На картинке выше вы видите Hierarchical LAN Design Model. Иерархическая структура ЛВС делит сети или их модульные блоки на следующие три уровня:
- Access layer: Предоставляет конечным точкам и пользователям прямой доступ к сети.
- Distribution layer: Предоставляет точку агрегации для уровня доступа и действует как граница служб и управления между уровнем доступа и core уровнем.
- Core layer(также называется магистралью): Обеспечивает связи между distribution уровнями для больших сред.
Каждый уровень предоставляет различные функции и возможности сети. Количество необходимых уровней зависит от характеристик сайта развертывания сети.
Как показано на рисунке, для небольшой сети в одном здании могут потребоваться только уровни доступа и распределения, в то время как сети, которая охватывает несколько зданий, скорее всего, потребуются все три уровня. Независимо от количества слоев, модульность проекта гарантирует, стандартизацию сервисов и методов проектирования.
Уровень доступа
Уровень доступа, также обычно называемый границей сети, - это то место, где устройства конечных пользователей или конечные точки подключаются к сети. Он обеспечивает подключение устройств с высокой пропускной способностью с использованием технологий проводного и беспроводного доступа, таких как Gigabit Ethernet, 802.11n и 802.11ac wireless. Хотя конечные точки в большинстве случаев не будут использовать полную пропускную способность этих соединений постоянно, возможность использовать эту высокую пропускную способность при необходимости поможет улучшить качество взаимодействия (QoE) и производительность конечного пользователя.
На рисунке показаны различные типы конечных точек, которые подключаются к уровню доступа, такие как персональные компьютеры (ПК), IP-телефоны, принтеры, точки доступа, персональные устройства дистанционного присутствия и IP-камеры видеонаблюдения. Беспроводные точки доступа и IP-телефоны являются примерами устройств, которые можно использовать для создания еще одного уровня доступа от коммутатора доступа.
Уровень доступа может быть сегментирован (например, с помощью VLAN), так что разные устройства могут быть размещены в разных логических сетях по причинам производительности, управления и безопасности. В иерархической структуре LAN коммутаторы уровня доступа не связаны друг с другом. Связь между конечными точками на разных коммутаторах уровня доступа происходит через уровень распределения.
Поскольку уровень доступа является точкой подключения для конечных точек, он играет большую роль в обеспечении защиты сети от вредоносных атак. Эта защита включает обеспечение того, чтобы конечные пользователи и конечные точки, подключающиеся к сети, не имели доступа к службам, для которых они не авторизованы. Кроме того, граница доверия качества обслуживания (QoS) и механизмы QoS обычно включены на этом уровне, чтобы гарантировать сквозное предоставление QoS для удовлетворения QoE конечного пользователя.
Distribution Layer
Основной функцией уровня распределения является объединение коммутаторов уровня доступа в данном здании или кампусе. Уровень распределения обеспечивает границу между доменом L2 уровня доступа и доменом L3 ядра. Эта граница обеспечивает две ключевые функции для ЛВС: на стороне L2 уровень распространения создает границу для протокола STP, ограничивающую распространение сбоев уровня 2. На стороне уровня 3 уровень распределения суммирует информацию IP-маршрутизации, передающуюся в ядро сети. Суммирование сокращает таблицы IP-маршрутизации для упрощения поиска неисправностей и снижает издержки протокола для более быстрого восстановления после сбоев.
На рисунке показан уровень распределения. Коммутаторы распределения должны быть развернуты попарно для обеспечения избыточности. Пары коммутаторов уровня распределения должны быть связаны друг с другом L2 или L3 линками.
В условиях большого кампуса часто требуются несколько коммутаторов уровня распределения, когда коммутаторы уровня доступа расположены в нескольких зданиях, чтобы уменьшить количество дорогих волоконно-оптических трасс между зданиями. Свичи уровня распределения могут быть расположены в нескольких зданиях.
Core Layer
Когда в сети присутствует более трех уровней распределения, организациям следует рассмотреть возможность использования уровня ядра сети для оптимизации проекта. Уровень ядра сети является магистральной и агрегирующей точкой для нескольких сетей и обеспечивает масштабируемость, высокую доступность и быструю конвергенцию сети.
Ядро может обеспечить высокоскоростное соединение для крупных предприятий с несколькими сетями кампусов, распределенными по всему миру. Оно также может обеспечить взаимосвязь между уровнем доступа и другими сетевыми блоками, такими как ДатаЦентр, частное облако, публичное облако, WAN, INTERNET и другие сетевые сервисы.
Уровень ядра снижает сложность сети с N×(N-1) до N каналов для N распределений, как показано на рисунке.
Enterprise Network Architecture Options ( Переведем заголовок как Параметры архитектуры корпоративной сети).
