CCNP SWITCH 300-115学习指南

版权信息

书名：CCNP SWITCH 300-115学习指南

ISBN：978-7-115-41918-7

本书由人民邮电出版社发行数字版。版权所有，侵权必究。

您购买的人民邮电出版社电子书仅供您个人使用，未经授权，不得以任何方式复制和传播本书内容。

我们愿意相信读者具有这样的良知和觉悟，与我们共同保护知识产权。

如果购买者有侵权行为，我们可能对该用户实施包括但不限于关闭该帐号等维权措施，并可能追究法律责任。

•　著　　　　［美］Richard Froom　Erum Frahim

　   译　　　　孙　玲　韩　鹏

　   责任编辑　傅道坤

•　人民邮电出版社出版发行　　北京市丰台区成寿寺路11号

　   邮编　100164　　电子邮件　315@ptpress.com.cn

　   网址　http://www.ptpress.com.cn

　   异步社区网址　 http://www.epubit.com.cn/book/details/4231

•　读者服务热线：(010)81055410　

　   反盗版热线：(010)81055315

版权声明

Implementing Cisco IP Switched Networks (SWITCH)Foundation Learning Guide (ISBN:1587206641)

Copyright © 2015 Pearson Education, Inc.

Authorized translation from the English language edition published by Cisco Press.

All rights reserved.

本书中文简体字版由美国Pearson Education授权人民邮电出版社出版。未经出版者书面许可，对本书任何部分不得以任何方式复制或抄袭。

版权所有，侵权必究。

内容提要

本书是根据Cisco最新推出的CCNP SWITCH 300-115考试纲要编写的学习指南。

本书总共分为10章，其内容包括SWITCH相关的基础知识回顾、网络设计原理、园区网架构、深入解析生成树、VLAN间路由、第一跳冗余协议、网络管理、园区网交换特性与技术、高可用性、园区网安全等知识。

本书专门为准备CCNP SWITCH考试的人员而编写，是成功通过CCNP SWITCH考试的最佳自学读物。

关于作者

Richard Froom，CCIE #5102，Cisco公司Solution Validation Services（SVS）团队经理。Richard曾是一名Cisco TAC网络工程师，负责各种客户网络的测试工作。Richard持有CCIE路由交换及CCIE存储网络认证。现如今，Richard及其所在团队致力于数据中心的新兴技术，包括Application Centric Infrastructure（ACI）、OpenStack、Intercloud Fabric，以及使用Hadoop的大数据解决方案等。

Erum Frahim，CCIE #7549，Cisco公司Solution Validation Services（SVS）团队技术负责人。Erum当前的工作是为多个Cisco大客户测试数据中心的解决方案。近期，Erum主要负责Application Centric Infrastructure（ACI）、UCS Director、OpenStack、大数据等技术领域。在此之前，Erum负责管理Nexus平台工作组并担任Cisco数据中心业务部门下属的数据中心SAN测试实验室的小组负责人。Erum于2000年进入Cisco，成为一名TAC工程师。Erum拥有伊利诺伊理工学院的电子工程理学硕士学位，以及NED大学（巴基斯坦卡拉奇市）的工学学士学位。Erum也曾为Certification Magazine及Cisco.com撰写过文章，并多次参加CiscoLive活动。工作之外的Erum，更多时间是陪伴在家人身边。

关于技术审稿人

Sean Wilkins，是SR-W 咨询公司（http://www.sr-wconsulting.com）的一名颇有造诣的网络顾问。早在20世纪90年代，Sean就进入了IT领域。他曾就职于Cisco、Lucent、Verizon、AT&T，以及多家私人企业。Sean持有Cisco（CCNP/CCDP）、微软（MCSE），以及CompTIA（A+、Network+）等多种认证，并拥有信息技术（网络架构与设计）理学硕士学位、组织管理学的理学硕士学位、网络安全硕士证书、计算机网络理学学士学位，以及计算机信息系统领域应用科学副学士学位。除了网络顾问的工作之外，Sean也是多家公司的技术作者和技术编辑。

献辞

Richard Froom：

本书献给我的妻子Elizabeth和我的儿子Nathan。感谢在我写作本书的过程中为我付出的鼓励和耐心。

Erum Frahim：

本书献给我的女儿、老公，以及我的父母，是他们无私的爱和耐心让我完成本书。

致谢

感谢参加本书创作过程的所有人。

Cisco Press团队：本书的责任编辑Mary Beth Ray，负责本书多个层面的整体掌控，亲力亲为地解决团队遇到的问题。本书的主编Sandra Schroeder，负责本书的出版工作。还有负责后勤和管理的Vanessa Evans，以及发行编辑Jeff Riley，也为本书的出版发行做出了大量的幕后工作。

还要感谢本书的项目编辑Mandie Frank和版权编辑Keith Cline，是他们出色的工作能力使得本书的编辑工作如此顺利。

CCNP SWITCH课程开发团队：感谢开发CCNP SWITCH课程的所有人。SWITCH课程可以说是本书内容的根基，如果没有你们的课程支持，本书的写作之路一定会十分坎坷。

技术审稿人：感谢本书的技术审稿人Sean Wilkins，感谢你细致认真的校对工作。

我们的家庭：当然，本书的写作离不开家人的理解和耐心。感激家人对我们始终如一的关怀和鼓励。

大家会发现：有加粗有没有加粗，请大家统一

我只是随便找了一个文件的前缀作试范，其他大家可以自己研究

我给了大家一个WORD的通配符的表格

本书使用的图标

命令语法约定

本书命令语法遵循的惯例与IOS命令手册使用的惯例相同。命令手册对这些惯例的描述如下。

• 粗体字表示输入的命令和关键字。在实际的配置示例和输出（非常规命令语法）中，粗体字表示命令由用户手动输入（如show命令）。
• 斜体字表示用户应提供的具体参数值。
• 竖线（|）用于分隔可选的、互斥的选项。
• 方括号（[]）表示任选项。
• 花括号（｛｝）表示必选项。
• 方括号中的花括号（[{}]）表示可选项中的必选项。

前言

本书作为CCNP或CCDP认证的学习教材，可帮助正在准备SWITCH考试（300-115）的考生顺利通过考试。

本书中所有配置及实例均来自Cisco Catalyst 3750及6500平台的IOS。

今天的园区网不断在发展、扩容，对收敛时间和故障时间的要求越来越高。为了满足园区网的扩展需求，Cisco开发了多种新的交换特性来支持网络的增长，如生成树增强特性、端口捆绑，以及Trunking技术等。本书将逐一介绍以上及其他园区网交换特性。

此外，随着全球对Internet安全的重视，园区网内的安全性变得尤为重要。对于网络安全，大多数企业会过分强调Internet边缘的外部安全，却忽略了园区网的内部安全。攻击者可以从网络内部发起拒绝服务攻击或窃取内网数据。本书介绍了园区网架构中的几大构建区域，并着重讨论了每个区域中的网络安全。

本书使用了大量的配置案例和验证命令，用以帮助读者理解所学内容以并获得排障能力。每章的最后还设置了复习题，供读者巩固及复习本章的重要知识点。

读者对象

本书适合从事网络架构、设计或管理工作的网络工程师或网络管理者阅读，尤其适合那些负责园区网实施或排障工作的网络管理员阅读。

对于那些计划参加SWITCH考试获取CCNP或CCDP认证的考生，本书也可作为SWITCH考试的学习材料阅读。读者在阅读本书之前，应先拥有CCNA路由交换认证或同等级别的技术能力，至少应具备以下基本技能。

• 了解OSI参考模型及网络基础。
• 能够操作及配置Cisco交换机或路由器，包括：
  • 查看并解释路由器或交换机的路由表；
  • 配置管理IP地址；
  • 配置静态及默认路由；
  • 启用交换机接口；
  • 配置IP标准和扩展的访问控制列表；
  • 管理网络设备安全；
  • 配置网络管理协议，管理设备配置、IOS镜像，以及license；
  • 使用show及debug等命令验证路由器及交换机的配置；
  • 理解TCP/IP及IPv6的工作原理。
• 具备基本的配置、验证、排障IP连通性及交换问题的能力。

如果读者对上述知识与技能不甚了解，推荐从人民邮电出版社已出版的《CCENT/CCNA ICND 1认证考试指南》和《CCNA ICND 2认证考试指南》这两本书入手学习。

SWITCH课程介绍

Cisco网站上有关于SWITCH考试（300-115）内容的详细说明，详见https:// learningnetwork.cisco.com/docs/DOC-24499。

“以下主题包含的内容很可能会出现在SWITCH考试中。当然，考试中可能也会出现其他相关的主题。为了能更好地清晰反应考试内容，以下指南可能会随时做出变更而不另行通知。”

