LAYER 2 MPLS VPN

Với VPN lớp 3 MPLS, nhà cung cấp dịch vụ trao đổi thông tin định tuyến với bộ định tuyến cạnh WAN của khách hàng doanh nghiệp và chuyển tiếp các gói dựa trên thông tin Lớp 3 (IP).Mặt khác với các dịch vụ VPN lớp 2 các nhà cung cấp thường không có sự tham gia vào định tuyến WAN lớp 3 của doanh nghiệp. Lý do là nó là một dịch vụ lớp 2; do đó, nhà cung cấp chuyển tiếp lưu lượng truy cập của bất kỳ khách hàng cụ thể nào dựa trên thông tin Lớp 2 của nó, chẳng hạn như địa chỉ MAC Ethernet.

Các kiểu kết nối WAN lớp 2 phổ biến nhất được cung cấp bởi các nhà cung cấp dịch vụ ngày nay (còn được gọi là Carrier Ethernet) như sau

1:Virtual Private Wire Service (VPWS):Còn được gọi là E-Line trong Metro Ethernet, cung cấp mô hình kết nối điểm-điểm

2:Virtual Private LAN Service (VPLS):Còn được gọi là E-LAN trong Metro Ethernet, cung cấp mô hình kết nối đa điểm hoặc bất kỳ

Virtual Private Wire Service (VPWS)

Từ quan điểm của khách hàng, Virtual Private Wire Service cung cấp giải pháp sao cho các thiết bị nhìn thấy các thiết bị ở các site từ xa như các thiết bị được kết nối trực tiếp point-to-point như hình 

VPWS

Vì dịch vụ này cung cấp dịch vụ vận chuyển Lớp 2, các thiết bị CE có thể là bộ định tuyến hoặc thiết bị chuyển mạch.Khi kết nối một bộ định tuyến với dịch vụ VPWS, cần triển khai định tuyến như một giao thức định tuyến IGP để chuyển tiếp lưu lượng giữa các site. Vì đó là dịch vụ Lớp 2, mạng hoàn toàn trong suốt với các bộ định tuyến CE do đó các thiết bị lớp 3 như các bộ định tuyến cần phải tạo thành một kết nối trực tiếp. Ưu điểm của giải pháp này là doanh nghiệp hoàn toàn kiểm soát được định tuyến của mình trong WAN.Không cần phải có bất kỳ thỏa thuận nào với nhà cung cấp dịch vụ. Doanh nghiệp có thể sử dụng giao thức định tuyến mong muốn. VPWS cung cấp hai tùy chọn chế độ hoạt động từ phía nhà cung cấp dịch vụ:

Chế độ cổng, trong đó khung 802.1Q truyền đường hầm trong suốt

Chế độ VLAN

Chế độ vận hành PE ảnh hưởng đến việc triển khai CE. Khi PE đang hoạt động trong chế độ cổng, VPWS sẽ hoạt động giống như một đường ống giữa các nút PE, trong đó tất cả lưu lượng đều được tunnel đến site từ xa. Bộ định tuyến CE cần địa chỉ IP trên giao diện vật lý. Nó phải nằm trong cùng một mạng con như giao diện vật lý trên site từ xa.Cũng có thể sử dụng các giao diện con khi muốn có nhiều kết nối Lớp 3 đến site từ xa. Khi kết nối một site từ xa mới, cần kết nối vật lý thêm một liên kết từ CE tới bộ định tuyến PE tại hub. Do đó, giải pháp này chủ yếu được sử dụng cho số lượng kết nối điểm-điểm thấp. Mặt khác, khi PE đang hoạt động ở chế độ VLAN,  có thể cấu hình nhiều subinterface trên PE router. Mỗi subinterface được kết nối với một site từ xa khác nhau, trong đó mỗi thẻ VLAN 802.1Q có thể được ánh xạ tới một mạch mô phỏng VPWS khác (còn được gọi là pseudowire hoặc PW). Giải pháp có thể được sử dụng cho các cấu trúc liên kết hub and spoke. Trong triển khai như vậy cũng phải cấu hình các giao diện con khác nhau trên bộ định tuyến trung tâm CE, như minh họa trong hình.

