3層ネットワークアーキテクチャ

3層ネットワークアーキテクチャ

データセンターネットワークは、大規模分散コンピューティングのためにデータセンター内の大規模サーバーを接続するブリッジです。
従来のデータセンターネットワークは、通常、ツリートポロジスキームを採用しています。典型的なトポロジーは、アクセスレイヤースイッチ、アグリゲーションレイヤースイッチ、コアレイヤースイッチの3レイヤースイッチ相互接続で構成されます。シスコではこれを、階層型インターネットワークモデル（階層型インターネットワークモデル）と呼んでいます。このモデルには、次の3つの層が含まれています。
アクセス層：（ワークステーションをネットワークに接続します）

エッジレイヤーとも呼ばれます。アクセススイッチは通常、ラックの上部に配置されるため、ToR（トップオブラック）スイッチとも呼ばれ、サーバーに物理的に接続されます。
アクセス層は、ユーザー接続に直接面する部分であり、ローカルネットワークセグメントへのワークステーションアクセスを提供し、主に隣接するユーザー間の相互アクセスのニーズを解決します。そのため、アクセスレイヤーは、VLANおよびレイヤー3スイッチングテクノロジーをサポートしない通常のスイッチを選択でき、アクセスレイヤースイッチは、低コスト、高いポート密度、プラグアンドプレイの特性を備えています。アクセス層は、一部のユーザー管理機能（アドレス認証、ユーザー認証、課金管理など）、およびユーザー情報の収集（ユーザーのIPアドレス、MACアドレス、アクセスログなど）も担当する必要があります。

集約レイヤー：（ポリシーベースの接続を提供します）

配布層と呼ばれることもあります。集約スイッチはアクセススイッチに接続し、ファイアウォール、SSLオフロード、侵入検知、ネットワーク分析などの他のサービスを提供します。
コンバージェンスレイヤーは、ネットワークアクセスレイヤーとコアレイヤーの間の「中間（中間レイヤー）」であり、サーバーがコアレイヤーにアクセスする前にコンバージェンスを実行して、コアレイヤー機器の負荷を軽減します。コンバージェンスレイヤーには、ポリシーの実装、セキュリティ、ワークグループアクセス、仮想ローカルエリアネットワーク（VLAN）間のルーティング、送信元アドレスまたは宛先アドレスのフィルタリングなどの複数の機能があります。コンバージェンスレイヤーでは、ネットワークの分離とセグメンテーションの目的を達成するために、レイヤー3スイッチングテクノロジーとVLANをサポートするスイッチを選択する必要があります。

コアレイヤー：（ネットワークの高速スイッチングバックボーン）

コアスイッチは、データセンターに出入りするパケットの高速転送を提供し、複数のアグリゲーションレイヤーへの接続を提供しますコアスイッチは、ネットワーク全体に柔軟なL3ルーティングネットワークを提供します。
コアレイヤーは、ネットワークの高速スイッチングバックボーンであり、ネットワーク全体の接続に重要な役割を果たします。コアレイヤーには、信頼性、高効率、冗長性、フォールトトレランス、管理性、適応性、低遅延などの特性が必要です。コアレイヤーはネットワークのハブであり、非常に重要であるため、コアレイヤーでは、ギガビットを超える高帯域幅のスイッチを使用する必要があります。コアレイヤー機器がデュアル冗長ホットバックアップを採用することは非常に必要であり、ロードバランシングを使用してネットワークパフォーマンスを向上させることもできます。ネットワークの制御戦略は、コアレイヤーにできるだけ少なく実装するのが最善です。コアレイヤーは常にすべての外部ネットワークトラフィックの最終的な受信者と見なされているため、コアレイヤーの設計とネットワーク機器の要件は非常に厳密です。コア機器は投資の主要部分を占めます。

管理を容易にし、ネットワークパフォーマンスを向上させるには、大規模および中規模のネットワークを標準の3層構造に従って設計する必要があります。ただし、ネットワークスケールが小さく、ネットワーク距離が短い環境では、コンバージェンスレイヤーを無視して、「シュリンクコア」設計を採用できます。コアレイヤの機器はアクセスレイヤに直接接続できるため、コンバージェンスレイヤのコストをある程度節約でき、メンテナンスの負担を軽減し、ネットワークステータスの監視を容易にすることができます。
3層ネットワークアーキテクチャの概略図は次のとおりです。

