一個企業(yè)網(wǎng)絡(luò)或者說校園網(wǎng)的組建,我們可以分為兩大塊,一是資源子網(wǎng),二是通訊子網(wǎng)。資源子網(wǎng)包括用戶終端設(shè)備如PC機,以及網(wǎng)絡(luò)里對外和對內(nèi)的服務(wù)器區(qū)。而通訊子網(wǎng)是包括網(wǎng)絡(luò)中的傳輸設(shè)備以及傳輸介質(zhì)。我們先關(guān)注通訊子網(wǎng)這塊。傳輸設(shè)備在企業(yè)網(wǎng)或者校園網(wǎng)里來主要包括交換機和路由器,或者還有些防火墻之類的網(wǎng)絡(luò)設(shè)備。
現(xiàn)在,組建網(wǎng)絡(luò)最常用的是用層次化的思想。即把網(wǎng)絡(luò)分為三層,接入層,匯聚層和核心層。每一層的作用都不一樣。接入層交換機提供終端用戶的接入。核心層交換機則進行用戶數(shù)據(jù)的高速轉(zhuǎn)發(fā)。匯聚層則對接入層和核心層進行隔離,并進行用戶數(shù)據(jù)的匯聚。我們首先看接入層。這一層一般用的是2層交換機。為了節(jié)省成本,以及根據(jù)可用的原則,二層交換機已經(jīng)能滿足接入層的需求。在匯聚層和核心層一般用的是三層及其以上的交換機。在這種三層的網(wǎng)絡(luò)模型中,又可以分為交換和路由。在匯聚層和接入層之間,數(shù)據(jù)通訊主要是靠交換,而到三層后就用路由了。我們上互聯(lián)網(wǎng)也是通過第三方網(wǎng)關(guān)的幫助,其中也用到了路由。在局域網(wǎng)交換這塊,我們應(yīng)該具體實施哪些技術(shù)才能達到我們用戶對網(wǎng)絡(luò)的需求呢?
第一個首當(dāng)其沖應(yīng)該是VLAN技術(shù)。VLAN是虛擬局域網(wǎng)的簡稱。VLAN主要是用來隔絕廣播域,減少交換網(wǎng)絡(luò)內(nèi)的廣播流量。VLAN用來劃分邏輯的用戶組,達到靈活性組網(wǎng)的目的。還有一點,VLAN能有效的隔離不同的業(yè)務(wù)部門,滿足一定的安全性的需求。VLAN中還有PVLAN技術(shù)。一般情況下,使用VLAN已經(jīng)足夠了。組網(wǎng)的原則是使用的技術(shù)越少越好。要添加什么技術(shù),并需根據(jù)用戶實際的需求來。不同的交換機之間互聯(lián),要達到承載所有VLAN流量的目的,我們就必須實行TRUNK技術(shù)。TRUNK又可以叫做VLAN中繼線路,主要是用來互聯(lián)交換機達到傳輸不同VLAN的流量的目的。為了形成TRUNK,我們又有2種協(xié)議可用。一種是CISCO的私有協(xié)議ISL,另外是國際標(biāo)準(zhǔn)802.1Q.一般在實際工程中,用的最多的是802.1Q來實現(xiàn)trunk.因為802.1Q是可以兼容不同廠商設(shè)備的。
在思科里,VTP即VLAN中繼協(xié)議,這種協(xié)議是用來同步VLAN的。就是說我們在一臺交換機創(chuàng)建了很多VLAN,我們可以通過VTP的作用,把這些VLAN的信息傳遞給同一交換網(wǎng)絡(luò)內(nèi)的其它交換機,使它們學(xué)到并創(chuàng)建相同的VLAN.在國際標(biāo)準(zhǔn)中,產(chǎn)生相同作用的協(xié)議叫做GVRP.這樣的技術(shù)應(yīng)該根據(jù)實際情況來,可用可不用。我們把交換網(wǎng)絡(luò)聯(lián)通了,采用VLAN和TRUNK得到了交換網(wǎng)絡(luò)的高可用性。我們建設(shè)網(wǎng)絡(luò)除了高可用性之外,我們還必須達到高可靠性,高安全性,高可管理性以及高可擴展性。
