N多年以前就有有人设计传了一种类似“房子”状结构的拓扑图,在Cisco的文档中可以查到这种叫SONA。这是个非常神奇的设计,适合用于中小型网络,之所以这么讲,是因为在这个结构下,但凡任何一台接入层或者汇聚层交换机down了,整个拓扑结构仍然能正常运行,流量会自动选择可达的第二条通路继续发送接受。当然了这些都是需要net admin预先配置的,解决这个问题就要测试如果停了一边的流量,那么另一边的流量是否仍旧能通。这是前提,然后我突然想到,如果真的有一边的流量阻塞了,所有流量都由一条路承担,那么会不会导致另一边也阻塞。广播风暴,端口shutdown这样的问题。然后这个结构的接入层还有很多的端口安全可以做,DHCP欺骗,nac准入,802.xx认证,loop guard,bpdu guard,粘性mac地址,环路解决等,这里说到dhcp欺诈,环路问题,bpdu,我是真的要有句讲句了。
故事是这样的,有次突发奇想,想做个实验,在可运行的校园网中接入一个环路设备。按一个标准的校园网来说,每个宿舍园区,甚至每栋宿舍楼应该都是一个vlan,然后我观察了我所在的楼,只有一个接入交换机,于是我顺手把配置好的DHCP服务器,做好环路,接入到校园网中。这里的猜想,DHCP服务器应该是不起作用的,毕竟82协议肯定是标配,然后应该是最起码接入端口会shutdown,理论来说不会配置端口恢复,那样的话会出现震荡,然后一个半小时后,我发现不仅其他接入端口正常ping,连测试接入端口也是正常ping,也太神奇了,到这里猜测全盘瓦解,然后又进行可能的配置假设,得出两个可能猜测,1、bpdu filter 或者 2、没做任何防环 。
然而这个中小型网络可以涉及很的设备,这个图是二层结构,看起来很简略很多。
