园区网IP连通模式分析.doc

第4章 园区网IP连通模式分析第4章 园区网IP连通模式分析4.1 园区网IP连通接口类型交换机的接口类型总体上可以分为两大类，即2层接口（L2 Interface）和3层接口（L3 Interface），其中3层接口仅三层交换机支持。2层接口包含Access端口、Trunk端口和L2 Aggregate Port。3层接口包含SVI接口（Switch virtual interface）、路由口（Routed port）和L3 Aggregate Port，具体的分类情况见图4-1。这每一种2、3层接口类型都具有不同的特点和工作场合，下面就各自的使用特点进行简单的介绍。图4-14.1.1 Access端口类型Access端口用于交换机连接主机，一个Access端口只能属于一个VLAN。通常情况下主机并不需要知道自己属于哪个VLAN，主机的网卡通常也不支持带有VLAN标记的帧，主机要求发送和接收的帧都是没有打上标记的帧。Access端口不能直接接收其他VLAN的信息，也不能直接向其他VLAN发送信息，不同VLAN的信息必须通过三层路由处理才能转发到这个端口上。4.1.2 Trunk端口类型Trunk端口可以承载多个不同的VLAN数据，通常用于交换机间的互连，或者用于交换机和路由器之间的互连。数据帧在Trunk端口上传输时，交换机必须用一种方法来识别数据帧是属于哪个VLAN的，该方法是使用一种TAG技术来区分Trunk端口上不同VLAN的数据，在Ethernet中使用的TAG技术通常有两种：IEEE802.1Q和Cisco的ISL（inter-switch link）。IEEE802.1Q定义了VLAN的帧格式，通常所有在Trunk端口上传输的帧都是打上标记的帧，通过这些标记交换机就可以确定哪些帧是属于哪个VLAN的，对于未被标记的帧，Trunk端口定义了Native VLAN，交换机能够从Trunk端口上的Native VLAN转发这些未被标记的帧。Trunk端口可以承载所有的VLAN数据，也可以配置为只能传输指定的VLAN数据，具体的IEEE802.1Q细节请见第2章VLAN使用技巧，这里不再作过多的阐述。4.1.3 SVI接口类型SVI是和某个VLAN关联的IP接口，每个SVI只能和一个VLAN关联，从使用的角度来看可以分为两种SVI类型，一种SVI类型是本机的管理接口，通过该管理接口管理员可管理交换机，二层交换机和三层交换机都支持该种SVI的管理接口，且二层交换机仅支持管理接口。另外一种SVI类型是一个网关接口，用于三层交换机中跨VLAN之间的路由。4.1.4 路由口类型在三层交换机上，可以使用单个物理端口作为三层交换的网关接口，这个接口称为Routed port，Routed port不具备2层交换的功能。我们可以通过no switchport命令将一个Access端口或者Trunk端口转变为Routed port，然后给Routed port分配IP地址来建立路由。4.1.5 Aggregate Port由多个物理端口构成的Access端口或者Trunk端口被称为L2 Aggregate port，通过L2 Aggregate port发送的帧将在L2 Aggregate port的成员端口上进行流量平衡，当一个成员端口链路失效后，L2 Aggregate port会自动将这个成员端口上的流量转移到别的端口上。L2 Aggregate port要求成员端口必须为同一类型，包括端口速率、双工、流控等。由多个物理端口构成的路由口被称为L3 Aggregate port，L3 Aggregate port使用一个Aggregate port作为三层交换的网关接口，它不具备二层交换的功能。我们可以通过no switchport将一个无成员L2 Aggregate port转变为L3 Aggregate port,接着将多个routed port加入此L3 Aggregate port，然后给L3 Aggregate port分配IP地址来建立路由。