November 29th, 2013

现代企业网络架构

现代企业网络架构:核心层、汇聚层、接入层,冗余链路

  • 接入层:直接连接终端设备,一般在大楼的每层都有若干接入层设备。通常只做基本的安全防护策略。常用中低端交换机,常见的有2960、3560
  • 汇聚层:连接接入层设备,而且一般都是带路由功能的交换机。大多数策略在这层应用。常用中高端交换机,常见的有3560、3750、4500
  • 核心层:连接汇聚层设备,通常为了高速转发数据,不做策略。常用高端交换机,常见的有4500、6500
  • 冗余链路:为了保证可靠性,采用双核心多汇聚多线路互联

VLAN

交换机隔离冲突域,但是不隔离广播域,容易造成广播风暴。为了解决这个问题,交换机开始支持VLAN(虚拟局域网):可以将同一个交换机的物理端口划分在不同的网段中,这样2层的广播就被限制在某个网段中,不同的VLAN之间需要通过3层设备才能通信

一般划分VLAN基于两种策略:基于职能部门或基于数据流量(比如语音流量、管理流量跟一般的不同)

根据交换机对VLAN的设计,一个端口只能属于一个VLAN,特定VLAN的数据帧也只会从属于该VLAN的端口发出,那么不同交换机之间VLAN的通信怎么实现?如下图,只能将交换机互联,并且互联的两端都属于同一个VLAN,这样有几个VLAN,交换机之间就需要几根线:

但是这样做显然不科学。使用Trunk可以允许在一根线路上承载多个VLAN的数据。trunk的实现原理是在Trunk的入口对数据打上标记,在出口的地方进行再分类。

Trunk协议

有两种trunk协议:802.1Q(标准协议)、ISL(思科私有)。思科的交换机能够自动识别并自动配置端口为Trunk

ISL:思科私有协议,支持PVST,使用封装算法,在数据帧的前端加入26字节的报头表征VLAN,尾部增加4字节的校验,优点是不修改原始数据帧

802.1Q:IEEE标准协议,在数据帧中增加4字节的标记,并重新计算校验。所有没有打标记的数据包,统一划归为Native VLAN(这种情况很少见)


1块2块也是钱,小额赞助