3層ネットワークアーキテクチャの設計原則

• 階層設計：各レイヤーは、特定の役割と機能を備えた明確に定義されたモジュールと見なすことができ、階層設計構造は拡張と保守が容易で、設計の複雑さと困難を軽減します。3層ネットワークアーキテクチャは、ネットワークの管理と保守を容易にすると同時に、ネットワークの規模とネットワークの品質をより適切に制御できます。
• モジュール設計：各モジュールは部門、機能、またはビジネスエリアに対応し、ネットワークスケールに応じて柔軟に拡張できます。部門またはエリアの内部調整は範囲が狭く、問題の特定が容易です。
• 冗長設計：デュアルノード冗長設計により、機器レベルの信頼性を確保できます。適切な冗長構成により信頼性が向上しますが、過剰な冗長構成は運用やメンテナンスに不便です。デュアルノード冗長設計ができない場合は、フレームタイプのコアスイッチまたはデュアルメインコントロールボードやデュアルスイッチネットワークボードなどの出力ルーターのシングルボードレベルの冗長性を検討できます。さらに、主要なリンクはEth-Trunkリンクを使用して、リンクレベルの信頼性を実現できます。
• 対称的な設計：ネットワークの対称性によりサービスの展開が容易になり、トポロジーは直感的で、プロトコルの設計と分析が容易になります。
  
  

3層ネットワークアーキテクチャの機能

通常の状況では、アグリゲーションスイッチはL2ネットワークとL3ネットワークの間の境界ポイントであり、アグリゲーションスイッチの下はL2ネットワークで、上はL3ネットワークです。集約スイッチの各グループはPOD（Point Of Delivery）を管理し、各PODは独立したVLANネットワークです。PODはL2ブロードキャストドメインに対応しているため、POD内を移動するときにサーバーはIPアドレスとデフォルトゲートウェイを変更する必要はありません。

STP（スパニングツリープロトコル）は、通常、集約スイッチとアクセススイッチの間で使用されます。STPは、VLANネットワークで1つのアグリゲーションレイヤースイッチのみを使用可能にし、他のアグリゲーションレイヤースイッチは、障害が発生した場合にのみ使用されます（上図の点線）。つまり、アグリゲーションレイヤはアクティブ/パッシブHAモードです。このように、アグリゲーションレイヤでは、複数のアグリゲーションレイヤスイッチが追加されても、1つだけが機能しているため、水平方向の拡張は実現できません。シスコのvPC（仮想ポートチャネル）などの一部の独自プロトコルは、アグリゲーションレイヤースイッチの利用率を向上させることができますが、一方でこれはプライベートプロトコルであり、他方で、vPCは完全に水平方向の拡張を実現できません。次の図は、L2 / L3境界線としてコンバージェンスレイヤーを示し、vPCのネットワークアーキテクチャが採用されています。


クラウドコンピューティングの発展に伴い、コンピューティングリソースがプールされ、コンピューティングリソースを任意に割り当てるためには、大規模な2層ネットワークアーキテクチャが必要です。つまり、データセンターネットワーク全体がL2ブロードキャストドメインであるため、IPアドレスやデフォルトゲートウェイを変更する必要なく、任意の場所でサーバーを作成して移行できます。大規模な2層ネットワークアーキテクチャ、L2 / L3境界はコアスイッチの下、つまりコアスイッチの下、つまりデータセンター全体がL2ネットワークです（もちろん、複数のVLANを含めることができ、コアスイッチを介してルーティングすることによりVLANが接続されます）。次の図に、第2層のネットワークアーキテクチャを示します。