由于Aggregate port最后都是以Access端口、Trunk端口或者路由口的方式工作，因此本章不对Aggregate port进行过多的介绍，其使用方法与其他接口类型一样。4.2 园区网IP连通模式介绍在园区网的设计中，有一个很重要的环节就是设计三层交换机间的IP连通路由模式。所谓设计IP连通路由模式是指园区网三层交换机之间IP连通接口类型的合理选择和使用，在不同的业务需求和网络架构下，我们可能会对前面提到的各种交换机接口类型进行不同的选择，下面我们将针对各种常见的模式进行介绍。4.2.1 路由口到路由口模式在园区网的前期规划和具体部署时，我们通常将核心设备和汇聚设备之间的IP连通模式设计为“路由口到路由口模式”，因为该种模式下具备如下的特点，如图4-2。l VLAN数据将终结在路由口边缘，如图中的VLAN2/3/4和VLAN7/8/9将不会透传出三层交换机的路由口以外，这样使得网络结构非常清晰明了；l 由于VLAN数据将终结在路由口边缘，因此三层交换机中的VLAN ID可以重复使用，不会造成冲突，从而扩大了VLAN部署的业务范围；l 三层交换机SW1和SW2之间需要通过路由协议来实现各自VLAN的数据通讯，如图中的VLAN2/3/4和VLAN7/8/9需要使用静态路由和动态路由来实现相互访问，我们通过简单的安全控制部署，便可以做到用户访问的安全性；l VLAN中的二层攻击和广播风暴同样也被控制在路由口以内，假如图中的VLAN2中发生了广播风暴，但其仅仅会影响三层交换机SW1，而不会影响到三层交换机SW2，使得网络更具有健壮性。图4-24.2.2 Access SVI到Access SVI模式相对于“路由口到路由口模式”，还有一种与它非常类似的IP连通路由模式，就是“Access SVI到Access SVI模式”，如图4-3， SW1和SW2是通过图中的VLAN100 SVI接口进行路由连接的，该种模式下也具有“路由口到路由口模式”相应的特点，如VLAN数据将终结在Access SVI边缘、VLAN ID可以重复使用、需要通过路由协议来实现各自VLAN的数据通讯、VLAN中的二层攻击和广播风暴也被控制在Access SVI以内。相对于“路由口到路由口模式”，“Access SVI到Access SVI模式”也有一些自己的特点和应用场合，有关具体的应用场合后面的章节会进行阐述，这里先简单列举一下该模式应用下需要注意的几个特点：l 正常情况下，SW1和SW2中间VLAN 100 SVI接口的广播流量会通过SW1或者SW2的下连Trunk端口广播出去（除非Trunk端口上做了VLAN 100的修剪），有可能会造成一些线路带宽的浪费和协议数据的无效扩散；l SW1和SW2互连的SVI接口的VLAN ID不一定非得一致（比如一边是VLAN 100一边是VLAN 101），因为我们采用的是Access SVI接口，SW1和SW2互连VLAN ID只对本地有效，不会通过中间的链路把VLAN ID传递过去。因此，通过上面的分析，除了特殊的场合（该场合后面会进行阐述），锐捷网络建议用“路由口到路由口模式”作为三层交换机间的IP连通路由模式最佳。图4-34.2.3 Trunk SVI到Trunk SVI模式在园区网的前期规划和部署时，有时候会遇到这样的业务或者需求，它们要求所涉及到的所有业务服务器或者客户机必须在同一个广播域中，即同一个VLAN中，一般下面这两种情况是比较典型的应用需求：1、 由于业务本身的扩展性和系统实现能力所限制，它必须要求业务服务器和客户机在同一个VLAN中，否则该业务无法正常工作，例如图4-4；图4-42、 用户对VLAN的划分原则有明确要求，但是可能要涉及较大的地理位置，例如图4-5，用户希望按照部门来进行VLAN划分，每个部门都在一个VLAN中，但是发现在两个楼宇中都存在这个部门，因此也会有上述的需求。