網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)112

網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)周二學(xué)習(xí)劉永生網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)更為重要?，F(xiàn)在，大中型網(wǎng)絡(luò)普遍采用了層次化的結(jié)構(gòu)，一般為三層的結(jié)構(gòu)形式：接入層（AccessLayer）、匯聚層（ConvergenceLayer）和核心層（CoreLayer）。24網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__接入層它是網(wǎng)絡(luò)系統(tǒng)的最外層，為終端用戶(hù)提供網(wǎng)絡(luò)訪(fǎng)問(wèn)接入點(diǎn)，相應(yīng)的設(shè)備端口相對(duì)密集，主要設(shè)備是交換機(jī)、集線(xiàn)器。接入層負(fù)責(zé)各業(yè)務(wù)接口的接入，要求設(shè)備有多業(yè)務(wù)傳輸能力和良好的網(wǎng)絡(luò)擴(kuò)展能力。接入層設(shè)備應(yīng)具有價(jià)格合理、易于安裝和管理、吞吐量大和穩(wěn)定性好等特點(diǎn)。有些功能強(qiáng)大的接入層交換機(jī)可提供交換帶寬管理、MAC地址過(guò)濾、MAC地址綁定、MAC地址導(dǎo)入/導(dǎo)出、廣播風(fēng)暴抑制、集群網(wǎng)管、端口鏡像等功能，可以滿(mǎn)足網(wǎng)管員對(duì)接入層進(jìn)行控制和管理的要求，但價(jià)格昂貴。系統(tǒng)設(shè)計(jì)時(shí)，設(shè)計(jì)師切勿片面追求高性能，應(yīng)從實(shí)際出發(fā)選擇符合功能需求的產(chǎn)品，盡量減少網(wǎng)絡(luò)系統(tǒng)的建設(shè)費(fèi)用。網(wǎng)絡(luò)系統(tǒng)的安全性控制和用戶(hù)身份鑒定既可以在接入層也可以在匯聚層進(jìn)行。因?yàn)榻尤雽釉O(shè)備較多且分布廣，其安全性控制和身份鑒定通常是一種分散式的管理模式。在接入層進(jìn)行全控制和身份鑒定，能夠提高網(wǎng)絡(luò)安全性，降低網(wǎng)絡(luò)流量，但管理難度也相對(duì)增加。34網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__匯聚層(1)匯聚層就是接入層的匯聚點(diǎn)，能夠提供路由決策，實(shí)現(xiàn)安全過(guò)濾、流量控制、遠(yuǎn)程接入。匯聚層的主要功能是完成接入層結(jié)點(diǎn)與核心層中心的連接，故匯聚層設(shè)計(jì)為連接本地的邏輯中心，仍需要較高的性能和教豐富的功能。一般來(lái)說(shuō)，匯聚層是樓群或小區(qū)的信息匯聚點(diǎn)，下連接入層，上接核心層網(wǎng)絡(luò)設(shè)備，為接入層提供數(shù)據(jù)的匯聚、傳輸、管理和分發(fā)處理。通常匯聚層要為接入層提供基于策略的連接，如地址合并、協(xié)議過(guò)濾、路由服務(wù)、認(rèn)證管理等，通過(guò)網(wǎng)段劃分（主要是指VLAN的劃分）與網(wǎng)絡(luò)隔離可以防止某些網(wǎng)段的問(wèn)題蔓延并影響到核心層，同時(shí)也能提供接入層虛擬網(wǎng)之間的互連，控制和限制接入層對(duì)核心層的訪(fǎng)問(wèn)，確保核心層的安全、可靠和穩(wěn)定。44網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__匯聚層(2)匯聚層設(shè)備一般采用可管理的三層交換機(jī)或堆疊式交換機(jī)以便達(dá)到帶寬和傳輸性能的要求。這樣的設(shè)備性能較好，但價(jià)格高于接入層設(shè)備。而且對(duì)環(huán)境的要求也較高，對(duì)電磁輻射、溫度、濕度和空氣清凈度等都有一定程度的要求。匯聚層設(shè)備之間以及與核心層設(shè)備之間多采用光纖連接，便于提高整個(gè)系統(tǒng)的性能和吞吐量。匯聚層實(shí)現(xiàn)安全性控制和用戶(hù)身份鑒定通常是采用集中式的管理模式，但當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，就要設(shè)計(jì)綜合的安全管理策略，比如在接入層實(shí)現(xiàn)用戶(hù)身份認(rèn)證和MAC地址綁定，而在匯聚層實(shí)現(xiàn)流量控制和訪(fǎng)問(wèn)權(quán)限約束。54網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__核心層核心層提供更快的傳輸速率，不會(huì)對(duì)數(shù)據(jù)包做任何操作。它是各子網(wǎng)絡(luò)和區(qū)域網(wǎng)絡(luò)中所有流量的最終匯集點(diǎn)和承受方，主要實(shí)現(xiàn)骨干網(wǎng)絡(luò)數(shù)據(jù)的優(yōu)化傳輸，其最大特征是冗余設(shè)計(jì)、負(fù)載均衡、高帶寬和高吞吐量。核心層的最高目標(biāo)是快速傳輸數(shù)據(jù)分組，所以不宜將控制功能和分組處理功能集成，而傳輸帶寬應(yīng)高達(dá)千兆級(jí)或萬(wàn)兆級(jí)為宜。核心層作為網(wǎng)絡(luò)骨干和核心，其設(shè)備多由核心路由器、多層交換機(jī)和服務(wù)器組成，具有高性能、高擴(kuò)展性、高可靠性等特點(diǎn)，并且具備較強(qiáng)的網(wǎng)絡(luò)控制能力和管理特征。核心層各種設(shè)備間的連接都采用光纖點(diǎn)對(duì)點(diǎn)連接，而且有冗余線(xiàn)路，便于提供高傳輸速率和高可靠性。64網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(1)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)的合理性決定了整個(gè)網(wǎng)絡(luò)系統(tǒng)的優(yōu)劣。