中小型教育企业组网解决方案

思科建议的典型校园网络架构如下图所示。网络设计分为核心层、汇聚层和接入层的多层模块化架构，网络骨干部分为万兆或千兆，千兆或百兆到桌面，关键部位采用冗余架构，核心交换机和汇聚交换机双备份。核心层和汇聚层均有路由功能，接入层具有交换或路由功能，实施负载均衡和冗余备份，VLAN尽量终结在本地以缩小故障域，整个网络万兆、千兆和百兆相结合。这种架构的主要优势在于其层次结构和模块性，模块化设计允许您通过推行确定性的流量模式来轻松扩展、了解并排除网络故障。

如上图所示，思科校园网络呈现以下特点：

多层次结构

核心层、分布层和接入层结构与核心层、接入层架构相结合

双核心交换机（热备或冷备）

双汇聚交换机

核心层具有路由功能，部分汇聚层具有路由功能

核心层汇聚层设备实现数据流量的负载均衡

防火强和入侵防御检测系统（IPS） 

多种模块化的应用系统

万兆、千兆和百兆相结合

1、 核心层 

在典型的层次化模式中，组件间通过核心层互联，核心用作网络骨干。鉴于各组件都依赖核心进行连接，因此，核心必须速度很快且永续性极高。现在的硬件加速系统具备以线速提供复杂业务的潜能。然而，应在网络核心采用―越简单越好‖的方法。最简洁的的核心配臵可降低配臵复杂性，从而减少出现运行错误的几率。 

虽然通过全网状或高度网状拓扑也可实现冗余，但此类设计在链路或节点发生故障时不容易提供一致的收敛。同时，全网状设计也存在对等和邻接问题，使路由难以配臵和扩展。此外，随着网络的增长或变化，大量的端口也增加了不必要的成本和复杂性。以下是需要谨记的其他主要设计问题： 

    将核心层设计为只使用硬件加速业务的高速第3层 (L3) 交换环境。第3层核心设计优于第2层和其他设计，因为它： 

在发生链路或节点故障时提供更快的收敛速度。

通过减少路由邻接关系和网状拓扑提高了可扩展性。

提高了带宽利用率。

    尽量在核心中使用冗余的点到点L3互联（三角形，不是正方形），因为这种设计可产生最快速、最确定的收敛结果。 

避免L2环路和L2冗余的复杂性，如生成树协议(STP) 和L3组件对等体之间的间接故障检测。 

采用模块化的操作系统，使得局部的软件故障不会影响整机的运行。软件的升级也可以在局部软件模块进行，而不必为升级软件等维护工作是核心交换机停止工作，影响全网的运行。 

2、 汇聚层 

汇聚层汇聚来自接入层的节点，保护核心不受高密度对等关系的影响。此外，汇聚层还创建故障边界，在接入层发生故障时提供逻辑隔离点。汇聚层通常以L3交换机的形式部署，针对网络核心连接使用L3交换，对接入层连接使用L2服务。负载平衡、服务质量(QoS)和易于设臵等都是汇聚层的主要考虑因素。 

汇聚层的高可用性通过两条等成本路径来提供，包括从汇聚层到核心以及从接入层到汇聚层的链路，可在链路或节点发生故障时提供确定性的快速收敛。当冗余路径存在时，故障切换主要依赖硬件链路故障检测，而不是基于定时器的软件故障检测。基于这些功能（在硬件中实施）的收敛是最具确定性的。

L3等成本负载分担允许同时利用从核心到汇聚层的两条上行链路。汇聚层使用网关负载平衡协议（GLBP）、热备份路由器协议（HSRP）或虚拟路由器冗余协议（VRRP）提供缺省的网关冗余。当一个汇聚层节点发生故障或被拆除时，不会影响端点与缺省网关的连接。 

您可以通过多种方式在接入层到汇聚层的上行链路间实现负载平衡，但使用GLBP是最简单的方法。GLBP提供了类似HSRP的冗余和故障防护，还允许向接入层设备轮流分配汇聚层设备作为缺省网关，以便端点向两个之中的一个汇聚层节点发送流量。

3、 接入层 

接入层是边缘设备、终端站和IP电话接入网络的第一层。接入层中的交换机连接两个单独的汇聚层交换机以实现冗余。如果它与汇聚层交换机之间是L3连接，则不会出现环路，所有上行链路都将有效转发流量。 

在接入层，通常会划分VLAN，目的在于：一是提高网络安全性，不同VLAN的数据不能自由交流，需要接受第三层的检验，因此，在一定程度上加强了虚网间的隔离，有效防止外部用户入侵，提高了安全性。二是隔离广播信息，划分VLAN后，广播域缩小，有利于改善网络性能，能够将广播风暴控制在一个VLAN内部，同时使网络管理趋于简单。三是增强网络应用的灵活性，VLAN是在一个有多台交换机的局域网中统一设定的，这使得用户可以不受所连交换机的限制，不论用户节点移动到局域网 中哪一台交换机上，只要仍属于原来的虚网，则应用环境没有任何改变。在划分VLAN时，要考虑VLAN对于网络流量的影响，单个VLAN不宜过大。

健壮的接入层提供以下的主要特性： 

许多软硬件属性支持的高可用性（HA） 

IP电话和无线访问点的馈线供电（POE）允许客户将话音融合到数据网络中，并未用户提供漫游WLAN访问。 

基础服务 

支持高可用性的接入层的软硬件属性包括： 

使用冗余交换管理引擎和冗余电源获得的系统级冗余，为关键用户群提供高可用性。 

使用到冗余系统（使用GLBP、HSRP或VRRP的汇聚层交换机）的双倍连接获得的缺省网关冗余，支持在汇聚层的主备交换机间快速实现故障切换。 

链路汇聚（以太网通道或802.3ad）等操作系统高可用特性，提供更高的带宽利用率，同时降低复杂性。 

使用QoS为关键任务网络流量分发优先级，从而尽量靠近网络入口对流量进行分类和排队。 

安全服务，通过配臵802.1x,、端口安全性、DHCP侦听、动态ARP检查及IP源保护等工具来增加安全性，从而更有效地防止非法网络访问。