四维博客

Swain
四维

There is nothing about me

CCNP ENCOR 350-401 – Part 1 Architecture

Posted on by Swain

Explain the different design principles used in an enterprise network

High-level enterprise network design such as 2-tier, 3-tier, fabric, and cloud

2-Tier架构

  • 核心层:负责高速地处理和转发数据,通常涉及高容量的背板和连接,以支持整个企业网络的数据流。
  • 接入层:直接与终端用户设备(如工作站、打印机等)相连,是用户访问网络资源的入口点。

3-Tier架构

3-Tier架构在2-Tier的基础上增加了一个分配层(或聚合层),使网络分为三层:核心层、分配层和接入层。

  • 核心层:负责高速地处理和转发数据,通常涉及高容量的背板和连接,以支持整个企业网络的数据流。
  • 分发层/汇聚层:充当核心层和接入层之间的中介,提供路由、过滤和VLAN(虚拟局域网)的划分,增加了网络的灵活性和控制。
  • 接入层: 直接与终端(如主机、打印机、服务器等)相连,是用户访问网络资源的入口点。

Fabric

Fabric是指网络设备(例如接入点、交换机和路由器)之间用于传输数据到目的地的连接网格。虽然“fabric”有时也可以指构成这些连接的物理线路,但它通常是指叠加在物理拓扑之上的一种虚拟化、自动化的覆盖连接网格。

  • 它通常涉及到将网络设备和资源视为一个统一的 Fabric(字面意义是布料,可以理解为像织物一样交织的网络),数据可以从任何点进入和退出,通过最佳路径动态路由。
  • Fabric特别适用于数据中心和云环境,因为它能够有效地处理大量动态变化的流量模式和应用需求。

Cloud

云架构将企业级网络的一部分或全部基础设施外包给云服务提供商,通过互联网提供服务和资源。

  • 这种设计允许企业利用云计算的弹性、可扩展性和成本效益,支持各种应用,从基础设施即服务(IaaS)到平台即服务(PaaS)和软件即服务(SaaS)。
  • 云架构还支持快速部署和管理应用程序,以及全球分布的用户访问,是现代企业网络设计中的重要组成部分。

High availability techniques such as redundancy, FHRP, and SSO

Redundancy
冗余是高可用性设计的一个基本原则,指的是系统中存在额外的或备用的组件、设备或连接,这些可以在主要元素失败时接管,从而保持服务的持续性。冗余可以应用于不同的层面,包括硬件(如服务器、交换机、路由器)、网络连接、电源和存储。通过创建冗余路径,如果一个路径失败,数据可以通过另一个路径流动,从而减少了单点故障的风险。

首选路由协议(FHRP)
首选路由协议(如HSRP、VRRP)是网络中实现冗余的高级策略之一,旨在确保路由器或交换机的持续可用性。这些协议允许多台设备在它们之间共享一个虚拟IP地址和MAC地址。在主设备出现故障时,备用设备可以迅速接管,保证网络流量的不间断。FHRP通过在关键设备之间提供无缝故障转移,增强了网络的稳定性和可靠性。

Stateful Switch Over(SSO)
谈到高可用的SSO通常指Stateful SwitchOver而不是Single Sign-On,这是一种高可用性技术,用于网络设备(如路由器和交换机)以及服务器和应用程序。SSO允许主备系统之间在主系统故障时无缝地切换,同时保持活动会话和状态信息。这意味着在故障转移过程中,终端用户几乎不会感受到中断,因为备用系统将接管所有活动会话和状态信息,继续处理请求,就好像没有发生切换一样。

Describe wireless network design principles

Wireless deployment models (centralized, distributed, controller-less, controller-based, cloud, remote branch)

无线部署模型定义了无线网络的架构和管理方式。主要的模型包括:

  • 集中式(Centralized): 在这种模型中,所有AP都通过有线网络连接到一个中心部署的控制器。这种模型适用于园区或单一大楼内部的部署,便于集中管理和部署。
  • 基于控制器(Controller-based): 与集中式类似,这种模型依赖一个或多个物理或虚拟控制器来管理网络。控制器处理认证、策略执行和客户端漫游等任务。
  • 分布式(Distributed): 在分布式模型中,每个接入点自行处理数据帧的转发,无需中央控制器。这种模型适用于地理分散、节点多的环境,如多个办公室或零售店。
  • 无控制器(Controller-less): 无控制器模型中,接入点不依赖外部控制器来进行通信管理。每个AP都是自管理的,这简化了网络的配置和扩展。
  • 云(Cloud): 云模型通过互联网将控制器功能托管在云平台上。这为管理提供了灵活性和可扩展性,同时减少了本地硬件需求。
  • 远程分支(Remote Branch): 这种模型适用于远程或分支机构的部署,通常结合使用集中式和云模型来实现分支机构的无线网络管理和控制。

Location services in a WLAN design

位置服务利用无线局域网(WLAN)来确定设备的物理位置,这在许多应用中都非常重要,如资产跟踪、室内导航和上下文感知服务。在设计带有位置服务的WLAN时,你需要注意以下方面:

  • AP的布局: 要精确地定位设备,AP应均匀分布,覆盖所有区域同时互相覆盖范围具有冗余。
  • 信号强度和质量: 位置精度依赖于信号的强度和质量。设计时需要考虑物理障碍物和环境干扰。
  • 软件和硬件支持: 使用专门的定位引擎和支持定位功能的硬件可以提高精度。

Client density

客户端密度指的是在特定区域内同时连接到网络的设备数量。高客户端密度可以对网络性能产生重大影响,需要考虑特别设计以应对:

  • 高密度AP部署: 在人流密集的区域增加AP数量,以减轻每个AP的负载。
  • 定向天线使用: 定向天线可以帮助AP将信号定向到特定区域,从而减少信号干扰和提高性能。
  • MIMO(多输入多输出): MIMO技术可以增加每个AP的传输容量,提高网络性能。
  • 频段管理: 使用双频段或三频段AP(支持2.4GHz和5GHz)来优化频谱使用。
  • 服务质量(QoS)策略: 实施QoS策略来确保关键应用的性能不受高流量的影响。

Explain the working principles of the Cisco SD-WAN solution

SD-WAN control and data planes elements

  • 控制平面(Control Plane): 控制平面负责构建和维护网络拓扑,并决定流量的走向。在Cisco SD-WAN中,vSmart控制器是控制平面的核心组件,它负责传递路由信息、策略和配置,从而指导数据包在网络中的传输路径,帮助提高了网络的灵活性和响应速度,可以迅速适应网络状态的变化。
  • 数据平面: 数据平面负责根据控制平面的决策转发数据包。在Cisco SD-WAN中,由vEdge设备根据控制平面提供的策略处理数据包的转发,包括加密和解密数据包,确保数据安全传输。
  • 管理平面: 负责中心配置和监控。在Cisco SD-WAN中,通过vManage这个中心化管理组件,让网络管理员配置策略、监控网络状态、进行故障排除等管理操作。
  • 编排平面: 协助自动将SD-WAN路由器接入SD-WAN网络。在Cisco SD-WAN中,这通常是通过vBond编排器来实现的,它负责上线设备验证、设备间的连接以及加密通道的建立。

Benefits and limitations of SD-WAN solutions

优点

  • 增强的网络敏捷性: Cisco SD-WAN提供动态路径选择功能,根据实时网络条件自动选择最优路径,以提高应用性能和用户体验。
  • 集中化管理: 通过集中式管理平台,可以远程配置和监控所有网络设备,大幅简化网络操作和维护。
  • 优秀的扩展性: 控制平面和数据平面分离,可以方便地扩展和部署,任一层面的扩展或升级都不影响当前网络的运行。
  • 成本效益: SD-WAN可以使用互联网链接,减少对昂贵的专用线路(如MPLS)的依赖,从而降低网络成本。
  • 提高的安全性: 集成的安全功能,如加密和细粒度的访问控制策略,增强了网络的安全性。

局限性

  • 初始部署成本: 尽管长期可以节约成本,但初始设备和部署的成本可能相对较高。
  • 复杂性: 对于传统网络操作人员来说,SD-WAN的部署和管理可能需要新的技能和培训。
  • 依赖性: 通常是供应商集成SD-WAN解决方案,无法与其他供应商进行迁移。

Explain the working principles of the Cisco SD-Access solution

Cisco SD-Access(软件定义接入)是一种意在简化企业网络操作、增强安全性和提升网络灵活性的解决方案。它是Cisco数字网络架构(DNA)的一部分,主要用于园区网络。

SD-Access control and data planes elements

  • 控制平面(Control Plane): 负责Fabric中基础设施设备之间的通信和消息传输,主要基于LISP(Locator/ID Separation Protocol)
  • 数据平面(Data Plane): 负责执行控制平面定义的策略,并处理数据的封装和转发。主要使用VXLAN技术封装流量,支持跨多个物理位置的灵活网络分段和优化路径选择。
  • 策略平面(Policy Plane): 负责安全策略和分段,主要基于Cisco TrustSec,包括ISE(Identity Services Engine)等等。
  • 管理平面(Management Plane): 负责编排和管理,主要基于Cisco DNA Center

Traditional campus interoperating with SD-Access

  • 网关互操作: 在SD-Access和传统网络之间建立互操作网关,可以允许两个不同架构的网络段平滑交流数据。这通常通过配置特定的路由和安全策略来实现。
  • 策略一致性: 确保从传统网络到SD-Access迁移或扩展时,安全和接入策略的一致性。这涉及到复杂的策略管理和在DNA Center中进行细致的配置。
  • 渐进式部署: 企业可以选择渐进式部署策略,即部分网络使用SD-Access,部分网络保持传统架构。这种方法可以减轻迁移风险,同时验证新解决方案的有效性。

SD-Access的主要目的是提供一种更安全、更灵活且易于管理的网络接入方式。通过使用策略驱动的接入控制和自动化的网络管理,SD-Access帮助企业实现了以下目标:

  • 增强的安全性: 通过细粒度的用户和设备级策略,增强网络安全。
  • 简化的操作: 自动化的配置和管理减少了网络运维的复杂性。
  • 更好的性能和可靠性: 优化的路径选择和网络资源管理提高了网络的整体性能和可靠性。

Interpret wired and wireless QoS configurations

QoS components

在有线和无线网络中,QoS组件主要包括以下几个方面:

  • 分类和标记(Classification and Marking): 数据流量根据其类型(如语音、视频或数据)被识别并分类。然后,根据其重要性和服务需求,流量被标记以供网络设备识别。常用的标记技术包括IP Precedence和DSCP(Differentiated Services Code Point)。
  • 队列(Queuing): 流量被分入不同的队列,每个队列根据其QoS要求被赋予不同的处理优先级。例如,语音通信因其对延迟敏感,通常被放在优先级最高的队列中。
  • 拥塞管理(Congestion Management): 当网络资源不足以处理所有流量时,拥塞管理策略决定哪些数据包先发送,哪些后发送。常见的拥塞管理算法包括尾部丢弃(Tail Drop)、随机早期检测(RED)和加权随机早期检测(WRED)。
  • 流量整形和速率限制(Traffic Shaping and Policing): 流量整形平滑了数据流,避免突发,而速率限制则强制数据流保持在设定的速率下。这些控制帮助网络避免过载,并确保各种流量得到合适的带宽。

QoS policy

设计和实施QoS策略涉及到以下关键方面:

  • 策略定义: 明确哪些业务和应用需要特殊的QoS处理,例如实时语音和视频通信需求优先级处理,以保证通信质量。
  • 设备配置: 在路由器、交换机和其他网络设备上实施QoS配置。这包括设定分类、标记、排队策略、拥塞管理和流量整形等。
  • 监控和调整: QoS策略的实施并不是一次性的任务。网络条件的变化和业务需求的演进要求持续监控QoS表现,并根据实际情况调整策略。
  • 跨平台一致性: 在混合环境中(例如同时有有线和无线设备的网络),确保QoS策略在不同平台和设备间保持一致性是非常重要的。

Describe hardware and software switching mechanisms such as CEF, CAM, TCAM, FIB, RIB, and adjacency tables

CEF (Cisco Express Forwarding)

CEF是Cisco路由器中用于提高网络效率的快速转发机制。它使用两个主要数据结构:转发信息库(FIB)和邻接表(adjacency tables)。

  • FIB (Forwarding Information Base): FIB包含IP路由查找表的副本,用于决定数据包的转发。它基于路由信息库(RIB)生成,但仅包含最佳路径和必要信息,以优化转发性能。
  • 邻接表: 邻接表存储下一跳路由器的链路层地址信息,这些信息是必需的,以便直接将数据包转发到下一个设备。

RIB (Routing Information Base)

RIB是路由器中的一个表,包含了从不同路由协议(如BGP、OSPF等)学习到的所有路由。RIB包含了网络中所有已知路径及其属性,路由算法会在这些路径中选择最佳路径,并将其推送到FIB,供数据转发使用。

FIB (Forwarding Information Base)

FIB是从RIB中选出的最佳路由的简化表,专门用于数据包的快速转发。FIB直接关联到数据包的处理和转发,含有下一跳的地址信息。

邻接表(Adjacency Tables)

邻接表是CEF使用的一个重要组成部分,它记录了直接连接的设备的接口信息。这个表确保了数据包可以被正确封装并送往下一个跳的设备。

CAM (Content Addressable Memory) 和 TCAM (Ternary Content Addressable Memory)

  • CAM: 用于网络设备中存储信息,如以太网MAC地址。CAM允许基于内容的快速搜索,使得交换机能够迅速匹配到特定的MAC地址,并决定如何转发帧。
  • TCAM: 相比CAM,TCAM提供更高级的查找功能,可以存储三种状态的数据:0、1和“不关心”(X)。这使TCAM非常适合存储复杂的网络策略和高级路由查找,如访问控制列表(ACLs)和QoS策略。

在整个数据包转发过程中,他们协同工作,以实现高效和准确的网络操作。数据包到达设备时,首先使用FIB(由CEF快速处理)确定转发决策,随后通过邻接表查找数据链路层地址,最终通过CAM或TCAM实现硬件级的快速转发。这种机制显著提高了大型网络环境中的数据转发效率和性能。

参考资料:
https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Campus/campover.html
https://www.cisco.com/c/dam/global/shared/assets/pdf/cisco_enterprise_campus_infrastructure_design_guide.pdf
https://www.cisco.com/c/dam/en_us/solutions/industries/docs/education/cisco_wlan_design_guide.pdf
https://www.cisco.com/c/en/us/solutions/design-zone.html#~guides-by-technology
https://www.cisco.com/c/en/us/td/docs/solutions/CVD/SDWAN/cisco-sdwan-design-guide.html#Introduction
https://www.cisco.com/c/en/us/td/docs/solutions/CVD/Campus/cisco-sda-design-guide.html

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注