局域网设计/局域网中的网络层
< 局域网设计
路由器是局域网的重要组成部分,因为它们提供互联网接入和 VLAN 互连。
|
|
在企业网络中,路由器代表着互联网访问和 VLAN 互连的瓶颈,因为它在 CPU 上实现了复杂的算法。
三层交换机是一种纯硬件实现的路由器,旨在提高性能。它的制造成本低于传统路由器,但它缺少一些高级功能
- 没有复杂的路由协议(例如 BGP);
- 有限的网络接口集;
- 没有应用补丁和更新的能力(例如 IPv6 支持、错误修复等);
- 没有保护功能(例如防火墙)。
多层交换机是一种在同一硬件卡上集成了 L2 和 L3 功能的设备:客户可以购买多层交换机,然后根据需要将每个接口配置为 L2 或 L3 模式,从而在网络部署中获得更大的灵活性。
在多层交换机上,可以配置四种类型的接口
- L2 物理接口:以 trunk (A) 或 access (B) 模式;
- L3 物理接口:它们可以终止 L3 纯 (C) 或 trunk 模式 (D) 链路;
- 用于 VLAN 互连的逻辑接口
- L3 子接口 (E):L3 物理接口可以拆分为多个 L3 子接口,每个 VLAN 一个;
- L3 虚拟接口 (F):它们连接内部路由器和内部网桥,每个 VLAN 一个。
通过单臂路由器互连两个 VLAN 需要流量两次穿过 trunk 链路到路由器→多层交换机,由于集成了路由和交换功能,单臂虚拟化,因此流量以 VLAN 标签进入并退出(即使是进入的相同端口)直接使用另一个 VLAN 标签,而不使链路上的负载加倍。
- 企业网络中路由器放置的示例。
-
具有 VLAN 分段的骨干网。 -
具有 IP 分段的骨干网。
在企业网络中,路由器最好放在哪里?
- 接入:仅网桥(通常是多层交换机)直接连接到主机;
- 骨干:存在两种可能的解决方案
- VLAN 分段:整个企业网络都在数据链路层,每个区域(例如大学部门)都分配了一个 VLAN→移动性扩展到整个企业网络;
- IP 分段:每个接入网桥连接到一个路由器(通常是三层交换机),每个区域都分配了一个 IP 网络→更高的网络隔离和更高的可扩展性。
通常,内部网桥将所有接入路由器相互连接,并连接到出口网关路由器;
- 边缘:一个路由器作为通往互联网的出口网关,通常是一个 L4-7 多层交换机,具有传输层和更高层的特性,例如保护(例如防火墙)、服务质量、负载均衡等。
- 边缘上的多层交换机:
- 使用简单路由器,每层楼会有一个不同的 IP 网络,有利于楼层之间的移动性;
- 在内部路由器上配置的虚拟接口数量与建筑物中的 VLAN 数量相同;
- 通向楼层网桥的所有端口都配置为 trunk 模式,然后每个端口可以接受任何 VLAN,有利于楼层之间的移动性;
- 它是一个 L4-7 多层交换机,用于上层功能(特别是安全功能);
- 边缘路由器之间的流量:一个额外的 VLAN 专用于路由器交换的 L3 流量(例如 OSPF 消息、HSRP 消息),以将其与正常的 LAN 流量分离(否则主机可能会假装是路由器并嗅探路由器之间的流量);
- 多组 HSRP (mHSRP):多层交换机可以对某些 VLAN 处于活动状态,而对其他 VLAN 处于备用状态;
- 每 VLAN 生成树 (PVST):每个 VLAN 都会激活一个生成树协议实例,以根据 VLAN 优化路径。
根网桥必须始终是 HSRP 活动路由器,否则某些路径将无法优化; - 多层交换机之间的直接链路:
- 它为路由器之间的额外 L3 流量提供了一条直接路径;
- 它减轻了楼层网桥上的流量负载,楼层网桥通常被设计为支持少量流量;
- 连接端点的端口配置为L2端口,即使在其中一个连接到楼层桥接器的连接出现故障的情况下,也能让普通流量穿过该连接;
- 它在链路聚合中被加倍,以提高容错能力,并利用两条链路上的可用带宽(避免STP禁用其中一条链路)。