為了達到高可靠性,我們就必須對交換網(wǎng)絡(luò)中的關(guān)鍵設(shè)備關(guān)鍵鏈路進行冗余。冗余是為了解決單點故障,從而保證網(wǎng)絡(luò)高可靠。設(shè)備冗余一般采用對匯聚層或者核心層的設(shè)備進行冗余,即采用雙星型拓撲。冗余的實行,又會帶來交換網(wǎng)絡(luò)循環(huán)的問題。為了解決循環(huán),我們又得采用STP技術(shù)。STP即生成樹協(xié)議,它的目的是在交換網(wǎng)絡(luò)中產(chǎn)生一條無循環(huán)的轉(zhuǎn)發(fā)路徑。通過STP,我們還可以對用戶的數(shù)據(jù)進行負載均衡,具體情況下次分析STP的時候總結(jié)。STP也可以做主備備份,但是它的主備作用對用戶不是透明的,會產(chǎn)生一定的問題。
我們的用戶PC上外網(wǎng)是通過網(wǎng)關(guān),因此我們可以對網(wǎng)關(guān)進行冗余,進行主備備份。在這里,我們應(yīng)該采用HSRP技術(shù)。HSRP即熱備份網(wǎng)關(guān)冗余協(xié)議,它的作用是當(dāng)一臺作為用戶網(wǎng)關(guān)的三層交換機掛掉后,另外一臺三層交換機會馬上代替并實行網(wǎng)關(guān)的功能。HSRP的操作工程是對用戶透明的。HSRP的原理及操作過程下次再總結(jié)。VLAN內(nèi)部可以通訊,但是VLAN之間以及VLAN和外網(wǎng)都不能通訊,我們必須實行VLAN間路由。有的時候,我們?yōu)榱丝刂铺囟ǖ牧髁烤涂梢栽诮粨Q機上使用ACL.我們上公網(wǎng),還必須用NAT技術(shù)進行公有IP地址和私有IP地址的轉(zhuǎn)換。一個局域網(wǎng)里面,除了實行交換技術(shù),我們還得實行路由技術(shù)。數(shù)據(jù)轉(zhuǎn)發(fā)靠二層交換和三層交換。三層交換就是路由。路由又是需要路由表。路由表是怎么來的呢?它主要是靠我們基于對網(wǎng)絡(luò)拓撲圖的理解人為手工配置上去的。這是靜態(tài)路由,用的更多的而是動態(tài)路由。動態(tài)路由中,又有RIP、EIGRP、OSPF等路由協(xié)議。這些協(xié)議的作用也是在路由器或者三層交換機中產(chǎn)生能達到各網(wǎng)絡(luò)的路由表。一個完整的企業(yè)網(wǎng),應(yīng)該包括總公司本地局域網(wǎng)、各分公司本地局域網(wǎng)和連接總公司和分公司的廣域網(wǎng)。分公司的本地局域網(wǎng)的組建和總公司的本地局域網(wǎng)組建是一樣的,只是規(guī)模稍微小一點。
路由交換是基礎(chǔ)。當(dāng)然,路由交換技術(shù)除了能夠保證局域網(wǎng)的連通性之外,也能夠在路由交換里面實現(xiàn)一定的安全機制。網(wǎng)絡(luò)安全主要是在邊界做。一些常用的安全技術(shù)有ACL、防火墻和入侵檢測及防御系統(tǒng)等等。一個網(wǎng)絡(luò)建設(shè)之前,我們就應(yīng)該想到未來的高級應(yīng)用能否無縫融合進現(xiàn)在所建設(shè)的網(wǎng)絡(luò)。這就是考慮網(wǎng)絡(luò)的可擴展性。上面所述的技術(shù)都是可擴展的?蓴U展性主要是看組建網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備,是什么樣的產(chǎn)品。一個網(wǎng)絡(luò)建設(shè)好后,我們就得好好的管理及維護。好的規(guī)章制度是必不可少的。它能減少很多不必要的問題出現(xiàn)。如何在網(wǎng)絡(luò)中進行有效的管理呢?我們網(wǎng)絡(luò)工程師當(dāng)然是通過基于SNMP的網(wǎng)管軟件進行管理和維護。如何選擇一款好的網(wǎng)管軟件也是一門很有必要研究的課題。
從上所述,我應(yīng)該提到了VLAN、TRUNK、VTP、GVRP、STP、HSRP、VRRP以及VLAN間路由。路由協(xié)議又包括靜態(tài)路由和動態(tài)路由。動態(tài)路由又包括RIP、EIGRP和OSPF.在以后的網(wǎng)絡(luò)中還有IS-IS、BGP以及組播協(xié)議PIM.這些都是很重要的路由協(xié)議。很有學(xué)習(xí)和研究的必要與價值。