計算機等級考試三級IP網(wǎng)絡(luò)設(shè)計系列之－局域網(wǎng)設(shè)計

【導(dǎo)讀】這是IP網(wǎng)絡(luò)設(shè)計系列最后一部分，討論園區(qū)局域網(wǎng)設(shè)計中遇到的一些問題。以太網(wǎng)交換機優(yōu)越于傳統(tǒng)的集線器環(huán)境的好處將首先介紹一下。應(yīng)用虛擬局域網(wǎng)的動機已經(jīng)同規(guī)劃和配置虛擬局域網(wǎng)遇到的問題一起進行了研究。本文還將討論確保園區(qū)網(wǎng)絡(luò)設(shè)計具有可伸縮性和彈性的一些技術(shù)。本文還將討論生成樹協(xié)議以及如何在大型交換的網(wǎng)絡(luò)中優(yōu)化這個協(xié)議。最后，在本文的結(jié)論部分將涉及到與推出IP電話有關(guān)的設(shè)計問題。
    以太網(wǎng)交換的好處
     　傳統(tǒng)的共享的以太網(wǎng)是一種基帶介質(zhì)。這就意味著在任何一個時間只能有一個站點能夠向這個介質(zhì)發(fā)送數(shù)據(jù)。多個信號不能像在寬帶網(wǎng)介質(zhì)中那樣成為多路復(fù)用的信號。在一個共享的以太網(wǎng)集線器，各個站點通過監(jiān)聽一對兒接收的線路來檢查是否有其它站點在發(fā)送數(shù)據(jù)，用這種方法來解決訪問沖突問題。以太網(wǎng)交換的應(yīng)用取代了共享的以太網(wǎng)，從而產(chǎn)生了如下改善的運行功能。
    專用的沖突域
    交換機的每一個端口都在自己的沖突域中，因此，一個站點通過一臺交換機的端口連接到這個局域網(wǎng)，而不是通過一個集線器的端口。這樣，這個站點就不需要在發(fā)送數(shù)據(jù)之前通過監(jiān)聽是否有沖突來競爭接入到線路的權(quán)限。這將提高局域網(wǎng)的有效帶寬。
    通信過濾和轉(zhuǎn)發(fā)
    一臺交換機像一個多口網(wǎng)橋一樣工作，并且通過監(jiān)聽實況通信來了解每一個站點的MAC地址的位置。對于交換機交換的每一幀，交換機僅把通信轉(zhuǎn)發(fā)到目的地MAC地址所在的端口。這臺交換機據(jù)說要過濾所有其它端口的幀。這將顯著減少局域網(wǎng)中不必要的通信，提高帶寬的利用率。然而，廣播幀將涌向所有的端口，這樣，一個交換機據(jù)說要創(chuàng)建多個沖突域，但是，所有的端口仍在同一個廣播域中。這通常是一種理想工作方式，因為廣播時必要的，通常是局域網(wǎng)中的一種有效的通信手段。這與廣域網(wǎng)有些不同。微軟的Windows就使用嚴重依賴廣播的NetBios。另一個例子是地址解析協(xié)議(ARP)。根據(jù)地址解析協(xié)議，一個地址解析協(xié)議廣播必須要達到IP子網(wǎng)的每一個站點以便把一個目的地的IP地址解析為MAC地址。
    全雙工傳輸
    傳統(tǒng)共享的以太網(wǎng)以半雙工的模式工作。換句話說，各個站點不能同時發(fā)送和接收數(shù)據(jù)。由于以太網(wǎng)基帶的性質(zhì)，只有一個站點能夠訪問這個介質(zhì)并且在任何一個時間發(fā)送數(shù)據(jù)。一個共享的以太網(wǎng)介質(zhì)上的各個站點通過監(jiān)聽沖突來解決通信沖突。全雙工傳輸意味著所有的站點都能夠同時發(fā)送和接收數(shù)據(jù)。在以太網(wǎng)中，這并不是通過監(jiān)視沖突來實現(xiàn)的。如果這個站點附加到自己專用的交換機端口，它只是合法地關(guān)閉了沖突檢測功能。這就意味著在沖突域只有兩個站點:這個站點本身和這臺交換機的端口。然后，每個站點都可以相互收發(fā)數(shù)據(jù)，而不必監(jiān)聽沖突。這種方式稱作點對點的以太網(wǎng)。同許多網(wǎng)絡(luò)詞匯一樣，全雙工一直被濫用而且有些說法是不真實的。交換機廠商之間的市場營銷大戰(zhàn)促使這些廠商聲稱全雙工作業(yè)能夠使數(shù)據(jù)吞吐量提高一倍。全雙工作業(yè)確實能夠顯著改善數(shù)據(jù)吞吐量，但是，還不能說把數(shù)據(jù)吞吐量提高了一倍，因為同一個站點不可能以線速的速度同時發(fā)送和接收應(yīng)用程序的通信。