大規模な2層ネットワークアーキテクチャでは、仮想マシンネットワークを柔軟に作成できますが、それがもたらす問題も明らかです。共有L2ブロードキャストドメインによってもたらされるBUM（Broadcast・、Unknown Unicast、Multicast）ストームは、ネットワークスケールの増加に伴って大幅に増加し、最終的に通常のネットワークトラフィックに影響を与えます。
従来の3層ネットワークアーキテクチャは数十年前から存在しており、このアーキテクチャは一部のデータセンターでまだ使用されています。この構造の元々の理由は何でしたか？一方で、初期のL3ルーティング機器はL2ブリッジ機器よりもはるかに高価であるためです。現在でも、コアスイッチはコンバージェンスアクセスレイヤー機器よりもはるかに高価です。このアーキテクチャでは、コアスイッチのグループを使用して複数のアグリゲーションレイヤーPODを接続できます。たとえば、上の図では、コアスイッチのペアが複数のアグリゲーションレイヤーPODを接続しています。一方、初期のデータセンターでは、トラフィックのほとんどが南北のトラフィックでした。たとえば、WEBアプリケーションは、データセンター外のクライアントが使用するためにサーバーにデプロイされます。このアーキテクチャを使用すると、コアスイッチでのデータの流入と流出を均一に制御し、ロードバランサーを追加して、データトラフィックのロードバランシングを実行できます。

3層ネットワークアーキテクチャが直面する問題

STPプロトコルはレシピであり毒でもある

スパニングツリープロトコル（STP）は、OSIネットワークモデルの第2層（データリンク層）で動作する通信プロトコルであり、基本的なアプリケーションは、スイッチ内の冗長リンクによって引き起こされるループを防止することです。イーサネットでループのない論理トポロジ構造を確保し、ブロードキャストストームが大量のスイッチリソースを占有するのを防ぎます。
従来のデータセンターネットワークテクノロジーであるSTPは、レイヤー2ネットワークで非常に重要なプロトコルです。ただし、レイヤ2ネットワークでのSTPプロトコルの使用には矛盾があります。つまり、信頼性とセキュリティの矛盾です。

• 信頼性とは、レイヤ2ネットワークを構築するときに、機器の冗長性とリンクの冗長性が一般的に採用されることを意味します。
• セキュリティとは、レイヤ2スイッチが同じブロードキャストドメインにあることを意味します。ブロードキャストメッセージはループ内で継続的に送信されるため、ブロードキャストストームが発生する可能性があるため、ループを防止する必要があります。両方を同時に達成したい場合は、STP（Spanning Tree Protocol）自動制御を使用できます。つまり、冗長機器と冗長リンクがバックアップされ、通常の状況ではブロックされます。リンクに障害が発生すると、冗長機器ポートとリンクが開きます。

レイヤ2スイッチングネットワークが物理ループを生成するのはなぜですか？

• リンクの冗長性：冗長性、帯域幅の改善、またはスイッチ間の誤った接続のために、必然的に閉じた物理ループが発生しますイーサネットの転送メカニズムは、物理ループが存在しないと判断します。すべてのホストのブロードキャストおよび不明なユニキャストフレームは、ループを停止せずに不注意に周回します。これらのフレームは宛先に到達しないため、スイッチのCPUに致命的な打撃を与えます。ループが発生すると、ローカルまたはリモートでスイッチにログインできなくなり、再起動または切断のみが可能になります。
• レイヤー2スイッチの転送メカニズム：スイッチは、ポートNからの着信フレームの送信元MAC Xを学習し、MACアドレステーブル（MAC X：ポートN）を生成します。このようにして、MACアドレスとポートマッピングテーブルを生成し、フレームを受信すると、フレームの宛先MACとMACアドレステーブルを照合して、フレームの送信元のポートを特定します。一致しない場合、それは不明なユニキャストまたはブロードキャストと見なされ、すべてのポート（着信ポートを除く）から送信する必要があり、フレームは他のスイッチに送信されて処理されるため、フレームは閉じたループに留まる可能性があります。無限ループ。

