Cisco多层交换园区网设计模型(DOC35)

Cisco多层交换园区网设计模型概述本文首先阐述如何使用多层交换机构建园区网，然后详细讲解多层交换网的设计要点一般来说，使用分级设计的多层交换网络能够使网络工作在最佳状态，并具有较好的可伸缩性、容错性和可操作性不管是用以太网做主干也好，ATM做主干也好，多层交换模式都有它的优点，分级设计使园区网的实现变得非常容易，排错也简单，因为多层交换的设计是模块化的，所以可以根据建筑物模块的增加来进行升级第三层的作用可以让广播数据限制在核心交换网之外，并能通过OSPF和EIGRP协议在主干网上实现链路负载平衡功能多层交换保持现有的寻址方式，容易迁移，Uplink Fast通道和HSRP协议提供冗余和快速收敛带宽升级可以从以太网到快速以太通道、千兆以太网到千兆以太通道，多层模块支持各种现有的协议目 录园区网设计考虑因素…………………………………………………………2网络的桥接………………………………………………………………2寻址能力和升级能力……………………………………………………2第二层交换………………………………………………………………3第三层交换………………………………………………………………4第四层交换………………………………………………………………4虚拟局域网VLAN和仿真局域网LANE………………………………4园区网设计的参考模型………………………………………………………5Hub和路由器模型………………………………………………………5园区网VLAN模型………………………………………………………6ATM上的多协议交换……………………………………………………7多层交换模型…………………………………………………………………8新一代80/20 规则………………………………………………………8多层交换模型的组成……………………………………………………9冗余和负载平衡…………………………………………………………9带宽升级…………………………………………………………………12核心层策略………………………………………………………………13定位服务器………………………………………………………………14ATM / LANE 主干………………………………………………………14I P 多播访问 ……………………………………………………………16迁移策略…………………………………………………………………18安全性能…………………………………………………………………19多层模型之间的桥接……………………………………………………19多层模型的优点………………………………………………………………20附录A：实现多层设计模型…………………………………………………20以太网主干………………………………………………………………20服务器配置………………………………………………………………26ATM LANE主干………………………………………………………27 小结：……………………………………………………………………34园区网设计考虑因素平面桥接网最早的园区网被认为是在单一局域网上添加了多个新用户而形成的。

这样的LAN是网络设备通过物理或逻辑线路连在一起构成的网络在这样的网络中，所有网络设备共享半双工的10M可用以太网带宽这时，整个网络是一个碰撞域，因为所有网络设备可以侦听到网络上传输的数据，会产生数据包冲突，因此就引进CSMA/CD碰撞检测机制来规划网络上的数据传输当一个碰撞域上的数据传输变得非常拥挤时，就应该加入一个网桥，网桥是一个存储转发型的数据包交换机，他把整个网络分成若干个碰撞域，来减小数据包的碰撞，增加传输效率网桥不会隔离网端上的广播、多播和组播数据，就是说，整个园区网所有桥接网络是一个单一广播域生成树协议STP的开发避免了数据回路下面是STP广播域的主要特征：冗余链路被封锁不能传输数据不同节点之间存在非理想路经STP收敛通常需要40到50秒在第二层传输的广播数据会中断所有的主机在第二层产生的广播风暴会影响到整个域的主机隔离故障非常困难网络安全没有保障理论上，广播数据的大小受整个广播域的大小限制，实际上，管理一个桥接架构的园区网会随着网络的不断扩大而变得越来越难，一个的工作站的故障有可能造成整个网络的瘫痪当设计桥接网的时候，每个桥接网段就相当于一个工作组，工作组服务器和客户机一样被放在同一个网段中，使大部分数据传输在本地网段中，这就是遵循80/20 原则。

寻址能力和伸缩能力路由器是一个用来构建互联网络的包交换机，负责在不同的广播域之间传输数据路由器是根据网络地址而不是物理地址来转发数据包的互联网络的可伸缩性比桥接的网络要好，因为路由器可以对网络地址进行总结，从而计算出一条最好的传输路径，路由器之间通常使用诸如OSPF、EIGRP之类的路由协议来交换路由信息与STP相比，路由协议有以下特征：可以通过几条相同代价的路径来实现链路负载平衡在网络之间使用最小开销路经网络状态变化时进行快速收敛汇总路由信息为了控制广播数据，Cisco的路由器提供了许多增值功能来提高园区网的可管理性和可伸缩性，这些功能是IOS的特性，现在几乎所有Cisco的路由器和交换机上都有IOS软件的功能对每个协议都有特别的支持，它们包括：TCP/IPAppleTalkDECnetNovell IPXIBM SNA、DLSw、APPN在园区网中，从一端到另一端的路由跳数被称为网络直径，给园区网设计定义直径是需要有丰富的经验的，这就要用到分层设计模型，图1展示的就是一个路由器-HUB结构的典型设计从一个建筑物的终端主机到另一建筑物的终端主机的路由跳数一般只有2跳，从终端主机到FDDI主干一般只有1跳。

