本节书摘来自异步社区《CCNP SWITCH 300-115学习指南》一书中的第2章,第2.1节园区网结构,作者 【美】Richard Froom(理查德 弗鲁姆) , Erum Frahim(伊鲁姆 弗拉海),

2.1 园区网结构
园区网(campus network)被认为是企业或机构基础设施的一部分,用来互联各种终端设备,如电脑、笔记本,或是用无线接入点(AP)访问内网(intranet)或Internet资源。内网资源包括公司网页、呼叫中心应用、文件及打印服务,以及任何终端用户从电脑上访问的资源。

在不同的时期,园区网为终端用户访问公司应用或工具(处于数据中心)提供了连通性。起初,在2005年之前,园区网这一术语及其架构是与应用服务器集群以及计算网络相关的。而今天,这种连接服务器集群、应用服务器,以及计算节点的网络称为数据中心网络(data center network)。

在过去的几年中,数据中心由于对高可用性、低延迟、高性能的要求,相比园区网其架构已经变得越来越复杂。因此,数据中心网络可能会使用园区网中没有的高端技术,如FabricPath、VXLAN、Application Centric Infrastructure(ACI)等。本书创作之际,在CCNP SWITCH这门课程中,数据中心的这些技术是不在考试范围内的。尽管如此,为了使读者不与园区网原理相混淆,本书还是会简单地列出两类网络之间的差异。

接下来的多个小节将会详细介绍层次化网络设计中的每个组成部分。

2.1.1 层次化网络设计
一个扁平化的企业园区网是一张使用2层交换机连接PC、服务器、打印机的简单网络。扁平网络不需要太多的子网规划。此外,子网内的所有设备处在同一个广播域,并且广播会泛洪给所有直连的网络设备。由于终端设备(平板电脑、PC)会使用CPU和I/O资源去处理广播,因此广播包会浪费一定的带宽及系统资源。在一个只有10台设备的扁平网络中,可能还没有什么问题,但在一个用户成百上千的网络中,资源与带宽浪费的问题就变得十分严重了(见图2-1)。




园区网的网络逻辑架构图 园区网概述_网络



层次化的网络模型允许设计者将网络划分成多个层级。为了理解分层的重要性,我们先来思考一下OSI参考模型,这是一个为了理解和实现计算机通信所设计的分层模型。由于OSI将计算机通信划分为了许多层面,因此简化了设备之间通信所需要的工作。同理,使用层次化模型逐层建设的思想,也会减少园区网设计的难度。

再来看图2-2,层次化模型的网络被划分成3个特殊功能的层级:核心层(core)、分布层(distribution)、接入层(access)。这种模型提供了一个模块化的、灵活的框架,当网络升级或扩容时不需要大规模修改或返工。

例如,在办公楼里加入一个新的部门时,仅需要增加一个分布层和接入层,使其上联到现有的核心层即可(需考虑核心层性能)。只需要对新增的设备进行操作,现有网络不会受到影响,除了简单的物理增加之外,增加交换机的配置也非常容易,这是因为在网络设计之初都是遵循层次化原则的,所以,大多数的配置目标都是事先确定好的。

层次化模型中的接入层、分布层、核心层分别具有以下特点。

接入层:用来允许用户访问网络应用及相关功能。在园区网中,接入层通常一般由多口交换LAN设备组成,用来连接工作站、IP电话、无线AP、打印机等。对于远程办公人员或远端站点来说,在WAN环境中,接入层可通过WAN技术帮助其访问公司网络。
分布层:分布层主要使用模块化或3层交换机,用来将接入层交换机配线间、楼层或其他物理区域汇聚起来。类似地,分布层也汇聚了园区网边缘的WAN连接,并可提供基于策略的连通性。
核心层(也叫做骨干):核心层是一个高速的骨干区域,旨在以最快的速度交换数据包。在大多数园区网中,核心层还具备了路由转发能力(后面章节会继续讨论)。由于核心层对于网络连通性来说处于至关重要的位置,所以其必须提供高级的可用性,并且能够快速适应网络变化。核心层也应具备动态可扩展性以适应网络扩容及故障时的快速收敛。
接下的小节将依次介绍接入层、分布层,以及核心层的更多细节。

1.接入层
如图2-3所示,接入层由一组互联终端设备(PC、打印机、投影仪等)的交换机组成。接入层交换机还可以向融合性网络进行扩展,如IP电话及无线AP可以通过接入层交换机访问园区网中的其他区域。

由于连接到接入层的设备多种多样,并且使用着各种各样的服务与动态配置机制,使得接入层成为了园区网中最具优势的区域。这些优势如下所示。

高可用性:在没有路由功能的接入层中,通过在接入层与分布层之间使用冗余的链路,可为用户提供冗余的默认网关来提供高可用性。这种默认网关的冗余性的机制叫做第一跳冗余协议(FHRP,first-hop redundancy protocol)。FHRP会在本书后续章节详细介绍。