在本书写作之际，SWITCH考试范围见表0-1。

由于课时所限，Cisco SWITCH课程并不会涵盖这门考试的全部内容，也不会涉及考试可能出现的扩展主题，因为编写Cisco SWITCH课程和负责考试的并不是同一个团队。

本书提供了表0-1的考试范围中的所有主题（除了前面提到的那些基本知识）。本书所讲解的考试主题的深度，足以帮助考生通过考试。不过，这些主题的行文措辞相当普通，而Cisco的考试是在持续更新的，因此，作者不能保证考试中的所有知识点都被覆盖。

表0-1 SWITCH考试范围

本书组织结构

本书章节及附录的组织结构如下。

第1章，“基础知识回顾”，本章对基本的交换技术做了回顾，并对本书后续章节使用的术语做了简要介绍。本章尽可能地避免过多地交叉引用技术，因为大多数的交换技术贯穿在了所有章节中。

第2章，“网络设计原理”，涵盖了基本的园区网设计原理，包括园区网结构、Cisco Catalyst交换机，以及2层和多层交换机的区别。本章还简要介绍了Catalyst交换机的硬件功能性。

第3章，“园区网架构”，介绍了VLAN、VTP、Trunking，以及端口聚合等技术。

第4章，“深入解析生成树”，本章深入地讨论了生成树以及今天的网络中有用的生成树增强特性。

第5章，“VLAN间路由”，讨论了VLAN间路由、相关的网络设计以及最佳的实现方法。此外，还讨论了动态主机配置协议（DHCP）和3层EtherChannel。

第6章，“第一跳冗余协议”，介绍了Cisco Catalyst交换机支持的第一跳冗余协议，包括热备份路由器协议（HSRP）、网关负载均衡协议（GLBP）和虚拟路由器冗余协议（VRRP）。

第7章，“网络管理”，介绍了AAA（认证、授权、审计）、网络时间协议（NTP）、802.1X，以及简单网络管理协议（SNMP），覆盖了Cisco Catalyst设备安全和网络管理内容。

第8章，“园区网交换特性与技术”，讲解了如何使用高级特性来增加园区网的可恢复性和可用性。本章还介绍了Cisco IOS IP SLA（服务等级协议）特性，以及使用交换机端口分析器（SPAN）和远程SPAN（RSPAN）完成网络监控。

第9章，“高可用性”，讨论了使用StackWise、虚拟交换系统（VSS），或冗余的Supervisor引擎实现交换机物理冗余。

第10章，“园区网安全”，深入研究了多种网络安全特性，如DHCP Snooping、IP源保护、动态ARP检测（DAI）、端口安全、私有VLAN，以及风暴控制。

附录A，“复习题答案”，该附录为各章课后复习题的答案。

第1章　基础知识回顾

在正式进入CCNP SWITCH这门针对园区网交换技术的课程之前，我们首先快速地回顾一遍CCNA中的相关知识点并简要地介绍其中部分技术，以便于本书内容的理解。由于这里提到的所有技术都是独立存在的，如生成树或虚拟LAN（VLAN），因此本章将这些基础知识汇总到一起进行复习，并且在后续章节中将不再重复类似的基础讲解。

如果读者十分了解交换术语，并对交换技术有着基本的认识，建议跳过此章，直接从第2章开始阅读。

本章涵盖如下CCNA基础交换知识点，后文会对涉及的知识做更多的介绍。

• 集线器与交换机；
• 网桥与交换机；
• 今天的交换机；
• 广播域；
• MAC地址；
• 基本的以太网帧格式；
• VLAN；
• 生成树（STP）协议；
• Trunk；
• 端口聚合（Port-channel）；
• 多层交换（MLS）。

1.1　交换技术介绍

局域网交换（LAN Switching）这一术语正在逐渐变成历史。从20世纪90年代到21世纪头5年，局域网交换一词被广泛用来描述使用Cisco Catalyst交换机构建的LAN网络。然而，今天的LAN网络已经被分成了功能不同的两大阵营：数据中心（Data Center）网络和园区（Campus）网络。

本书着眼于园区网络。相比而言，园区网络通常选择更为保守的体系结构，使用Cisco Catalyst交换机来实现传统的2层或3层架构设计。而数据中心网络正处于发展阶段，主要定位于应用、dev/ops，以及软件可编程性。这些体系使用的是一些尖端的技术，如FabricPath、Dynamic Fabic Automation（DFA）、Application Centric Infrastructure（ACI）等。

本章后面内容主要介绍与园区网络相关的关键交换技术，这些技术贯穿于本书所有章节。这其中的许多技术会在后续章节做更多的介绍，但定义并快速复习一遍知识点还是有助于读者理解后续章节的。此外，由于园区网的所有特性相互交织在一起，很难用连续的方式依次介绍每种技术，因此，本章的内容也会使用便于阅读的格式进行编排。

1.1.1　集线器与交换机

集线器（hub）这种产品已经作废，这一术语在今天已经很少提及。即使是最简单的家用多口以太网设备，在今天也都是交换机了。

回顾来看，集线器产品之所以退出了历史舞台，是由于端口共享带宽的机制造成的。交换机中的端口带宽是独享的。集线器可以将多台设备连接到同一网段。网段中设备彼此之间共享带宽。例如有一台100Mbit/s的集线器，其6个端口分别连接了6台设备，那么这6台设备彼此共享100Mbit/s带宽。也就是说，100Mbit/s的集线器会在所有连接设备之间共享这100Mbit/s的带宽。在OSI参考模型中，集线器被定义为1层（物理层）设备。集线器会监听线缆上的电信号并将信号传递给其他端口。

和集线器类似，交换机（switch）也可以将多台设备连接到同一网段，但两者也仅仅是这一点相似。交换机可使每台连接设备具有专用带宽，而非共享带宽。交换机与设备之间的带宽被预留出来用于双向的通信。如果6台设备连接到一台1Gbit/s交换机的6个端口上，每台设备之间都会有1Gbit/s的交换能力，而不是与其他设备共享带宽。交换机可以明显地增加网络中的可用带宽，从而提高网络的性能。相比集线器，交换机还支持许多额外的功能性，后文会介绍到这些特性。

1.1.2　网桥与交换机

常规的交换机被认为是2层（数据链路层）设备。这里谈到的“层”（layer）指的是OSI 7层参考模型中的“层”。交换机不光要像集线器那样传递电平信号，还要将信号封装成2层帧（frame），并对帧进行转发处理。交换机处理帧使用的是一种早期更为常见的网络设备：透明网桥（bridge）。理论上讲，交换机也可以像透明网桥一样工作，但处理帧的性能要比网桥快得多（这是使用了特殊硬件及硬件架构的原因）。一旦交换机确定了帧应被发送到哪里，会将帧从单个（多个）端口发出。读者可以将交换机看做是一台可以在多个端口之间建立瞬时帧到帧连接的设备。

1.1.3　今天的交换机

今天的交换机不仅支持帧的交换处理，许多交换机已经支持路由功能。此外，交换机还可以对流量进行优先处理，通过冗余来支持不中断的流量转发，围绕IP电话及无线网络提供融合性类网络服务。

总的来说，为了满足今天日益增加的网络需求，Cisco Catalyst交换机的设计支持了所有传统交换机特性以及业界领先的如下特性。

• 应用智能：帮助网络识别出多种类型的应用，并保证这些应用的安全性及优先性，从而提供最好的用户体验。
• 统一网络服务：将无线和有线网络中的最优组件组合到一起，用户可以使用任何设备无缝地连接到他人或网络资源。10G以太网技术及以太网供电（PoE）技术支持新型应用及设备。
• 不中断通信：使用冗余硬件、不中断转发（NSF）以及状态化切换（SSO）技术来提供更可靠的连接。
• 集成安全性：LAN交换机提供了安全的第一道防线来防御内部网络攻击并阻止未经授权的入侵。
• 运行管理性：为了更加容易地管理网络，IT工作者必须能够从某一中心区域远程地集中配置、监控所有网络设备。

1.1.4　广播域

在CCNA中我们学过，广播域是由一组网络设备组成的区域，区域中所有设备都能接收到域内任何一台设备发出的广播帧。广播域的边界通常是路由器（router）设备，这是因为路由器不转发广播数据帧。VLAN是广播域的一个实例。一个广播域通常是一个只包含单个IP子网的2层网络。下一节将继续讨论广播域中的地址使用。

1.1.5　MAC地址

MAC地址作为数据链路层的标准地址，存在于连接到LAN中的每个端口或设备上。网络中的其他设备使用此地址来找出网络中某端口的具体位置，并创建、更新路由表及数据结构。MAC地址共6字节长，由IEEE控制管理。MAC地址也称为硬件地址、MAC层地址、物理地址。