图1 ：用路由器和HUB组成的传统园区网第二层交换第二层交换是基于硬件设备的桥接，数据帧的发送是由专门的硬件来解决，通常是使用ASIC芯片如今，在园区网的设计中，集线器通常被交换机取代交换机与集线器相比，它的优点是非常突出的，试想，一个有100人的工作组使用集线器共享一个半双工的10M网段，那么平均每个人只有分配到100K左右的带宽，如果是用全双工的交换机的话，那么每端口的带宽是20M，相差甚大，但服务器的端口就成了瓶颈交换机可以使网络设计在每个网段上提供更多的主机数，使一个完整的园区网方案中包含更少的逻辑网络或者物理网络然而，交换机也和网桥一样有他们共同的局限性，网络的广播数据还是会随着网段上主机数目的增加而增加广播也影响着主机传输数据，STP限制、收敛速度慢和冗余链路封闭的问题仍然存在第三层交换第三层交换的实质是基于硬件的路由，数据包的发送也是通过ASIC芯片来完成的在园区网设计中，第三层交换机可以依靠协议、接口和特殊功能的支持来代替路由器，支持标准数据包头并改写TTL值的第三层交换模式叫逐包转发模式高档的Layer 3 交换机的实现方法因生产厂家而异，Cisco的12000千兆交换路由器是以线速率实现包的快速转发的。

Catalyst系列交换机使用的是通过ASIC芯片开发的超级交换引擎，Cisco的第三层交换机是跟标准相兼容的，可以把它当作高速路由器连到网络外部的设备上Cisco的第三层交换机在Catalyst的基础上结合了IOS提供的多协议支持功能和基于第三层硬件交换的技术路由交换模块RSM是一个由IOS支持的和Cisco7500系列一样的RSP2引擎NetFlow卡 是一个用来在Catalyst5000的超级引擎上升级的功能子卡，基于硬件的第三层交换机就是通过在NetFlow功能卡上的ASIC芯片来实现包交换的第四层交换第四层交换指的是在硬件路由的基础上再加上应用程序的功能在TCP或UDP数据流中，应用请求被编码成端口号放在数据报的头部Cisco的路由器可以用扩展访问列表来控制数据传输，也可用NetFlow交换模式进行流量计算Catalyst系列的交换机可以在第三层交换和第四层交换之间自由切换，当它被用作第三层交换的时候，NetFlow功能卡通过目标IP地址来区别数据流量，当它被用作第四层交换的时候，NetFlow功能卡是通过原IP地址、目标IP地址、原端口号和目标端口号来区分数据流量的因为两种模式都是基于同一种硬件的，所以两种模式几乎没有什么区别。

如果是要通过应用程序来进行流量控制就选择第四层交换，如果是要通过应用程序进行流量统计就使用第三层交换多层交换多层交换指的是“一次路由，然后交换”，它可以根据MAC地址、IP地址、协议和端口号进行交换在高性能的网络中，这种技术被广泛采用虚拟局域网VLAN和仿真局域网LANE在园区网中跨网段交换的实现方法是VLAN技术一个VLAN是从物理网络布局独立出来的逻辑网络，可以跨交换机组成一个VLAN，每一个VLAN是一个独立的广播域，功能和一个扩展桥接网段相似，STP通常在交换机之间起作用图2展示了三个VLAN，分别是Pink、Purple和Green，每种颜色代表一个工作组，也表示一个逻辑子网：Pink = 172.16.1.0Purple = 172.16.2.0Green = 172.16.3.0图2 ：虚拟局域网VLAN技术支持园区在范围内实现VLAN的一个技术是VLAN关联(trunk)VLAN关联使得在两个交换机之间可以传输多个逻辑网络的数据，交换机和路由器的VLAN关联只须连接一条网线在图2中服务器X可以同时和三个VLAN交换数据，黄色的线路表示有ISL协议运行的部分，ISL负责传输不同VLAN之间的信息。

ISL、802.10和802.1Q都是用来在VLAN之间互相通信的标记协议，所谓标记就是在VLAN之间传输的数据帧头部添加了一个整数值，用来区别不同的VLANATM上的LANE允许在单一的ATM网络上形成逻辑局域网，ATM上的LANE使用和VLAN相似的数据报头，使用ISL、802.10和802.1q协议，所以ELAN和以太网VLAN是相互兼容的在图2中，交换机B和交换机C作为LANE的LEC客户身份连接三个VLAN，使他们能够通过ATM主干相互通讯服务器B也是一个LEC，为VLAN服务，它能直接和三个VLAN相互通信ATM LANE仿效以太网，在面向连接的ATM中广播协议，网络中图中没有列出LANE配置服务器LECS、LANE服务器LES和未知广播服务器BUS，他们的作用是使LANE工作的更像以太网LAN，在Cisco LightStream1010、Catelyst5000的LANE卡和有ATM接口的路由器都支持这些功能在一个VLAN上的以太网主机或服务器不能和另外一个VLAN的以太网主机或服务器相互访问图2中，在VLAN Green中的客户机Z不能和VLAN Pink中的服务器Y相互通信，因为在两个VLAN中没由路由器提供服务，在后面的章节中，我们会讲到使用LANE技术来实现它们之间的通信。

园区网设计的参考模型HUB和路由器模型图1展示了一个由路由器和HUB组成的传统园区网，其中访问层的设备是HUB，分布层由路由器组成，核心层是FDDI光纤环网在分布层中，路由器的作用是控制广播数据和对网络进行分段在HUB和路由器之间的每条线路相当于一个逻辑网络，或者说是一个子网几个HUB也可以通过桥接而组成一个子网这种模式的优点是可升级性比较好，因为路由器具有智能化的路由协议如OSPF和EIGRP等分布层是访问层跟核心层的分界线，分布层的路由器对网络进行分段，并隔离广播域，这样的设计易于管理、易于排错，被广泛采用，并能运行各种不同的协议如Novell IPX、AppleTalk和DECnet等路由器和HUB模型中的每个路由器的设置都是一样的，所以，他们的作用也是相同的、可预计的，这样对排错工作来说就显得比较容易第3层的包转发由所有路由器共同来完成这种经典设计可以随着应用的需要而升级，可以把原来的共享型HUB换成交换机，原来的分布层可以升级成为第3层交换，升级不会改变原来的地址结构、逻辑网络结构和路由器的运行状态园区的VLAN模型图3展示了一个传统的园区VLAN设计，交换机被用在访问层、核心层和分布层，红、绿、蓝、紫代表四个工作组，分布在几个访问层交换机之间。

