网络拓扑结构设计技巧

网络拓扑结构设计的目的是为科学地设计网络线路路由，合理部署网络结点的数据交换及信息服务设备，为前期的网络规划提供技术依据。网络拓扑结构设计是一种逻辑设计，主要是确定各种设备以什么样的方式连接起来，形象地描述网络的组成和结点的分布特征。在设计时应充分考虑网络规模、网络体系结构及协议类型、可扩展和升级管理维护等各方面的因素。

一个规模较大的网络系统往往被划分为几个不同层次的部分，它们之间既相对独立又互相关联，这就是层次型的网络拓扑结构设计方法，这种方法基于模块化和层次化的设计模式，技术成熟，常用于校园网、园区网、企业网，甚至大型省际网络的设计。这种层次模型设计具有很多好处，可使用路由聚合有效减轻网络交换设备或路由设备的处理负载、降低网络成本、简化设计元素、容易调整层次结构、可充分发挥互连设备的特性等，具体可归结为以下几点：

1）可扩展：网络可模块化增长而不会遇到问题。

2）简单：把一个大问题分解成若干个小问题。通过将网络划分为不同层次和模块，降低了网络整体的复杂性，使故障隔离和排除，防止广播风暴和路由循环等变得更容易。

3）设计灵活：使将局部拓扑结构改变所产生的影响降至最小，网络技术升级方便，升级其中某一个层次不会影响其他的层次，从而无需改变整个网络环境。

4）可管理：层次化结构使单个设备的配置复杂性大大降低，使网络更容易管理。

网络拓扑结构设计一般采用3层结构的层次设计方法，这3层分别为核心层、分布层和接入层。网络拓扑结构设计如图8-1所示。

图8-1 网络拓扑结构设计3层模型

1.核心层的主要功能

核心层处于层次模型的最高层，代表网络覆盖网络的核心部分，具有管理整个网络区域的功能。该层部署有连接外部网络的边界路由器，与内部网络连接的主干交换机等高端设备。核心层通过宽带主干线路，连接分布层各个区域的主结点，为分布层各区域间的信息交流提供高速交换通道。对外经过边界路由器提供与外部网络的连接通道。

核心层处理高速数据流，其主要任务是数据包的交换。核心层是一个高速的交换骨干，为下两层提供优化的数据传输功能。它应需要尽可能快地交换数据包而不应卷入到具体的数据包运算中（ACL、过滤等），否则会降低数据包的交换速度。

核心层的主干交换一般采用最快速率的链路连接技术，在与分布层的骨干交换相连时要考虑采用建立在生成树STP基础上的多链路冗余连接，以保证与骨干交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能。这样当交换机之间的线路出现故障时，数据传输很快会自动切换到另一条线路上，从而保证系统的正常工作。

2.分布层的主要功能

分布层处于层次模型的中间层，它的主要功能是聚合路由路径，收敛数据流量。分布层是核心层与接入层的分界点，定义了网络的边界，实现接入层各区域主结点的接入，完成接入层各区域的流量汇聚。在分布层设有互连交换设备，实现数据传输，将各区域之间的数据流量汇集传输到核心层，同时与接入层相连，形成网络内部数据流量交换的中枢。

分布层提供基于统一策略的互联性，对数据包进行复杂的运算，分布层主要提供路由决策、安全过滤、流量控制、远程接入4大功能，具体还包括：地址的聚合、部门与工作组的接入、广播域/组播传输域的定义、VLAN之间的路由、传输媒体介质的转换、安全控制等。

分布层设计要满足核心层、分布层交换机和服务器群集环境对高速率接口密度、可扩展性、高可用性及多层交换的不断增长的需求，支持大量新用户接入、高带宽的多媒体信息传输应用等。因此分布层设计应该与服务质量机制、智能应用技术以及安全性设计结合在一起。用户可以通过分布层高效地利用其接入层网络，增加终端业务（如多点广播、视音频应用、ERP应用等），而不会影响网络性能。分布层交换机与接入层交换机之间可以利用全双工技术和高速率网络技术互联，保证分支主干无带宽瓶颈。

分布层内的交换机、防火墙和服务器群集（域名服务器、DHCP服务器、文件服务器、数据库服务器、应用服务器、WWW服务器、流媒体服务器等）、网络管理终端及主干链路均可采用千兆模块进行生成树STP冗余链路连接。

3.接入层的主要功能

接入层位于层次模型的最底层，它的主要功能是接入层将流量汇聚到网络分布层，执行网络访问控制，并且提供相关边缘服务。

配备楼宇级交换机、楼层交换机等低端连接设备，通过建筑物之间互连，以及建筑物内的结构化布线，实现网络用户终端的接入，为最终用户提供访问网络的途径，提供带宽共享与交换、MAC层地址过滤、网段划分等功能。本层也可以进一步调整，提供ACL访问控制列表过滤等操作。

接入层设计时可采用可堆叠、带网管功能的以太网交换机的网络接入级交换机，以适应高端口密度的大中型网络。交换机的普通端口直接与用户计算机相连，高速端口与分布层网络交换机相连，用以有效地缓解网络骨干的带宽瓶颈。接入层的网络设计也应考虑Internet接入。

