網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)周二學(xué)習(xí)劉永生網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)更為重要。現(xiàn)在，大中型網(wǎng)絡(luò)普遍采用了層次化的結(jié)構(gòu)，一般為三層的結(jié)構(gòu)形式：接入層（AccessLayer）、匯聚層（ConvergenceLayer）和核心層（CoreLayer）。24網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__接入層它是網(wǎng)絡(luò)系統(tǒng)的最外層，為終端用戶提供網(wǎng)絡(luò)訪問接入點，相應(yīng)的設(shè)備端口相對密集，主要設(shè)備是交換機、集線器。接入層負(fù)責(zé)各業(yè)務(wù)接口的接入，要求設(shè)備有多業(yè)務(wù)傳輸能力和良好的網(wǎng)絡(luò)擴展能力。接入層設(shè)備應(yīng)具有價格合理、易于安裝和管理、吞吐量大和穩(wěn)定性好等特點。有些功能強大的接入層交換機可提供交換帶寬管理、MAC地址過濾、MAC地址綁定、MAC地址導(dǎo)入/導(dǎo)出、廣播風(fēng)暴抑制、集群網(wǎng)管、端口鏡像等功能，可以滿足網(wǎng)管員對接入層進(jìn)行控制和管理的要求，但價格昂貴。系統(tǒng)設(shè)計時，設(shè)計師切勿片面追求高性能，應(yīng)從實際出發(fā)選擇符合功能需求的產(chǎn)品，盡量減少網(wǎng)絡(luò)系統(tǒng)的建設(shè)費用。網(wǎng)絡(luò)系統(tǒng)的安全性控制和用戶身份鑒定既可以在接入層也可以在匯聚層進(jìn)行。因為接入層設(shè)備較多且分布廣，其安全性控制和身份鑒定通常是一種分散式的管理模式。在接入層進(jìn)行全控制和身份鑒定，能夠提高網(wǎng)絡(luò)安全性，降低網(wǎng)絡(luò)流量，但管理難度也相對增加。34網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__匯聚層(1)匯聚層就是接入層的匯聚點，能夠提供路由決策，實現(xiàn)安全過濾、流量控制、遠(yuǎn)程接入。匯聚層的主要功能是完成接入層結(jié)點與核心層中心的連接，故匯聚層設(shè)計為連接本地的邏輯中心，仍需要較高的性能和教豐富的功能。一般來說，匯聚層是樓群或小區(qū)的信息匯聚點，下連接入層，上接核心層網(wǎng)絡(luò)設(shè)備，為接入層提供數(shù)據(jù)的匯聚、傳輸、管理和分發(fā)處理。通常匯聚層要為接入層提供基于策略的連接，如地址合并、協(xié)議過濾、路由服務(wù)、認(rèn)證管理等，通過網(wǎng)段劃分（主要是指VLAN的劃分）與網(wǎng)絡(luò)隔離可以防止某些網(wǎng)段的問題蔓延并影響到核心層，同時也能提供接入層虛擬網(wǎng)之間的互連，控制和限制接入層對核心層的訪問，確保核心層的安全、可靠和穩(wěn)定。44網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__匯聚層(2)匯聚層設(shè)備一般采用可管理的三層交換機或堆疊式交換機以便達(dá)到帶寬和傳輸性能的要求。這樣的設(shè)備性能較好，但價格高于接入層設(shè)備。而且對環(huán)境的要求也較高，對電磁輻射、溫度、濕度和空氣清凈度等都有一定程度的要求。匯聚層設(shè)備之間以及與核心層設(shè)備之間多采用光纖連接，便于提高整個系統(tǒng)的性能和吞吐量。匯聚層實現(xiàn)安全性控制和用戶身份鑒定通常是采用集中式的管理模式，但當(dāng)網(wǎng)絡(luò)規(guī)模較大時，就要設(shè)計綜合的安全管理策略，比如在接入層實現(xiàn)用戶身份認(rèn)證和MAC地址綁定，而在匯聚層實現(xiàn)流量控制和訪問權(quán)限約束。54網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__核心層核心層提供更快的傳輸速率，不會對數(shù)據(jù)包做任何操作。它是各子網(wǎng)絡(luò)和區(qū)域網(wǎng)絡(luò)中所有流量的最終匯集點和承受方，主要實現(xiàn)骨干網(wǎng)絡(luò)數(shù)據(jù)的優(yōu)化傳輸，其最大特征是冗余設(shè)計、負(fù)載均衡、高帶寬和高吞吐量。核心層的最高目標(biāo)是快速傳輸數(shù)據(jù)分組，所以不宜將控制功能和分組處理功能集成，而傳輸帶寬應(yīng)高達(dá)千兆級或萬兆級為宜。核心層作為網(wǎng)絡(luò)骨干和核心，其設(shè)備多由核心路由器、多層交換機和服務(wù)器組成，具有高性能、高擴展性、高可靠性等特點，并且具備較強的網(wǎng)絡(luò)控制能力和管理特征。核心層各種設(shè)備間的連接都采用光纖點對點連接，而且有冗余線路，便于提供高傳輸速率和高可靠性。64網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(1)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計的合理性決定了整個網(wǎng)絡(luò)系統(tǒng)的優(yōu)劣。