工作组之间的访问由路由器X来负责，它集中了第3层交换和一些其他服务功能几个工作组的企业服务器被放在路由器的后面，用黑色线条来标明各个VLAN之间的通信可以用ISL关联来实现，那样的话，路由器就成为一个“独臂路由器”，VLAN之间的数据传输要进入先路由器处理，然后输出可以用几个这样的路由器来分担数据处理任务，从而可以减少应路由器引起的瓶颈问题，还可以增加冗余链路图3传统的园区VLAN设计图4展示了一个升过级的园区VLAN模型，它具有多层交换的优点，交换机X是一个Catalyst5000多层交换机，独臂路由器被路由交换模块RSM和有NetFlow功能卡的第3层交换机取代，企业服务器也换成了100M快速以太网或200M快速以太通道来传输数据园区网设计严格遵守80/20规则，如果有80%的网络传输在本网段上，那么在第二层上将会有20%的网络传输从客户机到工作组服务器，然而要是有90%的通信量在客户机和企业服务器之间的话，那么独臂路由器将要承担90%的通信量，这样的网络的传输性能和扩展性能会被STP的局限性所限制每个VLAN就相当于一个水平桥接网园区网VLAN模型为跨建筑物的逻辑网络的设置带来了很大的方便，分布在不同楼层或建筑的同一工作组可以通过VLAN来连接，Cisco的解决方案是通过VLAN成员配置服务器（VMPS）和VLAN关联协议（VTP）来实现VLAN的创建。

任何一个移动用户只要在任何一个交换机端口连上他的手提电脑，所连交换机就会发送一个询问到VMPS来决定用户的VLAN信息图4：具有多层交换功能的园区VLANATM上的多协议ATM上的多协议(MPOA)技术把第3层的穿通交换(cut-through)技术加到LANE上，ATM上MPOA的结构和ATM上的LANE相同，为每个ELAN进行的LECS和LES/BUS设置也相同 图5展示了一个小型的MPOA园区网的组成部分图5：MPOA园区网设计有了MPOA，网络中新的成员就是多协议客户(MPC)和多协议服务器(MPS)，这些都会由路由器X中的IOS来实现当一个在Pink VLAN中的主机要和企业服务器建立通信时，第一个数据包就会由访问层交换机发出，这个交换机充当MPC角色，通过LANE把数据包发给MPS，就是路由器，路由器再把包转发到目的MPC，然后路由器就告诉两个MPC，它会为它们建立一条SVC虚通道，然后通过SVC直接传输数据有了MPOA，IP组播数据可以在建立的SVC上传输多点传输的数据包发送时首先发给本地ELAN中的未知广播服务器BUS，扩散到本地ELAN，然后，路由器X通过路由表把多点传输播数据包拷贝并发送给所有目的ELAN上的BUS，让他们往自己所在ELAN上的主机发送多点传输数据包，所有要发送的多播内容按照次序重复以上步骤。

除了IP以外，其他协议的数据包都是通过LANE—路由器—LANE的途径来通信，而不用建立一条直通方式的SVCMPOA设计时要考虑好广播、多播和非IP协议数据通信的数量对路由器性能的影响，当网络的组播数据占主导地位，或者交换机连接着ATM主干时就要考虑配置MPOA了多层交换模型新的80/20规则传统的80/20规则的优点我们已经在前面的章节讲过了有了园区网VLAN模型，逻辑网络可以分布在园区不同的建筑物内，80/20规则随着企业内部网络的应用需要而变化得很快，越来越多的企业把应用程序做成WEB数据库，服务器被统一放置在一个地方，大部分的数据通信需要在本网段以外传送，只有20%的数据在本网段中这样，传输模式就变成20/80规则了多层模型的组成多层交换的作用满足了20/80交通规则，在Catalyst5000上的多层交换有两个部件，路由交换模块RSM和Net Flow功能卡，RSM是一个做在卡上的由IOS支持的多协议路由器，功能和Cisco7500路由器差不多NetFlow功能卡是一个为Catalyst5000交换机超级引擎升级的子卡，它通过ASIC芯片进行第2层和第3层的线速率交换，这里要说明一点，通过NetFlow卡工作时，不管第2层交换也好，第3层交换也好，它们的性能是一样的。

图6展示了一个简单的多层交换的园区网设计园区内有3栋建筑A、B和C，通过核心层的主干网连在一起分布层由Catalyst5000交换机组成，这个多层设计吸取了第2层交换的优点，在访问层和核心层中采用Catalyst系列的交换机，并在分布层中采用多层交换系统多层交换的设计沿用了传统的HUB—路由器模型的逻辑网络结构和地址，升级非常容易访问层的子网在分布层终止，另外，主干网上的子网也在分部层上终止这样，多层交换并没有使用园区范围的VLAN，但是它却具有我们所希望的VLAN的优点图6：用多层交换组建多层的园区网因为多层交换是在分布层中进行的，这使得路由选择具有很多优点分布层形成了一道广播屏障，广播数据就不会发到主干网上分布层上也可以运行Cisco IOS的增值功能，比如：分布层上的交换机把Novell服务器的地址存在缓存中，如果有工作站要求询问临近服务器信息，路由器就代替服务器把信息发给它，然后丢弃查询数据包，以免它在网络上广播另一个例子就是给移动IP用户发送DHCP信息在分布层中实现的另一个Cisco IOS的功能是本地移动区LAM，LAM让那些没有部署DHCP或者由静态IP地址和网关的主机在园区内自由移动，路由器负责将移动用户的地址信息传播出去。

