2011年3月17日 星期四

網路的基本架構

Core Layer:
為企業網路資料交換骨幹 (backbone),資料在骨幹網路之間快速的交換(或轉換)並傳遞。在骨幹網路唯一的要求是速度,所以如何快速的傳遞交換資料,是 core layer 的主要任務。 core 大都是使用中、大型的 multi-layer switch / router。 傳輸介面不會太多,但為求快速交換及快速傳輸資料,所以會使用較高速的傳輸介面,如 155 Mbps 或 625 Mbps 以上的 SDH / ATM 線路,或以光纖 Gigabit Ethernet 為主,不過最近也開始有 10 Gigabit Ethernet 開始安裝在 core 端,來加大資料的 pipe size。 因為要求快速,而使用高速的傳輸介面,所以很多的資料流會在 core 匯集(aggregate)後整批傳輸。所以在 core 上,並不建議使用封包內容檢查(access rule、pattern match 、packet filter),以免因為為了檢查內容而必須將資料封包拆開檢查,再重新寺包,造成 delay jitter 過高,並浪費 switch router 的 CPU 及資源。整個網路的 routing 會經由骨幹交換,並快速計算出傳輸路徑,以利資料快速到達目的地,並可以即時反應網路連線的狀況及品質,自動作相對應調整。網路傳輸品質的 QoS 也必須在 core layer 作一定程度處理,以免需要傳送的資料過多時,因為各介面的速度不一樣,而傳輸不順,減低了 core 的處理能力。一般在 core 上可以使用 layer 2 CoS 和 layer 3 IP ToS/IP Preference / DiffServ 及 MPLS 等方式作 QoS,但要並用或其中一種來作 QoS 的判斷基準階可。

Distribution Layer:
位於骨幹交換網路,和使用者終端之間的中介,在這一層中主要工作,是將資料區分出必須要和骨幹網路交換的資料,和可以在本地端直接交 換的資料,或者是要和處於相同 distribution layer 的設備交換資料。 distribution layer 一般會設定有大量的 layer 2 VLAN 及 layer 3 routing ,並有封包過濾、檢查等工作。 在使用上, distribution layer 以使用 layer 3 switch 為主, 不過近來也有使用 multi-layer switch, 主要是為了要使用 MPLS ,來和 core layer 配合。 而 distribution layer 的 switch 也會在 access switch 之間,及上層的 core switch 交換 layer 3 的 routing,不過為了網路的穩定及節省頻寬,所以不必交換整個網路的 routes, 因這部份可以直接交給 core layer 的 switch / router 來作。所以 distribution layer 的 route 大都會先經過 summary 簡化成 super-net 之後,再和 core 交換,可以節省頻寬,並減低因下層網路不穩定時,直接對上層網路造成因為路由改變,而需要重新計算 route table 及路由收斂 delay 等影響。Distribution layer 會有大量的 access rule 設定,並且對所經過的資料一一查核,若有不正常的資料,則依照所設定的方式處理(permit / deny / pass / drop)。 在查核資料的同時將 layer 2 和 layer 3 的 QoS mark mapping ,由下層的 access layer 來的 layer 2 CoS 標籤,轉成上層 core layer 所使用的 layer 3 IP ToS / IP Preference / DiffServ 標籤或 MPLS 標籤以利 QoS 設定延續來達到 end-to-end QoS 設定。

Access Layer:
連接企業網路和使用者終端(泛指個人電腦、或是主機 server等),是企業網路到使用者之間,最後一段線路,是企業網路中數量最多、散佈最廣、管理最困難的一部份,散佈在整個公司內各處。 Access Layer 使用 layer 2 或 layer 3 switch 功能較簡單。但近來在使用者端的非授權軟體--對企業網路影響最大,是可穿越防火牆的 SSL tunnel 、或是 local-host SOCKS proxies 、病毒、或 spyware 等問題,漸漸有將 access layer 力強用 access rule 管制,並由 layer 2 / layer 3 switch 提昇至 layer 4 甚至 layer 7 packet filter,才有辦法在這些不該傳輸的資料,傳出使用者的電腦時,就直接辦認出來並攔劫,防止這些資料傳至網路上其他電腦設備,或是公司外部,洩漏公司 機密。

參考文章:
http://yateousz.blog.ithome.com.tw/trackbacks/3995/72326
http://forum.icst.org.tw/phpbb/viewtopic.php?f=29&t=13026
http://blog.xuite.net/general.lu/blog/36667878
http://zh.wikipedia.org/wiki/OSI%E6%A8%A1%E5%9E%8B

沒有留言:

張貼留言