~/network/3-tier
아키텍처

3-Tier Architecture

Cisco의 Hierarchical Internetworking Model 이라고도 불리는 전통적인 네트워크 참조 아키텍처. 1990년대 후반~2000년대 초반에 자리 잡아 엔터프라이즈/캠퍼스의 표준으로 오랫동안 쓰여왔다.

네트워크 장비를 역할별로 Core / Distribution(=Aggregation) / Access 세 계층으로 나누고, 각 계층이 명확한 책임을 갖도록 설계한 것이 핵심이다.

3계층 구조

                       ┌──────────┐
                       │   Core   │   ← 고속 백본 (정책 최소화)
                       └──────────┘
                          ╱    ╲
          ┌────────────────┐  ┌────────────────┐
          │  Distribution  │  │  Distribution  │  ← 정책 집행, L2/L3 경계
          │ (=Aggregation) │  │ (=Aggregation) │
          └────────────────┘  └────────────────┘
                ╱    ╲             ╱    ╲
          ┌──────┐ ┌──────┐   ┌──────┐ ┌──────┐
          │Access│ │Access│   │Access│ │Access│  ← ToR (서버 직접 연결)
          └──────┘ └──────┘   └──────┘ └──────┘
             │        │          │        │
           [서버]     [서버]     [서버]     [서버]

Distribution과 Aggregation은 같은 계층의 다른 이름이다. 본 문서에서는 Cisco 표준 용어이자 CCNA/CCNP에서 쓰는 Distribution 으로 통일해서 부른다.

호칭주로 쓰이는 맥락
Distribution엔터프라이즈/캠퍼스 네트워크 (Cisco 표준 용어)
Aggregation데이터센터 네트워크

각 계층의 역할

Core Layer

고속 백본. 여러 Distribution 블록 사이의 트래픽을 빠르고 안정적으로 전달하는 것이 핵심 목표이다.

  • 역할: 단순/고속 패킷 포워딩
  • 원칙: ACL, 복잡한 정책, 필터링 같은 데이터 플레인 처리는 Core에 두지 않음 — 성능 저하와 백본 병목 우려
  • 장비:
    • 캠퍼스: Cisco Catalyst 9600, 9500 등
    • 데이터센터: Nexus 9500/9800, Arista 7500R/7800R 등
  • 이중화: 보통 2~4대로 풀 메시(full mesh) 구성, 빠른 라우팅 컨버전스

핵심 원칙은 "Core는 단순하고 빠르게(simple and fast)". 사용자/서비스 정책을 Core에 집중시키면 처리 부담이 가중되어 백본 자체가 병목이 될 수 있다. 단, CoPP(Control Plane Policing), 인프라 보호용 필터, QoS 같은 운영상 필요한 최소 정책은 예외적으로 Core에 들어갈 수 있다.

Distribution Layer

정책 집행 계층. Access에서 올라온 트래픽을 모으고, 라우팅/필터링/보안 정책을 적용한다. 3계층 중 가장 일이 많은 계층이며, 사실상 네트워크의 두뇌역할이다.

  • 역할:
    • L2/L3 경계 (VLAN 라우팅, SVI). 전통적인 L2 Access 설계에서는 L2 도메인이 Distribution에서 끝남
    • 라우팅 프로토콜 동작 지점 (OSPF, EIGRP, BGP). Area/AS 경계
    • First Hop Redundancy: HSRP / VRRP / GLBP로 게이트웨이 이중화
    • ACL, QoS, PBR 등 정책 적용 지점
    • Route summarization / filtering (재분배 제어, Core 라우팅 테이블 축소)
    • 방화벽/IPS 같은 보안 장비 연결
  • 장비:
    • 캠퍼스: Catalyst 9500, 9600, 9400 등
    • 데이터센터: Nexus 9000/9500 등
  • 이중화: 페어로 배치 + HSRP/VRRP + StackWise/VSS (DC에선 vPC/MLAG) 로 액티브-스탠바이 또는 액티브-액티브, STP root bridge 위치

캠퍼스 설계의 핵심 격언: "Routing happens at the distribution layer."

Access Layer

서버/단말이 직접 연결되는 계층. 데이터센터에서는 보통 랙 상단에 배치되어 ToR(Top-of-Rack) 스위치 라고 부른다.

  • 역할:
    • 호스트 포트 제공 (캠퍼스 1G/2.5G/10G, DC 10G/25G/100G)
    • VLAN 할당 (Voice VLAN 포함), MAC 학습
    • 포트 보안 (Port Security, sticky MAC)
    • 802.1X 인증
    • PoE 공급 (IP폰, AP)
    • STP edge: PortFast, BPDU Guard
    • L2 보안: DHCP Snooping, DAI(Dynamic ARP Inspection), IP Source Guard
    • 단순 L2 스위칭. 복잡한 라우팅/서비스 정책은 주로 Distribution에서 수행
  • 장비:
    • 캠퍼스: Catalyst 9200, 9300 등
    • 데이터센터: ToR 스위치 (Nexus 9300, Arista 7050 등)
  • 배치: 캠퍼스는 IDF당 다수, DC는 랙당 1~2대 (이중화)

트래픽 흐름

이 모델은 트래픽이 주로 수직(North-South) 으로 흐르는 환경을 전제로 설계되었다.