事实上，Cisco的IOS有几百种功能，它们可以提高企业网络的稳定性、可升级性和易管理性这些功能支持园区网中所有可能用到的协议，包括DECnet、AppleTalk、IBM SNA、Novell IPX、TCP/IP等，还有很多其它的协议这些功能的一个共同的特征是考虑“整体模式”，它可以把整个网络作为一个整体，与“部分模式”相反，如考虑端口密度和性能，只支持单个部分而不是一个整体部分模式”对企业网络的稳定性、可升级性和易管理性没什么作用多层模型的最大优点取决于它的分级设计和模块化分级是因为各层之间的定义非常分明，非常专业，模块化是因为同一个层中的各个部分起着相同的作用模块化的一个重要的优点是不同的技术可以在模块中的同一个逻辑网段上共存而不相互影响，例如，令牌环网可以被以太网取代，FDDI可以被快速交换以太网取代，HUB可以被路由器取代，快速以太网可以被ATM 的LANE取代，ATM 的LANE可以被千兆以太网取代，如此等等所以模块化设计可以使得技术的兼容和迁移变得非常简单模块化的另一个突出的优点是每一层中的设备都按照同一个程序运行，所以，设置工作和故障排除也变得相对容易，整个设计着重考虑的是工作性能、路径选择和故障恢复。

在访问层，一个子网相当于一个VLAN，一个VLAN工作组可以定义在一个或者几个交换机上，当然，也有可能几个VLAN定义在一个交换机上，如果Catalyst5000交换机被用在访问层，那么VLAN关联就会灵活的把子网或工作组分配到几个交换机上在以后的例子中，我们会展示在每个交换机上配置两个VLAN，来说明如何用VLAN关联在分布层实现负载平衡和快速收敛功能在简图中，核心层是一个单一的逻辑网络或VLAN我们的例子中，展示了核心层作为单一的第二层交换结构，没有回路存在这有助于避开在核心层中生成树型回路，因为OSPF和EIGRP协议具有负载平衡和快速收敛的优点，所以，我们将用它们来解决主干网上的路径选择和收敛问题这样，多层模型中的路径选择和快速收敛就会在分布层上得以解决 冗余和负载平衡图6的设计中，分布层的设计有个缺陷，如果连着楼A的Catalyst5000交换机的电源意外断开的话，那么楼中近千个用户将失去它们跟主干网的通信如果楼层交换机的一根物理线路出了问题，那么该层上的100名用户将无法访问主干网图7的设计解决了这些问题多层交换机A和B为North域提供了冗余连接，主干网上的冗余链路可以在核心层加几个交换机就可以实现。

冗余链路为分布层提供容错性，就像主干网上的负载平衡和多链路选择一样在分布层中，冗余链路连接着访问层的所有交换机和两个分布层的多层交换机快速收敛功能由第3层的冗余路由协议HSRP来实现分布层的两个交换机一起为楼层内所有的主机提供HSRP网关路由第2层上的快速收敛由Cisco的快速上联通道功能来实现快速上联通道有一个收敛算法，当主链路出错时，它会在三秒钟之内把主链路恢复到备份链路上核心层的负载平衡由Cisvo IOS中的智能路由协议来实现，在图7中，任何两个建筑物之间都由四条相等路经的通道，例如，从North域到West域有AXC、AXYD、BYD和BYXC四条路经对第3层的路由协议来说，这四条第2层路经的开销是相等的，因为无论从哪个域出发到主干网的路由跳数都只有一跳Cisco的IOS为各种协议提供多达六条相同开销的冗余路经图7：冗余多层园区网设计图8展示了有企业服务器区的冗余多层模型，服务器区就像是多层交换中的一个建筑物模块，处于分布层标有A的千兆以太链路负责两个服务器之间的数据通信，标有B的快速以太通道链路负责主干网的数据传输，服务器之间的通信被隔离在主干网以外，有利于安全和数据传输速度。

在X和Y之间，企业服务器有HSRP快速收敛功能，服务器的访问策略可以由X、Y上的访问列表来完成图8中，第2层交换机V、W和分布层的交换机X、Y分离出来画，以便让大家看得更清楚，在这样的网络中，V和W应该被包括到X和Y中去把服务器放在一个区域中，有利于避免像图7中的IP重定向和选择最佳网关的问题严格来讲，HSRP不能被用于企业服务器，他们应该用诸如代理ARP、Internet 路经发现协议IRDP、网关发现协议GDP和RIP侦听之类的协议来构造路由表图8：有服务器区的多层模型图9展示了两个分布层交换机之间的操作，主机都接在访问层交换机上，偶数子网被定义到偶数VLAN，奇数子网被定义到奇数VLAN，偶数子网的主HSRP在交换机X上，后备HSRP为交换机Y，奇数子网的主HSRP在交换机Y上，后备HSRP为X它们的共同之处是每个HSRP网关路由器的主机号里都有100，例如子网15.0的HSRP网关就是15.100,如果15.100断电或者出错，那么交换机X将会在两秒钟之内取代15.100作为网关，这将会在附录A里面再作介绍图9：有HSRP的冗余图10展示了在访问层和分布层之间使用Cisco ISL VLAN关联协议来实现负载平衡。

