企业网络的三层架构是一种常见的网络设计模式,旨在提供高效的数据流量管理、良好的扩展性和不同网络功能的隔离。
这种架构将企业网络分为三个主要层次(自下而上):
-
接入层:提供端口的密度,用于用户终端的接入(二层交换机、AP)
-
汇聚层(分布层) :流量的集合,DHCP/VLAN/STP/HSRP/VRRP/channel…
-
核心层:高速路由转发、NAT
网络冗余:是指在计算机网络中使用多条并行的物理路径或逻辑路径来确保数据传输的可靠性和可用性。
网络冗余的目标是防止单点故障,以保证网络在面临设备故障、链路中断或其他问题时能够继续正常运行。
冗余(备份):线路、设备、网关、UPS(电源)
以太网中继
网关作为了一个广播域的中心出口。生成树的根网桥作为一棵树的中心,是流量的集合点。若将两者分配不同的设备将导致网络通讯资源浪费,因此强烈建议将两者放置在同一台汇聚层设备上。
在三层架构中若使用基于vlan或基于分组的STP协议来工作,将导致vlan间或组间通讯时对汇聚层间链路带宽要求较高,可以通过以太网通道channel(思科)、以太网中继Eth-Trunk(华为)技术来解决。
通道技术是将多个物理接口逻辑的整合为一个接口,实现带宽叠加的作用。
配置要求:
-
通道的对端必须为同一台设备。
-
通道的所有物理接口应该具有相同的速率、双工模式、相同的类型、相同的vlan允许列表。
[sw1]interface Eth-Trunk 0 创建通道接口
[sw1-Eth-Trunk0]q
[sw1]interface GigabitEthernet 0/0/1 将物理接口加入到通道内
[sw1-GigabitEthernet0/0/1]eth-trunk 0
[sw1-GigabitEthernet0/0/1]int g0/0/2
[sw1-GigabitEthernet0/0/2]eth-trunk 0
负载分担:不同的流量,基于不同链路传输。
[sw1-Eth-Trunk0]load-balance ? 基于流的选择
dst-ip According to destination IP hash arithmetic
dst-mac According to destination MAC hash arithmetic
src-dst-ip According to source/destination IP hash arithmetic
src-dst-mac According to source/destination MAC hash arithmetic
src-ip According to source IP hash arithmetic
src-mac According to source MAC hash arithmetic
[sw1-Eth-Trunk0]load-balance { ip | packet-all } 修改基于流或者基于包
注意:华为设备,之后的配置要进入eth-trunk口修改。
三层通道:成为通道的所有物理链路必须先具备三层接口,其意义在于将多个需要配置IP地址的物理接口逻辑为一个接口,配置一个IP地址即可。
[sw1]interface Eth-Trunk 0
[sw1-Eth-Trunk0]undo portswitch 切换为3层接口
[sw1-Eth-Trunk0]ip add 192.168.1.1 255.255.255.0 配置ip地址
[sw1]interface GigabitEthernet 0/0/1 将物理接口加入到通道内
[sw1-GigabitEthernet0/0/1]undo portswitch
[sw1-GigabitEthernet0/0/1]eth-trunk 0
[sw1-GigabitEthernet0/0/1]int g0/0/2
[sw1-GigabitEthernet0/0/2]undo portswitch
[sw1-GigabitEthernet0/0/2]eth-trunk 0
管理VLAN
二层交换机物理接口正常无法配置IP地址,因此存在一个SVI(交换虚拟接口)接口。该接口可以配置IP地址,出厂存在MAC地址。可用于远程登录该设备。
该接口默认在vlan1中,故vlan1也被称为默认的管理vlan。
二层交换机仅存在一个SVI,默认在vlan1中,转移到其他vlan时,之前的vlanif接口将会自动被关闭。
三层交换机支持多个SVI接口,所有的SVI可以共存。
[sw1]interface Vlanif 2
[sw1-Vlanif2]ip address 192.168.2.1 24
若其他网段设备需要访问SVI,那么交换机必须定义网关地址,或缺省路由,否则无法回复。
[sw1]ip route-static 0.0.0.0 0.0.0.0 192.168.2.254
SVI接口双up的条件:
- 该交换机上创建了该vlan
- 该vlan内部存在双up的接口(划分进入的)或该交换机上同时存在双up的trunk允许了该vlan通过
三层交换机
三层交换机 = 二层交换机 + 路由器(不完全是)
标准的三层交换机不具有NAT功能。只能作为汇聚层设备,无法成为核心层连接互联网的设备。
默认情况下,思科和华为的三层交换机所有物理接口均为二层接口。
可以将三层交换机的接口修改为三层接口。
思科:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#no switchport
Switch(config-if)#ip address 192.168.1.254 255.255.255.0
华为:
[sw1]interface GigabitEthernet 0/0/10
[sw1-GigabitEthernet0/0/10]undo portswitch
[sw1-GigabitEthernet0/0/10]ip address 192.168.1.1 24
注意:华为的三层交换机默认存在3层路由功能,但思科需要手工开启
Switch(config)#ip routing
注意:三层设备最大的意义在于还可以使用SVI接口来作为路由接口
Switch(config)#interface vlan 2
Switch(config-if)#ip address 192.168.4.254 255.255.255.0
网关冗余
HSRP(热备份路由器协议)思科私有协议。HSRP允许多个路由器在一个组中合作,以呈现单个虚拟IP地址和MAC地址供网络的其余部分使用。然后该虚拟地址被用作网络内设备的默认网关。
VRRP:虚拟路由冗余协议(公有协议),原理和HSRP一致。
区别:
1、多台设备
2、仅master发送hello
3、可以使用物理接口的IP地址来为网关地址
4、抢占默认开启
5、hold time 3s
原理:
VRRP在一个组内可以存在多台三层设备,存在一个master(主)和多个backup(备份)。
正常产生一个虚拟IP(可以为真实接口IP)和一个虚拟MAC。
默认每1s来检测一次master是否活动,依靠组播224.0.0.18工作,TTL=1,hold time 3s。
选举规则:
先看优先级,默认100,大优。再接口IP地址,大优。
特点:
-
切换速度快
-
可以使网关的IP和MAC地址无需变化
-
网关的切换对主机是透明的
上行链路追踪
在网关冗余技术中,ICMP重定向是失效的,因此当上行链路down时,网关将不会自动切换。
上行链路追踪:该配置必须在抢占开启的情况下生效,且两台设备间的优先级差值小于下调值。若本地存在多条上行或下行链路,建议上行链路追踪配置时的下调值之和大于优先级差值(所有上行链路全down时,才让备份设备抢占)。下行链路大部分down时,可以让备份设备抢占。
配置:
注:正常在三层架构中由于生成树的存在,负载分担方式将可能由于不同vlan根网桥位置不同,导致部分链路阻塞,使得负载分担反而成为累赘。因此仅建议在直接使用路由器作为网关时,才使用负载分担方式。
