博客

一. 背景

园区网一般指企业或机构的内部网络，主要目的是是使企业或机构的各项业务运作更加的效率:

1. 按照规模分为: 大型(2000以上终端，设备>100)，中型(200以上终端，设备>25)，小型;

2. 按照关系分为: 总部网络和分支网络;

3. 按照场景分为:

   • 企业网络 – 提升办公体验，保证效率和质量；
   • 校园网络 – 使用体验，支持运营；
   • 政府园区 – 安全，内外网隔离；
   • 商业园区 – 低维护成本，智能性；

二. 典型架构

一般的园区网络，由核心层、汇聚层、接入层、出口区、数据中心区组成；

2.1 核心层

园区网的骨干，汇聚层、出口区和数据中心均与核心层相连，主要诉求:

1. 路由功能: OSPF, ISIS, LLDP, 组播, IPv6;
2. 冗余功能: CSS，MLAG;
3. 管理功能: NETCONF/YANG, SNMP;
4. 安全功能: 实现不同业务的隔离，区域间互访流量的限制, 本机防攻击能力 – FW ACL PBR traffic-filter;

2.2 汇聚层

三层的边界，下连接入层上连汇聚层，主要诉求:

1. 路由功能: OSPF, ISIS, LLDP;
2. 冗余功能: 堆叠，链路聚合, VRRP, MSTP, VLAN；
3. 安全功能: 基础的二三层安全 – DHCP Snooping, 二三层终端隔离；

2.3 接入层

园区网络面向用户的边界，下连终端或AP，上连汇聚交换机，主要诉求:

1. 二层功能: VLAN, VLAN 的各种划分方式，无线;
2. 冗余功能: 堆叠，链路聚合;
3. 安全功能: 基础的二层安全 – 风暴抑制, DHCP Snooping, IPSG, DAI端口隔离，网络准入，无线空口安全；

2.4 出口区

园区网与外部交互的区域，如内网用户访问外网，外网用户访问内网等，主要诉求:

1. 路由功能: NAT, BGP，static-route;
2. VPN功能: ipsec-vpn, ssl-vpn;
3. 安全功能: 与外部交互的安全保障 – FW，DDoS攻击抵御，IPS 入侵监测，AC, AD;

2.5 数据中心区

服务器与应用所在区域，为内部和外部用户提供服务；

三. 技术简述

3.1 VLAN

vlan 主要用于广播域的隔离，一般在汇聚和接入上使用:

1. 划分方式: 基于接口，基于源MAC地址，基于子网划分，基于协议划分，基于策略(MAC 地址，IP地址，接口)划分；
2. 互通方式: 纯路由器的物理接口/子接口，三层交换机；

3.2 无线

为用户提供无线接入功能:

1. 组网方式: FAT AP, AC + FIT AP, 云管理；