MAC也被应用到虚拟设备上，例如，一台服务器上的多个虚拟设备都会拥有单独的MAC地址。此外，大多数设备都拥有多个MAC地址。一个简单的例子就是我们的笔记本，它同时拥有一个LAN MAC地址和一个无线MAC地址。下一节将继续介绍以太网中使用的标准帧格式。

1.1.6　以太网帧格式

IEEE 802.3标准定义了MAC地址的标准的数据帧格式，以及用于协议扩展的附加格式。标准数据帧格式包含了以下7个字段，如图1-1所示。

• 前导码（PRE）：7字节长。PRE由交替出现的1和0组成，此字段用于指示帧的开始，以便与网络中的所有接收端帧同步。
• 帧起始定界符（SFD）：1字节长。前6比特由交替的1和0组成，后2比特是11，这两比特会中断同步模式并提醒接收方后续帧是目的MAC地址。
• 目的MAC地址（DA）：6字节长。DA字段用于确定数据帧的接收者。DA的首个字节中，最后2比特用于标识目的地是一个单独的地址还是组地址（组播）。这两个比特的后一个比特（第8位）标示出DA是单播地址（0）还是组播地址（1）。前一个比特（第7位）标识出DA是全局管理地址（0）还是本地管理地址（1）。其余比特是唯一分配的值，用来标识单个主机、一组主机，或是网络中的全部主机。

图1-1　标准IEEE 802.3 MAC数据帧格式

• 源MAC地址（SA）：6字节长。SA标识了发送者。SA始终是一个单独的地址（单播），其格式与DA相同。
• 长度/类型：2字节长。此字段可用来标识MAC客户数据（数据字段）的字节数，或者当帧封装成其他格式时，用作帧的类型ID。如果“长度/类型”字段值少于1500，将表示为长度字段，定义了数据字段的字节大小。如果值大于1536，将表示为类型字段，定义了发送或接收的特殊帧类型。
• 数据：由n个连续的字节组成，其中46≤n≤1500。当数据字段长度小于46时，会使用填充位（pad）填充至46字节。

提示：

　

Cisco Catalyst交换机可通过支持小巨人帧的方式最大支持9000字节的数据帧。

• 帧校验序列（FCS）：4字节长。其中包含了32比特的循环冗余校验（CRC）值，CRC值由发送端计算，并由接收端重新计算以确定数据帧是否遭到损坏。FCS是基于DA、SA、长度/类型，以及数据字段生成的。

1.1.7　基本交换功能

当一台交换机收到一个数据帧后，必须要决定如何处理此帧。交换机可能会忽略此帧、将此帧从某个端口发出，或从多个端口发出。

为了确定如何操作数据帧，交换机须要了解网段中所有设备的位置信息。设备的位置信息存放在内容可寻址存储（CAM，专用于存储表项的一段内存）表中。CAM表存储着每台设备的MAC地址、学习MAC地址的端口，以及端口所属VLAN。随着交换机不断地接收新的数据帧并学习，CAM表也会随之更新。下一章会继续讲解CAM表。

CAM表中的信息决定了应该如何处理接收的数据帧。为了确定如何发送一个帧数据，交换机首先会查看收到帧的目的MAC地址，并在CAM表中检索这一MAC地址。CAM表会显示出去往某个特定目的MAC地址的数据帧应从哪个接口（或端口）发出。简单地讲，基本的2层交换功能遵守着以下的选路原则。

• 如果目的MAC地址存在于CAM表中，交换机将根据CAM表中目的MAC对应的出站端口将数据帧从此端口发出。这一过程称为转发（forwarding）。
• 如果CAM表中检索到的出站端口与接收到数据帧的入站端口相同，则不需要将数据帧从此端口原路发送回去，并且将忽略该数据帧。这一过程称为过滤（filtering）。
• 如果目的MAC不在CAM表中（即未知的单播地址），交换机会将数据帧发送给与接收帧的入站端口所属相同VLAN的所有端口。这一过程称为泛洪（flooding）。泛洪不会发送回入站端口。
• 如果收到的数据帧的目的MAC地址是一个广播地址（FFFF.FFFF.FFFF），交换机也会执行泛洪（flooding）行为，将数据帧发送给与接收帧的入站端口所属相同VLAN的所有端口。当然不包括接收帧的入站端口。

下一节将继续讲解Cisco Catalyst交换机和Nexus交换机中将一组端口划分进各自LAN网段常用的流行技术。

1.1.8　VLAN

由于交换机是基于数据帧在物理端口之间交换数据的，因此可以在此基础上对其进行扩展，使其在逻辑上对端口进行分组。每个逻辑端口组叫做虚拟局域网（VLAN）。交换机可以确保来自组内某个端口的流量不会发送到其他端口组中（这属于路由功能）。这些端口组（VLAN）可看做是独立的LAN网段。

每个VLAN也是一个独立的广播域。根据透明网桥的算法，广播包（去往所有设备的包）将发送给相同组（即VLAN）内的其他所有端口。处于相同VLAN的所有端口同处在一个广播域下。

下一节继续介绍构建2层域使用的传统生成树技术。

1.1.9　生成树协议

像前面提到的那样，交换机的转发算法会在接收帧所在端口的VLAN中将所有未知数据帧和广播数据帧泛洪至同VLAN内所有端口。这就会导致一个潜在的问题。如果运行这一算法的网络设备连接成了一个物理环路，泛洪的数据帧（如广播）将会沿着环路永远地在交换机之间传递。一旦物理上连接成了环路，环路中的数据帧将会以指数形式成倍增加，继而造成网络障碍。

当然，网络中的环路也有好处，即提供冗余性。如果某条链路故障，流量仍可使用其余路径到达目的地。为了充分发挥冗余性的优势而不受物理环路的限制，这就引出了一种叫做生成树（STP）的协议。生成树的规范定义于IEEE 802.1D标准中。

生成树协议的作用是用来识别并临时阻塞网段或VLAN中的环路。一旦网络中的交换机都运行了生成树，就会选举出一个根桥或根交换机。其他交换机会衡量自身到根交换机的距离。如果到达根交换机有多条路径，就说明网络存在环路。接着，交换机会使用STP算法来确定哪个或哪些端口需要被阻塞（block）以中断环路。生成树是动态的，如果网段中的某条链路发生故障，先前被阻塞的端口有可能恢复成为正常的转发（forward）模式。

生成树在本书后面章节还会继续涉及。下一节介绍如何在单个端口上传输多个VLAN流量。

1.1.10　Trunk

Trunk是一种可以使多个VLAN独立运行于多台交换机间的十分常用的技术。当然路由器和服务器也可以使用Trunk技术，可使其同时处于多个VLAN中。如果网络中只有一个VLAN，那大可不必考虑Trunk；如果网络中有多个VLAN，那么就应该考虑Trunk技术的优势了。

一台交换机上的一个端口通常只属于一个VLAN；所有在这个端口发送或接收的流量都会认为属于端口配置的这个VLAN。不过可以将端口配置成Trunk模式来发送或接收更多的VLAN流量。为了区分不同的VLAN，Trunk技术会给每个数据帧贴上VLAN信息，这一过程称为打标签（tagging）。此外，Trunk需要同时配置在链路两端，因为对端端口也必须能够区分VLAN信息才能保证通信的正确。同前面小节的风格一致，更多的内容会在本书后续章节中呈现。

1.1.11　端口聚合

端口聚合（port channel）是一种将多条物理链路逻辑上捆绑到一起的技术，捆绑后的多条链路作为一条逻辑链路存在，而不再各自独立工作。当有多条链路连接到相同的设备时常会用到。聚合端口会将流量分布给组内的所有链路来提高冗余性，当某条链路发生故障时，流量会自动分配给其余正常链路。聚合链路两端的设置必须保持一致。正常情况下，在设备之间建立多条平行连接会造成物理环路，生成树会阻塞部分端口以消除环路，但当配置端口聚合技术后，生成树会将聚合端口看做是一个逻辑端口来运行生成树，不会阻塞聚合端口。后面章节会继续介绍端口集合的更多内容。

1.1.12　多层交换

多层交换（MLS）是一种可让交换机基于3层或4层头部信息转发数据帧的技术。几乎所有Cisco Catalyst 3500平台以上及最新的交换机都支持MLS技术。如今MLS一词正逐渐变成一种历史技术，因为当今几乎所有交换机都能支持MLS。MLS最重要的一点是交换机使用专用的硬件来路由或交换数据帧，从而使其性能达到线速（wire-rate）。在交换机中有效地引入路由功能可以使交换机能够在核心网中的VLAN之间进行路由选择。下一章还会介绍更多的MLS技术。