下面分別通過小型規(guī)模和大型規(guī)模兩個網(wǎng)絡(luò)實例來說明網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)的應(yīng)用。1）小型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)小型網(wǎng)絡(luò)就是指規(guī)模和地理范圍較小的局域網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)通常采用的是星狀的拓?fù)浣Y(jié)構(gòu)和布線。這樣做的好處在于結(jié)構(gòu)明了、管理和維護(hù)方便、擴展性好，且便于安裝和調(diào)試等工作。因為規(guī)模較小，所以網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計時就沒有必要進(jìn)行分層。如圖3所示，對于像一幢辦公大樓的網(wǎng)絡(luò)系統(tǒng)的設(shè)計采用三層交換主連和二層交換干/子連的方式即可，其網(wǎng)絡(luò)連接可以參照結(jié)構(gòu)化布線的思想，將各工作子系統(tǒng)通過水平子系統(tǒng)連接到管理間子系統(tǒng)，各樓層的管理間子系統(tǒng)再通過垂直子系統(tǒng)連接到設(shè)備間子系統(tǒng)。完成基本連接后，要根據(jù)性能、安全和管理等方面的要求，選擇相應(yīng)合適的網(wǎng)絡(luò)設(shè)備。如有必要，需要安排確定無線接入?yún)^(qū)域。整個網(wǎng)絡(luò)應(yīng)以統(tǒng)一的出口與外網(wǎng)或公網(wǎng)連接，一般是因特網(wǎng)74網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(2)84網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(3)這類網(wǎng)絡(luò)設(shè)備和布線的指導(dǎo)思想有如下幾點：（1）水平子系統(tǒng)的布線可采用5類或超5類的UTP，保證100Mbps到桌面。（2）水平子系統(tǒng)的網(wǎng)絡(luò)設(shè)備使用二層交換機，可降低系統(tǒng)的成本。（3）垂直子系統(tǒng)的傳輸介質(zhì)可采用MMF（多模光纖）或6類的UTP，使各樓層的交換機與核心交換機之間有千兆帶寬。（4）核心交換機應(yīng)采用三層交換機以確保系統(tǒng)性能。（5）整個網(wǎng)絡(luò)系統(tǒng)通過核心交換機連接路由器，再連接至外部公網(wǎng)，做到有效隔離，方便統(tǒng)一管理、保證安全。94網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(4)2）大型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)規(guī)模和地理范圍較大的大型網(wǎng)絡(luò)系統(tǒng)就要采用層次化的網(wǎng)絡(luò)結(jié)構(gòu)，其層次化特性是最為重要的考慮要素。即具體體現(xiàn)在實際接入點的設(shè)計、匯聚點的布置安排以及核心層的形式結(jié)構(gòu)，要切實依據(jù)實際建設(shè)的網(wǎng)絡(luò)系統(tǒng)的規(guī)模和地理環(huán)境情況來進(jìn)行。所以應(yīng)嚴(yán)格按照接入層、匯聚層和核心層的方式進(jìn)行組織和管理，從而達(dá)到結(jié)構(gòu)清晰、施工調(diào)測方便、管理維護(hù)規(guī)范化、確保網(wǎng)絡(luò)安全之目的。圖4是在綜合分析、考察后的某個大型網(wǎng)絡(luò)系統(tǒng)最終設(shè)計的結(jié)構(gòu)連接示意圖。104網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(5)114網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(6)這類網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計的指導(dǎo)思想包括下列幾個要點：（1）核心層的網(wǎng)絡(luò)設(shè)備之間要架設(shè)萬兆級寬帶的連接鏈路，核心層與匯聚層之間可以采用千兆級連接，匯聚層與接入層之間用千兆級鏈路，而接入層與接入點之間鋪設(shè)百兆級鏈路。（2）接入層設(shè)備與接入點設(shè)備間的傳輸介質(zhì)可用5類或5類以上的雙絞線，或多模光纖（MMF）。（3）整個網(wǎng)絡(luò)由統(tǒng)一出口與外網(wǎng)連通，內(nèi)防火墻的區(qū)域?qū)俜擒娛聟^(qū)（DMZ），外網(wǎng)只能訪問該區(qū)的對外服務(wù)器群，不允許訪問內(nèi)部網(wǎng)絡(luò)。（4）內(nèi)、外防火墻的架設(shè)是為了加強網(wǎng)絡(luò)的安全性。（5）核心層與匯聚層之間采用點對點的連接方式。124網(wǎng)絡(luò)系統(tǒng)層次結(jié)構(gòu)__案例分析(7)（6）核心層交換機之間要有冗余鏈路，并采用鏈路聚合技術(shù)以增加帶寬，實現(xiàn)負(fù)載均衡，提高系統(tǒng)可靠性。（7）內(nèi)服務(wù)器群由核心交換機或第三層交換機連入核心層。為了提高可靠性，該服務(wù)器群應(yīng)有兩條不同線路連接至核心層