目录
园区出口区
数据中心区
网络管理区
DMZ区
核心层
汇聚层
终端层
接入层
大中型园区网络通常采用核心层为“根”的树形网络架构,拓扑稳定,易于扩展和维护。
园区网络可划分为多个层次:接入层、汇聚层、核心层,
以及多个分区:出口互联区、数据中心区、网络管理区、DMZ区等,各功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位。
各个分层模块在网络中的作用如下:
接入层 的 交换机可以多于部门接入端口,方便后期添加接入设备而方便拓展
在汇聚层和核心层划分一个vlan,使用vlanif接口地址作为管理地址,
使用ospf协议作为路由协议,收敛速度快、拓展性好
配备高性能的数据冗余转接设备和防止负载过剩的均衡负载的设备,采用双核心三层交换机,实现负载均衡,以降低各核心层交换机所需承载的数据量
园区出口区
园区出口是园区内部网络到外部网络的边界,园区授权有效用户通过园区出口区接入到外部网络,外部网络的用户通过园区出口区接入到内部网络。园区出口区一般需要部署出口路由器和防火墙。路由器解决内外网互通的问题,防火墙提供边界安全防护能力。
数据中心区
数据中心区是管理业务服务器(例如文件服务器、邮件服务器等)的区域,为企业内部和外部用户提供业务服务。
网络管理区
网络管理区是管理网络服务器(例如网管系统、认证服务器等)的区域。网管系统通过网管协议与和网络设备交互,能够提供配置、管理和运维功能,主流的网管协议有:SNMP(简单网络管理协议)和Netconf(网络配置协议)。认证服务器可提供网络准入的认证、授权和计费功能,主流的认证协议有:RADIUS(用户远端拨号接入服务)和TACACS(终端访问控制器访问控制系统)。
DMZ区
DMZ(半信任区)区为外部访客(非企业员工)提供访问业务,通常将公用服务器部署在该区域,其安全性受到严格控制。
核心层
核心层是园区数据交换的核心,连接园区网的各个组成部分,如数据中心、汇聚层、出口区等,核心层负责整个园区网络的高速互联。网络需要实现带宽的高利用率和网络故障的快速收敛,通常需要部署高性能的核心交换机,通常三个以上部门规模的园区网建议规划核心层。针对无线网络,核心层包括WAC,WAC通过CAPWAP(无线接入点控制协议)协议对AP进行管理。
汇聚层
汇聚层是接入层与园区核心骨干网之间的网络分界线,主要用于转发用户间的“横向”流量,同时转发到核心层的“纵向”流量。汇聚层可作为部门或区域内部的交换核心,实现与区域或部门专用服务器区的连接。另外汇聚层还可以扩展接入终端的数量。
终端层
终端层是指接入园区网络的各种终端设备,例如电脑、打印机、IP话机、手机、摄像头等。
接入层
接入层为用户提供各种接入方式,是终端接入网络的第一层。接入层通常由接入交换机组成,接入层交换机在网络中数量众多,安装位置分散,通常是简单的二层交换机。如果终端层存在无线终端设备,接入层需要无线接入点AP设备,AP设备通过接入交换机接入网络。