1.2　本章小结

本章简短地回顾了许多常见技术以及与交换技术相关的知识点。本书的后续章节也涵盖了这些主题，还会介绍其他与安全相关的交换技术。

第2章　网络设计原理

当我们每次去公司办公或是去学院或大学上课，在访问重要的应用、工具或上网时，都会使用到园区网络。通常，人们会使用便携设备访问互联网，如通过iPhone手机连接公司的WiFi热点，通过园区网收发邮件、编写工作日报或发送即时消息。因此，网络建设的负责人需要遵循合理的园区网设计原理及设计规则，从而为网络提供充分必要的稳定性、可扩展性及弹性来实现100%的在线业务。

本章围绕网络设计和网络结构中的一些核心概念以及Cisco交换机的架构细节，开始了园区网设计原理的探索之旅。在设计、构建一个园区网时，这些知识将十分有帮助。本章主要分为以下两大主题：

• 园区网结构；
• Cisco交换机与其体系结构。

2.1　园区网结构

园区网（campus network）被认为是企业或机构基础设施的一部分，用来互联各种终端设备，如电脑、笔记本，或是用无线接入点（AP）访问内网（intranet）或Internet资源。内网资源包括公司网页、呼叫中心应用、文件及打印服务，以及任何终端用户从电脑上访问的资源。

在不同的时期，园区网为终端用户访问公司应用或工具（处于数据中心）提供了连通性。起初，在2005年之前，园区网这一术语及其架构是与应用服务器集群以及计算网络相关的。而今天，这种连接服务器集群、应用服务器，以及计算节点的网络称为数据中心网络（data center network）。

在过去的几年中，数据中心由于对高可用性、低延迟、高性能的要求，相比园区网其架构已经变得越来越复杂。因此，数据中心网络可能会使用园区网中没有的高端技术，如FabricPath、VXLAN、Application Centric Infrastructure（ACI）等。本书创作之际，在CCNP SWITCH这门课程中，数据中心的这些技术是不在考试范围内的。尽管如此，为了使读者不与园区网原理相混淆，本书还是会简单地列出两类网络之间的差异。

接下来的多个小节将会详细介绍层次化网络设计中的每个组成部分。

2.1.1　层次化网络设计

一个扁平化的企业园区网是一张使用2层交换机连接PC、服务器、打印机的简单网络。扁平网络不需要太多的子网规划。此外，子网内的所有设备处在同一个广播域，并且广播会泛洪给所有直连的网络设备。由于终端设备（平板电脑、PC）会使用CPU和I/O资源去处理广播，因此广播包会浪费一定的带宽及系统资源。在一个只有10台设备的扁平网络中，可能还没有什么问题，但在一个用户成百上千的网络中，资源与带宽浪费的问题就变得十分严重了（见图2-1）。

图2-1　扁平化与层次化网络设计

这种广播问题以及许多其他的限制最终得出的结果是，扁平化网络并不能满足大多数中小企业的网络需求。为了满足大多数企业园区网不断扩容的需要，必须使用一种层次化的网络架构。相比扁平网络，图2-2示范了园区网络中层次化网络设计模型。

图2-2　层次化网络模型

层次化的网络模型允许设计者将网络划分成多个层级。为了理解分层的重要性，我们先来思考一下OSI参考模型，这是一个为了理解和实现计算机通信所设计的分层模型。由于OSI将计算机通信划分为了许多层面，因此简化了设备之间通信所需要的工作。同理，使用层次化模型逐层建设的思想，也会减少园区网设计的难度。

再来看图2-2，层次化模型的网络被划分成3个特殊功能的层级：核心层（core）、分布层（distribution）、接入层（access）。这种模型提供了一个模块化的、灵活的框架，当网络升级或扩容时不需要大规模修改或返工。

例如，在办公楼里加入一个新的部门时，仅需要增加一个分布层和接入层，使其上联到现有的核心层即可（需考虑核心层性能）。只需要对新增的设备进行操作，现有网络不会受到影响，除了简单的物理增加之外，增加交换机的配置也非常容易，这是因为在网络设计之初都是遵循层次化原则的，所以，大多数的配置目标都是事先确定好的。

层次化模型中的接入层、分布层、核心层分别具有以下特点。

• 接入层：用来允许用户访问网络应用及相关功能。在园区网中，接入层通常一般由多口交换LAN设备组成，用来连接工作站、IP电话、无线AP、打印机等。对于远程办公人员或远端站点来说，在WAN环境中，接入层可通过WAN技术帮助其访问公司网络。
• 分布层：分布层主要使用模块化或3层交换机，用来将接入层交换机配线间、楼层或其他物理区域汇聚起来。类似地，分布层也汇聚了园区网边缘的WAN连接，并可提供基于策略的连通性。
• 核心层（也叫做骨干）：核心层是一个高速的骨干区域，旨在以最快的速度交换数据包。在大多数园区网中，核心层还具备了路由转发能力（后面章节会继续讨论）。由于核心层对于网络连通性来说处于至关重要的位置，所以其必须提供高级的可用性，并且能够快速适应网络变化。核心层也应具备动态可扩展性以适应网络扩容及故障时的快速收敛。

接下的小节将依次介绍接入层、分布层，以及核心层的更多细节。

1．接入层

如图2-3所示，接入层由一组互联终端设备（PC、打印机、投影仪等）的交换机组成。接入层交换机还可以向融合性网络进行扩展，如IP电话及无线AP可以通过接入层交换机访问园区网中的其他区域。

由于连接到接入层的设备多种多样，并且使用着各种各样的服务与动态配置机制，使得接入层成为了园区网中最具优势的区域。这些优势如下所示。

• 高可用性：在没有路由功能的接入层中，通过在接入层与分布层之间使用冗余的链路，可为用户提供冗余的默认网关来提供高可用性。这种默认网关的冗余性的机制叫做第一跳冗余协议（FHRP，first-hop redundancy protocol）。FHRP会在本书后续章节详细介绍。

图2-3　接入层

• 融合性：接入层交换机通常可为IP电话、瘦客户端、无线AP等终端提供PoE（Power over Ethernet）供电技术。PoE允许客户无需考虑电源问题，可以轻而易举地将IP电话和无线AP放置在任何物理位置。此外，接入层还支持融合性特性，可以支持最佳的IP电话及无线AP软件配置，使语音及无线数据融合到数据网络中。这些特性也会在后续章节介绍。
• 安全性：接入层还提供了额外的安全服务，通过使用一些安全工具，如端口安全、服务质量（QoS）、DHCP Snooping、动态ARP检测（DAI）、IP源防护来防止未授权用户访问网络资源。这些特性同样会在后续章节中进行讨论。

说完了接入层，下一节继续介绍接入层的上一层：分布层。

2．分布层

园区网中的分布层在接入层和核心层之间扮演着服务边界及控制边界的角色。接入层和核心层本质上都是专门具有特殊用途的区域。比如接入层就是专用于连接终端设备的，而核心层是专用于为整个园区网提供不中断转发的。与之相比，分布层的用途就非常多了。图2-4所示为一个园区网的分布层。

图2-4　分布层

高可用性、快速路径恢复、负载均衡、QoS等都是设计分布层时应考虑的重要因素。一般来说，高可用性通常是通过在分布层到核心层的3层冗余，以及接入层到分布层之间的2层或3层冗余提供的。3层的等价负载分担技术可以使分布层到核心层之间的两条上行链路以多种负载均衡方式同时使用。负载均衡技术会在后文探讨。

注释：

　

除了负载均衡（load-balancing），等价多路径（ECMP，equal-cost multipathing）是另一个用来描述等价负载分担的术语。不过，ECMP通常使用在数据中心架构中而非园区网。本书会同时使用这两个术语，不加以区分。

在接入层使用2层设计的网络中，分布层常用来终结VLAN，充当着接入层和核心层之间的路由边界。分布层常代表了路由选择域之间重分布的点，或是静态路由协议和动态路由协议的分界线。分布层也可以执行一些操作，如对特定路由进行处理及过滤，从而实现基于策略的连通性、安全性和QoS。这些特性使得流经园区网的流量得到更严格的控制。

为了进一步增强路由选择协议的性能，分布层通常还用来汇总接入层路由。如果3层路由扩展到了接入层，那么分布层一般会向接入层提供一条默认路由，并与核心层路由器之间运行动态路由选择协议进行通信。

此外，分布层可以通过第一跳冗余协议（FHRP）来提供冗余的默认网关。FHRP技术包括热备份路由协议（HSRP）、网关负载均衡协议（GLBP），以及虚拟路由器冗余协议（VRRP）。FHRP为连接到下游接入层设备的第一跳默认网关提供了冗余性及高可用性。当接入层使用3层路由功能时，FHRP就失去其作用了。

总的来说，当接入层未使用3层路由功能时，分布层可提供以下功能：

• 在连接核心层及接入层的路径上，使用多条链路来提供高可用性与等价负载分担；
• 一般用来终结2层VLAN域；
• VLAN间路由流量并发送给核心层；
• 汇总接入层路由；
• 部署基于策略的连通性（流量过滤、QoS、安全性）；
• 提供FHRP技术。

