區域網設計/區域網中的網路層
< 區域網設計
路由器是區域網的重要組成部分,因為它們提供網際網路接入和 VLAN 互連。
|
|
在企業網路中,路由器代表著網際網路訪問和 VLAN 互連的瓶頸,因為它在 CPU 上實現了複雜的演算法。
三層交換機是一種純硬體實現的路由器,旨在提高效能。它的製造成本低於傳統路由器,但它缺少一些高階功能
- 沒有複雜的路由協議(例如 BGP);
- 有限的網路介面集;
- 沒有應用補丁和更新的能力(例如 IPv6 支援、錯誤修復等);
- 沒有保護功能(例如防火牆)。
多層交換機是一種在同一硬體卡上集成了 L2 和 L3 功能的裝置:客戶可以購買多層交換機,然後根據需要將每個介面配置為 L2 或 L3 模式,從而在網路部署中獲得更大的靈活性。
在多層交換機上,可以配置四種類型的介面
- L2 物理介面:以 trunk (A) 或 access (B) 模式;
- L3 物理介面:它們可以終止 L3 純 (C) 或 trunk 模式 (D) 鏈路;
- 用於 VLAN 互連的邏輯介面
- L3 子介面 (E):L3 物理介面可以拆分為多個 L3 子介面,每個 VLAN 一個;
- L3 虛擬介面 (F):它們連線內部路由器和內部網橋,每個 VLAN 一個。
透過單臂路由器互連兩個 VLAN 需要流量兩次穿過 trunk 鏈路到路由器→多層交換機,由於集成了路由和交換功能,單臂虛擬化,因此流量以 VLAN 標籤進入並退出(即使是進入的相同埠)直接使用另一個 VLAN 標籤,而不使鏈路上的負載加倍。
- 企業網路中路由器放置的示例。
-
具有 VLAN 分段的骨幹網。 -
具有 IP 分段的骨幹網。
在企業網路中,路由器最好放在哪裡?
- 接入:僅網橋(通常是多層交換機)直接連線到主機;
- 骨幹:存在兩種可能的解決方案
- VLAN 分段:整個企業網路都在資料鏈路層,每個區域(例如大學部門)都分配了一個 VLAN→移動性擴充套件到整個企業網路;
- IP 分段:每個接入網橋連線到一個路由器(通常是三層交換機),每個區域都分配了一個 IP 網路→更高的網路隔離和更高的可擴充套件性。
通常,內部網橋將所有接入路由器相互連線,並連線到出口閘道器路由器;
- 邊緣:一個路由器作為通往網際網路的出口閘道器,通常是一個 L4-7 多層交換機,具有傳輸層和更高層的特性,例如保護(例如防火牆)、服務質量、負載均衡等。
- 邊緣上的多層交換機:
- 使用簡單路由器,每層樓會有一個不同的 IP 網路,有利於樓層之間的移動性;
- 在內部路由器上配置的虛擬介面數量與建築物中的 VLAN 數量相同;
- 通向樓層網橋的所有埠都配置為 trunk 模式,然後每個埠可以接受任何 VLAN,有利於樓層之間的移動性;
- 它是一個 L4-7 多層交換機,用於上層功能(特別是安全功能);
- 邊緣路由器之間的流量:一個額外的 VLAN 專用於路由器交換的 L3 流量(例如 OSPF 訊息、HSRP 訊息),以將其與正常的 LAN 流量分離(否則主機可能會假裝是路由器並嗅探路由器之間的流量);
- 多組 HSRP (mHSRP):多層交換機可以對某些 VLAN 處於活動狀態,而對其他 VLAN 處於備用狀態;
- 每 VLAN 生成樹 (PVST):每個 VLAN 都會啟用一個生成樹協議例項,以根據 VLAN 最佳化路徑。
根網橋必須始終是 HSRP 活動路由器,否則某些路徑將無法最佳化; - 多層交換機之間的直接鏈路:
- 它為路由器之間的額外 L3 流量提供了一條直接路徑;
- 它減輕了樓層網橋上的流量負載,樓層網橋通常被設計為支援少量流量;
- 連線端點的埠配置為L2埠,即使在其中一個連線到樓層橋接器的連接出現故障的情況下,也能讓普通流量穿過該連線;
- 它在鏈路聚合中被加倍,以提高容錯能力,並利用兩條鏈路上的可用頻寬(避免STP停用其中一條鏈路)。