VPWS Modes

Chế độ VLAN được sử dụng với bộ định tuyến trung tâm, trong khi chế độ cổng được sử dụng với các spoke.cũng có thể sử dụng thiết bị chuyển mạch làm thiết bị CE để mở rộng mạng Lớp 2 giữa các site từ xa. Giải pháp này thường được sử dụng để cung cấp một kết nối trung tâm dữ liệu. Cần phải đảm bảo rằng STP được bật trên các chuyển mạch và BPDU đang truyền qua mạng để tránh chuyển mạch vòng (trong mỗi DC) và lọc ra STP / BPDUs trên DCI. Cũng phải xem xét một số đặc tính khác của mạng khi chọn giải pháp VPWS, những đặc điểm này có thể ảnh hưởng đến việc triển khai của doanh nghiệp với tư cách là một khách hàng. Một số trong số đó là đơn vị truyền tải tối đa (MTU) được hỗ trợ trên WAN, chất lượng dịch vụ (QoS) và độ trong suốt.

Virtual Private LAN Service (VPLS)

Dịch vụ LAN riêng ảo mô phỏng phân đoạn LAN trên đường trục MPLS. Nó cung cấp kết nối đa lớp 2 giữa các site từ xa. Như trong hình

VPLS

VPLS chạy trên MPLS mô phỏng một switch Ethernet nơi mỗi cổng được kết nối với một site khách hàng khác. Các bộ định tuyến PE được kết nối với nhau thành một mạng lưới đầy đủ trên trục chính MPLS của nhà cung cấp dịch vụ.

VPLS sẽ tự học các địa chỉ MAC từ nguồn đến đích và các khung được chuyển tiếp dựa trên địa chỉ MAC đích. Nếu địa chỉ đích không xác định, hoặc nó là địa chỉ broadcast hoặc multicast, frame bị tràn ngập tất cả các cổng được kết hợp với bridge ảo. Lõi VPLS không sử dụng STP ,thay vào đó nó sử dụng split-horizon để các khung Ethernet không được gửi trở lại cùng một khung PW nhận được trên cùng một PW hoặc bất kỳ pseudowires nào trở lại lõi, như trong hình

VPLS split horizon in the core

VPLS hoạt động như một thiết bị chuyển mạch Ethernet cho khách hàng và các vấn đề Lớp 2 gồm

Tính ổn định của mạng khi nó phát triển: Khách hàng nên kiểm tra xem có thiết kế mạng lõi thích hợp để hỗ trợ tăng trưởng trong tương lai hay không.

Tác động của việc mất mạng: Khách hàng nên hỏi về những gì xảy ra với giao thông nếu có sự cố ngừng hoạt động.

Lưu lượng truy cập đa truyền thông và phát sóng giữa các site:
Bởi vì mạng VPLS hoạt động như một switch, tất cả các chương trình phát đa hướng và phát sóng của khách hàng được gửi đến tất cả các site.Khi thiết kế một mạng có lượng lưu lượng multicast đáng kể, cần phải phân đoạn mạng để giảm phạm vi tràn đa hướng.

Khả năng mở rộng ngang hàng IGP: Mạng VPLS là một miền phát sóng, vì vậy tất cả các bộ định tuyến thường sẽ được định tuyến ngang hàng. Khi số lượng các route tăng lên, kết nối full mesh trở thành một vấn đề mở rộng quy mô. Giao thức duy nhất được thiết kế cho một số lượng lớn các route là BGP.

Tác động của vòng lặp STP với một khách hàng khác: Bởi vì VPLS sử dụng ghép kênh thống kê, tất cả khách hàng chia sẻ băng thông.

LAYER 3 MPLS VPNs

LAYER 3 MPLS VPNs

Việc triển khai phổ biến nhất của VPN lớp 3 là MPLS VPN. MPLS là một công nghệ được sử dụng để chuyển tiếp các gói dữ liệu qua mạng lõi, bằng cách thực hiện các quyết định chuyển tiếp dựa trên nhãn. Điều đó đôi khi được gọi là chuyển đổi nhãn. Mặt khác, khái niệm VPN chung đề cập đến các công nghệ cung cấp cầu nối giữa hai mạng lưới mạng như mạng riêng trên mạng công cộng (Internet). Lớp 3 MPLS VPN là công nghệ được sử dụng để kết nối nhiều site của khách hàng. Giải pháp này dựa chủ yếu vào các giao thức điều khiển lõi 

MPLS được sử dụng để chuyển tiếp các gói thông qua lõi của nhà cung cấp dịch vụ (chủ yếu được sử dụng để chuyển đổi nhãn giữa nút mạng với mạng của nhà cung cấp dịch vụ).

Giao thức cổng nội bộ lõi (IGP) được sử dụng để trao đổi các tiền tố bên trong chỉ (bao gồm địa chỉ IP loopback của các nút PE để tạo thành Border Gateway Giao thức [BGP] tham gia các phiên trong số đó).

MP-BGP được sử dụng để trao đổi các tuyến đường khách hàng giữa các bộ định tuyến cạnh của nhà cung cấp dịch vụ.