3．核心层

核心层是连接整个园区网的骨干区域，如图2-5所示，也是企业网中其他层级或区域的汇聚点。核心层必须提供最高等级的冗余性并能快速适应网络变化。

从设计的角度来看，园区网核心层的部署最为简单，但却最为重要。核心层使用一组有限的服务来保证业务高可用以及100%的在线时间。在大型企业网中，核心网部分必须提供不中断、始终可用的业务。其核心设计思想就是提供相应级别的冗余性，以保证在设备任何组件（下挂交换机、引擎、线路卡、矩阵、电源、风扇等）发生故障时，都不会影响业务流量的转发。网络设计时还必须要考虑到偶发的硬件及软件的升级或修改不能中断现有网络业务。核心层中不应部署复杂的策略，也不应直接连接用户或服务器。在高可用方面，应尽可能减少控制平面配置，主要通过设备的物理冗余来降低业务中断风险。图2-6举例说明了一个通过核心层（园区骨干）连接数据中心所组成的大型园区网。

图2-5　核心层

图2-6　大型园区网

图2-7示范了一个连接企业网其他功能区域的核心层。在这个例子中，核心层连接着数据中心，而边缘分布层区域用来连接WAN、远程接入，以及Internet。网络管理区域使用带外方式（out-of-band）工作，其重要性同样也是不言而喻的。

总的来说，核心层具有如下的特点：

• 汇聚整张园区网，提供到数据中心、WAN，以及其他远程网络的连接；
• 具有高可用行、弹性，以及软硬件无缝升级的能力；
• 不直接连接服务器、PC、AP等终端设备；
• 具备核心路由选择功能；
• 网络具有未来扩容及投资保护能力；
• 具备支持硬件冗余性，如Catalyst 4500及6800系列平台。

图2-7　企业网络中的核心层

2.1.2　接入层中的3层交换

随着交换机产品越来越廉价，3层交换机的价格也趋于平民化。因为价格便宜及其本身的一些优势，接入层设计正从传统的2层交换机逐渐升级为3层交换机。无论是使用3层设备还是2层设备，都各有利弊。图2-8对比说明了在上联分布层的接入层中使用2层技术和3层技术的区别。

在接入层中部署2层交换会导致接入层和分布层之间的冗余链路不能完全被利用。而且，由于2层（广播）域大小的限制，2层交换同样限制了网络扩展规模。

图2-8　接入层中的3层交换

在接入层中部署3层交换可以看作是对2层交换的一种扩展，最主要的原因是可以在接入层设备上对VLAN进行终结，而且接入层到分布层交换机之间的所有链路都是路由链路，所有接入层和分布层的设备都能加入到路由进程中。

使用2层交换的接入层设计是一种传统的、节省投资的解决方案，同时也会面临着接入层与分布层之间冗余链路利用率低的问题（生成树选举的结果）。3层交换设计可以实现流量区分（例如，访客流量应与内网流量相隔离）。3层交换还需要仔细规划IP地址。3层交换接入设备中VLAN通常不会使用在网络中的另一台接入层交换机上，因为每个VLAN都代表了特定了业务。相比2层交换，3层交换的缺点之一是园区网中的设备物理位置不能随意变更（IP地址的原因），除非使用了高级移动网特性。

注释：

　

在对一个具备扩展性和弹性的网络架构进行维护时，今天的网络技术如DFA和ACI可以增强设备的可移动性。在本书创作之际，DFA和ACI仍属于数据中心技术，超出了CCNP的考试范围。

总而言之，在园区网的接入层中使用3层交换技术正日趋流行。而且，下一代的网络架构也能解决3层路由中最大的问题：可移动性。

本章下一节将介绍将层次化模型在企业网架构中的应用。

2.1.3　Cisco企业园区网架构

Cisco企业园区网架构遵循着传统层次化的园区网设计模型，如图2-9所示。

图2-9　Cisco企业园区网

Cisco企业园区网架构将企业网络划分成了物理区域、逻辑区域、功能区域。这些区域允许网络设计者及工程师能够根据设备的位置及模型中相应位置的功能，来在相应设备上部署特定的网络特性。

需注意在设计中并没有指定每层具体的角色，所以构建一个园区网络时没有绝对的参照规则。当然理论上园区网应由3个层级的交换机组成，不过这并非是一个严格的标准。在许多小型园区网中，网络中只有2个层级的交换机，其中核心层和分布层合并在了一种交换机中，即压缩到一起的分布层与核心层。不过，在许多网络中由于反复扩容、业务繁杂、设备物理位置的限制等因素，可能会出现4层甚至更多的层级。

层次化的网络通常定义了交换机的物理拓扑，但却未定义拓扑中的交换机型号。层次化设计的核心思想是层级中的每个组件都可提供一组特定的功能及服务，并扮演着设计中规划的具体角色。

在CCNP SWITCH这门课程中，接入层、分布层、核心层又称为建筑接入层（building access layer）、建筑分布层（building distribution layer）、建筑核心层（building core layer）。术语building暗示了每个层级都是位于建筑物中。像之前提到的那样，物理边界并不一定是建筑物，可能是一层楼、几层楼或一个配线间。本书为了方便，还是使用了access layer、distribution layer、core layer这3个术语。

总的来说，网络设计师在构建Cisco企业园区网时应遵循层次化模型并通过物理或逻辑边界划分成多个层级。尽管今天的园区网设计日趋复杂，但核心思想还是通过物理或逻辑边界将网络划分成接入层、分布层、核心层。

2.1.4　核心层的重要性

当第一次学习园区网设计时，许多人都会问一个问题：为什么需要核心层？在一个含有许多楼宇或相似建筑设施的园区网中，省去核心层，将其功能放入分布层可能会节省部分初始投资（因为省去了一层交换机的采购）。图2-10给出了一个包含4栋完全互联的独立建筑的网络设计，其核心层被压缩进了分布层中。

图2-10　省去核心层的网络设计

尽管在设计之初，使用这种设计会减少一定的投资，但这种网络非常难于扩展，而且会用掉大量的线缆。因为每栋新建筑的分布层交换机都需要全互联到其他的交换机，所以分布层交换机越多，布线的数量也会以指数形式增加。此外，全网状拓扑也会增加路由选择的复杂程度，并且在网络中添加新邻居时也会给管理者产生新的工作量。

在图2-10中，2号建筑的分布层中，两台互联交换机共需要4条链路来与1号建筑实现全互联连接。而3号建筑则需要再新建8条链路实现所有分布层交换机的全互联。而4号建筑则还需要12条新的连接。4组建筑共需要24条来实现分布层全互联。

再来看看图2-11，有一组专门的核心层设备来满足扩容需求，而不用要求分布层全互联。当园区网中分布层区域数量增加、网络物理面积扩大，或网络复杂性增加时，核心层的优势就很明显了。在一个大型、复杂的园区网环境中，核心层可以为整个园区网提供巨大的性能及扩容能力，并可以部署额外的安全特性服务。

图2-11　带有核心层的扩展网络

什么时候需要部署核心层呢？这一问题的答案要视许多因素而定。设计一张具有独立核心层的园区网主要能解决许多设计上的困难，当然，其最主要的作用还是提供可扩展性以及减少园区网迁移、扩容、调整所带来的风险。一般而言，小型网络中配置更改不频繁，且很少涉及到网络核心，因此通常不会设计核心层区域，但随着网络规模的扩大以及复杂程度的增加，配置变更将更多涉及核心层设备。这时，将核心层与分布层功能从物理上分离到不同的物理设备上的优势就显而易见了。

简而言之，小型网络可以设计省略掉核心层，但中到大型网络中，必须设计专门的核心层设备来保证功能模块化及可扩展性。

总结一下本章介绍的层次化模型，虽然网络分层是老生常谈的内容，但层次化模型仍然适用于今天的园区网设计。出于复习的目的，对各层做一个简单的总结。

• 接入层将终端设备，如PC、无线AP、打印机等连接到网络。
• 分布层具有多种功能，最重要的还是对分布层进行汇聚。分布层可以设计为终结下行2层VLAN，也可以设计为提供对下3层路由。
• 核心层是整张园区网的汇聚点，具有高速交换性能。

下一节将继续研究园区网络中的网络设备：Cisco交换机。

2.2　Cisco交换机选型

交换机是园区网中最基本的互联组件。Cisco具有针对不同需求的众多交换机平台可供选择。在本书创作之际，Cisco将Catalyst系列定位于园区网交换机，而将Nexus系列定位于数据中心交换机。所以在CCNP课程里，更多介绍的还是Catalyst系列交换机。

图2-12列举了当前推荐的Catalyst交换机。当然，在竞争激烈的园区网交换机市场中，Cisco始终保持着Catalyst交换机平台的更新，使其保持更新的功能、更优的性能、更大的密度，以及更低廉的价格优势。