STPプロトコルの設計アイデア

多くの人間の知恵は自然に由来します。木を注意深く観察すると、木には根、幹、枝、枝、葉があり、水は主幹、枝、そして根を通って継続的に輸送されます。葉に手を伸ばします。水は根から葉へと広がる過程で常に一方向であり、光合成によって葉によって生成されたエネルギーは、葉に沿って枝、枝、幹、根まで続きます。水とエネルギーは逆方向に流れます。ルートを上流、葉を下流と定義すると、水は上流から下流に流れ、エネルギーは下流から上流に流れます。トラフィックの方向に関係なく、その場で方向転換することはありません。これは、木の物理的な構造が分岐しているためです。幹、枝、枝の物理的な絡み合いがなく、当然ループはありません。
ネットワークサイエンティストはこの法則を発見し、大胆なアイデアを持っていました。2層ネットワークには物理ループがあるため、論理的な方法を使用して、物理ループを分岐ツリー構造に切り離します。それはフレームですか？無限にループしませんか？
答えは「はい」で、これも行われます。レイヤ2スイッチングネットワークでツリートポロジが使用されている場合、ルート（ルートブリッジ）はレイヤ2ネットワークで選択され、他のスイッチはツリーのブランチと見なされます。各ブランチには当然ルートエンド（ルートポート）があります。これはスイッチのアップストリームインターフェイスです。ルートチップを除いて、他のすべてのインターフェイスはダウンストリームインターフェイスです。ダウンストリームインターフェイスがブロックされているかブロックされているかは、ルートへのパスのコスト（コスト）によって異なります。ルートに近い方のブロックが解除されます（転送）、これはしばしば指定ポートと呼ばれます。ルートから遠く離れている人は、ブロック（ブロック）する必要があります。これは、非指定ポートと呼ばれます。このバイオニックメカニズムにより、ネットワークループを効果的に回避できます。

STPプロトコルのしくみ

いずれかのスイッチのルートブリッジへのリンクが2つ以上ある場合、スパニングツリープロトコルはアルゴリズムに従ってそれらの1つを切断し、1つだけを維持するため、2つのスイッチ間にアクティブなリンクが1つだけ存在することが保証されます。 。生成されたトポロジは、ルートスイッチをトランクとして持つツリー構造に非常に似ているため、スパニングツリープロトコルです。

STP作業プロセス

まず、ブリッジプライオリティ（Bridge Priority）とMACアドレスの組み合わせによって生成されたブリッジIDに基づいてルートブリッジが選択され、最小のブリッジIDを持つブリッジがネットワークのルートブリッジになります（ルートブリッジ）。これに基づいて、各ノードからルートブリッジまでの距離を計算し、これらのパスから各冗長リンクのコストを取得し、通信パスとして最小のものを選択し（対応するポートのステータスはForwardingになり）、その他はバックアップパスになります（対応するポートステータスはブロッキングになります）。STP生成プロセスの通信タスクはBPDUによって完了します。BPDUは、構成情報を含む構成BPDU（サイズが35Bを超えない）とトポロジ変更情報を含む通知BPDU（長さが4Bを超えない）に分かれています。
STPプロトコルによって引き起こされるレイヤごとのコンバージェンスのパフォーマンスの問題により、一般に、STPのネットワークサイズは100スイッチを超えません。STPのこのメカニズムは、特にネットワーク機器が完全に接続されたトポロジーを持っている場合、レイヤー2リンクの利用率を不十分にします。この欠陥は特に顕著です。次の図に示すように、ネットワーク全体のSTPレイヤー2設計を採用すると、STPはほとんどのリンクをブロックし、集約へのアクセスの帯域幅を1/4に、コアへの集約の帯域幅を1/8に減らします。この欠陥により、スイッチがツリーのルートに近づき、ポートの輻輳が深刻になるほど、帯域幅リソースの浪費が大きくなります。

