2013年5月30日 星期四

常見的網路架構

*紅線代表光纖、黑線代表一般網路線、藍\紫線代表堆疊線或特殊線(也有可能是一般光纖或網路線),當然圖中省略了防火牆、負載平衡等設備,僅列出網路基礎建設的設備。

通常在竹科的公司為了產線網路都要求能做到7*24高可用性(High Availability, HA),都會要求在更新案或是建置案上,要求一個完善的Solution去解決任何硬體故障時候的切換,所以網路架構都會是一個相當固定的模式,例如上圖,網路架構通常大同小異,當然實際公司或組織的拓樸都會比這還來得複雜,有很多時候被受限在拉線長度(Cat 5e僅能拉100M)、傳輸距離(光纖物理特性)、設備功能上被迫調整網路架構而損失部分的線路容錯。
Core(核心層)網路,技術上除了Routing(路由)跟其他Layer 4服務外,HSRPVRRP所提供技術非常重要。

DistributionAccess Layer(或稱為Edge)這兩層上,關鍵技術是STP(Spanning Tree Protocol)相關協定(RSTPPVST…)VlanVTPTrunk、帶TagEtherchannel等。
安全性部分則是以ACL(Access Control List)Port Security為主。

網路高可用性(HA)通常包含幾個部分:任一裝置或結點(Device/Node)、任一連接埠或模組(Port/Module)、任一線路(Line)的損壞或故障,都必須在有限時間內以硬體內部機制自動回復原有網路服務。



因此每當任何符合HA的網路架構建置案完工後,通常會進行HA測試,包含任一層網路裝置的斷電與復電測試、層與層之間的拔線測試,以底層Client連外InternetPing來檢視連外服務是否會受到影響,Ping掉包數量多寡,耗時多久能回復正常網路運作作為驗收參考的重要資料,做不到的時候將無法驗收。


這張圖描繪了底層Switch使用雙線路連接Distribution的情況,這種情況較著重在效能運作上(每台底層Switch皆提供Redundant Uplink),但是所耗費成本較高(很多時候不切實際),而頂層設備仍是接近Mesh情況較為常見。
當然,任何的網路架構都會將Performance(效能)Cost(成本)Security(安全性)Convenience(方便性)幾個大方向列入重要考量,這些點無法同時兼顧只能視著User的需求進行調整,基於工程師立場只能給與User建議與可行的解決方案而不會涉入報價與成本,通常工程師追尋的是最適解答,而非最佳解答,因為這幾項因素都有互斥的因子存在,而在設計網路架構上,工程師通常還需要考慮到網路架構的彈性與擴張,如果一個客戶要做長久,彈性與擴張是必定要列入考量的點。如果有機會與User談網路架構的時候,務必釐清需求,很多時候會存在著資訊落差,一個專有名詞所代表的意義在各專業領域上會有所不同,很容易出現誤解(例如:Trunk這名詞在網路跟伺服器上就有明顯的不同)


上圖就是幾種下層常見網路拓樸方式,分別代表泛用單環、效能傾向的雙層架構與高成本雙環三種,可以思考一下效能與成本間的差異,以及如何被實作。

上圖代表伺服器連接網路設備的架構圖,通常會配合Teaming建置,可以進行Lab實測,之前有實測過幾種,還有幾種需要待測,例如:Switch Stacking後的ServerTeaming情況。有興趣的,仍可以實測一下幾種架構在運作上的差異性、容錯的差別,附帶一提,Cisco Nexus系列會有VPCs的連接方式。

Router VS L3 Switch

1. L3 switch主要是支援Ethernet, router可以支援到其他的L3 protocol (AppleTalk / IPX) 

2. L3 switch通常內建的port density都比較高 (8 port以上), router則是有模組可以換不同的port type. 

3. L3 switch比較會有光纖port, router則要高階機種才會有. 

4. L3 switch的QoS設定比較注重LAN QoS或是voice end point, router比較注重於packet marking/shaping的功能 

5. 同價位的L3 switch的throughput通常比router高 

6. Router有較多的路由(route)的微調功能, L3 Switch較少 

7. 低階Cisco L3 switch (3550/3560/3750)沒有NAT的功能, router只要是1700系列就有了 

8. Router可以跑firewall IOS, 有Stateful packet inspection, L3 switch則沒有 

L3 Switch 多數用在大型的企業內網,而且需要高速交換內網資料使用,而不是拿來當作出口設備,出口設備的位置通常還會是FW或是Router,並不會是L3 Switch。

以C3750X來說已經夠資格當作Building Core,建築物單位的核心出口網路,但是不是企業的出口,重點還是在於功能支持度上,以C3750X來說,最多就能做到路由交換、ACL相關功能,但是仍然比不上專門的防火牆,多數對外連接的協定也沒有辦法支援,例如:C3750X的IOS並不支援PPPoE、NAT等等重要的連外服務,但是目前多數公司傾向換成L3 Switch的原因是因為多數WAN上的路由協定都交由ISP處理掉了,但是FW的功能L3 Switch仍舊不足,還是需要落地式45或65系列的FW模組或是Cisco ASA比較合適。