图2-12　Cisco Catalyst系列交换机

熟悉Catalyst 6500平台的读者可以看到，图2-12中并未列出Catalyst 6500系列交换机。尽管Catalyst 6500这条产品线在业界已驰骋多年，但Cisco最终还是决定将其淘汰并升级为Catalyst 6800系列。对于本书的许多读者来说，Catalyst 6500交换机仍是其职业生涯中颇具情怀的一款产品。

Cisco提供了两种类型的网络交换机：固化交换机与模块化交换机。相比模块化交换机，固化交换机无法更改或添加其他模块。在企业网接入层中，可优先考虑Cisco Catalyst 2960-X系列。这一系列提供了具有众多配置参数的低端交换机。

基于园区网络需求的不同，在企业网分布层中可以选择使用固化或模块化的交换机。例如可以在分布层中使用Cisco Catalyst 3850-X系列模块化交换机。Catalyst 3850-X支持不同接口类型的网络模块（以太网或光纤），以及冗余的电源模块。在小型企业网中，3850-X可以充当核心层交换机的角色。而在大型企业网中，3850-X通常定位于接入层设备，使用其3层功能来实现高冗余性。

在企业网核心层中，通常都是模块化核心交换机，如Cisco Catalyst 6500或Catalyst 6800系列。这类核心交换机的所有组件，如RP或Supervisor引擎、以太网接口线卡、电源等，都是以模块形式单独安装在机框中的。这种高度模块化的设计可使用户按照需求定制设备的高可用性。

如果网络的流量很大，还可以将Cisco Catalyst 4500-X系列交换机部署到分布层。Catalyst 4500-X是一款支持冗余Supervisor引擎及10 G以太网的模块化交换机。

Catalyst 6800、4500-X、3850-X、2960-X，所有系列的这些交换机都是可管理的。这表示可以在设备上配置管理IP地址，并通过SSH或Telnet远程连接到设备上。傻瓜交换机（不可管理）仅适用于家庭或非常小的企业环境。园区网环境中强烈建议使用可网管的交换机。

本小节介绍了Cisco多种平台的交换机及其网络定位。有关Cisco交换产品的更多信息，请访问http://www.cisco.com/c/en/us/products/switches/index.html。

接下来将对2层交换与3层交换（多层交换）进行比较。

2.2.1　理解2层交换与多层交换

2层以太网交换机工作在OSI模型中的数据链路层。这类交换机通过数据帧中的目的MAC地址来做出转发决策。

复习一下基本的网络知识：交换机的每个端口都是一个冲突域，所以每台交换机端口与其相连的终端都处于各自的广播域中。由于链路间没有竞争，所有主机都可以工作在全双工模式下，全双工（full-duplex）是指主机可以同时接收和发送数据。与其相对的半双工（half-duplex）作为历史技术，只应用在集线器或10/100 Mbit/s交换机中。1 Gbit/s端口默认即工作在全双工模式。

在存储转发（store-n-forward）模式交换机收到数据帧后，会对帧进行错误检查。CRC检验有效的数据帧会被重新生成并转发出去。某些交换机型号，如大多数的Nexus交换机在处理帧时，仅读取2层信息而不进行CRC检查。这种处理方式也被称为直通转发（cut-through）交换。在将帧转发给另一个端口时，无需等待存储全部数据帧，从而降低了帧传输延迟。更低的交换延迟有益于数据中心网络中的低延迟应用，如算法交易程序（algorithm trading program）。对于CRC错误帧或损坏帧，终端设备网卡（NIC）或上层协议会将其丢弃掉。大多数Catalyst交换机使用的都是存储转发（store-n-forward）交换。

1．MAC地址转发

为了确定数据帧应被发向哪里，交换机会检查自身的MAC地址表。MAC表中的信息可以是交换机被动接收或自动学习得来。交换机会监听入站数据帧，并检查其中的源MAC地址。如果MAC表中没有此地址，则MAC地址、入站端口、VLAN将会记录在转发表中。这张转发表也叫做CAM表。

当交换机收到了一个目的MAC未知的数据帧后，交换机会在入站端口所在VLAN中转发此数据帧（除了入站端口），这种行为称作未知单播泛洪。去往多个目的地的广播和组播流量的处理方式与此相同。

如图2-13所示，在第一个例子中，交换机在端口1上收到了一个数据帧。目的MAC地址为0000.0000.5555。交换机通过检索其转发表确定了此MAC地址记录在了端口5上，因此会将此数据帧从端口5中发出。

在第二个例子中，交换机在端口1上收到了一个广播数据帧。交换机会在同VLAN的所有端口下（除了端口1）转发此广播帧。由于接收帧的端口1属于VLAN 1，因此，此帧会被转发给交换机中的所有VLAN 1端口（除了端口2、端口4、端口5、端口6）。

下一节将从技术的角度继续介绍2层交换机的工作原理。

图2-13　2层交换工作原理：MAC地址转发

2．2层交换机工作原理

当交换机接收到一个数据帧后，首先会将帧放进入站队列。一个端口可以含有多个入站队列，通常这些队列用来处理不同的数据帧（如部署了服务质量[QoS]）。简单来说，当交换机选择队列中数据帧进行传输时，会面临如下问题：

• 数据帧将被发到哪里？
• 是否有限制阻止帧的转发？
• 是否有优先或标记操作需要应用到数据帧上？

交换机在转发策略过程中，上述3个问题是需要分别考虑的，图2-14所示的工作过程以及下列技术依次解释了这3个问题。

• 2层转发表：2层转发表也叫做MAC地址表，用于确定如何转发数据帧。MAC地址表包含MAC地址和目的端口信息。交换机会在MAC表中检索入站数据帧的目的MAC地址，并使用表项中对应的端口将数据帧发出。如果MAC中检索不到目的MAC地址，数据帧则会泛洪给同VLAN下的所有端口。
• ACL：访问控制列表（ACL）不光可以应用于路由器，还可以基于MAC地址或IP地址应用到交换机上。通常中高端交换机可同时支持基于MAC和IP地址的ACL，而2层交换机仅支持基于MAC地址的ACL。
• QoS：入站数据帧可以基于QoS参数进行分类。随后流量可以被标记、指定优先级，或限速处理。

图2-14　2层交换机工作原理：硬件体系

交换机使用专用的硬件来处理MAC表、ACL检索数据、QoS检索数据。对于MAC表，交换机使用内容可寻址存储（CAM），而ACL和QoS表则使用三元内容可寻址存储（TCAM）。CAM和TCAM都拥有极快的访问速度，具有线速（line-rate）的交换性能。CAM仅支持2元结果：0或1。因此，CAM用于构建2层转发表。

TCAM支持3元结果：0、1和不关心。TCAM主要用于构建搜索最长匹配的表项，例如由IP前缀组成的IP路由表。TCAM表中存储着ACL、QoS，以及其他与上层处理相关的信息。使用TCAM的好处是，应用ACL不会影响交换机的性能。

本节仅是略微谈到了CCNP认证中所需的CAM和TCAM知识。有关其更多的细节，请查阅以下Cisco文档：

https://supportforums.cisco.com/document/60831/cam-vs-tcam

https://www.pagiamtzis.com/cam/camintro

下一节将继续讨论3层（多层）交换机工作原理的更多内容。

3．3层（多层）交换机工作原理

多层交换机不光要执行2层交换，还要基于3层或4层信息转发数据帧。多层交换机在2层交换机中加入了路由器的功能之外，还增加了流量缓存组件。

多层交换机与2层交换机的功能相似，还支持额外的并行检索，用于路由数据包，如图2-15所示。

图2-15　多层交换机工作原理：硬件体系

3层检索使用的表称为FIB表。FIB表中除了含有出站端口和VLAN信息外，还有MAC重写信息。ACL和QoS平行检索与2层交换机相同，除此之外还额外支持3层ACL和QoS优先化处理。

例如，2层交换机只能基于源或目的MAC地址限制速率，而多层交换机可以基于IP或MAC地址限制流量速率。

让人遗憾的是，不同的Cisco交换机平台所支持的特性也不尽相同，某些纯2层交换机实际可以支持3层ACL和QoS检索。建议读者登录Cisco.com查找产品文档来获取详细的交换机信息。在CCNP SWITCH课程以及本书内容中，2层交换机仅支持基于MAC地址的ACL和QoS，而3层交换机支持基于IP或MAC地址的ACL和QoS。

4．Catalyst交换机MAC地址表常用命令

在Catalyst和Nexus交换机中，查看2层转发表的命令是一样的：show mac address-table。此命令可以附加多种可选参数来缩小输出结果范围，从而在大型网络中具有更强的可管理性。完整的命令选项如下：show mac address-table [aging-time | count | dynamic | static] [address mac-addr] [interface interface-id] [vlan vlan-id] [ |{begin | exclude | include} expression]。

