如图是数据中心的一个基本架构

最上层是Internet Edge，也叫Edge Router，也叫Border Router，它提供数据中心与Internet的连接。

• 连接多个网络供应商来提供冗余可靠的连接

• 对外通过BGP提供路由服务，使得外部可以访问内部的IP

• 对内通过iBGP提供路由服务，使得内部可以访问外部IP

• 提供边界安全控制，使得外部不能随意访问内部

• 控制内部对外部的访问

为了HA的需要，往往会有两个Border Router

两个边界路由器提供对互联网的连接。

一对防火墙对内部网络和DMZ区域进行防护。

DMS区域往往存放可以对外提供服务的服务器。

内部网络是不可以被外网直接访问的。

内网是可以访问外网的。

在Border Router上往往设置ACL对访问进行控制

第二层core network，包含很多的core switches

• Available Zone同Edge router之间通信

• Available Zone之间的通信提供

• 提供高可用性连接HA

• 提供Intrusion Prevention Services

• 提供Distributed Denial of Service Attack Analysis and Mitigation

• 提供Tier 1 Load Balancer

为了HA，一般会创建两个core network，两个core network通过vlan相互隔离，互不干扰，每个core network都能够连接到两个border router和所有的Available Zone。

core network里面的switch都是强大的switch，为了提供高可用性，然而又不需要STP，则多个switch之间Link Aggregation

如果想进一步扩大带宽，还可以两个switch cluster之间通过LACP进行link aggregation，这种方式称为Multi-Chassis Link Aggregation

下图就是L2 core network的架构，其中红色和绿色表示不同的vlan

接下来是一个个Available Zone，或者称为Data Center LAN

第三层也即每个AZ的最上层，我们称为Aggregation layer.

Aggregation Layer是一个AZ的对外入口，上接L2 Core Network。

Border Router和Aggregation Router是通过L2 Core Network连接在一起的，是一个大二层连接。

这两层router之间需要通过路由协议，使得Aggregation router可以得知border router的路由，从而AZ里面的机器可以访问外网，也使得border router可以得知Aggregation router的路由，从而外网可以访问AZ内部的public IP

第四层是access layer

就是一个个机架的服务器，用TOR连接在一起

Top of Rack (TOR) vs. End of Row (EOR)

第五层称为storage layer

很多数据中心会为存储系统部署单独的网络

通过iSCSI或者Fibre Channel连接SAN，将block storage attached到机器上。