catalyst5000交换机被用在访问层，那么VLAN关联就会灵活的把子网或工作组分配到几个交换机上。在以后的例子中，我们会展示在每个交换机上配置两个VLAN，来说明如何用VLAN关联在分布层实现负载平衡和快速收敛功能。在简图中，核心层是一个单一的逻辑网络或VLAN。我们的例子中，展示了核心层作为单一的第二层交换结构，没有回路存在。这有助于避开在核心层中生成树型回路，因为OSPF和EIGRP协议具有负载

26、平衡和快速收敛的优点，所以，我们将用它们来解决主干网上的路径选择和收敛问题。这样，多层模型中的路径选择和快速收敛就会在分布层上得以解决。 冗余和负载平衡图6的设计中，分布层的设计有个缺陷，如果连着楼A的Catalyst5000交换机的电源意外断开的话，那么楼中近千个用户将失去它们跟主干网的通信。如果楼层交换机的一根物理线路出了问题，那么该层上的100名用户将无法访问主干网。图7的设计解决了这些问题。多层交换机A和B为North域提供了冗余连接，主干网上的冗余链路可以在核心层加几个交换机就可以实现。冗余链路为分布层提供容错性，就像主干网上的负载平衡和多链路选择一样。在分布层中，冗余链路连接着访问

27、层的所有交换机和两个分布层的多层交换机。快速收敛功能由第3层的冗余路由协议HSRP来实现。分布层的两个交换机一起为楼层内所有的主机提供HSRP网关路由。第2层上的快速收敛由Cisco的快速上联通道功能来实现。快速上联通道有一个收敛算法，当主链路出错时，它会在三秒钟之内把主链路恢复到备份链路上。核心层的负载平衡由Cisvo IOS中的智能路由协议来实现，在图7中，任何两个建筑物之间都由四条相等路经的通道，例如，从North域到West域有AXC、AXYD、BYD和BYXC四条路经。对第3层的路由协议来说，这四条第2层路经的开销是相等的，因为无论从哪个域出发到主干网的路由跳数都只有一跳。Cisco

28、的IOS为各种协议提供多达六条相同开销的冗余路经。图7：冗余多层园区网设计图8展示了有企业服务器区的冗余多层模型，服务器区就像是多层交换中的一个建筑物模块，处于分布层。标有A的千兆以太链路负责两个服务器之间的数据通信，标有B的快速以太通道链路负责主干网的数据传输，服务器之间的通信被隔离在主干网以外，有利于安全和数据传输速度。在X和Y之间，企业服务器有HSRP快速收敛功能，服务器的访问策略可以由X、Y上的访问列表来完成。图8中，第2层交换机V、W和分布层的交换机X、Y分离出来画，以便让大家看得更清楚，在这样的网络中，V和W应该被包括到X和Y中去。把服务器放在一个区域中，有利于避免像图7中的IP重

29、定向和选择最佳网关的问题。严格来讲，HSRP不能被用于企业服务器，他们应该用诸如代理ARP、Internet 路经发现协议IRDP、网关发现协议GDP和RIP侦听之类的协议来构造路由表。图8：有服务器区的多层模型图9展示了两个分布层交换机之间的操作，主机都接在访问层交换机上，偶数子网被定义到偶数VLAN，奇数子网被定义到奇数VLAN，偶数子网的主HSRP在交换机X上，后备HSRP为交换机Y，奇数子网的主HSRP在交换机Y上，后备HSRP为X。它们的共同之处是每个HSRP网关路由器的主机号里都有100，例如子网15.0的HSRP网关就是15.100,如果15.100断电或者出错，那么交换机X将会

30、在两秒钟之内取代15.100作为网关，这将会在附录A里面再作介绍。图9：有HSRP的冗余图10展示了在访问层和分布层之间使用Cisco ISL VLAN关联协议来实现负载平衡。我们在交换机A上定义了VLAN10和VLAN11，在B上定义了VLAN12和VLAN13，每个访问层交换机都由两条上联链路和分布层的交换机相连，STP把冗余连接做成模块，如图所示。通过设置交换机的关联通道使一条链路作为奇数VLAN的主链路、偶数VLAN的备份链路，另一条作为偶数VLAN的主链路、奇数VLAN的备份链路来实现负载平衡。图中，交换机A上标的F10表示forwarding path for VLAN 10，B1