园区网的网络逻辑架构图 园区网概述_链路_02



高可用性、快速路径恢复、负载均衡、QoS等都是设计分布层时应考虑的重要因素。一般来说,高可用性通常是通过在分布层到核心层的3层冗余,以及接入层到分布层之间的2层或3层冗余提供的。3层的等价负载分担技术可以使分布层到核心层之间的两条上行链路以多种负载均衡方式同时使用。负载均衡技术会在后文探讨。

注释:
除了负载均衡(load-balancing),等价多路径(ECMP,equal-cost multipathing)是另一个用来描述等价负载分担的术语。不过,ECMP通常使用在数据中心架构中而非园区网。本书会同时使用这两个术语,不加以区分。
在接入层使用2层设计的网络中,分布层常用来终结VLAN,充当着接入层和核心层之间的路由边界。分布层常代表了路由选择域之间重分布的点,或是静态路由协议和动态路由协议的分界线。分布层也可以执行一些操作,如对特定路由进行处理及过滤,从而实现基于策略的连通性、安全性和QoS。这些特性使得流经园区网的流量得到更严格的控制。

为了进一步增强路由选择协议的性能,分布层通常还用来汇总接入层路由。如果3层路由扩展到了接入层,那么分布层一般会向接入层提供一条默认路由,并与核心层路由器之间运行动态路由选择协议进行通信。

此外,分布层可以通过第一跳冗余协议(FHRP)来提供冗余的默认网关。FHRP技术包括热备份路由协议(HSRP)、网关负载均衡协议(GLBP),以及虚拟路由器冗余协议(VRRP)。FHRP为连接到下游接入层设备的第一跳默认网关提供了冗余性及高可用性。当接入层使用3层路由功能时,FHRP就失去其作用了。

总的来说,当接入层未使用3层路由功能时,分布层可提供以下功能:

在连接核心层及接入层的路径上,使用多条链路来提供高可用性与等价负载分担;
一般用来终结2层VLAN域;
VLAN间路由流量并发送给核心层;
汇总接入层路由;
部署基于策略的连通性(流量过滤、QoS、安全性);
提供FHRP技术。
3.核心层
核心层是连接整个园区网的骨干区域,如图2-5所示,也是企业网中其他层级或区域的汇聚点。核心层必须提供最高等级的冗余性并能快速适应网络变化。

从设计的角度来看,园区网核心层的部署最为简单,但却最为重要。核心层使用一组有限的服务来保证业务高可用以及100%的在线时间。在大型企业网中,核心网部分必须提供不中断、始终可用的业务。其核心设计思想就是提供相应级别的冗余性,以保证在设备任何组件(下挂交换机、引擎、线路卡、矩阵、电源、风扇等)发生故障时,都不会影响业务流量的转发。网络设计时还必须要考虑到偶发的硬件及软件的升级或修改不能中断现有网络业务。核心层中不应部署复杂的策略,也不应直接连接用户或服务器。在高可用方面,应尽可能减少控制平面配置,主要通过设备的物理冗余来降低业务中断风险。图2-6举例说明了一个通过核心层(园区骨干)连接数据中心所组成的大型园区网。


园区网的网络逻辑架构图 园区网概述_链路_03



图2-7示范了一个连接企业网其他功能区域的核心层。在这个例子中,核心层连接着数据中心,而边缘分布层区域用来连接WAN、远程接入,以及Internet。网络管理区域使用带外方式(out-of-band)工作,其重要性同样也是不言而喻的。

总的来说,核心层具有如下的特点:

汇聚整张园区网,提供到数据中心、WAN,以及其他远程网络的连接;
具有高可用行、弹性,以及软硬件无缝升级的能力;
不直接连接服务器、PC、AP等终端设备;
具备核心路由选择功能;
网络具有未来扩容及投资保护能力;
具备支持硬件冗余性,如Catalyst 4500及6800系列平台。


园区网的网络逻辑架构图 园区网概述_链路_04



2.1.2 接入层中的3层交换
随着交换机产品越来越廉价,3层交换机的价格也趋于平民化。因为价格便宜及其本身的一些优势,接入层设计正从传统的2层交换机逐渐升级为3层交换机。无论是使用3层设备还是2层设备,都各有利弊。图2-8对比说明了在上联分布层的接入层中使用2层技术和3层技术的区别。

在接入层中部署2层交换会导致接入层和分布层之间的冗余链路不能完全被利用。而且,由于2层(广播)域大小的限制,2层交换同样限制了网络扩展规模。


园区网的网络逻辑架构图 园区网概述_网络_05



在接入层中部署3层交换可以看作是对2层交换的一种扩展,最主要的原因是可以在接入层设备上对VLAN进行终结,而且接入层到分布层交换机之间的所有链路都是路由链路,所有接入层和分布层的设备都能加入到路由进程中。

使用2层交换的接入层设计是一种传统的、节省投资的解决方案,同时也会面临着接入层与分布层之间冗余链路利用率低的问题(生成树选举的结果)。3层交换设计可以实现流量区分(例如,访客流量应与内网流量相隔离)。3层交换还需要仔细规划IP地址。3层交换接入设备中VLAN通常不会使用在网络中的另一台接入层交换机上,因为每个VLAN都代表了特定了业务。相比2层交换,3层交换的缺点之一是园区网中的设备物理位置不能随意变更(IP地址的原因),除非使用了高级移动网特性。

