园区网设计解析

差劲的网络设计是扁平式的网络，不划分Vlan，这样设计不管黎叔生不生气，后果都是很严重的：

1)单点失效，却能造成大范围影响
2)大型的广播域/组播域（广播域越大，设计者越水）
3)未知Mac单播数量巨大（默认以广播方式发送）
4)管理和技术上都是挑战，特别是这样的设计引发的安全性问题会很棘手。

下面是园区网设计中的一些建议：

1.Vlan划分是必须的，建议是在连续的区间内分配IP地址，且每个Vlan对应一个子网。

2.设备间的互联链路根据带宽应用在不同的层面，Fast Ethernet在访问层上使用，连接终端；Gigabit Ethernet在访问层上连分发层和服务器；10-Gigabit Ethernet用于骨干链路，并用Ethernet Channel实现链路冗余

PS:在以太网中，RG-45接口100M就是10/100自适应，1000M就是10/100/1000自适应，而光纤接口没有自适应一说，1000M的口就是1000M，速率是固定的。

3.24/48口的SW一般作为接入层交换机，会有2-4个上连端口，转发速率取决于背板带宽，本来应该这样计算，以24口SW举例， 24端口* 100M * 全双工 = 4.8Gbit,但实际上背板带宽一般只有1.2Gbit，因为24个端口全负载的情况很少（这就好像ISP运行DHCP一样，根据同时在线的用户数来决定IP地址池的大小，而不是所有接入的用户）。有的SW提供4个GE上连接口，可以做Ethernet Channel。具体SW的选择，要依据实际工程需求而定。

4.每条链路为流量聚合提供足够的带宽（在大的园区网核心用10 GE的光纤接口），接入层SW连终端，一个终端连一个访问端口，属于一个Vlan，Vlan的建立通过VTP同步，所有SW都要有全部Vlan信息。

5.园区网流量类型大概可以分为：网络管理，IP Phone，组播，普通数据，清道夫流量（指对公司没有用的流量，比如员工在办公室下电影），建议将特定流量类型归到一个Vlan里，这个软硬件必须支持（比如VoIP就要支持802.1q），也可针对不用应用把服务器归到相应的Vlan内。

PS:服务器这个东西大家听的很多，我个人认为就是提供特定服务的PC，比如AAA服务器，DHCP服务器或者DNS服务器，功能很明确，用的是专门的软件，而在sina这样的门户网站中所用的服务器，由于Web访问时基于C/S模式的，这就要求不仅要形成规模的服务器群以实现负载均衡，而且服务器的性能要很强劲，数据的存储也要有保障。

Part1.Layer3路由协议

1.在核心层和分发层之间部署IGP
2.在冗余链路上提供等成本的负载均衡，可以快速重路由
3.建立三角连接而不是四角，比如核心层的两台SW和分发层的两台SW形成Full-Mesh是三角连接，连成正方形是四角，三角连接在链路失效时不要求路由协议重新收敛，而四角则会因为重收敛造成细微中断，达不到高可用性。
4.建立路由邻居的链路用于转发流量（OSPF or EIGRP）
5.确保冗余的三层链路没有黑洞（用动态路由协议，静态路由可能会产生Null0）
6.分发层进行路由汇总，但不建议这么做（内存大就不用太在意Table大小，明细路由使问题简化，用汇总反而费力不讨好，除非网络条目十分巨大，若使用，要求分发层间有一条链路，否则会通过接入层传送）
7.通过调整CEF的3层/4层负载均衡hash，以获得最大的等成本开销路径的利用率（CEF Polarization）
8.三层等成本链路提供快速收敛的能力，若有多条等成本路径，OSPF和EIGRP不需要重新计算一条路径。
9.应用IGP被动接口来限制没有必要的对等体，若不做被动，Routing Update会下发到终端PC，这对PC来讲没有任何实际意义，反而会占用CPU和内存。
10.关闭DTP可以提升收敛时间，同时也提高了安全性

Part2.EtherChannel

1.一般用于分发层到核心层或者核心层之间
2.用于提供链路冗余和简化（若不做EtherChannel，则根据STP两台SW间只有一条链路工作）
3.使用默认的3层负载hash时，可能并不均衡，切换到4层负载均衡hash效果会更好
4.Channel捆绑的数量为2,4或8
5.CatOS和IOS一般使用PAgP，802.3ad LACP用于多厂家互联，其中PAgP能自动捆绑互联链路，建议做成静态

Question：使用EtherChannel还是等成本路径?