图4-5针对上面提到的这两种情况，我们在部署园区网时就可能存在有一种或者多种业务需要在部分或者整个园区网范围内进行VLAN透传，这种应用的实现就要使用到“Trunk SVI到Trunk SVI”的IP连通路由模式，见图4-6，这里我们简单对该模式的应用特点进行例举说明：l 在这用应用需求下，锐捷网络建议不要把所有的VLAN三层网关全部起用在一台核心交换机上，其他的三层交换机仅仅做为二层数据转发，因为这样做就偏离了分布式三层网络的设计思想，造成核心交换机的压力过大，一旦网络中发生二层攻击或者广播风暴，它将直接影响整个园区网络；l 在采用了分布式三层网络设计的方案后，我们必须要使用VLAN的SVI接口来进行三层交换机之间的路由互连，例如图中的VLAN 100 SVI，它是作为SW1和SW2之间的路由互连接口，此时要求SW1和SW2中的这个互连VLAN ID必须一致，否则就无法进行通讯了（区别于“Access SVI到Access SVI模式”的互连VLAN ID），同样SW1和SW2之间可以采用静态路由或者动态路由进行设计；l 缺省情况下，Trunk端口容许所有的VLAN通过，如果我们不在SW1和SW2之间进行VLAN修剪的话，那么所有的VLAN广播流量将充斥在这条链路上，这样对带宽的浪费和网络的安全性都会带来威胁。因此，锐捷网络建议一定要在SW1和SW2中间的链路进行VLAN的修剪，例如图中要在SW1的上连Trunk端口上修剪掉VLAN2/3，在SW2的上连Trunk端口上修剪掉VLAN7/8，即只容许需要透传的业务VLAN 10和路由互连的VLAN 100通过即可，使得网络更具有健壮性。图4-64.2.3 混合型连接模式在介绍了上面的几种IP连通路由模式后，这里简单提一下混合型的连接模式，即“Access SVI到路由口模式”，这种模式的具体应用场合在后面的章节中会进行介绍，这里仅是阐述一下有这样的一种连接模式可以供我们来使用，它的使用效果与前面介绍的“路由口到路由口模式”与“Access SVI到Access SVI模式”类似，见图4-7。除了特殊应用场合，锐捷网络建议一般情况下不要使用“Access SVI到路由口模式”。需要注意：路由口、Access SVI接口是不能和Trunk SVI接口进行连接的。图4-74.3 园区网IP连通模式案例分析4.3.1 前言前面几个章节重点介绍了园区网IP连通模式中需要掌握的接口类型和常见的连通路由模式，下面我们将针对实际的应用情况展开更详细的案例分析，为了能够更好的进行案例模型分析，我们以一个简单的园区网拓扑图为例，针对用户的业务需求和管理需求进行分层次的阐述，案例拓扑图见图4-8。在展开案例分析之前，首先要引出在园区网中常见的两种网络逻辑架构，即“233架构”和“232架构”，本章中的园区网IP连通模式案例分析就是围绕着这两种网络架构展开的。这里提到的网络逻辑架构指的是IP数据包在园区网内部的转发过程，即数据包从接入层、汇聚层、核心层再到汇聚层这一个园区网内部转发过程是经过怎样的一个二层转发和三层转发过程的。所谓“233架构”指的是数据包经过接入设备、汇聚设备、核心设备再到其他汇聚设备分别是经过二层转发、三层转发和三层转发的一个路由转发过程。所谓“232架构”指的是数据包经过接入设备、汇聚设备、核心设备再到其他汇聚设备分别是经过二层转发、三层转发和二层转发的一个路由转发过程，“232架构”不是很常用的网络架构，其目的是为了减少核心层设备的三层转发压力，我们在具体设计和部署园区网时可根据实际的用户需求来选择是否采用。下面就结合这两种常见的网络架构进行园区网IP连通模式的案例分析，并且分别从通用模型和特殊模型两种情况进行阐述，通用模型是指最常见的网络设计和部署模型，特殊模型是指存在一种或者多种业务需要在部分或者整个园区网范围内进行VLAN透传的网络设计和部署模型。图4-84.3.2 “233架构”通用模型分析“233架构”指的是数据包经过接入设备、汇聚设备、核心设备再到其他汇聚设备分别是经过二层转发、三层转发和三层转发的一个路由转发过程，例如案例拓扑图4-9中VLAN 2访问VLAN 8的数据流是经过这样一个过程：RG-S2126G的二层转发 RG-S6806E-1的三层路由（192.168.1.2） （192.168.1.1）RG-S6810E的三层路由（192.168.1.9） （192.168.1.10）RG-S6806E-3。