Định tuyến cạnh khách hàng là điểm mà nhà cung cấp dịch vụ trao đổi định tuyến với nút cạnh khách hàng. Đây có thể là Giao thức Cổng Nội bộ (khác với IGP lõi), Giao thức Cổng Biên giới Bên ngoài (EBGP) hoặc tuyến tĩnh.

Công nghệ VPN lớp 3 MPLS tương đối đơn giản từ quan điểm của khách hàng. A khách hàng phải kết nối thiết bị trực tiếp với mạng của nhà cung cấp dịch vụ. Nếu khách hàng sử dụng định tuyến động để chuyển các tuyến đường đến một vị trí khác, nó phải cấu hình IGP trên các router riêng của mình. IGP này phải được triển khai phù hợp với nhà cung cấp dịch vụ được hỗ trợ và triển khai IGP, và cả hai bên cần phải đồng ý về các tham số IGP. Từ quan điểm định tuyến IP, khi nhà cung cấp dịch vụ nhận các tuyến từ IGP, nó phải chuyển các tuyến này đến các địa điểm khác. Trong trường hợp này, BGP được sử dụng để tuyên truyền các tuyến đường trên mạng SP (từ một PE đến một nơi mà các bộ định tuyến CE của khách hàng được kết nối). Kiến trúc này có thể dễ dàng kết nối số lượng lớn các site với nhau vì MP-BGP được thiết kế phù hợp để thực hiện một số lượng lớn các tuyến đường.Khi doanh nghiệp chọn VPN lớp 3, cần phải nhớ rằng nếu xem xét VPN lớp 3 MPLS, doanh nghiệp phải phụ thuộc vào nhà cung cấp dịch vụ liên quan đến việc giới thiệu các dịch vụ IP mạng như multicast hoặc IPv6. Nó không phải là dễ dàng để thay đổi nhà cung cấp dịch vụ vì định tuyến hoàn chỉnh phải được cấu hình lại trên mạng cạnh của tổ chức. Ngoài ra, khi chọn giải pháp VPN Lớp 3 MPLS để kết nối các site, mạng của nhà cung cấp dịch vụ sẽ là mạng WAN lõi của doanh nghiệp kết nối các site từ xa khác nhau với nhau. Tuy nhiên, các kịch bản định tuyến đôi khi có thể phức tạp, chẳng hạn như trong cấu trúc liên kết hub and spokes của khách hàng nơi lưu lượng truy cập đến và đi từ mỗi cuộc nói chuyện được định tuyến thông qua trung tâm. Tuy nhiên, triển khai phổ biến nhất là một cấu trúc liên kết bất kỳ khi nào bất kỳ site nào của khách hàng có thể kết nối trực tiếp với các trang site khác thuộc cùng một khách hàng trên lõi Lớp 3 MPLS VPN. Khi các gói IP nhập vào miền của nhà cung cấp dịch vụ, chúng sẽ được định tuyến dựa trên thông tin định tuyến trong bảng VRF VPN của khách hàng tương ứng và được đóng gói với nhãn MPLS để đảm bảo đường hầm thích hợp và khử kênh thông qua lõi.Với mô hình định tuyến này, định tuyến hội tụ và độ tin cậy của mạng lõi WAN sẽ không nằm trong tầm kiểm soát của doanh nghiệp, vì vậy doanh nghiệp chủ yếu phụ thuộc vào nhà cung cấp dịch vụ.

Kiến trúc VPN MPLS

MPLS, IGP và MP-BGP tạo thành nền tảng của MPLS VPN làm giao thức điều khiển. Các thành phần chính của kiến trúc MPLS / VPN sử dụng các giao thức này và thực hiện định tuyến và chuyển tiếp từ đầu đến cuối như hình

Components of MPLS/VPN Architecture

Customer network:Đây là miền do khách hàng kiểm soát

Customer edge (CE) router:các bộ định tuyến CE được đặt ở rìa của mạng khách hàng. Các bộ định tuyến này có kết nối trực tiếp với mạng của nhà cung cấp dịch vụ, đặc biệt cho bộ định tuyến cạnh nhà cung cấp (PE).

Provider (P) network: Tên miền do nhà cung cấp kiểm soát này bao gồm các bộ định tuyến PE và lõi. Các bộ định tuyến này kết nối các site của khách hàng qua một cơ sở hạ tầng cơ bản được chia sẻ duy nhất. Bộ định tuyến P đôi khi được gọi là bộ định tuyến chuyển đổi nhãn (LSR), tham chiếu đến vai trò chính của nó trong lõi của mạng, thực hiện chuyển đổi nhãn / trao đổi lưu lượng MPLS.

