三层网络架构:
1.核心层
含义:核心层是网络主干部分,是整个网络性能的保障
设备:路由器、防火墙、核心层交换机
特点:冗余能力、可靠性和高速的传输
特殊要求:核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。网络的控制功能最好尽量少在骨干层上实施。
2.汇聚层
含义:汇聚层也被称为分布层,它是网络接入层和核心层的“中介”。
特点:汇聚层也就汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
特殊要求:在汇聚层中,应该采用支持三层交换技术和VLAN的交换机,以达到网络隔离和分段的目的。
3.接入层
含义:通常将网络中直接面向用户连接或访问网络的部分称为接入层。
设备:多接口的交换机。
特点:主要解决相邻用户之间的互访需求,并且为这些访问提供足够的带宽,接入层还应当适当负责一些用户管理功能(如地址认证、用户认证等),以及用户信息收集工作(如IP地址、MAC地址、访问日志等)。
防火墙区域划分:
(1)受信区域(trust):通过将内网终端用户所在区域划分为trust区域;
(2)非受信区域(untrust):通常将Internet等不安全的网络划分为untrust区域;
(3)非军事化区域(dmz):通常将内网服务器所在区域划分为DMZ区域;
(4)本地区域(local):设备本身,包括设备的各接口本身;
(5)由设备主动发出的报文均可认为是从Local区域中发出的;
如果需要设备响应并处理的报文均可认为是由local区域接收。
