网络架构设计
大中型园区网络通常采用核心层为“根”的树形网络架构,如图3-1所示,拓扑稳定,易于扩展和维护。园区网络可划分为多个层次:接入层、汇聚层、核心层,以及多个分区:出口互联区、数据中心区、网络管理区、DMZ区等,各功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位。
各个分层模块在网络中的作用如下:
- 终端层
终端层是指接入园区网络的各种终端设备,例如电脑、打印机、IP话机、手机、摄像头等。
- 接入层
接入层为用户提供各种接入方式,是终端接入网络的第一层。接入层通常由接入交换机组成,接入层交换机在网络中数量众多,安装位置分散,通常是简单的二层交换机。如果终端层存在无线终端设备,接入层需要无线接入点AP设备,AP设备通过接入交换机接入网络。
- 汇聚层
汇聚层是接入层与园区核心骨干网之间的网络分界线,主要用于转发用户间的“横向”流量,同时转发到核心层的“纵向”流量。汇聚层可作为部门或区域内部的交换核心,实现与区域或部门专用服务器区的连接。另外汇聚层还可以扩展接入终端的数量。
- 核心层
核心层是园区数据交换的核心,连接园区网的各个组成部分,如数据中心、汇聚层、出口区等,核心层负责整个园区网络的高速互联。网络需要实现带宽的高利用率和网络故障的快速收敛,通常需要部署高性能的核心交换机,通常三个以上部门规模的园区网建议规划核心层。针对无线网络,核心层包括WAC,无线终端通过AP接入网络后,AP通过CAPWAP(Control and Provisioning of Wireless Access Points,无线接入点控制协议)隧道和WAC建立通信机制。
- 园区出口区
园区出口是园区内部网络到外部网络的边界,内部用户通过园区出口区接入到外部网络,外部网络的用户通过园区出口区接入到内部网络。园区出口区一般需要部署出口路由器和防火墙。路由器解决内外网互通的问题,防火墙提供边界安全防护能力。
- 数据中心区
数据中心区是管理业务服务器(例如文件服务器、邮件服务器等)的区域,为企业内部和外部用户提供业务服务。
- 网络管理区
网络管理区是管理网络服务器(例如网管系统、认证服务器等)的区域。标准的网管系统通过SNMP(Simple Network Management Protocol,简单网络管理协议)和网络设备交互,能够提供配置、管理和维护功能,例如网络拓扑和端口的显示管理、网络设备的配置管理、网络故障诊断和告警、网络性能和状态分析等。
- DMZ区
DMZ(Demilitarized Zone,半信任区)区为外部访客(非企业员工)提供访问业务,通常将公用服务器部署在该区域,其安全性受到严格控制。