下面分別通過(guò)小型規(guī)模和大型規(guī)模兩個(gè)網(wǎng)絡(luò)實(shí)例來(lái)說(shuō)明網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)的應(yīng)用。1）小型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)小型網(wǎng)絡(luò)就是指規(guī)模和地理范圍較小的局域網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)通常采用的是星狀的拓?fù)浣Y(jié)構(gòu)和布線(xiàn)。這樣做的好處在于結(jié)構(gòu)明了、管理和維護(hù)方便、擴(kuò)展性好，且便于安裝和調(diào)試等工作。因?yàn)橐?guī)模較小，所以網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)時(shí)就沒(méi)有必要進(jìn)行分層。如圖3所示，對(duì)于像一幢辦公大樓的網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)采用三層交換主連和二層交換干/子連的方式即可，其網(wǎng)絡(luò)連接可以參照結(jié)構(gòu)化布線(xiàn)的思想，將各工作子系統(tǒng)通過(guò)水平子系統(tǒng)連接到管理間子系統(tǒng)，各樓層的管理間子系統(tǒng)再通過(guò)垂直子系統(tǒng)連接到設(shè)備間子系統(tǒng)。完成基本連接后，要根據(jù)性能、安全和管理等方面的要求，選擇相應(yīng)合適的網(wǎng)絡(luò)設(shè)備。如有必要，需要安排確定無(wú)線(xiàn)接入?yún)^(qū)域。整個(gè)網(wǎng)絡(luò)應(yīng)以統(tǒng)一的出口與外網(wǎng)或公網(wǎng)連接，一般是因特網(wǎng)74網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(2)84網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(3)這類(lèi)網(wǎng)絡(luò)設(shè)備和布線(xiàn)的指導(dǎo)思想有如下幾點(diǎn)：（1）水平子系統(tǒng)的布線(xiàn)可采用5類(lèi)或超5類(lèi)的UTP，保證100Mbps到桌面。（2）水平子系統(tǒng)的網(wǎng)絡(luò)設(shè)備使用二層交換機(jī)，可降低系統(tǒng)的成本。（3）垂直子系統(tǒng)的傳輸介質(zhì)可采用MMF（多模光纖）或6類(lèi)的UTP，使各樓層的交換機(jī)與核心交換機(jī)之間有千兆帶寬。（4）核心交換機(jī)應(yīng)采用三層交換機(jī)以確保系統(tǒng)性能。（5）整個(gè)網(wǎng)絡(luò)系統(tǒng)通過(guò)核心交換機(jī)連接路由器，再連接至外部公網(wǎng)，做到有效隔離，方便統(tǒng)一管理、保證安全。94網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(4)2）大型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)規(guī)模和地理范圍較大的大型網(wǎng)絡(luò)系統(tǒng)就要采用層次化的網(wǎng)絡(luò)結(jié)構(gòu)，其層次化特性是最為重要的考慮要素。即具體體現(xiàn)在實(shí)際接入點(diǎn)的設(shè)計(jì)、匯聚點(diǎn)的布置安排以及核心層的形式結(jié)構(gòu)，要切實(shí)依據(jù)實(shí)際建設(shè)的網(wǎng)絡(luò)系統(tǒng)的規(guī)模和地理環(huán)境情況來(lái)進(jìn)行。所以應(yīng)嚴(yán)格按照接入層、匯聚層和核心層的方式進(jìn)行組織和管理，從而達(dá)到結(jié)構(gòu)清晰、施工調(diào)測(cè)方便、管理維護(hù)規(guī)范化、確保網(wǎng)絡(luò)安全之目的。圖4是在綜合分析、考察后的某個(gè)大型網(wǎng)絡(luò)系統(tǒng)最終設(shè)計(jì)的結(jié)構(gòu)連接示意圖。104網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(5)114網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(6)這類(lèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)的指導(dǎo)思想包括下列幾個(gè)要點(diǎn)：（1）核心層的網(wǎng)絡(luò)設(shè)備之間要架設(shè)萬(wàn)兆級(jí)寬帶的連接鏈路，核心層與匯聚層之間可以采用千兆級(jí)連接，匯聚層與接入層之間用千兆級(jí)鏈路，而接入層與接入點(diǎn)之間鋪設(shè)百兆級(jí)鏈路。（2）接入層設(shè)備與接入點(diǎn)設(shè)備間的傳輸介質(zhì)可用5類(lèi)或5類(lèi)以上的雙絞線(xiàn)，或多模光纖（MMF）。（3）整個(gè)網(wǎng)絡(luò)由統(tǒng)一出口與外網(wǎng)連通，內(nèi)防火墻的區(qū)域?qū)俜擒娛聟^(qū)（DMZ），外網(wǎng)只能訪(fǎng)問(wèn)該區(qū)的對(duì)外服務(wù)器群，不允許訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)。（4）內(nèi)、外防火墻的架設(shè)是為了加強(qiáng)網(wǎng)絡(luò)的安全性。（5）核心層與匯聚層之間采用點(diǎn)對(duì)點(diǎn)的連接方式。124網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(7)（6）核心層交換機(jī)之間要有冗余鏈路，并采用鏈路聚合技術(shù)以增加帶寬，實(shí)現(xiàn)負(fù)載均衡，提高系統(tǒng)可靠性。（7）內(nèi)服務(wù)器群由核心交換機(jī)或第三層交換機(jī)連入核心層。為了提高可靠性，該服務(wù)器群應(yīng)有兩條不同線(xiàn)路連接至核心層