例2-1给出了一个使用了部分选项的命令实例。

例2-1　2层转发表

Switch1# show mac address-table
 　　　　　Mac Address Table
-------------------------------------------
Vlan　　Mac Address　　　 Type　　　 Ports
----  ----------- 　　-------- 　-----
 　 1　0000:0c00.9001　 DYNAMIC　　Et0/1
 　 1　0000.0c00.9002　 DYNAMIC　　Et0/2
 　 1　0000.0c00.9002　 DYNAMIC　　Et0/3
Total Mac Addresses for this criterion: 3
Switch1# show mac address-table interface ethernet 0/1
 　　　　　Mac Address Table
-------------------------------------------
Vlan　　Mac Address　　 Type　　　 Ports
---- 　----------- 　-------- 　-----
 　 1　 0000:0c00.9001　DYNAMIC　　Et0/1
Total Mac Addresses for this criterion: 1
Switch1# show mac address-table | include 9001
 　1　　 0000:0c00.9001　　 DYNAMIC　　 Et0/1 

5．数据帧重写

在CCNA中曾经学习过，数据包在不同子网之间路由时，其头部的部分字段将被重写。这些重写的字段包括源和目的MAC地址、IP头部校验、TTL（生存时间），及其尾部校验和（以太网CRC）。以太网帧格式可复习第1章中的内容。

6．分布式硬件转发

一台网络设备至少由以下3个工作平面组成：

• 管理平面（management plane）；
• 控制平面（control plane）；
• 转发平面（forwarding plane）。

管理平面主要负责网络的管理，如SSH访问、SNMP协议、带外管理（OOB，out-of-band）接口等。控制平面负责协议与路由选择决策。转发平面负责实际的数据包路由或交换操作。

多层交换机必须能够支持大量端口的高性能线速转发。为了实现这一点，多层交换机需部署独立的控制平面与转发平面。在这种方式下，控制平面将规划转发平面如何去路由数据包。多层交换机可能含有多个转发平面。如Catalyst 6800中每块线卡都有一个转发平面，而集中的控制平面位于Supervisor引擎上。

继续以Catalyst 6800系列交换机为例，每块线卡包含了一块微代码处理器用于处理所有的数据包转发。而在Supervisor引擎上的控制平面使用控制层通信协议与每块线卡相互通信，如图2-16所示。

图2-16　分布式硬件转发

控制平面与转发平面之间的控制层协议的主要功能如下：

• 通过管理内部数据和控制链路，实现数据包的转发和控制功能；
• 从其他2层桥接、3层路由协议及配置数据中提取路由信息和其他包转发信息，随后将这些信息传递给接口，以此来控制数据路径；
• 从接口上收集数据路径信息（如流量统计信息），并发送给RP（路由处理器或引擎）；
• 处理从以太网接口发往RP的某些数据包（如DHCP请求、广播包、路由选择协议包等）。

2.2.2　Cisco交换技术

所谓Cisco交换技术，其实指的是Cisco IOS路由器中RP（路由处理器）的工作方式。多层交换机具有路由选择功能的原因是内置了一个RP，为了深入了解多层交换中的路由功能，本节将着重介绍一下RP的工作原理。

基于IOS的Cisco路由器使用以下三种方式来转发数据包：进程交换（process switching）、快速交换（fast switching）、Cisco快速转发（CEF）。回忆一下CCNA中曾经学习过的路由器知识，进程交换是最慢的路由选择方式，因为RP必须使用软件（CPU）来执行路由计算和重写操作，如今进程交换已很少使用。快速交换，是一种较为快速的交换方式，路由器使用软件（CPU）对数据流中的第一个包执行路由计算和重写操作，并创建一个快速交换缓存，在后续的数据包到达时，将使用硬件（快速缓存）来转发数据包。最后一种CEF方式，对于大多数常见的数据流量都会使用硬件转发表来处理，仅有少量特例。如果使用了CEF，RP资源将得到最大程度的释放，从而可以转去处理其他工作。

Cisco Catalyst和Nexus交换机架构主要采用了和Cisco路由器一样的CEF交换方式。而进程交换方式则被设计成了Cisco Catalyst和Nexus交换机最后的求助手段。这些交换机的RP不会设计用来交换或路由数据包，这是为了防止影响其性能。Cisco交换机默认的交换方式为快速交换或CEF，而进程交换只有必要的时候才会用到。

在Cisco Catalyst交换技术中，快速交换也叫做路由缓存（route caching），带有分布式硬件转发的CEF也叫做基于拓扑交换（topology-based switching）。

以下给出了Cisco Catalyst交换机上对于路由缓存和基于拓扑交换的介绍。

• 路由缓存：也称为基于流量的交换（flow-based switching）或基于需求的交换（demand-based switching），当交换机检测到流量进入时，会在硬件中创建3层路由缓存。这一功能等同于Cisco IOS路由器中的快速交换。
• 基于拓扑交换：路由表中的信息会用于创建路由缓存，而不去考虑数据流。生成的路由缓存叫做FIB。这一功能等同于Cisco IOS路由器中的CEF交换。

接下来将继续介绍路由缓存和基于拓扑交换的更多细节。

1．路由缓存

在Cisco Catalyst交换机中，路由缓存等同于快速交换。对于路由缓存功能来说，入站数据帧的MAC地址必须是具有3层功能的交换机接口。数据流中的第一个数据包会使用RP在软件中进行交换，因为此时设备中还没有关于新数据流的缓存条目。随后RP会执行转发决策，并生成一张缓存表（硬件转发表）。随后，数据流中的后续数据包都会通过硬件进行交换，硬件通常使用的是ASIC（application-specific interface circuit）。只有当交换机检测到新的数据流时，缓存条目才会在硬件转发表中创建，在一段时间未被使用之后，条目将过期被删除掉。

由于只有在交换机接收到数据流时，条目才会在硬件缓存中创建。因此对于每路数据流，路由缓存总是会使用软件至少转发一个数据包。因此这种技术比CEF转发速度要慢一些，因为对于后者来说，路由表已经事先加载到了硬件中。

路由缓存还有许多别名，如NetFlow LAN交换、基于流量的交换、基于需求的交换、一次路由多次交换等。

图2-17从硬件角度简单介绍了路由缓存的原理。

图2-17　路由缓存

2．基于拓扑交换

在Cisco Catalyst交换机中，基于拓扑交换等同于CEF交换。基于拓扑交换是在路由缓存之上的3层交换技术，因为其提供了更优的性能及可扩展性。如今，所有的Cisco Catalyst交换机3层路由功能使用的都是基于拓扑交换即CEF交换。在CCNP SWITCH这门课程中，主要还是介绍基于拓扑交换的优势及其工作原理。

CEF使用路由表中的信息来生成路由缓存（也成为FIB），因此不需要通过流量来触发缓存操作。由于硬件FIB不受数据流的影响，因此假设在路由表中存在目的地址的路由条目，那么这路流量中的所有数据包都会使用硬件转发，即使是数据流中的第一个包也是直接由FIB处理。图2-18解释了这一行为。

此外，CEF增强了对并行路径的支持，优化了IP层的负载均衡。大多数今天的Catalyst交换机，如Catalyst 4500和6800系列，其CEF支持基于源IP地址和目的IP地址组合的负载均衡，以及源、目的IP加上TCP/UDP端口号的负载均衡。

图2-18　基于拓扑交换

注释：

　

不同平台的Catalyst交换机，其默认负载均衡方式以及所支持模式也会有所不同。不同平台所支持的负载均衡模式及默认配置请以Cisco.com为准。

CEF负载均衡技术允许3层交换机使用多条路径来分担流量。带有特定源和目的信息的数据包将始终使用相同的一条路径进行转发，即使有多条路径可用。这一行为可以保证数据包按需到达，以保证某些延迟敏感的应用能够正常使用。

此外，仅基于源和目的IP地址的负载均衡模式有着一些缺点。由于这种负载均衡方式，对于特定的一对主机通信而言，始终会选择唯一的一条路径进行通信。当这种固定一对一主机（如防火墙到Web服务器）的流量很高时，其他链路的利用率将会很差。换句话说，流量负载实际上并未在多条路径上“均衡”，这种现象叫做“分极”（polarization）。分极现象不能体现出多链路负载均衡技术的优势。

所以，负载均衡技术的最佳使用环境是在流量统计分散的网络中。随着源和目的IP地址组合数量的增加，IP负载均衡的效果将越来越明显。在一个具有众多随机源和目的IP流量的大型分散网络中，负载不均衡的情况很少发生。不过，在主机数量较少的固定IP通信网络中，多链路间流量不均衡的确是一个严重问题。

