1.2 企业网体系结构

1.1.2节中我们介绍的三层模型，其实我们在《路由与交换技术》第1章中也曾经介绍过。在《路由与交换技术》中，我们曾经分别用一两句话分别概括了这三层的功能。为了方便读者回忆，我们将这些内容粘帖如下。

·核心层（Core Layer）：使用高性能的核心层交换机提供流量快速转发。同时为了避免单点故障，核心层常常需要部署一定程度的冗余。

·汇聚层（Aggregation Layer）：也称为分布层（Distribution Layer），这一层的交换机需要将接入层各个交换机发来的流量进行汇聚，并通过流量控制策略，对企业网中的流量转发进行优化；

·接入层（Access Layer）：为终端设备提供接入和转发。大型企业网往往拥有数量相当庞大的终端设备。鉴于终端设备数量庞大，所以接入层往往会部署那种端口密度很大的低端二层交换机，其目的纯粹是为了将这些终端设备连接到企业网当中。

虽然这些文字己经对这三层的内容进行了比较简练的说明，但是这些信息显然过于笼统，读者很难直接利用这些信息来完成各层的设备选型、功能设计和配置部署。为了让读者能够在工作环境中落实这个体系结构，在1.2节中，我们会分3节分别对这三层的内容展开介绍。下面，我们首先从接入层说起。

1.2.1 接入层

接入层设备向上连接汇聚层交换机，向下则为各类终端设备（通过有线和无线方式）提供接入。一般来说，网络接入层大都会部署二层交换机。目前，为了支持时下流行的BYOD，接入层基本也会连接无线接入点。此外，接入层也会根据需要部署 xPON、xDSL等设备。

我们先从下向上看，接入层需要将林林总总的终端设备接入到企业网中。我们在1.1.2 节概述分层模型时，提出的第一个问题是“如何尽量减少不相关设备参与流量的处理”。在企业网的三层架构中，接入层交换机是终端设备始发流量进入企业网的第一跳交换机，因此它应当在这一层发挥无关/恶意流量的过滤作用，尽快将来自于终端的那些无谓流量过滤掉，而不让这些流量被进一步传播给流量处理压力更大的分布层。我们在这里谈到的过滤，既包括在接入层部署认证机制来过滤非法用户发起的连接，也包括在这里部署一些交换机特性（Features）来过滤来自诸如ARP欺骗攻击、MAC地址泛洪攻击、DHCP欺骗攻击等攻击手段的恶意流量。

注释：

想不起 ARP 欺骗攻击这一概念，或者未在《网络基础》中选学这一概念的读者，可以重新阅读本系列教材《网络基础》的6.3.2节；想不起MAC地址泛洪攻击这一概念，或者未在《路由与交换技术》中选学这一概念的读者，可以重新阅读本系列教材《路由与交换》的1.2.3节。关于DHCP欺骗攻击，本书会在6.1.4节中进行介绍，读者可以根据自己的需要进行选学。

注释：

“尽快过滤”是部署过滤机制时的最佳做法（Best Practice），我们希望读者能够在领会这一原则的基础上，将其应用于实际的网络设计和部署工作中。这种原则顾名思义，就是指对于应该过滤的数据，网络设计人员应当在尽可能贴近该数据源的位置实施过滤，而不要等大量设备都为了转发它们而耗费了资源之后再进行过滤。这种原则不仅适用于在接入层部署一些流量过滤机制的场景，在设计很多过滤机制的操作点时都普遍适用。关于这一点，我们还会在本书的3.4.2节（应用高级IP ACL）中重复。

注释：

网络设备的特性（Feature）是指该网络设备提供的特定功能，设备管理员可以在操作系统中输入对应的命令让设备启用这项/这些功能。特性不同于协议，它是指一台设备本地自行对数据执行的操作，因此特性的操作不涉及设备间的协商，一台设备是否执行某项特性与其他设备通常是无关的。