我们在交换机A上定义了VLAN10和VLAN11，在B上定义了VLAN12和VLAN13，每个访问层交换机都由两条上联链路和分布层的交换机相连，STP把冗余连接做成模块，如图所示通过设置交换机的关联通道使一条链路作为奇数VLAN的主链路、偶数VLAN的备份链路，另一条作为偶数VLAN的主链路、奇数VLAN的备份链路来实现负载平衡图中，交换机A上标的F10表示forwarding path for VLAN 10，B11表示blocking path for VLAN 11 图10：在VLAN上实现负载平衡 图11展示了当一条链路断开时，交换机左边的关联通道将会被作为VLAN10和VLAN11的主要通道有必要的话，路径将会跨过X和Y之间的快速关联通道Z通道Z是第2层的通道，位域中所有的VLAN提供备份连接，也担负一些X、Y主机之间的负载平衡工作如果是以前的STP桥接的话，出错以后收敛时间需要40—50秒，而用现在的快速关联通道，收敛只需3秒钟图11：有快速收敛作用的VLAN关联带宽升级在多层模型中，对于关联通道容量有所不同，以太网的关联有很多种平衡方法，这样，以太网就可以迁移到快速以太网，快速以太网可以被迁移到快速以太通道、千兆以太网或千兆以太通道中去，访问层交换机可以被分成多样化关联上的多样化的VLAN。

结合使用ISL，可以把VLAN定义到多个关联中快速以太通道是结合两条或四条快速以太网链路的容量，连到一个单一的高速关联通道，Cisco 7500系列路由器配备IOS11.2以上版本支持快速以太通道技术，在Catalyst5000交换机上，配备了快速以太通道线路卡或者超级引擎Ⅱ、Ⅲ就可以支持该技术快速以太通道技术也被许多其它厂家所认可，包括Adaptec, Compaq, HP, Intel, Sun和Znyx有了快速以太通道技术，以太高性能服务器就可以用400兆全双工线路以800兆的总带宽连到核心层主干网上图12展示了在访问层交换机和分布层交换机之间升级带宽的三种方法其中A表示“最好”，所有VLAN通过ISL协议结合到一起连到快速以太通道上B表示“好”，其中，网段只结合了几条线路并使用了ISL协议C表示“一般”，只用了一个网段图12：升级以太通道的带宽设计时尽量采用模型A中的方法，因为多个VLAN使用同一个快速以太通道，这样可以提高带宽的利用率如果一个快速以太线路卡失效，就采用B中的方法，如果没有快速以太通道也没有ISL，就采用C中的方法，每条VLAN占用一个通道端口，与A中的相比，同样的输出C中需要更多的端口。

在ATM主干上，可以根据需要增加多个OC-3或OC-12通道的关联来升级带宽负载平衡和快速收敛问题由PNNI提供的智能路由来解决核心层策略在分布层中有了第3层交换，将主干网定义为一个或多个逻辑网络就非常简单了VLAN技术可以创建一个逻辑上独立的网络，它可以用于一些特殊用途在IP核心层中，可以创建管理流量的VLAN和企业服务器的VLAN，每个VLAN可以使用不同的策略，并可以延伸到访问层上这样，端口管理和流量管理就可以被严格控制了核心层上另一个逻辑区划分的方法是通过协议，为基于IP的企业服务器和基于IPX或者DECnet的企业服务器分别创建一个VLAN，如果在多层的核心交换机上定义安全策略，那么逻辑分区就会彻底地变成物理网络图13展示了核心层中两个独立的交换机，VLAN100定义在交换机V上，负责响应IP子网131.108.1.0上的WWW服务器连接VLAN200定义在交换机Y上，负责响应IPX网络上的服务器连接图13：核心层上的逻辑网段或物理网段当然，主干网上的拓补结构是越简单越好在一些方案中，所有服务集中在一台服务器上，还有的将数据集中在一个数据中心以便管理现在，越来越多的企业将所有的服务做成网页供企业内部访问。

当中央服务器直接连到主干网上时，所有分布层的的客户机与核心层的服务器之间的路径只有一跳，基于策略的服务器访问控制由分布层的访问列表来实现在图14中，服务器W是用快速以太网连到核心层子网上的，服务器X是通过快速以太通道连到核心层子网上的以前提到过，直接连到核心层的服务器一定要用ARP代理，IRDP，GDP，或者RIP侦听协议来构建它们的路由表HSRP不能在核心层子网上使用因为分布层中的交换机都是连到园区中不同部分的企业服务器Y和Z被放在多层交换模块的服务器分布区，Y是用以太网连接的，Z是用快速以太通道连接的访问控制策略是靠核心层中交换机的访问列表来实现的服务器分布模块的另一个突出的优点是可以用HSRP提供冗余和快速收敛，并把所有服务器到服务器的流量限制在主干网上请参照附录A中的例子 服务器M在工作组D中，属于某个VLAN，M是通过快速以太网连接到访问层交换机的一个端口上的，因为大所数的数据通信在本网段中，所以它遵循了80/20规则如果有必要的话可以通过分布层的访问列表把M隐藏起来 服务器N连在分布层的交换机H上，N是一个大楼服务器，负责VLAN ABCD之间的通信从N到VLAN ABCD有两条数据链路，如果有四块网卡，那么它可以直接和四个VLAN相连，或者有一个ISL 网卡的话，它就可以通过VLAN关联直接访问四个VLAN了。

