一、传统三层网络架构(Core-Aggregation-Access)
1、原理
采用层次化设计,将网络分为三层:
接入层(Access Layer):直接连接终端设备(服务器、PC),提供端口密度,实现 VLAN 划分、端口安全等策略。
汇聚层(Aggregation/Distribution Layer):汇聚接入层流量,实施路由策略、访问控制、负载均衡,作为二层/三层边界。
核心层(Core Layer):提供高速无阻塞的数据转发,连接外网和多个汇聚区块,注重高可用和快速收敛。
拓扑通常呈树形结构。为防止二层环路,必须启用 STP(生成树协议),导致冗余链路被阻塞,仅有一条活跃路径。
2. 作用
适用于传统园区网和早期数据中心,南北向流量为主。
清晰的层次方便管理、故障隔离和分步扩展。
易于实现广播域控制和安全策略集中管理。
这套架构的核心是“二层环路管理和三层网关冗余”。
3. 技术栈
1. 二层网络技术(主要部署在接入层和汇聚层之间)
VLAN:进行广播域隔离和用户分段,整个架构的底层基础。
STP / RSTP / MSTP:最关键的防环协议,必须启用。MSTP能按实例负载分担。
BPDU Guard / Root Guard / Loop Guard:STP安全增强特性,防止因误接线缆或恶意攻击导致的网络瘫痪。
链路聚合 (EtherChannel / LACP):在交换机之间捆绑多条物理链路,增加带宽和冗余。
M-LAG / vPC / Stacking:跨设备链路聚合技术,将两台物理交换机逻辑上虚拟成一台,消除STP阻塞端口,实现双活上行。
2. 三层高可用与路由技术(主要部署在汇聚层和核心层之间)
HSRP / VRRP:最核心的网关冗余协议,多台汇聚交换机虚拟一个网关IP。
Interface Tracking / Object Tracking:与HSRP/VRRP联动,在上行链路故障时,能自动降低优先级进行网关主备切换。
OSPF:最常用的动态路由协议,在汇聚层和核心层之间交换路由。也可能使用EIGRP(思科私有)或静态路由。
路由重分发 (Route Redistribution):在不同路由协议或路由域之间交换路由信息。
SVI (交换虚拟接口):实现VLAN间路由的三层接口。
3. 网络服务与安全
ACL (访问控制列表):用于基础流量过滤和安全策略。
DHCP Snooping / ARP Inspection / IP Source Guard:二层安全技术组合,防止非法DHCP服务器和ARP欺骗。
802.1X:基于端口的网络准入控制。
Port-Security (端口安全):限制端口MAC地址学习数量,防止MAC泛洪攻击。
QoS (服务质量):对流量进行分类、标记、策略和拥塞管理,通常部署在接入和汇聚层。
4. 运维与管理
SNMP:传统的网络设备监控协议。
NetFlow / sFlow:流量采集与分析。
Syslog:设备日志集中收集。
NTP:统一网络时间,用于日志关联和排错。
4. 优缺点
优点
1、技术成熟,设备选型广泛,成本可控。
2、层次分明,运维人员熟悉,排障路径清晰。
3、汇聚层天然适合做策略控制点(防火墙、负载均衡插入)。
缺点
1、STP 弊端:冗余链路闲置,带宽利用率低(通常50%),收敛慢(秒级),大规模时阻塞链路造成资源浪费。
2、东西向流量瓶颈:跨 VLAN 的服务器间通信必须绕行核心或汇聚,延迟不确定,跳数多。
3、扩展性受限:增加核心层带宽往往需要更换更高端设备,横向扩展能力差。
4、配置复杂,大量 VLAN、STP 调整易出错,不适合动态、弹性环境。
二、Spine-Leaf(叶脊)架构

1、原理
基于 Clos 网络,只有两层设备:
Leaf(叶)交换机:连接服务器、存储等终端,提供接入端口。
Spine(脊)交换机:作为高速转发骨干,每个 Leaf 交换机上联到所有 Spine 交换机,形成全互联(Full Mesh)拓扑。
所有链路都处于激活状态,利用 ECMP(等价多路径) 进行负载分担,天然无环路,彻底摒弃 STP。
2. 作用
专为现代数据中心、云计算环境设计,适应东西向流量为主的场景。
提供高吞吐、低延迟、可预测的任意节点间通信。
支持水平弹性扩展:增加 Spine 可扩展上行带宽,增加 Leaf 可扩展接入端口,无需改动现有拓扑。
结合 VXLAN/EVPN 实现大二层网络,满足虚拟机迁移和多租户需求。
3. 技术栈
这套架构的核心是“基于三层路由的无环、高带宽东西向流量承载”。它分为Underlay(物理承载网)和Overlay(逻辑业务网)两个平面。
1. Underlay(物理底层网络)技术
OSPF / IS-IS:用于在Spine和Leaf之间建立IP可达性的内部网关协议。IS-IS因其扩展性常用于超大规模环境。
