园区网架构当中碰到的网络设备,不仅仅只有交换机和路由器,还会有防火墙,上网行为管理,流控设备,入侵检测设备,负载均衡设备和网络管理设备。
交换机主要实现的是一个数据链路层,OSI七层模型二层的数据转发,而路由器位于OSI七模型的网络层第三层,主要实现是根据数据包当中的原地址和MAC地址进行路由表转发,
防火墙是一类安全设备,能够实现园区网和互联网的一个有效隔离,防火墙内部会划分不同的区域,它会认为所有来自外部的数据都是不安全的。我们称为Untrust,也就是不信任不安全的区域,而园区网内部所有的数据认为是安全的,我们把它叫做trust数据,通过防火墙的设立,不同的区域我们可以实现数据流的定义多个策略来适应,满足我们园区网安全性的需要。防火墙也是园区网架构当中安全设备必不可少的。
上网行为管理设备可以通过以日志的方式,记录内网计算机节点上网当中的各种行为,同时对不允许访问的网站,不允许使用的程序进行拦截;第二能够有效的管控计算机网内计算机的各种行为,同时为所有的相应的上网行为提供相应的日志,为后期的上网审计做准备。
流量控制设备是指对我们计算机园区网当中的流量里边的特殊的应用程序进行相应的控制,比如一个园区网,如果没有流控设备,大量的P2P下载流量和P2P视频流量,会急剧地占据我们整个园区网的出口带宽,这样会使整个园区网的计算机上网的体验非常差,通过流量控制设备,可以控制并优先保证最主要的应用,如http应用,邮件应用等,同时可以对这些大的流量而又不是特别重要的应用进行限制。
第二,流控设备还可以对我们计算机网内的每台每个ip地址进行相应的限速,保证我们计算机网络当中的有效使用
入侵检测设备,现在园区网当中网络是一个非常重视的问题,如何保证园区网络的安全性,这就需要我们在网络当中架设入侵检测设备,它能够根据相应的特征来检测我的园区网络当中是不是有没有被入侵,以及还会有相应的入侵防护设备对入侵的行为进行拦截和阻断。
负载均衡设备是应用交付类设备当中非常重要的一种设备,他的使用的场景一般有两个,第一个场景是负载均衡设备部署在我们园区网的出口,当有多条出口的时候,为了保证每条出口的带宽使用率,同时保证我们园区网内部的流量能够按照我们既定的原则选择不同的出口,就需要部署一台负载均衡设备。
举个简单的例子,园区网有一条有两个运营商的出口,我想让办公的Ltp协议都走A出口,让所有的下载和在线视频都走B出口,通过负载均衡实现是非常方便的。
负载均衡设备使用的另外一个场景是园区内部有服务器,而访问服务器的用户的数量非常大,一台服务器已经满足不了访问的需求了,就可以部署多台服务器,在服务所有服务器的前端部署一台负载均衡设备,这样通过负载均衡设备,我们能够实现多台服务器的访问压力分担,保障我们所有的服务器都会得到相应的访问,不会造成单台服务器的压力负载过大。
网络管理设备。一个园区网络当中会有多台会有几十台甚至上百台的网络设备,如果靠单纯的一台一台进行管理,工作量是非常大的,而且会忽略一些比较严重的问题。通过网络管理设备可以实现整个园区网一个拓扑的一个实时的展现,每台设备的一些具体的运行参数,比如它的cpu利用率、连接力、端口流量等等,都可以通过我们的网络管理设备来进行实时展现。
设备之间线路的负载、使用了多大流量、占用线路的百分之多少,我们也可以通过网络管理设备来进行查看,同时在网络管理设备当中可以登录到每一台设备来进行管理,甚至可以批量的传输网络设备的实时的数据。
通过刚才的讲解我们主要介绍了OSI七层模型在园区网架构当中用到的主要的设备类型,让大家对网络部署有了一个简单的了解,园区网络在部署的时候一般会把网络分成接入层设备汇聚层设备和核心层设备,也就是说真正的网络部署会划分成三个层次。
举一个简单的例子,一所学校会有很多栋教学楼,我们每一层都会有相应的计算机接入到网络,而每一层也会部署相应的交换机和计算机节点进行直连,这一类交换机我们就把它叫做接入层交换机。
而每一栋教学楼会有汇聚所有楼层的交换机设备,就叫做汇聚层交换机。
而整个学校所有的流量都会汇聚到核心节点,那么核心节点的交换机叫做核心交换机。
在核心交换机网上的出口网关,通过出口网关和我们的运营商进行互联,这就是整个网络部署的三个层次,而在核心层和出口网关之间会串行或者旁路部署我们应用交付类设备,比如说上网行为管理、流量控制设备、入侵检测设备、入侵防护设备等等,保障网络部署的有效性和安全性。