「Network」- 园区网(Campus Network)、网络架构

  CREATED BY JENKINSBOT

问题描述

城市,除了马路,都是园区 —— 园区是一个广义的概念,我们的日常活动多是在园区中进行,在这里“园区”的定义是非常宽泛的,城市中90%的活动,都发生在园区内,大部分数据从园区汇聚。

该笔记将记录:园区网络的总体架构、网络各层次中所使用的常用技术及协议、典型的组网场景。

解决方案

Campus Network(园区网络),通常是指企业或机构的内部网络,与广域互联、数据中心相关。工厂、政府机关、商场、写字楼、校园、公园等,这些场所内为了实现数据互通而搭建的网络都可以称之为园区网。

建网目的

园区网络的主要目的:使企业或机构的各项业务运作更有效率。

网络规模

园区有大有小,有行业属性的不同,相应地,园区网络也变化多样。

按规模可以将园区网络划分成:
1)大型园区网络:终端用户数量 > 2000 个;网元数量 > 100 个;
2)中型园区网络:2000 > 终端用户数量 > 200;100 > 网元数量 > 25;
3)小型园区网络:终端用户数量 < 200 个;网元数量 < 25 个;

有些企业还存在不同地域的办公分支机构,每个分支机构网络可看做一个单园区网络。

不同规模的网络,其需求及痛点各不相同。

常见的行业园区网

为了满足不同行业园区的需求,园区网络架构会根据其服务的行业特点进行设计, 最终打造的是带有行业属性的园区网络方案。

企业园区网络

1)关注网络可靠性、先进性,持续提升员工的办公体验,保障运营生产的效率和质量。

下一代企业网结构:

私有云:企业内部部署云服务
公有云:第三方提供的云服务;
混合云:私有云 + 公有云;

校园园区网络

1)分为普教园区和高教园区;
2)高教园区相对复杂,通常存在教研网、学生网,还可能有运营性的宿舍网络。
3)网络可管理性、安全性要求高;对网络先进性亦有要求。

校园网是为学校师生(以及家属、访客等)提供教学、科研和综合信息服务的计算机网络。
高教校园网特指高等教育院校的校园网。
高教园区网一般分为宿舍区/生活区/教学区/公共区等,通过有线、无线的方式提供网络接入服务,帮助校园进入数字化时代,提升学校人才培养及创新能力。

Cernet一般指中国教育和科研计算机网。中国教育和科研计算机网(China Education and Research Network)简称CERNET,是由国家投资建设,教育部负责管理,清华大学等高等学校承担建设和管理运行的全国性学术计算机互联网络。

政务园区网络

1)通常指政府机构的内部网络。
2)安全要求极高,通常采用内网和外网隔离的措施保障涉密信息的绝对安全。

商业园区网络

1)商场、超市、酒店、公园等。
2)网络主要用于服务消费者,此外还包含服务内部办公的子网。
3)提供上网服务,并构建商业智能化系统提升用户体验,降低运维成本,提升商业效率,实现价值转移。

园区网络典型架构

但是,无论如何变化,园区网络一般划分为出口层、核心层、汇聚层及接入层。

接入层(Access Layer)

为终端用户提供园区网接入功能,是园区网的边界:
1)接入层为用户提供各种接入方式,是终端接入网络的第一层。
2)接入层通常由接入交换机组成,接入层交换机在网络中数量众多,安装位置分散,通常是低端二层交换机。
3)如果终端层存在无线终端设备,接入层需要无线接入点AP设备,AP设备通过接入交换机接入网络。

设备:有线网络、低端二层交换机、无线接入点(AP) ;

协议:VRRPMSTP

汇聚层(Aggregation Layer)

处于园区网的中间层次,完成数据汇聚或交换的功能,可以提供一些关键的网络基本功能,如路由、安全等。

设备:三层交换机(负责连接二层与三层)

协议:IGP(OSPF、ISIS)、LLDP、链路聚合、交换机堆叠(iStack)

核心层(Core Layer)

是园区网骨干,是园区数据交换的核心,联接园区网的各个组成部分,如数据中心、管理中心、园区出口等。

设备:高端交换机

协议:IGP(OSPF、ISIS)、LLDP、WLAN AC(802.11)、SNMP、NETCONF(YANG)、

出口区

园区内部网络到外部网络的边界,用于实现内部用户接入到公网,外部用户(包括客户、合作伙伴、分支机构、远程用户等)接入到内部网络。

设备:防火墙、出口路由器

协议:NAT、VPN、EGP(BGP)、

数据中心区

部署服务器和应用系统的区域,为企业内部和外部用户提供数据和应用服务。

模块化网络设计

企业网体系结构

企业网络架构(概览)

数据中心:对内服务的数据,仅内部使用。

DMZ:对外访问的服务;

核心层:转发流量,对性能要求较高;

扩展企业网络

使用 VPN,或者专线网络(价格成本高)来扩充网络。

提升企业网性能

配置优化、设备冗余,来提升网路性能。

保证企业网络安全

内部网络安全:防火墙、准入技术(终端设备的访问认证、终端设备的健康检查)

外部网络安全:通过网络设备

管理企业网络

eSight:华为网关系统,管理所有网络设备;

当前园区网络运维面临的挑战(现在)

数字化时代,园区网络的特征(未来)