    理解客戶機-服務(wù)器通信流
    當實施一個交換的局域網(wǎng)設(shè)計時，獲得對客戶機-服務(wù)器通信流的詳細了解大概是一項的挑戰(zhàn)。一個網(wǎng)絡(luò)正在進行重新設(shè)計，要把一個共享的局域網(wǎng)環(huán)境轉(zhuǎn)變?yōu)橐粋€交換的局域網(wǎng)，以滿足日益增長的帶寬需求。在這種情況下，有可能收集到詳細的大量有關(guān)通信狀況的信息。在一個全新的網(wǎng)絡(luò)，在網(wǎng)絡(luò)推出之前收集這些信息是不容易的。然而，沒有嚴格數(shù)量的通信狀況分析，對通信狀況進行合理的質(zhì)量分析也是應(yīng)該達到的。獲得下列信息的合理的預(yù)測是非常重要的:什么用戶在與什么服務(wù)器進行通話，通話的時間有多長，現(xiàn)在消耗的帶寬是多少，將來消耗的帶寬是多少?所有的客戶機和服務(wù)器的物理位置和邏輯位置是什么。換句話說，要清楚地了解每個應(yīng)用程序的客戶機與服務(wù)器之間數(shù)據(jù)通道。服務(wù)器之間的通信水平是什么?再次說明一下，這與了解整個網(wǎng)絡(luò)的全部主要通信流的需求是一致的。如果不充分理解這些通信流，介紹局域網(wǎng)交換機的作用也是很有限的。舉一個極端的例子，假設(shè)一臺服務(wù)器在遠方并且必須通過一個56K的廣域網(wǎng)線路訪問這臺服務(wù)器。在這種情況下，一臺局域網(wǎng)交換機將不能顯著提高性能，因為瓶頸是在廣域網(wǎng)而不是在局域網(wǎng)。
    高速內(nèi)核
    一些專有的方法與802.3ad標準的存在允許把多個連接集成為一個邏輯的高速連接。兩臺交換機之間的多個物理連接必須被當作一個邏輯連接對待，否則，生成樹將封鎖多余的連接。這種功能可以用來提供核心交換機之間的高速連接并且向高帶寬服務(wù)器提供高速連接。即使在應(yīng)用萬兆以太網(wǎng)之前，就存在最多把8個以太網(wǎng)端口集成在一起提供高速園區(qū)干線的功能。
    虛擬局域網(wǎng)的概念
    廣播封閉
    一臺交換機中的每一個端口代表一個單獨的沖突域。然而，一臺交換機的全部端口都在同一個廣播域。園區(qū)局域網(wǎng)中的任何一個站點發(fā)出的任何廣播都必須經(jīng)過完全是交換網(wǎng)絡(luò)的那個局域網(wǎng)中的每一個站點的處理。在局域網(wǎng)環(huán)境中，每一臺設(shè)備中的CPU的中斷所引起的問題比這個廣播消耗的帶寬還要嚴重。虛擬局域網(wǎng)為在交換的網(wǎng)絡(luò)中創(chuàng)建多個廣播域提供了一種機制。一個特定站點發(fā)出的一個廣播將只發(fā)送給同一個虛擬局域網(wǎng)中站點。需要一臺路由器實現(xiàn)虛擬局域網(wǎng)中的通信，就像用一臺路由器實現(xiàn)物理局域網(wǎng)之間的通信一樣。這個問題是很容易理解的，因為一個虛擬局域網(wǎng)與一個IP子網(wǎng)是同義詞。在一個交換的環(huán)境中，如果兩個站點在同一個虛擬局域網(wǎng)中，它們一定是在同一個IP子網(wǎng)中。
    安全
