一. 背景
园区网一般指企业或机构的内部网络,主要目的是是使企业或机构的各项业务运作更加的效率:
- 按照规模分为: 大型(2000以上终端,设备>100),中型(200以上终端,设备>25),小型;
- 按照关系分为: 总部网络和分支网络;
- 按照场景分为:
- 企业网络 - 提升办公体验,保证效率和质量;
- 校园网络 - 使用体验,支持运营;
- 政府园区 - 安全,内外网隔离;
- 商业园区 - 低维护成本,智能性;
二. 典型架构
一般的园区网络,由核心层、汇聚层、接入层、出口区、数据中心区组成;
2.1 核心层
园区网的骨干,汇聚层、出口区和数据中心均与核心层相连,主要诉求:
- 路由功能: OSPF, ISIS, LLDP, 组播, IPv6;
- 冗余功能: CSS,MLAG;
- 管理功能: NETCONF/YANG, SNMP;
- 安全功能: 实现不同业务的隔离,区域间互访流量的限制, 本机防攻击能力 - FW ACL PBR traffic-filter;
2.2 汇聚层
三层的边界,下连接入层上连汇聚层,主要诉求:
- 路由功能: OSPF, ISIS, LLDP;
- 冗余功能: 堆叠,链路聚合, VRRP, MSTP, VLAN;
- 安全功能: 基础的二三层安全 - DHCP Snooping, 二三层终端隔离;
2.3 接入层
园区网络面向用户的边界,下连终端或AP,上连汇聚交换机,主要诉求:
- 二层功能: VLAN, VLAN 的各种划分方式,无线;
- 冗余功能: 堆叠,链路聚合;
- 安全功能: 基础的二层安全 - 风暴抑制, DHCP Snooping, IPSG, DAI端口隔离,网络准入,无线空口安全;
2.4 出口区
园区网与外部交互的区域,如内网用户访问外网,外网用户访问内网等,主要诉求:
- 路由功能: NAT, BGP,static-route;
- VPN功能: ipsec-vpn, ssl-vpn;
- 安全功能: 与外部交互的安全保障 - FW,DDoS攻击抵御,IPS 入侵监测,AC, AD;
2.5 数据中心区
服务器与应用所在区域,为内部和外部用户提供服务;
三. 技术简述
3.1 VLAN
vlan 主要用于广播域的隔离,一般在汇聚和接入上使用:
- 划分方式: 基于接口,基于源MAC地址,基于子网划分,基于协议划分,基于策略(MAC 地址,IP地址,接口)划分;
- 互通方式: 纯路由器的物理接口/子接口,三层交换机;
3.2 无线
为用户提供无线接入功能:
- 组网方式: FAT AP, AC + FIT AP, 云管理;
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