4.3层网络拓扑结构设计的优缺点(www.xing528.com)

3层网络拓扑结构，各层功能相对独立，但数据交换又相互联系。低层局部的数据交换在本层完成，高层则主要实现网络内部数据与外部网络的交换。根据各层数据流量的分布特征及网络线路的负载状态，合理配置网络连接设备和服务器群集，才能实现网络流量的均衡分配和高速交换处理，从而提高整个网络系统的运行效率。

分层拓扑结构的优点是当流量从接入层流向核心层时，被收敛在高速的链接上；而当流量从核心层流向接入层时，被发散到低速链接上，如图8-2所示。因此接入层路由器可以采用低端的设备，它们交换数据包需要较少的时间，具备了更强的执行网络策略的处理能力。

图8-2 层网络中的流量汇聚

分层拓扑结构固有的缺点是在物理层内隐含（或导致）单个故障点，即某个设备或某个失效的链接会导致网络遭到严重的损坏。克服单个故障点的方法是采用冗余手段，但这会导致网络复杂性的增加。

5.3层网络拓扑结构设计要点

按照3层模型进行网络拓扑设计时，应遵守两条基本原则：网络中因拓扑结构改变而受影响的区域应被限制到最小程度；路由器（及其他网络设备）应传输尽量少的信息。

（1）核心层设计要点

网络核心层的主要任务是交换数据包。因此为了减轻核心层的处理负担，一般不要在核心层执行网络策略（所谓“策略”就是一些设备支持的标准或系统管理员定制的规划。例如，一般路由器根据最终目的地的地址发送数据包，但在某些情况下，希望路由器基于源地址、流量类型或其他标准做出主动的决定，这些在路由器上基于某一标准，或由系统管理员配置的规则的主动决定称为策略路由）。网络策略的执行一般由接入层设备完成，在某些情况下，策略放在接入层与分布层的边界上执行，应尽量避免增加核心层路由器配置的复杂程度，因为一旦核心层执行策略出错将导致整个网络瘫痪。

核心层的所有设备应具有充分的可到达性。可到达性是指核心层设备具有足够的路由信息来智能地交换发往网络中任意目的地的数据包。在具体的设计中，当网络很小时，通常核心层只包含一个路由器，该路由器与分布层上所有的路由器相连。如果网络更小的话，核心层路由器可以直接与接入层路由器连接，分层结构中的分布层就被压缩掉了。显然，这样设计的网络易于配置和管理，但是其扩展性不好，容错能力差。

（2）分布层设计要点

分布层将大量低速的链接（与接入层设备的链接）通过少量高速链接接入核心层，以实现流量的收敛，从而提高了网络中聚合点的效率，同时也减小了核心层路由器路由表的大小。在具体的设计中，主要通过路由聚合和最小化核心层与分布层连接的方法来达到收敛网络流量、减小路由表的大小以及隔离拓扑结构的变化的设计目标。

（3）接入层设计要点

为减小分布层汇聚到核心层的主干线路的流量负担，确保将接入层流量汇聚到网络的分布层，接入层的路由器一般只负责转发到局域网外的流量，而且其所接收的链接数不要超出其与分布层之间允许的链接数。另外，不要将一个接入层路由器同时连接两个分布层路由器，使其成为两个分布层路由器之间的连接点。

接入层为最终用户提供访问网络的接口的同时也为黑客入侵提供了入口，因此对接入层进行安全性设计，以保证网络免受来自网络内外部的攻击就显得十分必要了。接入层的基本安全性通常通过包过滤技术来实现。包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择，通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。包过滤技术工作在网络层，可为网络提供较低级别的安全防护和控制。

接入层的路由器通过设置过滤规则来实现包过滤。过滤规则以表格的形式表示，其中包括以某种次序排列的条件和动作序列。每当收到一个包时，则按照从前至后的顺序与表格中每行的条件比较，直到满足某一行的条件，然后执行相应的动作（转发或舍弃）。有些数据包过滤在实现时，“动作”这一项还询问，若包被丢弃是否要通知发送者（通过发ICMP信息），并能以管理员指定的顺序进行条件比较，直至找到满足的条件。典型的过滤规则有两种：允许特定名单内的内部主机进行输入、输出对话；拒绝来自一些特定外部网络的所有输入信息。为了对进入和离开的数据包进行较高级地过滤，以实现防止源IP地址欺骗和源路由攻击，有效抑制与隔离各种形式的广播等，建议过滤规则设置如下：

1）任何进入内部网络的数据包，必须把网络内部的地址作为目的地址而不能作为源地址。

2）任何离开内部网络的数据包，必须把网络内部的地址作为源地址而不能作为目的地址。

3）任何进入或离开内部网络的数据包不能把一个私有地址（如192.168.0.1/24）或Loopback地址（127.0.0.0/8）作为源或目的地址。

4）阻塞带有保留、DHCP自动配置和多播地址的数据包，如0.0.0.0/8、169.254.0.0/16、224.0.0.0/24、240.0.0.0/24等。

5）过滤发往指定网络（219.218.24.0/24）的广播数据包（目的地址为219.218.24.255）和本地网络广播数据包（目的地址为255.255.255.255）。

6）阻塞任意源路由包或任何设置了IP选项的数据包。