BGP (eBGP):在大型数据中心中,eBGP越来越流行,作为唯一的Underlay路由协议,能提供更精细的路由策略控制。
ECMP (等价多路径):最核心的转发机制。路由协议将多条到目的地的等价路径写入硬件转发表,实现多条链路的并行负载分担。
BFD (双向转发检测):与路由协议联动,实现亚秒级的链路故障快速检测和路由收敛,比协议自身的Hello机制快得多。
BGP Add-Path:允许BGP为同一目的地通告多条路径,是实现高效ECMP的关键增强特性。
M-LAG / Stacking:同样用于Leaf交换机双归接入服务器或网络设备,提供链路级冗余。
2. Overlay(逻辑业务网络)技术
VXLAN:事实标准的Overlay封装协议。MAC-in-UDP封装,将二层帧封装后在三层网络中传输,突破了VLAN数量限制,构建大二层网络。
VNI (VXLAN网络标识符):24位标识符,相当于VLAN ID的扩展,理论支持1600万个隔离网络。
EVPN (以太网虚拟专用网络):VXLAN的控制平面。它不是简单的数据面封装,而是通过MP-BGP协议来同步IP和MAC地址信息,实现精确、可控的流量转发。
MP-BGP (多协议边界网关协议):EVPN的基础,用于在VTEP之间分发EVPN路由。
EVPN 路由类型 (如 Type 2, Type 3, Type 5):具体承载MAC/IP信息、子网信息等,是EVPN的精髓。
VTEP (VXLAN隧道端点):VXLAN隧道的起点和终点,通常部署在Leaf交换机上。
头端复制 (Ingress Replication):处理VXLAN中的BUM(广播、未知单播、组播)流量。替代了难以扩展的组播方式,是当前更主流的选择。
3. 分布式网关与高可用
Anycast Gateway (任播网关):取代了VRRP。在多台Leaf交换机上配置完全相同的网关IP和MAC地址,实现网关的本地化、分布式转发,默认就是负载分担且故障无感知切换。
分布式Anycast VTEP:与Anycast Gateway配合,进一步提升多活可靠性。
4. 自动化与智能运维
ZTP (零接触部署):新设备上电后自动获取镜像和配置文件,实现即插即用。
Ansible / Puppet / SaltStack:基于DevOps理念的配置管理和自动化工具。
基于意图的网络控制器 (如 Cisco ACI, Juniper Apstra):提供全局的策略定义、网络自动化和持续校验能力。
Telemetry (遥测):取代传统SNMP的轮询,设备主动推送实时、高速的状态数据,用于精细化监控和故障定位。
gNMI / OpenConfig:标准化的模型驱动的遥测数据采集和配置接口。
4. 优缺点
优点
1、无阻塞、高带宽:所有链路同时工作,ECMP 实现完美负载分担。
2、低确定延迟:任何两个 Leaf 下的服务器之间跳数固定(Leaf→Spine→Leaf),延迟极低。
3、收敛极快:纯三层路由协议(OSPF/BGP)收敛远快于 STP,故障切换毫秒级。
4、水平扩展:按需线性增加 Spine 或 Leaf,投资保护。
5、SDN 友好:天然适合集中控制,与自动化运维无缝集成。
缺点
1、线缆数量多:每个 Leaf 需连接所有 Spine,端口光纤数量大增。
2、Spine 端口压力:Spine 交换机的端口密度直接决定最大 Leaf 数量。
3、初期成本:需要较多光模块和线缆,可能更高。
4、复杂度转移:需维护三层路由协议(如 OSPF)和 overlay 技术,对团队技能要求高。
三、核心对比
|
维度 |
三层架构 |
Spine-Leaf 架构 |
|
层级数量 |
3 层(接入、汇聚、核心) |
2 层(叶、脊) |
|
拓扑逻辑 |
树形,存在阻塞冗余链路 |
全互联,所有链路活跃 |
|
环路协议 |
依赖 STP,阻塞链路浪费带宽 |
无环路,使用 ECMP 负载分担 |
|
典型流量 |
南北向为主 |
东西向为主,南北向亦优化 |
|
节点间跳数 |
不定,跨汇聚需经过核心,跳数多 |
固定 2 跳,延迟低且可预测 |
|
扩展方式 |
垂直扩展(更换大框式核心) |
水平扩展(增加 Spine 或 Leaf) |
|
带宽利用率 |
~50%(因 STP 阻塞) |
100%(所有链路均转发) |
|
收敛速度 |
STP 收敛数秒,甚至数分钟(大规模) |
三层路由收敛,亚秒级 |
|
管理复杂度 |
大量 VLAN、STP 配置,运维繁重 |
需掌握路由协议、VXLAN 等,可高度自动化 |
|
适用场景 |
传统企业园区、小型数据中心 |
云数据中心、超大规模网络、容器环境 |
1万+

被折叠的 条评论
为什么被折叠?



