網路的基本架構

Core Layer:
為企業網路資料交換骨幹 (backbone)，資料在骨幹網路之間快速的交換(或轉換)並傳遞。在骨幹網路唯一的要求是速度，所以如何快速的傳遞交換資料，是 core layer 的主要任務。 core 大都是使用中、大型的 multi-layer switch / router。 傳輸介面不會太多，但為求快速交換及快速傳輸資料，所以會使用較高速的傳輸介面，如 155 Mbps 或 625 Mbps 以上的 SDH / ATM 線路，或以光纖 Gigabit Ethernet 為主，不過最近也開始有 10 Gigabit Ethernet 開始安裝在 core 端，來加大資料的 pipe size。 因為要求快速，而使用高速的傳輸介面，所以很多的資料流會在 core 匯集(aggregate)後整批傳輸。所以在 core 上，並不建議使用封包內容檢查(access rule、pattern match 、packet filter)，以免因為為了檢查內容而必須將資料封包拆開檢查，再重新寺包，造成 delay jitter 過高，並浪費 switch router 的 CPU 及資源。整個網路的 routing 會經由骨幹交換，並快速計算出傳輸路徑，以利資料快速到達目的地，並可以即時反應網路連線的狀況及品質，自動作相對應調整。網路傳輸品質的 QoS 也必須在 core layer 作一定程度處理，以免需要傳送的資料過多時，因為各介面的速度不一樣，而傳輸不順，減低了 core 的處理能力。一般在 core 上可以使用 layer 2 CoS 和 layer 3 IP ToS/IP Preference / DiffServ 及 MPLS 等方式作 QoS，但要並用或其中一種來作 QoS 的判斷基準階可。

Distribution Layer:
位於骨幹交換網路，和使用者終端之間的中介，在這一層中主要工作，是將資料區分出必須要和骨幹網路交換的資料，和可以在本地端直接交 換的資料，或者是要和處於相同 distribution layer 的設備交換資料。 distribution layer 一般會設定有大量的 layer 2 VLAN 及 layer 3 routing ，並有封包過濾、檢查等工作。 在使用上， distribution layer 以使用 layer 3 switch 為主， 不過近來也有使用 multi-layer switch， 主要是為了要使用 MPLS ，來和 core layer 配合。 而 distribution layer 的 switch 也會在 access switch 之間，及上層的 core switch 交換 layer 3 的 routing，不過為了網路的穩定及節省頻寬，所以不必交換整個網路的 routes， 因這部份可以直接交給 core layer 的 switch / router 來作。所以 distribution layer 的 route 大都會先經過 summary 簡化成 super-net 之後，再和 core 交換，可以節省頻寬，並減低因下層網路不穩定時，直接對上層網路造成因為路由改變，而需要重新計算 route table 及路由收斂 delay 等影響。Distribution layer 會有大量的 access rule 設定，並且對所經過的資料一一查核，若有不正常的資料，則依照所設定的方式處理(permit / deny / pass / drop)。 在查核資料的同時將 layer 2 和 layer 3 的 QoS mark mapping ，由下層的 access layer 來的 layer 2 CoS 標籤，轉成上層 core layer 所使用的 layer 3 IP ToS / IP Preference / DiffServ 標籤或 MPLS 標籤以利 QoS 設定延續來達到 end-to-end QoS 設定。

Access Layer:
連接企業網路和使用者終端(泛指個人電腦、或是主機 server等)，是企業網路到使用者之間，最後一段線路，是企業網路中數量最多、散佈最廣、管理最困難的一部份，散佈在整個公司內各處。 Access Layer 使用 layer 2 或 layer 3 switch 功能較簡單。但近來在使用者端的非授權軟體－－對企業網路影響最大，是可穿越防火牆的 SSL tunnel 、或是 local-host SOCKS proxies 、病毒、或 spyware 等問題，漸漸有將 access layer 力強用 access rule 管制，並由 layer 2 / layer 3 switch 提昇至 layer 4 甚至 layer 7 packet filter，才有辦法在這些不該傳輸的資料，傳出使用者的電腦時，就直接辦認出來並攔劫，防止這些資料傳至網路上其他電腦設備，或是公司外部，洩漏公司 機密。

參考文章：
http://yateousz.blog.ithome.com.tw/trackbacks/3995/72326
http://forum.icst.org.tw/phpbb/viewtopic.php?f=29&t=13026
http://blog.xuite.net/general.lu/blog/36667878
http://zh.wikipedia.org/wiki/OSI%E6%A8%A1%E5%9E%8B