[목적지 서버 / WAN]
     ↑↓
   [Core]           ← 빠르게 다른 빌딩/사이트로
     ↑↓
 [Distribution]     ← L3 게이트웨이, ACL, 라우팅 결정
     ↑↓
  [Access/ToR]      ← 포트 보안, VLAN 할당, 802.1X 
     ↑↓
  [사용자 PC]

사용자 → Access → Distribution → Core → 외부(또는 다른 빌딩)의 일직선 흐름이 대부분이고, 같은 Access 스위치에 붙은 단말끼리는 Access 내부 스위칭으로 끝난다. North-South / East-West 트래픽 분류와 함께 보면 이해가 쉽다.

왜 이 모델이 등장했나

1990년대 후반의 네트워크 설계 가정:

  • 대부분의 트래픽이 클라이언트 ↔ 서버 방향 (North-South 위주)
  • 서버 간 통신은 상대적으로 적었음
  • 정책 적용 지점을 중앙에 모으는 것 이 운영상 효율적
  • 계층화로 장애 영향 범위(blast radius) 제한

이 가정 위에 만든 교과서적 설계가 3계층 모델이다.

한계

오늘날 데이터센터 환경에서는 다음 같은 문제가 드러났다.

1. East-West 트래픽 폭증

VM, 마이크로서비스, 분산 스토리지가 보편화되면서 서버 ↔ 서버 통신 이 많아졌다. 하지만 3계층 모델에서는 다른 Access 스위치 아래 서버에 가려면 무조건 Distribution까지 올라갔다 내려와야 한다.

서버 A → Access1 → Distribution → Access2 → 서버 B

→ Distribution이 East-West 트래픽의 병목 이 된다.

2. STP 설계에서 생기는 대역폭 낭비

루프 방지를 위해 Spanning Tree Protocol(STP)을 쓰면, 물리 링크의 일부가 강제로 차단되어 이중화로 구성한 링크를 모두 쓰지 못한다.

다만 모든 3계층 설계가 이런 문제를 그대로 갖는 것은 아니다. Routed Access, EtherChannel/MEC, StackWise/VSS, vPC/MLAG 같은 설계를 쓰면 STP 의존도를 줄이고 uplink를 모두 active로 운용할 수 있다.

3. 확장성 한계

Distribution 페어 한 쌍이 감당 가능한 Access 수에 한계가 있어, 대형 사이트에서는 Distribution을 여러 페어로 늘려 POD/Block 단위로 격리 해야 한다. POD 사이 통신은 다시 Core를 거쳐야 해서 운영 복잡도가 빠르게 증가한다.

4. Oversubscription

Access ↔ Distribution 구간은 환경에 따라 oversubscription이 들어가는 경우가 많다. 평상시는 괜찮아도 대용량 균등 분산 워크로드에서는 병목이 될 수 있다.

데이터센터에서는 Spine-Leaf로 대체되는 추세

위 한계가 가장 먼저 두드러진 영역이 데이터센터다. East-West 트래픽이 폭증하면서 Spine-Leaf (Clos) 토폴로지 가 현대 데이터센터의 대표 설계로 자리 잡았다. 특히 클라우드, 대규모 가상화, AI/HPC, 분산 스토리지 환경에서는 Spine-Leaf 기반 L3 fabric이 사실상 표준에 가깝다.

구분3-TierSpine-Leaf
계층 수3 (Core / Distribution / Access)2 (Spine / Leaf)
트래픽 가정North-South 위주East-West 위주
서버 ↔ 서버 경로가변. 다른 Access 간 통신은 Distribution/Core를 거칠 수 있음Leaf 간 경로가 일정함. 보통 Leaf → Spine → Leaf
대역폭 활용STP로 일부 차단ECMP로 모든 링크 활용
확장POD/Block 단위 증설Leaf 추가로 서버 포트 확장, Spine 추가로 fabric 대역폭 확장
적합 환경캠퍼스, 소규모 DC현대 클라우드/AI DC

데이터센터 맥락에서 전통적인 3계층이 '레거시'로 분류되는 이유는 East-West 위주 워크로드에 불리한 점이 많기 때문이다. 다만 케이블 거리, 건물/층 분산, 기존 장비 재사용, 특정 운영 제약 때문에 3계층 또는 multi-tier 변형이 여전히 필요한 경우도 있다.

그럼에도 3계층이 남아 있는 이유

  • 캠퍼스/엔터프라이즈: 트래픽이 여전히 North-South 위주(사용자 → 서버)라 3계층으로 충분
  • 기존 인프라 보호: IDF/MDF 구성, 케이블링, 운영 노하우가 모두 3계층 전제로 쌓여 있어 한 번에 갈아엎기 어려움
  • 소규모 환경: Spine-Leaf의 설계 복잡도가 오히려 부담

즉, 데이터센터에서는 레거시로 밀려나는 추세지만, 캠퍼스/엔터프라이즈 네트워크의 표준은 여전히 3계층 이다.

정리

  • Core: 고속 백본, 사용자/서비스 정책 최소화
  • Distribution (= Aggregation): 정책 집행, 전통적 설계의 L2/L3 경계, HSRP/VRRP 게이트웨이, 네트워크의 두뇌
  • Access: 단말/서버 직접 연결 (DC에서는 랙 상단에 배치해 ToR이라 부름)
  • 한계: East-West 트래픽 증가 시 Distribution 병목, STP 의존 설계의 링크 차단, 확장성 → 대규모 데이터센터에서는 Spine-Leaf로 대체되는 경우가 많음
  • 현재 위상: 캠퍼스/엔터프라이즈에는 여전히 널리 쓰이고, 대규모 데이터센터에서는 Spine-Leaf가 주류