除了过滤机制之外，如果管理员希望企业网根据不同类型流量的重要性、延迟敏感度等特征，区别处理这些不同类型的流量，那么管理员往往需要通过配置，让接入层交换机首先通过分类和标记来区分出不同的流量类型，以便汇聚层交换机和核心层交换机根据标记来区别对待不同的流量。这种差异化处理不同类型流量的目的是为了保障数据通信网络的服务质量，因此这类将流量进行差异化处理的技术统称为服务质量（Quality of Service）技术。QoS 技术不是一项技术，而是一类技术。这类技术相对复杂，它们的原理与配置超出了本系列教材的知识范围。对这类技术感兴趣的读者可以在充分掌握了本系列教材的内容之后，在课下单独向任课教师请教，也可以报名各类技术培训机构进行深入学习，本书在此不作赘述。

图1-6所示为管理员常常需要在接入层上针对终端部署的各类机制。图中的终端1正在发起MAC地址泛洪攻击，由于它所连交换机的端口部署了对应的过滤机制，因此这些数据包完全不会给企业网中的其他交换机造成困扰；图中的终端2连接到了一个需要对用户进行认证的交换机端口，该用户由于认证失败，因此交换机拒绝了他的访问；在图1-6的右下方，有一台接入层交换机对终端3发出的流量进行了分类和标记，以便汇聚层和核心层的交换机能够根据其标签明确应该如何处理这个数据包。

在讨论完如何针对终端设备部署接入层交换机之后，我们沿着三层架构向上看，接入层之上是汇聚层，如果接入层设备出现故障，影响的范围仅限于它连接的终端设备；但如果它连接的汇聚层设备发生故障，或者接入层设备连接汇聚层设备的端口和链路发生故障，受到波及的终端设备就会比较多。为此，接入层一般会部署采用双上行的拓扑结构，也就是说每台接入层交换机都连接两台汇聚层交换机。接入层交换机上连接的终端可能分别属于多个VLAN，并且二层交换机不具备三层功能，因此接入层交换机与汇聚层交换机之间一般会通过Trunk链路相连。这种设计方案可以提供冗余，显著提高网络的可用性。图1-7所示为一个企业网的接入层，这样的接入层设计方案会导致接入层和汇聚层之间产生交换环路。图中粗线所示即为一台接入层交换机和两台汇聚层交换机之间形成的环路。为了避免网络中产生逻辑环路，这些交换机上需要运行某种模式的生成树协议（STP）。

关于接入层的设计我们可以告一段落了。在1.2.2节中，我们会继续对汇聚层进行介绍。

1.2.2 汇聚层

我们在1.1节的最后曾经说过，企业网的三层设计方案并不是金科玉律。对于规模不大的网络，网络工程师可以将核心层和汇聚层进行合并，采用两层设计方案来部署网络。但对于具备一定规模的网络来说，网络中往往会部署大量的接入层交换机。此时，如果采用两层设计方案，上一层交换机中的端口数量首先就难以满足大量接入层交换机的连接需求。所以，在设计规模较大的网络时，设计人员应该在核心层和接入层之间添加一层来汇聚接入层交换机发来的数据，将其上呈核心层交换机。在1.2.2节中，我们会介绍当企业网的设计中包含汇聚层时，管理员应该在汇聚层交换机上部署哪些机制。

如果接入层设备连接的汇聚层设备发生了故障，或者接入层设备连接汇聚层设备的端口和链路发生了故障，这种故障波及的终端设备会比接入层设备出现故障波及的终端多得多，所以接入层一般会部署采用双上行的拓扑结构。基于同样的原因，汇聚层更加应该采用双上行拓扑结构，也就是每台汇聚层交换机连接两台核心层交换机。

既然在规模较小的网络中，汇聚层和核心层可以合并为一层，因此汇聚层的交换机选型也多和核心层一样考虑使用三层交换机。不过，汇聚层交换机可以选用中端三层交换机。鉴于汇聚层一般使用三层交换机，因此与接入层设备和汇聚层设备之间部署二层交换环境的做法不同，汇聚层设备与核心层设备之间往往会采用三层互联的方式。由此可以看出，汇聚层交换机应该作为企业网中二层环境与三层环境之间的汇聚点，同时它们（的VLAN虚拟接口）也应该用来充当所连接终端的网关设备，如图1-8所示。