Provider edge (PE) router:Bộ định tuyến PE nằm ở cạnh dịch vụ MPLS nhà cung cấp đám mây. Nó được kết nối với các bộ định tuyến CE và P. Các bộ định tuyến PE cung cấp khả năng chấm dứt các liên kết từ các nút CE của khách hàng khác nhau mà không ảnh hưởng đến các yêu cầu tách định tuyến cho mỗi khách hàng. PE đôi khi được gọi là bộ định tuyến cạnh nhãn (LER) hoặc bộ chuyển đổi nhãn cạnh (ELSR) trong tham chiếu đến vai trò của nó ở cạnh của đám mây MPLS, thực hiện áp đặt nhãn và bố trí.

P router:Bộ định tuyến P được đặt trong lõi của mạng của nhà cung cấp và được kết nối với một bộ định tuyến P khác hoặc bộ định tuyến PE. Các bộ định tuyến P thực hiện chuyển đổi nhãn MPLS nhanh chóng thành các gói chuyển tiếp nhanh nhất có thể trên mạng lõi

Như trong bất kỳ thiết kế định tuyến điển hình nào, khách hàng phải đẩy tất cả các tuyến đường có thể truy cập được tại các site khách hàng khác đến các bộ định tuyến CE cục bộ. Do đó, khách hàng chịu trách nhiệm thực hiện giao thức định tuyến thích hợp cho tác vụ này.Bộ định tuyến CE chỉ với bộ định tuyến PE được kết nối trực tiếp bên ngoài site riêng của nó. Bộ định tuyến CE không ngang hàng với bất kỳ bộ định tuyến CE nào từ các site khác trên mạng của nhà cung cấp dịch vụ. Do đó, để khách hàng quảng cáo các tuyến khu vực hướng tới nút cạnh nhà cung cấp dịch vụ (PE), khách hàng và nhà cung cấp dịch vụ (các bộ định tuyến CE và PE) cần trao đổi thông tin định tuyến bằng giao thức định tuyến động như OSPF hoặc sử dụng định tuyến tĩnh . Sau đó, khách hàng phải tiêm tất cả các tuyến đường cần phải truy cập được vào giao thức định tuyến đó, giao thức định tuyến này (giữa CE và PE) có thể giống như giao thức định tuyến nội bộ tại các site của khách hàng hoặc một giao thức khác. Trong thực tế, việc lựa chọn giao thức định tuyến là vấn đề thỏa thuận giữa khách hàng và nhà cung cấp dịch vụ. Ngoài ra, các nhà cung cấp dịch vụ thường hỗ trợ một số giao thức định tuyến được sử dụng với phía CE (phổ biến nhất, static Route, OSPF và EBGP)

Mặt khác, bộ định tuyến PE xâm nhập sẽ phân phối lại các tuyến khách hàng đến giao thức định tuyến BGP. Đổi lại, BGP (cụ thể là MP-iBGP) sẽ truyền các tuyến được phân phối lại tới các bộ định tuyến PE khác (các PE đi ra), được sử dụng để kết nối với cùng một khách hàng. Các tuyến này được phân phối lại từ MP-BGP thành IGP. IGP giữa các bộ định tuyến PE và CE sau đó chịu trách nhiệm chuyển các tuyến đường đến bộ định tuyến CE. Các phiên MP-BGP chỉ được thiết lập giữa các bộ định tuyến PE trong mạng xem hình

Layer 3 MPLS VPN High-level Routing Architecture

CÁC LOẠI HÌNH KẾT NỐI WAN

Công việc chính của bộ định tuyến là cung cấp kết nối giữa các mạng. Thiết kế và duy trì một mạng LAN đơn giản lựa chọn thiết bị, thiết kế mạng,và khả năng cài đặt hoặc sửa đổi cáp trực tiếp dưới sự kiểm soát của Kỹ sư mạng.

WAN cung cấp kết nối giữa nhiều mạng LAN được trải rộng trên một khu vực rộng lớn.

Thiết kế và hỗ trợ một WAN thêm phức tạp vì sự đa dạng của mạng vận chuyển, giới hạn liên quan, lựa chọn thiết kế và chi phí của mỗi công nghệ WAN

KẾT NỐI WAN

Kết nối WAN sử dụng nhiều công nghệ khác nhau, nhưng các phương pháp chủ yếu đến từ các nhà cung cấp dịch vụ (SPs) với ba giải pháp chính: Mạch thuê , Internet và Multiproocol Label Switching (MPLS).