为了解决这一问题，可以将Catalyst交换机默认的负载均衡行为从基于源、目的IP地址（3层）更改为同时基于源、目的IP 和TCP/UDP端口号（3层+4层）。在负载均衡行为中加入了4层信息将增加算法的颗粒度，从而减少了流量不均衡现象的发生。

Cisco Catalyst交换机根据硬件平台及软件版本的不同，还可能支持其他的负载均衡模式及特性。请参阅Cisco.com获取最佳配置。

2.2.3　硬件转发细节

从硬件角度来看，数据包的3层交换会发生在Catalyst交换机上两个不同的位置。一种是以集中的方式，发生在Supervisor引擎上；另一种是以分布的方式，发生在独立的线卡上。这两种方式分别称为集中式交换（centralized switching）和分布式交换（distributed switching）。

Catalyst 6500系列就是一个硬件转发的经典例子。6500可以单独在Supervisor引擎上完成集中式交换，也可以安装特定型号的线卡（DFC卡）来获得分布式交换的能力。

集中式交换可以节省硬件采购开销，减少硬件复杂性。但对于大型扩展的企业核心网来说，还是应优先选择分布式交换。大多数固化的交换机采用的都是集中式交换。

注释：

　

许多小型固化交换机采用了芯片交换机（SOC，switch-on-chip）的架构，所有交换功能及交换处理过程都由一块低成本的ASIC来完成。如今SOC已成为业界标准并广泛应用于低特性、低成本的Cisco Catalyst和Nexus固化交换机。此外，新一代的模块化交换机，如Nexus 9000将使用SOC，其线卡也会带有自己的SOC来实现分布式交换。

以上几个小节介绍了Cisco交换机上的交换方式及硬件转发，包括路由和交换的工作原理。在介绍了这么多内容之后，这部分知识可以总结如下。

• Cisco Catalyst交换机的控制平面（CPU、RP）不会设计用来交换或路由数据帧。控制平面的作用是通过路由选择信息生成硬件转发表以及维护路由选择协议。只有在极特殊的情况下，才会使用控制平面路由数据帧。
• 中高端Cisco Catalyst交换机使用分布式转发模型来增加园区网及数据中心网的可扩展性。
• Cisco Catalyst交换机使用CEF交换（基于拓扑交换）路由数据帧，以实现分布式硬件转发模型。
• 根据平台及配置的不同，Cisco Catalyst交换机支持集中式RP交换或分布式线卡交换的硬件转发。

2.3　知识点小记

• 命令show mac address-table可以列出Cisco交换机的2层转发表。
• 2层交换机基于数据帧中的目的MAC地址转发流量。
• 园区网设计仍使用层次化模型设计，终端设备直连接入层，分布层用来汇聚接入层，核心层将整个企业网汇总起来。
• Cisco交换机使用CEF交换（基于拓扑交换）执行3层转发。

2.4　本章小结

本章简要介绍了园区网中的一些知识内容，包括层次化模型、接入层中引入3层交换的优点、Cisco交换机，以及与Cisco Catalyst交换机相关的硬件细节。下一章将深入介绍园区网中的特定技术与设计要点，如VLAN、生成树、安全特性等。本章的内容可概括如下。

• 扁平2层网络存在严重的扩展问题，仅适用于10、20个终端用户的小型网络。
• 迄今为止，层次化模型仍然是今天所有网络设计的基础，包括园区网设计。
• 层次化模型包括接入层、分布层、核心层，支持园区网无缝扩容。
• 根据业务需求和层次化模型中的定位的不同，Cisco具有众多型号的Catalyst交换机可供选择。
• Cisco Catalyst交换机将CAM用作2层转发表，TCAM用作3层转发表来实现线速性能。
• Cisco Catalyst交换机使用CEF交换（基于拓扑交换）进行路由选择，可支持基于RP的集中式硬件转发，或基于每块线卡的分布式硬件转发。

2.5　复习题

以下问题可供读者检验本章的学习成果。正确答案请参考附录A。

1．下列对园区网的描述哪项是正确的？

　　a．园区网指的是数据中心服务器互联组成的网络

　　b．园区网指的是两个远程站点之间通过WAN互联的网络

　　c．园区网指的是一组通过有线或无线连接，将终端用户连接到e-mail、内网、Internet等应用的设备所组成的网络

2．哪个选项说明了使用扁平2层网络的缺点？

　　a．广播包会泛洪到网络中的每台设备

　　b．没有边界设备去部署基于IP的访问控制

　　c．某台主机的泛洪将影响网络中的所有设备

　　d．有限的可扩展性

　　e．以上所有

3．为什么采用分层网络设计？

　　a．因为分组、网络分段，或划分区域的需要

　　b．简化网络设计

　　c．减少物理互联（链路）数量

　　d．便于部署访问控制策略

　　e．网络管理更加容易

　　f．以上所有

4．请识别网络设计中层次化模型中的3个分层？

　　a．核心层

　　b．接入层

　　c．分布层

　　d．企业边缘区域

　　e．WAN

　　f．无线

5．核心层另一个常用名字是？

　　a．骨干

　　b．园区

　　c．数据中心

　　d．路由层

6．在较新的网络术语中，spine layer和leaf layer分别代表着哪一层？

　　a．spine layer等同于核心层，leaf layer等同于分布层

　　b．spine layer等同于接入层，leaf layer等同于分布层

　　c．spine layer等同于分布层，leaf layer等同于接入层

　　d．spine layer等同于核心层，leaf layer等同于接入层

7．找出每一层对应的定义。

　　a．核心层

　　b．分布层

　　c．接入层

　　　　1．连接PC、无线AP、IP电话

　　　　2．实现高速互联，具备路由选择能力

　　　　3．汇聚接入层交换机，执行策略控制

8．关于核心层设计的说法哪一项是正确的？

　　a．需具备高可用性和弹性

　　b．直接连接关键性应用服务器，提供最优的延迟和带宽

　　c．在大型企业中使用固化交换机

9．哪一层最有可能使用固化Catalyst交换机？

　　a．接入层

　　b．核心层

　　c．分布层

10．哪一层最有可能使用模块化Catalyst交换机？

　　a．接入层

　　b．骨干层

　　c．核心层

11．在接入层中使用3层交换，哪些优点是正确的？（选两个答案）

　　a．减少开销

　　b．减小2层域

　　c．减小生成树域

　　d．可移动性

12．在当前的园区网技术下，在接入层使用3层交换的最大缺点是什么？

　　a．增加了排障难度

　　b．缺少广播转发

　　c．可移动性降低

　　d．缺少高可用性

13．纯2层交换机基于什么信息进行转发？

　　a．源MAC地址

　　b．目的MAC地址

　　c．源IP地址

　　d．目的IP地址

14．当交换机不知道如何转发数据帧时会执行何种操作？

　　a．丢弃数据帧

　　b．将数据帧泛洪给2层域内除源端口之外的所有端口

　　c．将数据帧存储起来，之后传输

　　d．从入站端口将数据帧发回

15．Cisco交换机的2层转发表也叫做什么？

　　a．CAM表

　　b．路由表

　　c．MAC地址表

　　d．FIB表

16．Cisco Catalyst交换机会对入站数据帧执行何种检索操作？（选3个答案）

　　a．检索2层转发表，确定目的端口

　　b．检索ACL，确定是否有访问控制

　　c．检索NetFlow，确定是否有数据监控

　　d．检索QoS，确定是否有分类、标记、监管等操作

17．以下哪些关于CAM或TCAM的描述是正确的？（选3个答案）

　　a．TCAM表示三元内容可寻址存储

　　b．CAM提供了3种值：0、1、不关心

　　c．交换机使用CAM和TCAM来实现线速性能

　　d．CAM和TCAM都是基于软件的表

　　e．QoS和ACL表使用的是TACM

18．对于IP路由选择表使用的硬件来说，为何TCAM优于CAM？

　　a．TCAM可支持最长匹配，而CAM仅支持匹配或不匹配

　　b．TCAM比CAM更快

　　c．TCAM比CAM更便宜

19．Cisco Catalyst交换机3层转发使用的是哪种技术？

　　a．路由缓存

　　b．处理器或CPU交换

　　c．NetFlow

　　d．CEF

20．Cisco Catalyst交换机将路由选择信息放入硬件组件中来实现额外的性能和扩展（如线速转发）。接收路由信息的常见硬件是哪两种？

　　a．集中式

　　b．分布式

　　c．汇聚式

　　d．基于核心式

21．在负载均衡中，哪个术语可用来描述链路使用不均衡现象？

　　a．反向路径转发（RPF）

　　b．分极（polarization）

　　c．反向路由选择

　　d．单播泛洪

22．Cisco Catalyst交换机使用的默认负载均衡机制是哪个？

　　a．基于每组流

　　b．基于每个目的IP地址

　　c．基于每个数据包

　　d．基于每个目的MAC地址