31、1表示blocking path for VLAN 11 图10：在VLAN上实现负载平衡 图11展示了当一条链路断开时，交换机左边的关联通道将会被作为VLAN10和VLAN11的主要通道。有必要的话，路径将会跨过X和Y之间的快速关联通道Z。通道Z是第2层的通道，位域中所有的VLAN提供备份连接，也担负一些X、Y主机之间的负载平衡工作。如果是以前的STP桥接的话，出错以后收敛时间需要4050秒，而用现在的快速关联通道，收敛只需3秒钟。图11：有快速收敛作用的VLAN关联带宽升级在多层模型中，对于关联通道容量有所不同，以太网的关联有很多种平衡方法，这样，以太网就可以迁移到快速以太网，快速以太网可

32、以被迁移到快速以太通道、千兆以太网或千兆以太通道中去，访问层交换机可以被分成多样化关联上的多样化的VLAN。结合使用ISL，可以把VLAN定义到多个关联中。快速以太通道是结合两条或四条快速以太网链路的容量，连到一个单一的高速关联通道，Cisco 7500系列路由器配备IOS11.2以上版本支持快速以太通道技术，在Catalyst5000交换机上，配备了快速以太通道线路卡或者超级引擎、就可以支持该技术。快速以太通道技术也被许多其它厂家所认可，包括Adaptec, Compaq, HP, Intel, Sun和Znyx。有了快速以太通道技术，以太高性能服务器就可以用400兆全双工线路以800兆的总

33、带宽连到核心层主干网上。图12展示了在访问层交换机和分布层交换机之间升级带宽的三种方法。其中A表示“最好”，所有VLAN通过ISL协议结合到一起连到快速以太通道上。B表示“好”，其中，网段只结合了几条线路并使用了ISL协议。C表示“一般”，只用了一个网段。图12：升级以太通道的带宽设计时尽量采用模型A中的方法，因为多个VLAN使用同一个快速以太通道，这样可以提高带宽的利用率。如果一个快速以太线路卡失效，就采用B中的方法，如果没有快速以太通道也没有ISL，就采用C中的方法，每条VLAN占用一个通道端口，与A中的相比，同样的输出C中需要更多的端口。在ATM主干上，可以根据需要增加多个OC-3或OC

34、-12通道的关联来升级带宽。负载平衡和快速收敛问题由PNNI提供的智能路由来解决。核心层策略在分布层中有了第3层交换，将主干网定义为一个或多个逻辑网络就非常简单了。VLAN技术可以创建一个逻辑上独立的网络，它可以用于一些特殊用途。在IP核心层中，可以创建管理流量的VLAN和企业服务器的VLAN，每个VLAN可以使用不同的策略，并可以延伸到访问层上。这样，端口管理和流量管理就可以被严格控制了。核心层上另一个逻辑区划分的方法是通过协议，为基于IP的企业服务器和基于IPX或者DECnet的企业服务器分别创建一个VLAN，如果在多层的核心交换机上定义安全策略，那么逻辑分区就会彻底地变成物理网络。图13

35、展示了核心层中两个独立的交换机，VLAN100定义在交换机V上，负责响应IP子网131.108.1.0上的WWW服务器连接。VLAN200定义在交换机Y上，负责响应IPX网络上的服务器连接。图13：核心层上的逻辑网段或物理网段当然，主干网上的拓补结构是越简单越好。在一些方案中，所有服务集中在一台服务器上，还有的将数据集中在一个数据中心以便管理。现在，越来越多的企业将所有的服务做成网页供企业内部访问。当中央服务器直接连到主干网上时，所有分布层的的客户机与核心层的服务器之间的路径只有一跳，基于策略的服务器访问控制由分布层的访问列表来实现。在图14中，服务器W是用快速以太网连到核心层子网上的，服务器