    通過過濾廣播，虛擬局域網(wǎng)提供了一般與路由子網(wǎng)的安全水平相同的安全功能?？紤]一下插入到一個交換機端口的網(wǎng)絡(luò)分析器的情況。如果這個端口分配給一個特定的虛擬局域網(wǎng)，那么，這個網(wǎng)絡(luò)分析器僅檢測與那個虛擬局域網(wǎng)有關(guān)的廣播，而不檢查整個局域網(wǎng)?？梢栽诼酚善魃显O(shè)置安全政策，就像在傳統(tǒng)的局域網(wǎng)網(wǎng)段上一樣管理虛擬局域網(wǎng)之間的通信。
    IP地址計劃
    IP地址計劃也許還部分規(guī)定了虛擬局域網(wǎng)策略。例如，如果一個26位子網(wǎng)掩碼用于局域網(wǎng)子網(wǎng)，那么，每個子網(wǎng)的最多主機數(shù)量是60個。這就意味著整個局域網(wǎng)不能與超過60個的主機保持“持平”。如果在一個交換的局域網(wǎng)中有大量的主機，虛擬局域網(wǎng)的創(chuàng)建必須是每個虛擬局域網(wǎng)最多有60臺主機。
    靈活型
    虛擬局域網(wǎng)正在向把一個路由網(wǎng)絡(luò)的智能與交換網(wǎng)絡(luò)的靈活性結(jié)合在一起的方向發(fā)展。例如，在一個特定的虛擬局域網(wǎng)中的用戶在移動到園區(qū)內(nèi)不同物理位置之后仍能夠保留在那里虛擬局域網(wǎng)中。所有這一切需要在相關(guān)的交換機設(shè)置中做一些修改。這不需要改變硬件或者重新鋪設(shè)電纜。虛擬局域網(wǎng)能夠擴展到使用虛擬局域網(wǎng)集群協(xié)議的多臺交換機。這將進一步提高靈活性。一般來說，虛擬局域網(wǎng)在使用3層處理的局域網(wǎng)環(huán)境中幫助簡化了移動、增加和改變等管理功能。
    虛擬局域網(wǎng)規(guī)劃
    當規(guī)劃在一個大型園區(qū)局域網(wǎng)中部署虛擬局域網(wǎng)的時候，有許多問題需要考慮。部署虛擬局域網(wǎng)的數(shù)量必須與每個虛擬局域網(wǎng)應(yīng)該支持的主機數(shù)量一起確定。虛擬局域網(wǎng)的架構(gòu)和這個虛擬局域網(wǎng)數(shù)據(jù)吞吐量覆蓋園區(qū)的范圍是另一個重要的設(shè)計問題。
    虛擬局域網(wǎng)的范圍
    虛擬局域網(wǎng)對于配線柜來說應(yīng)該是本地的。例如，一棟大樓的每一層代表一個不同的虛擬局域網(wǎng)，而不管用戶的工作職能是什么。這就意味著廣播是在本的封閉的。這個缺點是發(fā)到另一個配線柜(里面可能配置服務(wù)器)的通信必須使用路由器。企業(yè)在服務(wù)器群等集中的地方共享資源的趨勢在日益增長。日益突出的基于網(wǎng)絡(luò)的計算和共享的辦公室應(yīng)用程序進一步推動了這種趨勢的發(fā)展。隨著大多數(shù)資源集中起來，客戶機與服務(wù)器之間的通信可能在任何情況下都能得到路由，除非這個局域網(wǎng)是一個不適合廣播的大型IP子網(wǎng)。這個基本原理已經(jīng)使所謂的“本地”虛擬局域網(wǎng)成為了一種流行的設(shè)計理念。這種替代的方法將允許虛擬局域網(wǎng)擴展整個局域網(wǎng)或者園區(qū)，以確保客戶機至服務(wù)器的通信產(chǎn)生最少的路由延遲。在工程、市場營銷和法律等各個工作組都實現(xiàn)相對自動化的情況下，這也許是可行的?，F(xiàn)代的服務(wù)器平臺將支持多個共享的應(yīng)用程序，這些共享的應(yīng)用程序可能會影響所謂的“端對端”的虛擬局域網(wǎng)。3層交換技術(shù)的改進也減少了與路由和3層處理有關(guān)的延遲。部署本地虛擬局域網(wǎng)的一個更誘人的理由是它能阻止廣播在整個園區(qū)干線上傳播。