1:LEASED CIRCUITS “ MẠCH THUÊ “

Chi phí để bảo đảm quyền sử dụng một kết nối vật lý xuyên suốt, mua và lắp đặt cáp giữa hai địa điểm có thể là rào cản tài chính đối với hầu hết các công ty. Các nhà cung cấp dịch vụ có thể cung cấp các mạch chuyên dụng giữa hai địa điểm với chi phí cụ thể. Các mạch cho thuê có thể cung cấp kết nối băng thông và bảo mật cao. Bất kể việc sử dụng liên kết, đường thuê bao cung cấp băng thông được đảm bảo giữa hai vị trí vì các mạch được dành riêng cho một khách hàng cụ thể

2:INTERNET

Kiến trúc của Internet đã phát triển để bây giờ nó hỗ trợ giao thức IP (IPv4 và IPv6) và bao gồm một mạng công cộng toàn cầu kết nối nhiều SP. Một lợi ích quan trọng của việc sử dụng Internet như là một giao thông WAN là cả hai địa điểm không phải sử dụng cùng một SP.

Một công ty có thể dễ dàng thiết lập kết nối giữa các trang web bằng cách sử dụng các SP khác nhau. Khi một công ty mua kết nối Internet, băng thông chỉ được đảm bảo mạng dưới sự kiểm soát của cùng một SP. Nếu đường dẫn giữa các mạng vượt qua nhiều SP, băng thông không được đảm bảo bởi vì liên kết ngang hàng có thể được oversubscribed tùy thuộc vào thỏa thuận ngang hàng giữa các SP. Băng thông cho liên kết ngang hàng là thường nhỏ hơn băng thông của mạng SP gốc. Đôi khi tắc nghẽn có thể xảy ra trên liên kết ngang hàng, thêm trễ hoặc mất gói khi các gói đi qua liên kết ngang hàng Hình dưới minh họa một cấu trúc liên kết mẫu trong đó sự tranh chấp băng thông có thể xảy ra trên các liên kết ngang hàng. AS100 đảm bảo 1 Gbps kết nối tới R1 và 10 Gbps kết nối với R3. AS200 đảm bảo 10 Gbps kết nối với R4 và AS300 đảm bảo 1 Gbps kết nối với R2. AS100 và AS200 ngang hàng với mạch 10 Gbps, và AS200 đồng nghiệp với AS300 với hai mạch 10 Gbps. Với luồng giao thông bình thường R1 có thể giao tiếp với tốc độ 1 Gbps với R2. Tuy nhiên, nếu R3 truyền 10 Gbps dữ liệu đến R4, 11 Gbps của lưu lượng truy cập phải đi qua mạch 10 Gbps vào AS200. Bởi vì các liên kết ngang hàng không dành riêng cho một khách hàng cụ thể, một số lưu lượng truy cập bị trì hoãn hoặc bị giảm do đăng ký quá tải liên kết 10 Gbps. Băng thông hoặc độ trễ không thể được đảm bảo khi các gói đi qua các liên kết ngang hàng

Bandwidth Is Not Guaranteed on the Internet

3:Multiprotocol Label Switching VPNs (MPLS VPNs)

Các nhà cung cấp dịch vụ sử dụng MPLS để cung cấp một kiến trúc peer-to-peer có khả năng mở rộng cung cấp một phương thức động của đường hầm cho các gói chuyển tiếp từ SP router đến SP router mà không cần nhìn vào nội dung của gói. Các mạng như vậy chuyển tiếp lưu lượng dựa trên nhãn ngoài cùng của gói và không yêu cầu kiểm tra tiêu đề hoặc tải trọng của gói. Khi các gói vượt qua lõi của mạng, địa chỉ IP nguồn và đích không được kiểm tra miễn là nhãn đích tồn tại trong gói. Chỉ các nhà cung cấp dịch vụ SP (PE) cần biết cách chuyển tiếp các gói không gắn nhãn đối với bộ định tuyến của khách hàng.

VPN MPLS có thể chuyển tiếp mạng khách hàng qua hai tùy chọn tùy thuộc vào yêu cầu của khách hang

Layer 2 VPN (L2VPN): SP cung cấp kết nối tới các bộ định tuyến của khách hàng bằng cách tạo ra một mạch ảo giữa các nút. SP mô phỏng một chuyển đổi cáp hoặc mạng và không trao đổi bất kỳ thông tin mạng nào với các bộ định tuyến của khách hàng khi bạn chọn VPN lớp 2 thì việc định tuyến nằm dưới sự kiểm soát của khách hang và tất cả thiết kế lại và cấu hình sẽ là của khách hang