Существует несколько вариантов архитектуры корпоративной сети, в зависимости от размера кампуса, а также требуемой для него надежности, отказоустойчивости, доступности, производительности, безопасности и масштабируемости. Варианты должны оцениваться в соответствии с требованиями бизнеса. Поскольку сети кампусов являются модульными, в сети предприятия могут быть использованы все эти варианты:
- Two-tier design (collapsed core) - Двухуровневая конструкция (без ядра)
- Three-tier design - Трехуровневый дизайн
- Layer 2 access layer (STP based)
- Layer 3 access layer (routed access)
- Simplified campus design - Упрощенный дизайн кампуса
- Software-Defined Access (SD-Access) - Программно-определяемый доступ
- Two-Tier Design (Collapsed Core)
Небольшие сети кампуса могут иметь несколько отделов, распределенных по нескольким этажам внутри здания. В этом случае уровень ядра может не потребоваться. Объединение функций ядра в распределительный уровень может стать экономически эффективным решением, которое не потеряет большинства преимуществ трехуровневой иерархической модели. Прежде чем выбирать двухуровневый (без уровня ядра) дизайн, необходимо учитывать будущие факторы масштабируемости, расширения и управляемости.
Рисунок иллюстрирует двухуровневую конструкцию с уровнем распределения, выполняющим функции ядра.
На рисунке уровень распределения/ядра обеспечивает подключение к блоку WAN, блоку Интернета, блоку сетевых служб и т. д. И та же пара коммутаторов ядра/распределения также обеспечивает агрегацию локальной сети уровня доступа.
Блок WAN используется для подключения к удаленным ЦОД, удаленным филиалам или другим сетям кампуса или для облачного подключения к поставщикам облачных услуг, таким как (Amazon Web Services, Microsoft Azure и Google Cloud Platform). В ЦОД находятся критически важные для бизнеса сервера для обслуживания веб-сайтов, корпоративной электронной почты, бизнес-приложений, хранилища, обработки данных, услуг резервного копирования, транзакций электронной торговли и т. д.
Блок Интернета используется для обычного доступа в Интернет, электронной коммерции, подключения к удаленным филиалам, удаленного доступа VPN и подключения к облачному провайдеру, который не требует выделенных линков.
В блоке network services находятся устройства, предоставляющие сетевые услуги, такие как контроллеры беспроводной локальной сети (WLC), Cisco Identity Services Engine (ISE), Cisco TelePresence Manager и Cisco Unified Communications Manager (CUCM).
Three-Tier Design
Трехуровневый дизайн сети разделяет уровни ядра и распределения. Это рекомендуется когда требуются более двух пар уровня распределения. Несколько пар уровня распределения обычно требуются по следующим причинам:
- При реализации сети для большого корпоративного кампуса, состоящего из нескольких зданий, где каждому зданию требуется отдельный уровень распределения
- Когда плотность WAN routers, Internet edge devices, data center servers, and network services возрастает до такой степени, что они могут влиять на производительность и пропускную способность сети
- Когда географическое расположение сетей требует слишком большого количества оптоволоконных линков
Когда нужно соединить несколько уровней распределения, становится необходимым использовать уровень ядра, как показано на рисунке
Каждый из блоков использует иерархическую модель проектирования. Каждый развернут с парой коммутаторов уровня распределения, подключенных к блоку ядра. Блок ЦОД является исключением, поскольку он использует более новый leaf–spine дизайн. Он является новой альтернативой трехуровневой схеме для современных ЦОД, в которых преобладают модели трафика east–west между серверами внутри ЦОД. Иерархическая структура ЛВС больше подходит для потоков трафика north–south, таких как от конечных точек к WAN, ЦОД, Интернету или сетевым службам.
Layer 2 Access Layer (STP Based)
В традиционных конструкциях ЛВС используется L2 уровень доступа и L3 уровень распределения. Уровень распределения - это L3 IP-шлюз для хостов уровня доступа. По возможности рекомендуется ограничить VLAN одним коммутатором уровня доступа, чтобы устранить петли топологии, которые являются общими точками отказа в локальных сетях, даже если в сети включен протокол STP. Ограничение VLAN одним коммутатором обеспечивает конструкцию без петель, но в ущерб гибкости сети, поскольку все узлы в VLAN ограничены одним коммутатором доступа. В некоторых организациях требуется, чтобы один и тот же VLAN был расширен до нескольких коммутаторов уровня доступа для размещения приложения или службы. Топология с петлей заставляет STP блокировать соединения, что уменьшает пропускную способность остальной части сети и может привести к более медленной конвергенции сети.
Рисунок иллюстрирует топологию без петель, где VLAN ограничен одним коммутатором, а также петлевую топологию, где VLAN охватывает несколько коммутаторов доступа.
Чтобы создать highly available IP-шлюз на уровне распределения, уровень распределения должен иметь пару автономных коммутаторов, настроенных с first-hop redundancy protocols (FHRP), чтобы предоставить хостам согласованный MAC-адрес и IP-адрес шлюза для каждой настроенной VLAN. Hot Standby Router Protocol (HSRP) и Virtual Router Redundancy Protocol (VRRP) являются наиболее распространенными протоколами резервирования first-hop; недостатком этих протоколов является то, что они позволяют хостам отправлять данные только на активный FHRP роутер через один аплинк, и оставляет другой аплинк к уровню распределения неиспользованным. Вручную можно сбалансировать VLAN трафик по аплинкам; один аплинк для нечетных VLAN, а другого - для четных. Gateway Load Balancing Protocol (GLBP) обеспечивает более широкое использование аплинков связи для трафика от уровня доступа к уровню распределения путем балансировки нагрузки от хостов по нескольким аплинкам; недостатком является то, что он работает только в топологиях без петель.