    虛擬局域網(wǎng)的數(shù)量
    不要僅僅為了建立虛擬局域網(wǎng)而建立虛擬局域網(wǎng)。網(wǎng)絡(luò)設(shè)計師應(yīng)該清楚建立虛擬局域網(wǎng)將帶來的好處。記住這些好處，使用的虛擬局域網(wǎng)的數(shù)量就可以確定了。這個決定不能離開IP地址計劃單獨做出。在IP地址計劃中，局域網(wǎng)子網(wǎng)的數(shù)量通常與使用的虛擬局域網(wǎng)的數(shù)量相關(guān)聯(lián)的。根據(jù)這個機構(gòu)的人員編制結(jié)構(gòu)，把一群人用同一個虛擬局域網(wǎng)中的通用工作職能組合在一起也許是可能的，也許是不可能的。
    每個虛擬局域網(wǎng)的用戶數(shù)量
    有一個每個虛擬局域網(wǎng)最多用戶數(shù)量的預(yù)測是一種很好的做法。這種預(yù)測沒有必要與整個企業(yè)保持一致。例如，虛擬局域網(wǎng)封閉使用高帶寬的用戶，或者廣播密集型應(yīng)用程序應(yīng)該有較少的用戶。這個IP地址計劃也將對每個子網(wǎng)的主機數(shù)量提出限制，從而限制每個虛擬局域網(wǎng)的主機數(shù)量。
    優(yōu)化生成樹域
    802.1d生成樹協(xié)議在橋接或者交換的網(wǎng)絡(luò)中是必要的，以便允許冗余的交換機之間的連接，同時防止廣播環(huán)路(loops)。生成樹協(xié)議可能減緩融合這種情況將提出協(xié)議挑戰(zhàn)。這些挑戰(zhàn)應(yīng)該在設(shè)計階段加以解決。
    大多數(shù)交換機廠商都提供一些專有的方法加快生成樹的融合。例如，思科的“PortFast”功能把沒有連接到另一臺交換機的一個端口的發(fā)送延遲定時器設(shè)置為零。這就防止了PC在啟動之后出現(xiàn)連接問題，因為PC端口進入發(fā)送狀態(tài)比較緩慢。這是一項很有用的功能，因為只在連接到另一臺交換機的端口需要生成樹協(xié)議。
    然而，還有一種新的標注化的增強功能的協(xié)議RSTP(快速生成樹協(xié)議)。正如這個協(xié)議的名稱所說的那樣，這個協(xié)議將解決與802.1d協(xié)議有關(guān)的融合問題。RSTP是一個以802.1w的形式制定的標準。這個協(xié)議增加了計算并且獲得了有關(guān)網(wǎng)絡(luò)的更多的結(jié)構(gòu)信息。這個協(xié)議與作為維持生計機制的BPDU(橋接協(xié)議數(shù)據(jù)單元)一起使用使其本地融合時間達到了6秒，而在802.1d協(xié)議中，這個時間需要50秒。802.1w協(xié)議向下兼容802.1d協(xié)議并且推薦在現(xiàn)代局域網(wǎng)中應(yīng)用。
    根網(wǎng)橋啟動這個生成樹協(xié)議BPDU信息。這個信息每2秒鐘向整個網(wǎng)絡(luò)傳播一次。這是根網(wǎng)橋應(yīng)該位于接近網(wǎng)絡(luò)干線的中心點位置的原因之一。這樣將保證所有的下行交換機在接收和處理BPDU信息時出現(xiàn)同樣的延遲，從而提高生成樹協(xié)議計算機的穩(wěn)定性。根交換機上的所有的端口為了生成樹協(xié)議都處在發(fā)送狀態(tài)，并且一般要比其它交換機用有更高的處理工作量。這就意味著那臺交換機應(yīng)該是網(wǎng)絡(luò)上功能更強大的交換機之一。顯然，根交換機應(yīng)該認真挑選。生成樹協(xié)議根據(jù)最低的橋ID選擇一臺根交換機。由于所有的參數(shù)都是默認值，選擇具有最低的MAC地址ID的交換機變成了一種很偶然的事情。然而，通過降低指定根設(shè)備的橋優(yōu)先等級，這種根選擇是允許有偏差的。這樣做是合理的，不僅是由于上述理由，而且還因為這樣可以阻止新安裝的交換機由于其MAC ID低于當前的根交換機而啟動根選擇的競爭。