Layer 3 VPN (L3VPN): Các bộ định tuyến SP tạo ra một bối cảnh ảo, được gọi là ảo Ví dụ về chuyển tiếp tuyến đường (VRF) cho từng khách hàng. Mỗi VRF cung cấp một phương thức cho các router để duy trì một bảng định tuyến và chuyển tiếp riêng biệt cho mỗi mạng VPN trên một bộ định tuyến. SP giao tiếp và trao đổi các tuyến với các bộ định tuyến cạnh (CE) của khách hàng. L3VPN trao đổi các gói IPv4 và IPv6 giữa các bộ định tuyến PE,SPs sở hữu tất cả các thành phần mạng trong mạng MPLS VPN và có thể đảm bảo mức QoS cụ thể cho khách hàng. Họ định giá dịch vụ của họ dựa trên các thỏa thuận mức dịch vụ (SLA) xác định băng thông, QoS, độ trễ từ đầu đến cuối, thời gian hoạt động và đảm bảo bổ sung. Giá của kết nối thường tương quan với nhu cầu cao hơn trong SLAs để bù đắp khả năng bổ sung và dự phòng trong cơ sở hạ tầng của mình

CHẤT LƯỢNG DỊCH VỤ (QoS)

IPV6 CHO MẠNG DOANH NGHIỆP

KIẾN TRÚC MẠNG CAMPUS

Khuôn viên mạng doanh nghiệp thường là phần cơ sở hạ tầng máy tính cung cấp quyền truy cập vào các dịch vụ và tài nguyên truyền thông mạng cho người dùng và thiết bị kết thúc trải rộng trên một vị trí địa lý duy nhất. Nó có thể kéo dài một tầng, tòa nhà, hoặc thậm chí một nhóm lớn các tòa nhà trải rộng trên một khu vực địa lý mở rộng. Một số mạng có một cơ sở duy nhất cũng hoạt động như lõi hoặc xương sống của mạng và cung cấp khả năng kết nối giữa các phần khác của mạng tổng thể. Lớp lõi của campus thường có thể kết nối đến khu vực tiếp cận khác, trung tâm dữ liệu và các phần WAN của mạng. Các doanh nghiệp lớn nhất có thể có nhiều điểm được phân phối trên toàn thế giới với mỗi site cung cấp quyền truy cập của người dùng cuối và kết nối đường trục cục bộ. Từ quan điểm kỹ thuật mạng, khái niệm về một khuôn viên cũng được hiểu là các phần chuyển mạch Ethernet lớp 2 và lớp 3 tốc độ cao của mạng bên ngoài trung tâm dữ liệu.

Khuôn viên mạng, bao gồm các thành phần tích hợp tập hợp các dịch vụ được sử dụng bởi một nhóm người dùng và thiết bị trạm cuối mà tất cả đều chia sẻ cùng một loại fabric truyền thông chuyển mạch tốc độ cao. Chúng bao gồm các dịch vụ vận tải gói (cả có dây và không dây), nhận dạng và kiểm soát lưu lượng (tối ưu hóa bảo mật và ứng dụng), giám sát và quản lý lưu lượng và quản lý và cấp phép toàn bộ hệ thống. Các chức năng cơ bản này được thực hiện theo cách cung cấp và trực tiếp hỗ trợ các dịch vụ cấp cao hơn được cung cấp bởi một tổ chức CNTT để sử dụng bởi cộng đồng người dùng cuối. Các chức năng này bao gồm

Dịch vụ sẵn sàng cao không ngừng

Truy cập và dịch vụ di động

Dịch vụ bảo vệ và tối ưu hóa ứng dụng

Dịch vụ ảo hóa

Dịch vụ an ninh

Dịch vụ vận hành và quản lý

Nguyên tắc thiết kế Campus doanh nghiệp

Bất kỳ kiến trúc hay hệ thống thành công nào đều dựa trên nền tảng của lý thuyết và nguyên tắc thiết kế vững chắc. Giống như việc xây dựng một tòa nhà, nếu một nền tảng đáng tin cậy được thiết kế và xây dựng, tòa nhà sẽ tồn tại trong nhiều năm, phát triển với chủ sở hữu thông qua các thay đổi và mở rộng để cung cấp dịch vụ an toàn và đáng tin cậy trong suốt vòng đời của nó.Tương tự như vậy, việc thiết kế bất kỳ mạng nào, bao gồm mạng doanh nghiệp, không khác với xây dựng một khái niệm thiết kế hoặc thiết kế bất kỳ hệ thống lớn phức tạp nào - chẳng hạn như một phần mềm hay thậm chí là một thứ gì đó khác. Việc sử dụng một bộ nguyên tắc kỹ thuật cơ bản hướng dẫn đảm bảo rằng thiết kế khuôn viên cung cấp sự cân bằng về tính khả dụng, tính bảo mật, tính linh hoạt và khả năng quản lý để đáp ứng nhu cầu kinh doanh và công nghệ hiện tại và tương lai.