注释:
在对一个具备扩展性和弹性的网络架构进行维护时,今天的网络技术如DFA和ACI可以增强设备的可移动性。在本书创作之际,DFA和ACI仍属于数据中心技术,超出了CCNP的考试范围。
总而言之,在园区网的接入层中使用3层交换技术正日趋流行。而且,下一代的网络架构也能解决3层路由中最大的问题:可移动性。

本章下一节将介绍将层次化模型在企业网架构中的应用。

2.1.3 Cisco企业园区网架构
Cisco企业园区网架构遵循着传统层次化的园区网设计模型,如图2-9所示。


园区网的网络逻辑架构图 园区网概述_链路_06



Cisco企业园区网架构将企业网络划分成了物理区域、逻辑区域、功能区域。这些区域允许网络设计者及工程师能够根据设备的位置及模型中相应位置的功能,来在相应设备上部署特定的网络特性。

需注意在设计中并没有指定每层具体的角色,所以构建一个园区网络时没有绝对的参照规则。当然理论上园区网应由3个层级的交换机组成,不过这并非是一个严格的标准。在许多小型园区网中,网络中只有2个层级的交换机,其中核心层和分布层合并在了一种交换机中,即压缩到一起的分布层与核心层。不过,在许多网络中由于反复扩容、业务繁杂、设备物理位置的限制等因素,可能会出现4层甚至更多的层级。

层次化的网络通常定义了交换机的物理拓扑,但却未定义拓扑中的交换机型号。层次化设计的核心思想是层级中的每个组件都可提供一组特定的功能及服务,并扮演着设计中规划的具体角色。

在CCNP SWITCH这门课程中,接入层、分布层、核心层又称为建筑接入层(building access layer)、建筑分布层(building distribution layer)、建筑核心层(building core layer)。术语building暗示了每个层级都是位于建筑物中。像之前提到的那样,物理边界并不一定是建筑物,可能是一层楼、几层楼或一个配线间。本书为了方便,还是使用了access layer、distribution layer、core layer这3个术语。

总的来说,网络设计师在构建Cisco企业园区网时应遵循层次化模型并通过物理或逻辑边界划分成多个层级。尽管今天的园区网设计日趋复杂,但核心思想还是通过物理或逻辑边界将网络划分成接入层、分布层、核心层。

2.1.4 核心层的重要性
当第一次学习园区网设计时,许多人都会问一个问题:为什么需要核心层?在一个含有许多楼宇或相似建筑设施的园区网中,省去核心层,将其功能放入分布层可能会节省部分初始投资(因为省去了一层交换机的采购)。图2-10给出了一个包含4栋完全互联的独立建筑的网络设计,其核心层被压缩进了分布层中。


园区网的网络逻辑架构图 园区网概述_园区网的网络逻辑架构图_07



尽管在设计之初,使用这种设计会减少一定的投资,但这种网络非常难于扩展,而且会用掉大量的线缆。因为每栋新建筑的分布层交换机都需要全互联到其他的交换机,所以分布层交换机越多,布线的数量也会以指数形式增加。此外,全网状拓扑也会增加路由选择的复杂程度,并且在网络中添加新邻居时也会给管理者产生新的工作量。

在图2-10中,2号建筑的分布层中,两台互联交换机共需要4条链路来与1号建筑实现全互联连接。而3号建筑则需要再新建8条链路实现所有分布层交换机的全互联。而4号建筑则还需要12条新的连接。4组建筑共需要24条来实现分布层全互联。

再来看看图2-11,有一组专门的核心层设备来满足扩容需求,而不用要求分布层全互联。当园区网中分布层区域数量增加、网络物理面积扩大,或网络复杂性增加时,核心层的优势就很明显了。在一个大型、复杂的园区网环境中,核心层可以为整个园区网提供巨大的性能及扩容能力,并可以部署额外的安全特性服务。


园区网的网络逻辑架构图 园区网概述_数据中心_08



什么时候需要部署核心层呢?这一问题的答案要视许多因素而定。设计一张具有独立核心层的园区网主要能解决许多设计上的困难,当然,其最主要的作用还是提供可扩展性以及减少园区网迁移、扩容、调整所带来的风险。一般而言,小型网络中配置更改不频繁,且很少涉及到网络核心,因此通常不会设计核心层区域,但随着网络规模的扩大以及复杂程度的增加,配置变更将更多涉及核心层设备。这时,将核心层与分布层功能从物理上分离到不同的物理设备上的优势就显而易见了。

简而言之,小型网络可以设计省略掉核心层,但中到大型网络中,必须设计专门的核心层设备来保证功能模块化及可扩展性。

总结一下本章介绍的层次化模型,虽然网络分层是老生常谈的内容,但层次化模型仍然适用于今天的园区网设计。出于复习的目的,对各层做一个简单的总结。

接入层将终端设备,如PC、无线AP、打印机等连接到网络。
分布层具有多种功能,最重要的还是对分布层进行汇聚。分布层可以设计为终结下行2层VLAN,也可以设计为提供对下3层路由。
核心层是整张园区网的汇聚点,具有高速交换性能。