36、X是通过快速以太通道连到核心层子网上的。以前提到过，直接连到核心层的服务器一定要用ARP代理，IRDP，GDP，或者RIP侦听协议来构建它们的路由表。HSRP不能在核心层子网上使用。因为分布层中的交换机都是连到园区中不同部分的。企业服务器Y和Z被放在多层交换模块的服务器分布区，Y是用以太网连接的，Z是用快速以太通道连接的。访问控制策略是靠核心层中交换机的访问列表来实现的。服务器分布模块的另一个突出的优点是可以用HSRP提供冗余和快速收敛，并把所有服务器到服务器的流量限制在主干网上。请参照附录A中的例子。 服务器M在工作组D中，属于某个VLAN，M是通过快速以太网连接到访问层交换机的一个端口上的

37、，因为大所数的数据通信在本网段中，所以它遵循了80/20规则。如果有必要的话可以通过分布层的访问列表把M隐藏起来。 服务器N连在分布层的交换机H上，N是一个大楼服务器，负责VLAN ABCD之间的通信。从N到VLAN ABCD有两条数据链路，如果有四块网卡，那么它可以直接和四个VLAN相连，或者有一个ISL 网卡的话，它就可以通过VLAN关联直接访问四个VLAN了。服务器N也可以根据需要通过分布层的访问列表把它隐藏起来。图14：多层模型中的服务器放置ATM/LANE主干图15展示了在多层交换园区网中用ATM/LANE做主干。如果客户要求有Qos服务质量保证，那么ATM是一个很好的选择。实时的语

38、音数据应用可以要求ATM提供流量控制，拥塞延迟预测和业务流整形等服务。每个Catalyst5000多层交换机都配有一个LANE卡，LANE卡的功能是担任LEC角色，这样，分布层的交换机就可以通过ATM主干网相互通信。LANE卡上有一个带冗余的ATM OC-3物理接口叫双PHY，图15中，交换机上的连接线有一条是主链路，另一条是备份链路。ATM核心层中由两个LightStream1010 组成，路有器和服务器通过本身的ATM接口连到ATM主干上，服务器区中企业服务器接在Catalyst5000 交换机X、Y上，企业服务器可以用快速以太网或者快速以太通道连接，Catalyst5000上的LANE卡

39、充当LEC角色，把企业服务器连到ATM主干上。两个LightStream1010之间的关联通道可以是OC-3或者是OC-12，PNNI协议解决在ATM交换机之间的负载平衡和路由问题。智能路由的需要随着核心层中的交换机的增多而变得越来越重要。主干上不再会有STP协议，第3层的智能路由协议OSPF、EIGRP提供分布层交换机之间的负载平衡和路经选择功能。Cisco 开发了简单服务器冗余协议SSRP来实现LEC和LES/BUS的冗余功能。在Cisco7500路由器上有SSRP功能，Catalyst5000系列、LightStream1010系列交换机兼容所有的LANE1.0标准的LEC。图15：AT

40、M LANE核心的多层交换模型Catalyst5000上的LANE卡是一个有120Kpps广播能力的高效BUS，这个容量对大型的园区网来说已经足够了。在图15中我们把主LES/BUS放在了交换机X上，备份LES/BUS放在了交换机Y上。对于小型园区网来说，LES/BUS的SSRP收敛时间只需几秒钟，但对于大型园区网来说，收敛时间可能需要几分钟。所以，在大型的园区网设计中，一般都采用双ELAN主干来实现LES/BUS的快速失效恢复。举个例子来说，主干上有两个ELAN，A和B，如果到ELAN A的LEC/BUS链路失效，那么数据流很快会重新选择通过ELAN B的路径，直到ELAN A 的链路恢复为