クラウドコンピューティングが垂直トラフィックから水平トラフィックへのシフトを促進

当初、データセンターのトラフィックの80％は水平（東西、南北）トラフィックでした。クラウドコンピューティングと分散型アーキテクチャの開発により、現在は垂直（南北、東西）トラフィックの70％に変更されています。いわゆる垂直トラフィックとは、データセンターの外部から内部サーバー間の相互作用へのトラフィックを指し、水平トラフィックとは、データセンターの内部サーバー間のトラフィックを指します。
クラウドコンピューティングの出現により、ますます多様化したサービスがデータセンターのトラフィックモデルに大きな影響を与えています。たとえば、検索、並列コンピューティング、その他のサービスは、協調して作業を完了するためにクラスターシステムを形成するために多数のサーバーを必要とします。交通量は非常に大きくなっています。たとえば、検索では、ユーザーは検索コマンドを発行するだけで、サーバークラスターは大量のデータの前で検索と計算を行います。このプロセスは非常に複雑ですが、ユーザーに結果を提供するだけです。初期の頃は、データセンターは主にデータセンターへの外部アクセスを満たしていたため、トラフィックは主に「南北」でした。このトラフィックモデルはエクスポート帯域幅によって制限されます。一般的なデータセンターアクセスには収束率があります。つまり、ネットワークアクセス帯域幅は比較的大きく、エクスポート帯域幅は比較的小さく、アクセス速度を上げることはできません。ビジネスのピーク時には、ユーザーがデータにアクセスしますセンターの経験は衰退しており、このネットワークモデルは、今日のデータセンターの開発ニーズにはもはや適していません。

サーバーの仮想化によって引き起こされる仮想マシンの移行の問題

ただし、データ量が増加するにつれ、データセンターのオペレーターはサーバーが不十分であることに気付きました。そのときの最も早い対応はサーバーレベルでした。サーバー仮想化の傾向はますます強くなり、「サーバー使用率の向上」と「コンピューティングリソースの効率性のフルプレイ」をもたらしました。 、その時に最も頻繁に聞こえる声になりました。これにより、サーバーとネットワークの関係が変更されました。ネットワークとオペレーティングシステムの間の元の密結合関係が壊れ、疎結合関係になりました。ネットワークはオペレーティングシステムを直接認識できなくなりました。そして、この対応の変化は、2つのレベルの矛盾をもたらしました。

• パフォーマンスレベル：単一の物理マシン上にさらに多くのアプリケーションがあるか、仮想マシンが多く、単一のネットワークポートで伝送されるデータトラフィックが大きく、元のリンクでは不十分です。
• 機能レベル：物理サーバーは、実際のビジネスとは異なる場所にあります。実際のビジネスは仮想マシン上にありますが、仮想マシンはサーバー上でドリフトする必要があり、元の領域で修正することはできません。

3層ネットワークアーキテクチャでは、大規模な2層ブロードキャストドメインを回避するために、2層ネットワークの範囲は通常、ネットワークアクセス層の下に制限されます。その結果、サーバーを別のレイヤー2ドメイン間で自由に移動することはできません。サーバーを別のレイヤー2ドメインに移動した後は、IPアドレスを変更する必要があり、それに伴って生産とビジネスが中断されます。ネットワークに関連するサーバークラスターでは、それが全体に影響を及ぼし、関連するサーバーも対応する構成を変更する必要があるため、大きな影響があります。
このような制限があるため、従来のデータセンターの3層ネットワークアーキテクチャ設計は、サーバー仮想化におけるより柔軟でカスタマイズ可能な仮想マシン移行戦略に対応できません。サーバーの仮想化により、データセンターのネットワークアーキテクチャの要件が根本的に変化しました。データセンターやクロスデータネットワークでさえも、幅広いレイヤー2ドメインをサポートする必要があります。レイヤー2ネットワークの大きさによって、仮想マシンをスケジュールして移行できます。はるか。

リファレンス
https://www.cisco.com/c/zh_cn/solutions/small-business/products/routers-switches/routing-switching-primer.html
https://baike.baidu.com/item/ three-layer network構造
https://baike.baidu.com/item/Exchange Technology / 6335745
https://baike.baidu.com/item/Routing Technology
https://zh.wikipedia.org/wiki/スパニングツリープロトコル
https：// juejin.im/post/5c723943f265da2d943f69c1
https://www.zhihu.com/question/21327750
https://www.cnblogs.com/jmilkfan-fanguiju/p/10589744.html#_691

転載してください：JmilkFan Fan Gui Ju

https://zhuanlan.zhihu.com/p/29881248
https://www.cnblogs.com/jmilkfan-fanguiju/p/11825044.html