    具有生成樹功能的一個端口在進入發(fā)送狀態(tài)之前必須要經(jīng)過封鎖、監(jiān)聽和學(xué)習(xí)階段。這是在生成樹的緩慢融合的中心，但是，對于確保不會產(chǎn)生環(huán)路的布局是很必要的。所有主要的交換機廠商都有以安全的方式加快生成樹融合的專有方法。例如，生成樹協(xié)議能夠根據(jù)每個端口的情況關(guān)閉，以便直接移動這個端口到發(fā)送狀態(tài)。這將會防止在啟動之后出現(xiàn)工作站DHCP請求超時等故障，因為那時端口還沒有進入發(fā)送狀態(tài)。每次關(guān)閉生成樹都應(yīng)該特別注意，這個時候千萬不要關(guān)閉可能連接到其它交換機的端口。
    在設(shè)計階段必須解決的最后一個問題是在一個虛擬局域網(wǎng)環(huán)境中如何處理生成樹。在整個園區(qū)可以使用建立一個生成樹域。替代的方法是在每一個虛擬局域網(wǎng)中建立一個單獨的生成樹實例。這意味著每一個虛擬局域網(wǎng)可能有一個不同的(或者完全相同的)根交換機。重要的是清楚隨后的安裝工作和相應(yīng)地做出計劃。例如，擁有多個生成樹域，阻止一臺交換機成為整個虛擬局域網(wǎng)的根也許是謹慎的措施。如果那臺交換機出現(xiàn)故障，這會減少通信的中斷。有多個生成樹域的好處是，它們很小，因此能夠更快地融合起來，允許為每一個虛擬局域網(wǎng)優(yōu)化選擇根交換機。另一方面，一個單獨的生成樹可減少BPTU通信以及交換機必須處理的生成樹的數(shù)量。同以前一樣，在做出任何決策時前，了解你的環(huán)境是一個重要的問題。
    IP電話
    隨著IP電話的出現(xiàn)，有許多要解決的設(shè)計問題。由于性能和安全的原因，這種語音通信應(yīng)該在自己的虛擬局域網(wǎng)中實施。因此，一個新的IP子網(wǎng)必須增加IP電話的任務(wù)。理想的是這種IP地址應(yīng)該很容易分辨，例如10.99.99.0/24，以便使排除故障和管理更方便。
    IP電話服務(wù)器的數(shù)量和位置必須要確定下來。服務(wù)器的容量必須要根據(jù)其能夠支持的注冊電話用戶數(shù)量以及在繁忙時間能夠支持的電話數(shù)量來進行評估。這種評估再加上預(yù)算分析有助于決定服務(wù)器的位置是采取集中的模式還是分布式模式。
    電源可以通過多種方式提供，如通過每個電話機的單獨的電源部分、一個電源接插板、或者使用支持線內(nèi)供電的以太網(wǎng)交換機。最后一種方法一般被認為是最可靠的和最省錢的。然而，在處理IP電話的問題時，你永遠不要忘記標準化的問題。如果IP電話機來自不同的廠商，其廠商的數(shù)量比以太網(wǎng)交換機的廠商還多，線內(nèi)供電能起作用嗎?雖然有很多標準，但是，這些標準并不總是滴水不漏的。因此，惟一的方法是通過實際測試確切地了解這個情況。
    服務(wù)質(zhì)量總是語音通信的問題。局域網(wǎng)的帶寬通常是很充足的，因此，阻塞管理通常不能保證特殊的配置。來自IP電話的通信一般標記為“IP優(yōu)先等級5”和“802.1q COS 5”。這個分類和標記能夠在本地交換機設(shè)置。許多IP電話預(yù)先標記這種通信。如果是這種情況，交換機應(yīng)該設(shè)置為來自IP電話的“可信賴”數(shù)據(jù)包(也就是說，不是重新標記的)。來自PC的數(shù)據(jù)包一般應(yīng)該標記為“優(yōu)先等級0”，以防止數(shù)據(jù)幀在路由器廣域網(wǎng)接口上以高優(yōu)先等級隊列發(fā)送。