1.更多的链路 = 更多的对等体，EtherChannel使多条链路逻辑上为一条(在STP计算时只认逻辑链路，只要捆绑的物理链路没有都Down掉，逻辑链路就存在)，这样可以减少对等体数目。
2.捆绑的链路有一条失效时，OSPF将减少该链路的开销，不过若是在混合SW上（即二层CatOS，三层IOS），可能不会修改，因为两模块相互独立，并不同步，三层不能感知二层链路的Down。而EIGRP是肯定不会改变链路开销的。
PS：用一条10G链路来提升带宽，好过捆绑多条1G链路，成本其实更低些。

Part3.第一跳冗余

1.用于为终端提供可自动复原的默认网关，配置时注意调整计时器以避免流量黑洞
2.可选的协议有3种：HSRP，VRRP，GLBP，其中HSRP为Cisco专有，VRRP用于多厂家互联，GLBP可执行上层链路的负载均衡，这三种协议均能实现ms级切换和完美的收敛性能
3.通过配置HSRP抢占延迟可以优化收敛，如果不配置的话，HSRP是可以让Router立即进入Active状态，但这个时候路由协议可能还没有起来，虽然切换了依然不能转发流量

全路由园区网架构

Part1.概述

1.目前大部分接入层的交换机逐步支持路由功能，且IGP协议已相当成熟，涉及末节区域划分，分层结构，快速重路由等多种优化特性
2.路由比交换安全的多，所以尽可能多路由，少交换，性能上其实没什么损失，二层还有很多无用的流量，如广播，蠕虫等；使用OSPF比使用STP要好，新建的网络最好不要考虑EIGRP，局限性很大
3.在IP层面上进行，所以部署和故障排查相对容易，单一的控制平台上使用通用的工具，如ping，traceroute，show ip ospf等
4.将2/3层的划分一直推到网络边界，设计上可以使核心，分发，接入层全部做路由协议（能用OSPF的地方绝对不要用EIGRP）
5.上行的收敛时间与检测到路由邻居丢失有关
6.STP配合OSPF核心层，整个园区网收敛需要大概1s，而全路由的园区网可以到0.2s左右
7.平台要求为Cisco 3560以上级别支持路由功能，使用IOS且能支持OSPF

Part2.接入层路由考虑

1.不能扩展Vlan到多个配线间，因为设备数量并不多，但这个问题不大，反而简化了Vlan维护，在一台Switch上配置就OK
2.IP地址是否够用，因为划分的网段增加了，可以考虑用私有地址，如果升级到IPv6就更不是问题
3.MPLS & IPv6都是未来的趋势，可以在园区网内部署以实现更高级别的安全

Part3.部署

1.控制平台单一化，三层层面上就可以控制，二层基本不介入
2.访问层上不会有STP和其他二层技术的需要，如Loop Guard,Root Guard,STP Root,Trunk等
3.Vlan只需在单台Switch上配置
4.HSRP，VRRP，GLBP不用或只用于核心层
5.2/3层不一致的问题不会存在（即二层STP堵塞端口却成了3层转发端口）
6.EtherChannel可以改为路由负载或者个别使用

Part4.排错

1.应用3层排错工具 show ip route & traceroute &　ping and extended ping & debugs
2.二层排错工具表项很多，不易查找 show arp & show spanning-tree

Part5.事件检测

1.如果物理接口发生变化或故障，路由进程可以在ms级时间内感知，一般是通过Hellos，前提是都是三层Switch互联
2.在三层Switch间使用路由接口（ip routing）以提升失效检测
3.在没有启用NSF（不间断转发）的情况下应减小Hello间隔，OSPF为250ms
4.应用BFD（双向转发检测）实现快速失效检测，在任意协议层，涉及任何介质，事实上BFD是一种高速的独立Hello协议，能够使IP网络在不到1s的时间内恢复故障