服务器N也可以根据需要通过分布层的访问列表把它隐藏起来图14：多层模型中的服务器放置ATM/LANE主干图15展示了在多层交换园区网中用ATM/LANE做主干如果客户要求有Qos服务质量保证，那么ATM是一个很好的选择实时的语音数据应用可以要求ATM提供流量控制，拥塞延迟预测和业务流整形等服务每个Catalyst5000多层交换机都配有一个LANE卡，LANE卡的功能是担任LEC角色，这样，分布层的交换机就可以通过ATM主干网相互通信LANE卡上有一个带冗余的ATM OC-3物理接口叫双PHY，图15中，交换机上的连接线有一条是主链路，另一条是备份链路ATM核心层中由两个LightStream1010 组成，路有器和服务器通过本身的ATM接口连到ATM主干上，服务器区中企业服务器接在Catalyst5000 交换机X、Y上，企业服务器可以用快速以太网或者快速以太通道连接，Catalyst5000上的LANE卡充当LEC角色，把企业服务器连到ATM主干上两个LightStream1010之间的关联通道可以是OC-3或者是OC-12，PNNI协议解决在ATM交换机之间的负载平衡和路由问题智能路由的需要随着核心层中的交换机的增多而变得越来越重要。

主干上不再会有STP协议，第3层的智能路由协议OSPF、EIGRP提供分布层交换机之间的负载平衡和路经选择功能Cisco 开发了简单服务器冗余协议SSRP来实现LEC和LES/BUS的冗余功能在Cisco7500路由器上有SSRP功能，Catalyst5000系列、LightStream1010系列交换机兼容所有的LANE1.0标准的LEC图15：ATM LANE核心的多层交换模型Catalyst5000上的LANE卡是一个有120Kpps广播能力的高效BUS，这个容量对大型的园区网来说已经足够了在图15中我们把主LES/BUS放在了交换机X上，备份LES/BUS放在了交换机Y上对于小型园区网来说，LES/BUS的SSRP收敛时间只需几秒钟，但对于大型园区网来说，收敛时间可能需要几分钟所以，在大型的园区网设计中，一般都采用双ELAN主干来实现LES/BUS的快速失效恢复举个例子来说，主干上有两个ELAN，A和B，如果到ELAN A的LEC/BUS链路失效，那么数据流很快会重新选择通过ELAN B的路径，直到ELAN A 的链路恢复为止 在ELAN A的链路恢复以后，分布层上的交换机会重新建立ELAN A的连接，并开始两个ELAN之间的负载平衡。

这个过程只能建立在路由协议而不是桥接的STP协议上主要LEC和备份LEC的数据都配置在LightStream1010上，因为它们处在网络的中心位置当ELAN稳定工作时，LEC上没有多少CPU负荷，LEC只会在有新的LEC加入时才会工作因为这样，所以配不配置备份LEC没多大影响最好的选择就是用Cisco7500作为LEC连到ATM主干上，因为它在LEC/BUS失效时不会影响ATM上的信元交换图16展示了用Catalyst5500来实现LANE核心的代替在这里，我们用带有ATM交换处理器ASP卡的Catalyst5500作为ATM交换机它加上一块OC-12 LANE/MPOA卡就可以配置成LEC，加上一块快速以太线路卡就可以配置成一个以太网帧交换机服务器区仍然作为多层交换模块配置Catalyst5500集LightStream1010和Catalyst5000的功能于一体，在园区网的组建中扮演着重要的角色图16：LANE核心的替代Ip多点传输（以下简称多播）基于IP多播的应用程序在实际应用中只占很小一部分比例，不过它发展很快，一些应用程序如IPTV、微软的NetShow、NetMeeting等已经被一些企业所运用。

以下是如何有效地使用多播的几个例子：多播路由，协议独立多播PIM密集模式和稀疏模式；客户机和服务器以Internet组管理协议IGMP加入多播组；用Cisco多播组管理协议CGMP和IGMP侦听来管理多播树结构；交换和路由多播性能；多播策略；为多播指定的路由协议是PIM，PIM稀疏模式在RFC2117中有定义，而PIM密集模式是常用标准模式在Internet上，PIM也像在企业网中一样被广泛部署，就像字面上的意思一样，PIM使用组播路由协议如OSPF、EIGRPPIM路由可能会和DVMRP协议工作，DVMRP是一个在Internet广播主干网上的一个路由协议，现已有50%的地位被PIM取代，以后可能会被完全取代PIM可以以密集模式或者稀疏模式的方式操作，密集模式的操作就例如IPTV，在园区内有一个多播服务器和很多的客户机稀疏模式的例子就是NetMeeting，另外PIM建立的多播结构可以最小化所使用的带宽，这对一些实时的语音图像传输来说非常重要在大多数环境中，PIM被设置成稀疏模式，并可以根据需要自动转换成密集模式IGMP是被服务器和客户机广播或加入到多播工作组的工具本地网关路由器负责本地子网上的多播工作，不过当本地子网上没有多播工作组的客户机时，它会隔离广播数据。

CGMP协议把多播结构延伸到交换机上一台Cisco路由器发出一个CGMP消息广播所有被列为多播工作组的客户机的MAC地址，交换机收到后，就决定哪些端口上有组播数据通过，从而避免了把广播数据发送到所有端口Catalyst5000系列交换机可以把多播数据流定向在一个、几个或者是所有端口上而不影响性能，Catalyst可以有几个多播工作组一起工作并以线速率转发实现多播策略的一个方法是在交换机后面放置一个多播服务器图17中，交换机X是一个多播防火墙，限制多播数据流，控制对多播会话的访问想要把多播数据流更好的隔离开来的话，就要在核心层上创建一个独立的多播VLAN或子网核心层中的多播VLAN可以是核心交换机的一个逻辑区或者是后备交换机交换机X是一个实现PIM汇总的逻辑地点，PIM汇总点就像是多播树中的ROOT图17：多播防火墙和多播主干升级考虑多层设计模型的升级是非常方便的：第3层交换因为是分布式的，所以升级很简单；当你在主干网上加上更多的链路或者交换机的时候，主干网也就随之升级；在访问层中，有了特定的冗余设计后（两个分布层的交换机），单个的交换域可以升级到1000个以上的用户而且，在园区网中可以加上多个交换模块而不影响整个园区网的设计模型。