在这样的“233架构通用模型”中，我们可以采用两种IP连通路由模式进行部署，一种是“路由口到路由口模式”，见图4-9；另外一种是“Access SVI到Access SVI模式”，见图4-10。对比前面介绍的“Access SVI到Access SVI模式”的特点，锐捷网络建议在这样的通用模型下尽量应用“路由口到路由口模式”，这样使得网络结构更清晰更明了。在大多数的园区网建设中，我们遇到的都是像这样的“233架构通用模型”，因此“路由口到路由口模式”的IP连通路由模式也是锐捷网络推荐的园区网建设典型模式，这样设计和部署的园区网将是一个易管理易维护高安全性高健壮性的园区网。图4-9图4-104.3.3 “233架构”特殊模型分析前面的章节中我们曾经介绍过，在部署园区网时可能存在一种或者多种业务需要在部分或者整个园区网范围内进行VLAN透传，这种应用的实现就要使用到“Trunk SVI到Trunk SVI”的IP连通路由模式。区别于“233架构普通模型”，特殊模型的特殊点就在于园区网中可能存在一种或者多种业务需要在部分或者整个网络范围内进行VLAN透传，这种情况下如果再用前面介绍的“路由口到路由口模式”或者“Access SVI到Access SVI模式”就已经无法实现用户的业务需求了。例如案例拓扑图4-11，它的数据包路由转发过程与“233架构普通模型”相同，这里不再做重复的介绍，主要阐述在该种模型下VLAN透传的业务需求实现。例子中有这样一个业务VLAN 9，它需要透传整个园区网络，同时为了保证分布式三层网络的设计思想，我们在核心层与汇聚层之间采用了“Trunk SVI到Trunk SVI”的IP连通路由模式，并且用VLAN 100/101/102作为核心与各级汇聚之间的路由互连VLAN，通过相应的VLAN修减只让业务VLAN 9和路由互连VLAN 100/101/102通过，用户VLAN 2/5/7被终结在汇聚层以下，从而保证骨干网络的安全性和健壮性。该应用模式也是在园区网建设中经常遇到的结构，很有设计价值。图4-114.3.4 “232架构”通用模型分析“232架构”指的是数据包经过接入设备、汇聚设备、核心设备再到其他汇聚设备分别是经过二层转发、三层转发和二层转发的一个路由转发过程，例如案例拓扑图4-12中VLAN 2访问VLAN 8的数据流是经过这样一个过程：RG-S2126G的二层转发 RG-S6806E-1的三层路由（192.168.1.2） RG-S6810E的二层转发 （192.168.1.4）RG-S6806E-3。这里的关键是RG-S6810E由原来“233架构”中的三层路由转发转变为现在的“232架构”中的二层转发，我们都知道三层交换机的二层转发比三层路由转发的性能和效率要高很多，因此这样的设计大大的减少了核心交换机RG-S6810E的三层转发压力，提高了核心层网络的整体性能。“232架构”中需要注意的是核心层与汇聚层之间互连IP地址的变化，以及路由指向的变化，即汇聚层设备之间必须进行相关路由的指向（通过静态路由或者动态路由的方式），才能够实现“232架构”的数据转发特点，否则将会产生一些负面的影响，具体的影响情况将在最后面的章节中进行详细阐述。这里介绍的“232架构通用模型”指的是没有透传VLAN的业务需求模型，我们可以用“Access SVI到路由口模式”或者“Access SVI到Access SVI模式”的IP连通路由模式进行部署，见图4-12。图4-124.3.5 “232架构”特殊模型分析当在部署园区网时存在一种或者多种业务需要在部分或者整个园区网范围内进行VLAN透传时，前面介绍的“232架构普通模型”就无法满足用户的业务需求了，需要利用接下来介绍的“232架构特殊模型”来进行部署。同样这种模型需要使用“Trunk SVI到Trunk SVI”的IP连通路由模式。例如案例拓扑图4-13，它的数据包路由转发过程与“232架构普通模型”是一致的，这里不再做重复的介绍，主要阐述在该种模型下VLAN透传的业务需求实现。