Nguyên tắc:
Hệ thống phân cấp

Modularity

Tính linh hoạt

Khả năng phục hồi

Việc thiết kế và thực hiện thành công mạng campus của doanh nghiệp đòi hỏi sự hiểu biết về cách áp dụng cho từng thiết kế tổng thể và cách mỗi nguyên tắc phù hợp với bối cảnh của các đối tượng khác

Hệ thống phân cấp:
Nguyên tắc thiết kế phân cấp nhằm mục đích phá vỡ thiết kế thành các nhóm hoặc lớp mô-đun. Việc phá vỡ thiết kế thành các lớp cho phép mỗi lớp thực hiện các chức năng cụ thể, làm cho thiết kế mạng trở nên đơn giản. Điều này cũng làm cho việc triển khai và quản lý mạng đơn giản hơn. Ngoài ra, việc thiết kế mạng doanh nghiệp theo phương pháp phân cấp tạo ra nền tảng mạng linh hoạt và linh hoạt cho phép các kiến trúc sư mạng che phủ tính bảo mật, tính di động và tính năng giao tiếp hợp nhất cần thiết cho các doanh nghiệp hiện đại ngày nay. Hai kiến trúc thiết kế phân cấp đã được kiểm chứng, được kiểm chứng theo thời gian cho các mạng campus là lớp ba tầng và các mô hình lớp hai tầng, như được hiển thị trong hình

Hierarchical Design Architectures 

Như đã lưu ý, nguyên tắc thiết kế chính của thiết kế phân cấp là mỗi phần tử trong cấu trúc phân cấp có một tập hợp các chức năng và dịch vụ cụ thể mà mỗi lớp cung cấp và một vai trò cụ thể trong từng thiết kế. Các phần sau đây thảo luận về các thuộc tính thiết kế của từng lớp này

Lớp truy cập:
Lớp truy cập là lớp đầu tiên hoặc cạnh của mạng campus. Như trong Hình dưới, đây là nơi mà các điểm cuối (PC, máy in, máy ảnh, vv) gắn vào phần có dây hoặc không dây của mạng . Nó cũng là nơi mà các thiết bị mở rộng mạng ra một cấp độ khác được đính kèm. Các thiết bị này bao gồm các điện thoại IP và các điểm truy cập không dây (AP), đó là hai ví dụ chính của các thiết bị mở rộng kết nối ra ngoài một lớp từ switch. Ngoài ra, lớp truy cập là lớp bảo vệ đầu tiên trong kiến trúc bảo mật mạng và là điểm thương lượng đầu tiên giữa các thiết bị đầu cuối và cơ sở hạ tầng mạng

Enterprise Campus: Access Layer 

Hơn nữa, các loại thiết bị khác nhau có thể kết nối và các dịch vụ và yêu cầu cấu hình khác nhau cần thiết làm cho lớp truy cập trở thành một trong những phần có nhiều tính năng nhất trong mạng campus. Do đó, lớp truy cập hầu như luôn được mong đợi cung cấp các chức năng bảo mật, chất lượng dịch vụ (QoS) và các chức năng ranh giới tin cậy chính sách. Kết quả là, các nhu cầu trên phạm vi rộng này đôi khi giới thiệu một thách thức cho kiến ​​trúc sư mạng để xác định cách tạo ra một thiết kế đáp ứng nhiều yêu cầu khác nhau. Đây là yếu tố then chốt trong việc cho phép nhiều dịch vụ của mạng (như nhu cầu về các mức độ di động khác nhau; thoại, video và truy cập dữ liệu hợp nhất; nhu cầu về môi trường hoạt động hiệu quả và chi phí), trong khi có thể cung cấp số dư thích hợp về bảo mật và tính khả dụng dự kiến ​​trong nhiều môi trường cấu hình cố định, truyền thống hơn. Danh mục chuyển mạch Cisco Catalyst thế hệ tiếp theo bao gồm một loạt các nền tảng chuyển đổi cố định và mô-đun, mỗi nền tảng được thiết kế với khả năng phần cứng và phần mềm duy nhất để hoạt động trong một vai trò cụ thể.