在所有的多层设计的讨论中，我们都避免了在核心层中形成STP回路STP的失效收敛通常需要40-50秒，而且不支持冗余链路的负载平衡在以太网主干上，不会有回路；在ATM主干上，PNNI解决负载平衡问题在所有案例中，都由OSPF和EIGRP路由协议来解决主干网的路由、负载平衡问题OSPF的开销会随着分布层交换机的增加而直线上升，这是因为OSPF会从分布层的第3层交换机中间选出一个作DE，另选一个作BE，来统领所有同一网段的第三层交换机如果主干上有两个VLAN或ELAN，那么，每个VLAN或ELAN中都会有一个DE和一个BE所以OSPF的开销和交换机CPU负荷会随着主干网上VLAN/ELAN数目的增加而增加因为这个原因，在主干网上就不要设置太多VLAN/ELAN的数目在大型的ATM主干上，推荐创建两个ELAN，如本文“ATM/LANE主干”一节中所述对于OSPF，另一个重要的考虑因素是路由汇总在一个大型的园区网中，把每一个建筑物模块设置成一个OSPF自治域，把所有分布层交换机设置成边界路由器ABR，在ABR上，把所有来自本建筑物模块的子网地址汇总成一个地址摘要广播给临近的ABR,这样就会减少园区网中由于广播路由表产生的广播信息和路由器上路由表的规模。

有时也可根据需要用EIGRP来代替OSPF进行路由汇总不是所有协议的开销都是相同的，比如AppleTalk的RTMP、Novell的SAP广播和RIP协议，它们的路由开销增长几乎是以平方数来计算的举个例子，分布层中有12个交换机接在主干网上，运行Novell SAP，假设有100个Novell工作站在园区网上运行，那么，每个交换机上每分钟会向主干网发送100/7=15个SAP包，12个分布层交换机每分钟会受到并处理180个SAP包Cisco的IOS会处理这些SAP包的代理工作，180个数据报算不了什么，不会影响数据传输，但是，如果有100个分布层交换机广播1000台Novell工作站的话呢？图18展示了一个大型的分级冗余ATM园区网主干设计在核心层中，标有B的区域由八台LightStream1010通过OC-12链路连成的部分网状结构区域C由三对LightStream1010交换机组成，区域C可以用ATM前缀地址来设置并把它们汇总到核心层B中在这样的升级中，手动设置的ATM地址没有什么优势可言默认的汇总只有响应26个交换机的26条路由指令在区域A中，有一对分布层交换机以OC-3 LANE的方式接到ATM网络中。

服务器区通过Catalyst交换机X、Y直接接入核心层，使用带MPOA方式的OC-12 LANE卡图18：分级冗余ATM园区网主干迁移策略多层交换设计模型描述了园区网的逻辑结构，寻址方式和第三层设计，它们都不依赖于传输媒体的选择对于逻辑设计的原理，无论是用以太网、Token Ring、FDDI还是ATM，都是一样的不过对于某些桥接的协议来说并不适用，比如NetBIOS、SNA等，它们是依赖于媒体的通常，会在以太网上考虑使用Token Ring，因为它支持大于1500Bytes的数据包图19展示了使用双环FDDI做主干的多层园区网FDDI主干可以在分布层上实现转化操作桥接到以太网主干上，当然，FDDI主干也可被设置成独立的逻辑网络引进FDDI主干的原因可能有以下几个：FDDI支持4500字节的数据帧，而以太网只支持1500字节，这对于那些从Token Ring终端系统出来的4500字节大的桥接协议来说非常重要另一个重要的原因是用来适应那些有FDDI接口卡的企业服务器数据链路交换DLSw+是用的Cisco的标准DLSw的实现方式本地SNA客户机发出的SNA帧被路由器或者分布层交换机封装成TCP/IP数据包。

分布层交换机将它拆成SNA帧送到用Token Ring连接的数据中心前端处理器多层交换机可用VIP卡和Token Ring接口卡接入Token Ring 多层交换模型的安全多层交换的访问控制列表可以由分布层交换机来实现，它不会影响性能，因为所有的数据流经过分布层，所以在分布层实现访问控制是最合适的列表也可以用来控制对交换机本身的访问控制另外，TACACS+和RADIUS协议提供对交换机的中央集权访问控制Cisco的IOS软件可以提供多层的密码鉴定每个网络管理员可以赋予特定的设置权限图19：FDDI和Token Ring的迁移在访问层和服务器区实现第二层交换可以获得直接的安全利益在共享型网络中，所有的数据包对用户是开放的，所以获取那些通过数据包传输的明文密码非常简单但在一个交换型网络中，会话只建立在发送放和接受方，而且在服务器区，所有服务器到服务器的通信被限制在主干网上WAN的安全是用防火墙来实现的防火墙由在一个叫做DMZ（demilitarized zone）的特殊网段上的一个或多个路由器和主机防御系统组成，DMZ上可能会接有特定的WEB缓存服务器和其他的防火墙设备内部防火墙接到园区网主干上，称之为WAN分布层。