例子中有这样一个业务VLAN 9，它需要透传整个园区网络，同时为了保证分布式三层网络以及“232架构”的设计思想，我们在核心层与汇聚层之间采用了“Trunk SVI到Trunk SVI”的IP连通路由模式，并且用VLAN 100作为核心与汇聚之间的路由互连VLAN，通过相应的VLAN修减只让业务VLAN 9和路由互连VLAN 100通过，用户VLAN 2/5/7被终结在汇聚层以下，从而保证骨干网络的安全性和健壮性。该应用模式在园区网建设中很少被应用，这里只是给大家作为一个扩展知识介绍。图4-134.4 园区网“232架构”实施案例分析4.4.1 案例故障现象“232架构”中的关键点是核心层与汇聚层之间互连IP地址的变化以及路由指向的变化，即汇聚层设备之间必须进行相关路由的指向（通过静态路由或者动态路由的方式），只有这样才能够实现“232架构”的数据转发特点，否则将会产生一些负面的影响，本节就对产生的这种负面影响进行原因分析和解释，以避免我们在实际的网络部署中发生类似的情况。这里我们用图4-12或者图4-13来举例，说明一下在“232架构”下不合理部署导致的网络故障。案例图中我们在所有RG-S6806E上配置一条默认路由指向RG-S6810E的VLAN 100 SVI地址192.168.1.1，RG-S6810E上配置到各个RG-S6806E上网段的路由，下一跳分别是各个RG-S6806E上连三层接口地址192.168.1.2 / 192.168.1.3 / 192.168.1.4。做完上述的规划和配置后，我们发现运行中的网络存在这样一个故障：PING RG-S6810E的虚接口地址192.168.1.1不通或是有丢包，但是下面的用户互通没有问题。4.4.2 故障原因分析在解释这个故障现象之前，我们先介绍一个概念：ICMP重定向报文。定向一般是用来让具有很少选路信息的主机逐渐建立更完善的路由表的，主机启动后路由表中一般只有一个默认的表项（即默认路由表项），一旦默认路由发生差错，默认路由器将通知它进行重定向，并允许主机对路由表进行相应的改动。ICMP重定向允许TCP/IP主机在进行选路时不需要具备智能特性，而把所有的智能特性放在路由器端。一般来说如果一个路由器从某个端口收到一个报文，经过查看路由后发现这个报文还要从这个端口转发出去，则认为需要对报文的原发送端进行重定向，即在路由器上，报文重定向触发的条件是一个报文从某个端口进去后又从这个端口转发出去。例如图4-14，ICMP重定向的过程如下：l PC如果要上Internet，首先把报文发给SW1（因为PC的网关指向SW1的接口）；l SW1收到数据报文并检查它的路由表，发现SW2是发送该报文的下一跳，当它把报文发送给SW2时，SW1检测到这个报文的出接口与报文到达的接口是相同的，这样就给路由器发送重定向报文给原始发送端提供了线索；l SW1认为PC应该把默认路由指向SW2，所以发送一份ICMP重定向报文给PC，告诉它以后把数据报文发送给SW2。以上是一个完整的ICMP重定向报文的产生过程，那么接下来我们分析一下三层交换机上的ICMP重定向报文。对于路由器而言，我们可以把一个物理端口看成是“三层”的（不考虑子接口的情况），ICMP重定向报文的触发条件是一个报文从某个接口进去，然后又从这个接口出来，这里的接口指的是三层的接口。而对于三层交换机而言，我们可以认为物理接口是一个“二层”的概念，真正具有“三层”属性的是VLAN SVI接口或者是路由口，所以在三层交换机上ICMP重定向报文的触发条件要改为一个报文从某个VLAN SVI接口或者是路由口进来，然后又从这个VLAN SVI接口或者是路由口转发出去（请注意是报文的三层转发，不是二层转发），或者说对于三层交换机来说，ICMP重定向报文的触发条件是在同一网段内（同一VLAN内）的三层转发。图4-14现在我们结合图4-12以及前面陈述的“232架构”不合理部署情况，分析一下当VLAN 2访问VLAN 7时网络中数据的转发过程：l RG-S6806E-1根据路由表将报文转发到RG-S6810E；l RG-S6810E查找路由表，找到下一跳是192.168.1.4，将报文转发到RG-S6806E-3；l 同时R