Все эти протоколы резервирования требуют точной настройки параметров по умолчанию, чтобы обеспечить сходимость сети менее секунды, что может повлиять на ресурсы ЦП коммутатора.
Layer 3 Access Layer (Routed Access)
Маршрутизированный доступ - это альтернативная конфигурация, в которой L3 распространяется на коммутаторы уровня доступа. В этой схеме коммутаторы уровня доступа действуют как полноценные маршрутизируемые L3 узлы (обеспечивающие коммутацию как уровня 2, так и уровня 3), а L2 аплинки-транки от свичей доступа к уровню распределения заменяются L3 point-to-point маршрутизиуруемыми линками. Точка разграничения L2/L3 перемещается от коммутатора распределения к коммутатору доступа, как показано на Рисунке.
Маршрутизируемая конструкция доступа к распределению имеет ряд преимуществ по сравнению с конструкцией уровня доступа L2:
- First-hop redundancy protocol не требуется: устраняеся необходимость в протоколах избыточности HSRP и VRRP.
- STP не требуется: поскольку нет никаких связей уровня 2 для блокировки, этот дизайн устраняет необходимость в STP.
- Повышенное использование аплинков связи: можно использовать оба аплинка от доступа к распределению, увеличивая эффективную полосу пропускания, доступную конечным пользователям и конечным точкам, подключенным к коммутаторам уровня доступа.
- Упрощенный траблшутинг: общие сквозные средства устранения неполадок (такие как ping и traceroute)
- Более быстрая конвергенция. Используются быстрые конвергирующие протоколы маршрутизации, такие как EIGRP и OSPF.
Хотя это отличный дизайн для многих схем, он имеет то же ограничение, что и loop-free дизайн для L2 на уровне доступа: он не поддерживает один VLAN для нескольких коммутаторов доступа. Кроме того, это может быть не самым экономичным решением, поскольку коммутаторы уровня доступа с возможностью маршрутизации уровня 3 могут стоить дороже, чем коммутаторы уровня 2.
Simplified Campus Design
Упрощенная схема кампуса основана на кластеризации коммутаторов, таких как virtual switching system (VSS), и технологиях стекирования, таких как StackWise, в которых несколько физических коммутаторов действуют как один логический коммутатор. Технологии кластеризации и стекирования могут быть применены к любому из блоков кампуса, чтобы еще больше упростить их. Использование этого дизайна предполагает следующие преимущества:
- Упрощенный дизайн: благодаря единому дизайну логического уровня распределения становится меньше управляемых блоков, что сокращает время, затрачиваемое на текущую подготовку и обслуживание.
- First-hop redundancy protocol не требуется: устраняется необходимость в протоколах избыточности, таких как HSRP и VRRP, поскольку шлюз IP по умолчанию находится на одном логическом интерфейсе.
- Уменьшенная зависимость STP: поскольку используется EtherChannel, это устраняет необходимость в STP для дизайна уровня доступа L2;
- Повышенное использование аплинков: с EtherChannel можно использовать все аплинки от доступа к распределению, увеличивая эффективную полосу пропускания, доступную конечным пользователям и конечным точкам, подключенным к коммутаторам уровня доступа.
- Упрощенный траблшутинг: топология сети от уровня распределения до уровня доступа логически представляет собой топологию hub-and-spoke, что снижает сложность в проектировании и устранении неполадок.
- Более быстрая конвергенция: с EtherChannel все линки находятся в состоянии forwarding, и это значительно оптимизирует время конвергенции после сбоя узла или канала, потому что EtherChannel обеспечивает быстрое переключение между линками в составном аплинке.
- Распределенные VLAN: с этой конструкцией VLAN могут охватывать несколько коммутаторов доступа без необходимости блокировать какие-либо каналы.
Упрощенный дизайн кампуса не имеет петель, обладает высокой доступностью, гибок, эластичен и прост в управлении. На рисунке показано, как можно упростить сеть, внедрив в проект VSS и StackWise.
Такая оптимизированная архитектура будет уместной для проектирования всех блоков кампуса (когда это возможно).Она проста в управлении, отказоустойчива и более гибкая, с более высокой агрегированной пропускной способностью аплинка. На рисунке ниже показано, как будет выглядеть комплексный кампус с виртуальной коммутационной системой (VSS) и StackWise, используемыми в разных строительных блоках и уровнях.
Software-Defined Access (SD-Access) Design
SD-Access, первое в отрасли сетевое решение для предприятий, основанное на принципах Cisco Digital Network Architecture (DNA). Это сочетание дизайна кампуса и Digital Network Architecture Center (Cisco DNA or DNAC).