之所以在汇聚层交换机与核心层交换机之间应该采用三层连接（IP连接），其中一个原因是相对于二层连接，管理员可以对三层环境执行更多的管理控制。比如，汇聚层交换机上往往需要部署路由聚合，将其连接的各个子网路由汇聚成数量很少的汇总路由通告给核心层交换机，这样可以将小范围的网络变更对核心层隐藏，提高网络的稳定性。再比如，管理员也可以在汇聚层交换机上部署访问控制列表，为企业网提供更高效的基于IP地址的过滤。此外，管理员也可以针对接入层交换机所作的分类和标记操作，在汇聚层交换机上部署对应的区分处理方式，让网络能够更好地根据管理员定义的QoS策略来分别对不同类型的数据包执行不同的操作，如图1-9所示。

在1.2.3节中，我们会继续介绍核心层的作用及需要在核心层上部署的机制。

1.2.3 核心层

在对汇聚层进行了解释之后，核心层的部署方法与作用也就呼之欲出了。根据汇聚层的介绍，读者也可以想到，核心层交换机应该尽量选用高端或中高端的三层交换机，而核心层也需要尽量部署管理上更加可控，也更容易通过负载分担提高带宽使用率和网络稳定性与可用性的三层环境。实际上，在三层模型中，核心层的作用就是给整个网络提供这种高速而又可靠的数据转发能力。

为了在三层模型中实现高速数据转发，工程师在设计核心层网络时，应该在企业能够承担的经济预算范围之内，选择性能尽可能优秀的三层交换机来充当核心层交换机。同时，工程师也要尽可能减免核心交换机上与数据转发无关的CPU密集型任务，把这些任务尽可能移交给汇聚层交换机来完成。这里所说的处理任务包括我们在前面介绍的 IP ACL 过滤策略和QoS分类策略，其他会大量消耗核心层交换机CPU资源的处理方式也应该尽量交由汇聚层或分布层交换机来承担，让交换机将尽可能多的资源用于企业网的数据转发。

在分层架构中，核心层担负着实现企业网全网互联，以及企业网与 Internet 互联的重要任务。因此，核心层瘫痪意味着整个企业网都会被隔离成多个信息孤岛，同时每个信息孤岛也都会失去与Internet的连接，如图1-10所示。

为了避免这种情况的发生，工程师在参考预算对核心层交换机进行选型时，一方面要选择性能尽可能强大的交换机，另一方面也要兼顾核心层的可靠性。这包括工程师应该确保企业网中部署有冗余的核心层交换机，且核心层交换机之间通过多条链路彼此相连，同时也要考虑是否给核心层交换机上的重要组件（如冗余电源）配备冗余，防止核心层出现单点故障。

当然，对于因规模不大而在设计时合并了汇聚层和核心层的中小型企业网，由于并没有实现核心层与汇聚层的区分，因此核心层交换机同时也需要承担汇聚层交换机的处理操作。换言之，在仅包含接入层和核心层的两层企业网中，核心层交换机上则需要部署一些影响CPU性能的业务。网络方案的设计没有对错，有的只是设计方案是否符合企业的需求。管理员在掌握了企业网设计的根本原则后，就可以根据企业自身的需求（业务需求、成本投入等）因地制宜了。

在1.2节中，我们分3节分别介绍了接入层、汇聚层和核心层应该在网络设计中发挥的作用，工程师在设计网络时应该如何针对这三层完成设备选型，以及工程师应该分别在这三层的设备上部署哪些技术和策略。

至此，我们己经对于企业网的架构进行了比较充分的介绍。在1.3节中，我们会为读者对企业网近期的发展趋势作一个简要的介绍，帮助读者了解企业网未来可能的发展方向，以及一些相关技术术语的含义。