网络规划与设计.ppt

Backbone01Building02接入层使终端用户能接入网络。同时优先级设定和带宽交换等优化网络资源的设置也在接入层完成。03接入层功能04接入层特点*对汇聚层的访问控制和策略进行支持建立独立的冲突域建立工作组与汇聚层的连接STEP5STEP4STEP3STEP2STEP1BackboneCampusBackboneBuilding汇聚层是核心层和终端用户接入层的分界面。汇聚层网络组件完成了数据包处理、过滤、寻址、策略增强和其他数据处理的任务。汇聚层功能汇聚层特点*策略（例如，要保证从特定网络发送的流量从一个接口转发，另一个接口转发）安全部门或工作组级访问广播/多播域的定义虚拟LAN（VLAN）之间的路由选择介质翻译（例如，在Ethernet和令牌环之间）在路由选择域之间重分布（redistribution例如，在两个不同路由选择协议之间）在静态和动态路由选择协议之间的划分SiteA01SiteC03SiteB02核心层为网络提供了骨干组件或高速交换组件。在纯粹的分层设计中，核心层只完成数据交换的特殊任务。04核心层功能核心层特点*提供高可靠性提供冗余链路提供故障隔离迅速适应升级提供较少的滞后和好的可管理性避免由滤波器或其它处理引起的慢包操作有有限和一致的直径选择锐捷产品*汇聚层STAR-S35XXSTAR-S49XX核心层STAR-S35XXSTAR-S49XXSTAR-S68XX访问层STAR-S19XXSTAR-S21XX基于交换的层次结构示例锐捷交换机*分层结构的优点：流量从接入层流向核心层时，被收敛在高速的链路上。流量从核心层流向接入层时，被发散到低速链上。因此接入层路由器可以采用较小的设备，它们交换数据包需要较短的时间，具备了更强的执行网络策略的能力。分层拓扑结构因有的缺点是在物理层内隐含（或导致）了单个故障点，即某个设备或某个失效的链接会导致网络遭到严重的损坏。克服单个故障点的方法是采用冗余手段，但这会增加网络的复杂性。一个大规模的网络系统往往被分为几个较小的部分，它们之间既相对独立又互相关联，这种化整为零的做法是分层进行的。通常网络拓扑的分层结构包括3个层次，即核心层、分布层和接入层，如图所示。每一层都有其相应的规划目标：核心层主要处理高速数据流，主要任务是数据包的交换。分布层负责聚合路由路径，收敛数据流量。接入层负责将流量馈入网络，进行网络访问控制，并且提供相关的边缘服务。接入层的设计目标有以下三个：将流量馈入网络。为确保将接入层流量馈入网络，应做到以下几点。接入层路由器所接收的链接数不要超出其与分布层之间允许的链接数。如果不是转发到局域网外主机的流量，就不要通过接入层的设备进行转发。不要将接入层设备作为两个分布层路由器之间的连接点，即不要将一个接入层路由器同时连接两分布层路由器。2.控制访问。由于接入层是用户接入网络的入口，所以也是黑客入侵的门户。接入层通常用包过滤策略提供基本的安全性，保护局部网段免受来自网络内外的攻击。基本的过滤策略有以下3种。严禁欺骗。例如，仅允许来自10.1.4.0/24的数据通过路由器。严禁广播源。如源地址不接收来自255.255.255.255地址和10.1.4.255网段的广播，广播被接入层的设备过滤掉了。严禁直接的广播。直接的广播是指发往符合广播地址网段的数据包，不是该广播地址网段上的路由器会以单播转发该数据包，而该广播地址网段上的路由器会将其转化为普通的广播数据包向本网段的所有主机发送。如某PC地址为10.1.4.1/24，发送一个目的地址为10.1.4.255的数据包，路由器会将其转发到网关（路由器），同时改为以普通广播包（255.255.255.255）方式发送给本地的网络。减少直接广播的方法是在配置IP辅助地址时使用实际的服务器IP地址，而不使用服务器网段的广播地址。分布层将大量低速的链接（与接入层设备的链接）通过少量宽带的链接接入核心层，以实现通信量的收敛，提高网络中联欢会点的效率。同时减少核心层设备路由路径的数量。总之，分布层的主要设计目标如下。隔离拓扑结构的变化控制路由表的大小收敛网络流量实现分布层设计目标的方法有如下两种。路由聚合使核心层与分布层的连接最小化网络核心层的主要工作是交换数据包，在设计时应该注意以下两点。1.不要在核心层执行网络策略。例如，一般路由器根据最终目的地的地址发送数据包，但在某些情况下，希望路由器基于源地址、流量类型或其他标准做出主动的决定，这些基于某一标准或由系统管理员配置的规则称为基于策略的路由。核心层的任务是交换数据包，应