Lớp phân phối:

Lớp phân phối trong thiết kế campus có vai trò duy nhất ở chỗ nó hoạt động như một ranh giới dịch vụ và kiểm soát giữa truy cập và lõi. Cả truy cập và lõi cơ bản đều dành riêng cho các lớp có mục đích đặc biệt. Lớp truy cập được dành để đáp ứng các chức năng của kết nối thiết bị đầu cuối và lớp lõi được dành riêng để cung cấp kết nối không ngừng trên toàn bộ mạng campus

Ngược lại, lớp phân phối phục vụ nhiều mục đích, chẳng hạn như sau: Hoạt động như một điểm tổng hợp cho tất cả các nút truy cập (thực hiện cả hai vật lý tập hợp liên kết và tổng hợp lưu lượng truy cập đến lớp lõi)

Cung cấp các dịch vụ kết nối và chính sách cho các luồng lưu lượng trong một khối phân phối truy cập duy nhất cho lưu lượng giữa các nút truy cập (luồng lưu lượng từ đông-tây) 
Cung cấp tổng hợp, kiểm soát chính sách và điểm phân tách biệt lập giữa khối xây dựng phân phối khuôn viên và phần còn lại của mạng (lưu lượng giao thông bắc-nam ) 
Định tuyến tại lớp phân phối, được coi là một phần tử trong lõi vì nó tham gia vào định tuyến lớp lõi

Enterprise Campus: Distribution Layer  

Do đó, các lựa chọn cấu hình cho các tính năng trong lớp phân phối thường được xác định bởi các yêu cầu của lớp truy cập (ví dụ, là các nút lớp truy cập nhằm cung cấp các chuyển mạch truy cập người dùng điển hình, hoặc là các nút lớp truy cập dự định là các bộ định tuyến WAN) . Lựa chọn cấu hình cho các tính năng trong lớp phân phối cũng được xác định bởi các yêu cầu của lớp lõi hoặc do nhu cầu hoạt động như một giao diện cho cả lớp truy cập và lớp lõi.

Lớp lõi:
Lớp lõi của campus là một số phần đơn giản nhưng quan trọng nhất trong mạng campus. Nó cung cấp một tập hợp các dịch vụ hạn chế và phải được thiết kế để có sẵn cao và hoạt động ở chế độ luôn ON. Trong các doanh nghiệp hiện đại ngày nay, lớp lõi của mạng phải hoạt động như một dịch vụ không ngừng 7 × 24 × 365. Các mục tiêu thiết kế chính cho lõi campus dựa trên việc cung cấp mức độ dự phòng thích hợp để cho phép phục hồi luồng dữ liệu gần như ngay lập tức trong trường hợp xảy ra lỗi thành phần (chuyển đổi, giám sát, thẻ dòng hoặc cáp quang). Lớp lõi của mạng không nên thực hiện bất kỳ dịch vụ chính sách phức tạp nào, cũng như không có bất kỳ kết nối điểm cuối được gắn trực tiếp nào. Lõi cũng phải có cấu hình mặt phẳng điều khiển tối thiểu kết hợp với các thiết bị có sẵn cao được cấu hình với số lượng dự phòng vật lý chính xác để cung cấp cho khả năng dịch vụ không ngừng này. Nói cách khác, lớp lõi đóng vai trò tổng hợp cho tất cả các khối khuôn viên khác và liên kết với nhau trong khuôn viên campus với phần còn lại của mạng.

Lớp lõi cung cấp sự linh hoạt cho việc thiết kế mạng lưới khuôn viên lớn để đáp ứng các thách thức về địa lý và cáp vật lý. Ví dụ, hãy xem xét một lớp lõi trong một mạng lưới campus với nhiều tòa nhà (khối phân phối) giống như trong hình

Large Campus Network with a Core Layer  

Thiết kế này cung cấp giải pháp đủ khả năng mở rộng và linh hoạt để kết nối các tòa nhà mới vào mạng, mỗi tòa nhà có lớp phân phối riêng, không thêm bất kỳ sự phức tạp nào vào việc định tuyến mạng. Kết quả là, không có tác động đến các lớp phân phối của các tòa nhà hiện có. Tuy nhiên, một số site mạng nhỏ hơn bao gồm một tòa nhà đơn lẻ với số lượng người dùng nhỏ hơn (chẳng hạn như 300 người dùng) không yêu cầu một lớp lõi riêng biệt (giả sử không có kế hoạch tương lai cho mạng này phát triển đáng kể về kích thước ). Do đó, dựa trên quy mô mạng hiện tại (xem xét các kế hoạch tương lai của doanh nghiệp), có thể chọn một trong hai mô hình thiết kế chung của thiết kế khuôn viên doanh nghiệp phân cấp: mô hình hai tầng hoặc ba tầng