41、止。 在ELAN A的链路恢复以后，分布层上的交换机会重新建立ELAN A的连接，并开始两个ELAN之间的负载平衡。这个过程只能建立在路由协议而不是桥接的STP协议上。主要LEC和备份LEC的数据都配置在LightStream1010上，因为它们处在网络的中心位置。当ELAN稳定工作时，LEC上没有多少CPU负荷，LEC只会在有新的LEC加入时才会工作。因为这样，所以配不配置备份LEC没多大影响。最好的选择就是用Cisco7500作为LEC连到ATM主干上，因为它在LEC/BUS失效时不会影响ATM上的信元交换。图16展示了用Catalyst5500来实现LANE核心的代替。在这里，我们用带有

42、ATM交换处理器ASP卡的Catalyst5500作为ATM交换机。它加上一块OC-12 LANE/MPOA卡就可以配置成LEC，加上一块快速以太线路卡就可以配置成一个以太网帧交换机。服务器区仍然作为多层交换模块配置。Catalyst5500集LightStream1010和Catalyst5000的功能于一体，在园区网的组建中扮演着重要的角色。图16：LANE核心的替代Ip多点传输（以下简称多播）基于IP多播的应用程序在实际应用中只占很小一部分比例，不过它发展很快，一些应用程序如IPTV、微软的NetShow、NetMeeting等已经被一些企业所运用。以下是如何有效地使用多播的几个例子：多

43、播路由，协议独立多播PIM密集模式和稀疏模式；客户机和服务器以Internet组管理协议IGMP加入多播组；用Cisco多播组管理协议CGMP和IGMP侦听来管理多播树结构；交换和路由多播性能；多播策略；为多播指定的路由协议是PIM，PIM稀疏模式在RFC2117中有定义，而PIM密集模式是常用标准模式。在Internet上，PIM也像在企业网中一样被广泛部署，就像字面上的意思一样，PIM使用组播路由协议如OSPF、EIGRP。PIM路由可能会和DVMRP协议工作，DVMRP是一个在Internet广播主干网上的一个路由协议，现已有50%的地位被PIM取代，以后可能会被完全取代。PIM可以以密

44、集模式或者稀疏模式的方式操作，密集模式的操作就例如IPTV，在园区内有一个多播服务器和很多的客户机。稀疏模式的例子就是NetMeeting，另外PIM建立的多播结构可以最小化所使用的带宽，这对一些实时的语音图像传输来说非常重要。在大多数环境中，PIM被设置成稀疏模式，并可以根据需要自动转换成密集模式。IGMP是被服务器和客户机广播或加入到多播工作组的工具。本地网关路由器负责本地子网上的多播工作，不过当本地子网上没有多播工作组的客户机时，它会隔离广播数据。CGMP协议把多播结构延伸到交换机上。一台Cisco路由器发出一个CGMP消息广播所有被列为多播工作组的客户机的MAC地址，交换机收到后，就决

45、定哪些端口上有组播数据通过，从而避免了把广播数据发送到所有端口。Catalyst5000系列交换机可以把多播数据流定向在一个、几个或者是所有端口上而不影响性能，Catalyst可以有几个多播工作组一起工作并以线速率转发。实现多播策略的一个方法是在交换机后面放置一个多播服务器。图17中，交换机X是一个多播防火墙，限制多播数据流，控制对多播会话的访问。想要把多播数据流更好的隔离开来的话，就要在核心层上创建一个独立的多播VLAN或子网。核心层中的多播VLAN可以是核心交换机的一个逻辑区或者是后备交换机。交换机X是一个实现PIM汇总的逻辑地点，PIM汇总点就像是多播树中的ROOT。图17：多播防火墙和多播主干升级考虑多层设计模型的升级是非常方便的：第3层交换因为是分布式的，所以升级很简单；当你在主干网上加上更多的链路或者交换机的时候，主干网也就随之升级；在访问层中，有了特定的冗余设计后（两个分布层的交换机），单个的交换域可以升级到1000个以上的用户。而且，在园区网中可以加上多个交换模块而不影响整个园区网的设计模型。在所有的多层设计的讨论中，我们都避免了在核心层中形成STP回路。STP的失效收敛通常需要40-50秒，而且不支持冗余链路的负载平衡。在以太网主干上，不会有回路；在ATM主干上，PNNI解决负载平衡问题。在所有案例中，都由OSPF