图20展示了一个有防火墙的WAN分布建筑模块多层模型的桥接对于非路由协议，只能靠桥接来解决问题访问层VLAN和核心层之间的桥接由RSM来完成，因为每个访问层VLAN都是运行IEEE生成树协议的RSM不能设置到IEEE桥接用户组中，如果在RSM上使用IEEE会将所有生成的树结合成一个单个的树，就是说只剩一个ROOT了所以要将RSM设置成DEC的STP桥接组，以便使所有的IEEE生成树保持独立对于一个冗余的桥接设置如图7所示，在所有的RSM上运行IOS11.2以上版本IOS11.2版本有DEC桥接协议数据单元的功能，它在Catalyst交换机上的RSM之间传输DEC STP协议在以前的版本中，DEC桥接不能相互通信，不支持冗余链路如果在RSM上运行低版本的IOS时，要让一个RSM 桥接主干上的单数VLAN，另一个RSM桥接双数VLAN图20：到Internet 的WAN分布层多层模型的优点我们已经讨论了多个多层交换的园区网设计模型，无论是使用帧交换的以太网做主干还是使用型园交换的ATM做主干，它们都由共同的优点：模块的设计容易实现，伸缩性强，排错简单建筑物模块的设计思想使得园区中增加建筑物和添置服务器区的工作变得方便。

第三层的智能路由协议如OSPF、EIGRP等可以在主干上实现冗余链路和负载平衡的功能HUB-路由器模型的逻辑结构被保留了下来，这将会方便对现有网络的迁移和升级许多Catalyst交换机上的IOS软件在分布层中提供了如代理服务器、隧道和路由汇总等的增值功能分布层交换机也通过访问列表实现了访问策略快速上联通道和HSRP提供了冗余和快速收敛的功能，从以太网到快速以太网或千兆以太网的带宽升级不用改变策略设置和寻址方式有了Cisco的IOS，多层交换模型支持园区网中用到的所有常用协议如TCP/IP、Apple Talk、Novell IPX、DECnet、IBM SNA、NetBIOS等许多最成功的大型园区网的设计都是多层分级设计的，他们用平面桥接和交换设计解决了所有由升级带来的问题最后要说明的是，多层模型和多层交换是用硬件来完成第三层交换的，跟第二层交换相比几乎没有什么性能上的损失附录 A ：实现多层交换以太网主干本章阐述了如何用以太网做主干配置多层交换网图21展示了一个小型的企业级的园区网，园区中有两个建筑，分别对应North和South VTP域，主干网是VTP主干域，在每个VTP域中，至少有一个交换机被设置成VTP服务器，VTP服务器上记录着到达域中每一个VLAN的路线，交换机d1a是North域的VTP服务器，交换机d2a是South域的VTP服务器，ca和cb都是VTP主干域的服务器，因为我们没有把VLAN 1关联在核心层中，所以核心层的交换机都是VTP服务器。

实际上，核心层中没有ISL关联有些访问层交换机如ala并不适合做VTP服务器，因为并非North域中所有的VLAN都出现在这个交换机上没有被设置成VTP服务器的交换机应被设置成VTP透明模式在访问层交换机ala上使用VTP透明模式可以使我们限制交换机学习到VLAN的设置图21：用以太网做主干实现多层交换图22展示了VLAN 10的设计细节VLAN关联负责在三角中传输VLAN 10，左下角的交换机d1a是VLAN 10的root在交换机a1a上，关联通道2/1是到VLAN 10的主通道，关联通道2/2是备用通道，用紫色线表示交换机a1a上打开了快速上联通道，连接了三个端口到VLAN 10PC机上IP地址是131.108.10.1，接在交换机a1a的2/11端口上两个RSM模块r1a、r1b画成了路由器，连在VLAN中，RSM r1a连在交换机d1a的3/1端口上RSM r1b连在交换机d1b的3/1端口上，RSM r1a的IP地址是131.108.10.151，属于VLAN 10，也兼着主HSRP默认网关131.108.10.100图22：VLAN 10的拓补结构图23展示了VLAN 11的细节，交换机d1b是偶数VLAN的root，在交换机a1a上，关联通道2/1处于备用模式，2/2是主通道，处于活动模式。

RSM r1b担任着VLAN 11的主HSRP网关131.108.11.100，而r1a是备用网关图23：VLAN 11的拓补结构这里需要说明一下，我们使用的是简单的交换机命名规则，“ala”中第一个字母“a”代表访问层access，“d”代表分布层distribution，“c”代表核心层core第一个RSM模块r1a在交换机d1a中数字小的地址代表客户机，如131.108.10.1，数字大的表示服务器，如131.108.10.20x，另外，131.108.10.10x代表HSRP网关路由器，每个VLAN的RSM主机地址除了HSRP的以外都相同，如下所示：RSM Host Address r1ax.x.x.151r1bx.x.x.152r2ax.x.x.153r2bx.x.x.154rcax.x.x.155 rcbx.x.x.156 rwanx.x.x.157 (Cisco 7500 WAN router attached to the backbone) North域有四个子网：131.108.10.0，131.108.11.0，131.108.12.0和131.108.13.0，分别对应VLAN 10，11，12和13。

另外，在域中有一个管理子网131.108.1.0，对应VLAN 1，VLAN1没有延伸到分布层交换机之外在South域中，也使用了VLAN 1，但却是一个不同的子网，131.108.2.0每个交换机上的管理端口SCO都在VLAN 1中，子网地址是131.108.1.0如下所示：设备 IP 地址 网关地址 a1a131.108.1.1131.108.1.100a1b131.108.1.2131.108.1.101d1a131.108.1.3131.108.1.100d1b131.108.1.4131.108.1.101r1a131.108.1.151N/A (HSRP primary for 131.108.1.100)r1b131.108.1.152N/A (HSRP backup for 131.108.1.100)South域有四个子网：131.108.20.0，131.108.21.0，131.208.22.0和131.108.23.0，对应着VLAN 20，21，22和23另外，在域中有一个管理子网131.108.2.0，对应VLAN 1，每个交换机上的管理端口SCO都在VLAN 1中，子网地址是131.108.2.0。

如下所示：设备 IP 。