目录

园区出口区

数据中心区

网络管理区

DMZ区

核心层

汇聚层

终端层

接入层

---

大中型园区网络通常采用核心层为“根”的树形网络架构，拓扑稳定，易于扩展和维护。

园区网络可划分为多个层次：接入层、汇聚层、核心层，

以及多个分区：出口互联区、数据中心区、网络管理区、DMZ区等，各功能分区模块清晰，模块内部调整涉及范围小，易于进行问题定位。

各个分层模块在网络中的作用如下：

接入层 的 交换机可以多于部门接入端口，方便后期添加接入设备而方便拓展

在汇聚层和核心层划分一个vlan，使用vlanif接口地址作为管理地址，

使用ospf协议作为路由协议，收敛速度快、拓展性好

配备高性能的数据冗余转接设备和防止负载过剩的均衡负载的设备，采用双核心三层交换机，实现负载均衡，以降低各核心层交换机所需承载的数据量

园区出口区

园区出口是园区内部网络到外部网络的边界，园区授权有效用户通过园区出口区接入到外部网络，外部网络的用户通过园区出口区接入到内部网络。园区出口区一般需要部署出口路由器和防火墙。路由器解决内外网互通的问题，防火墙提供边界安全防护能力。

数据中心区

数据中心区是管理业务服务器（例如文件服务器、邮件服务器等）的区域，为企业内部和外部用户提供业务服务。

网络管理区

网络管理区是管理网络服务器（例如网管系统、认证服务器等）的区域。网管系统通过网管协议与和网络设备交互，能够提供配置、管理和运维功能，主流的网管协议有：SNMP（简单网络管理协议）和Netconf（网络配置协议）。认证服务器可提供网络准入的认证、授权和计费功能，主流的认证协议有：RADIUS（用户远端拨号接入服务）和TACACS（终端访问控制器访问控制系统）。

DMZ区

DMZ（半信任区）区为外部访客（非企业员工）提供访问业务，通常将公用服务器部署在该区域，其安全性受到严格控制。

核心层

核心层是园区数据交换的核心，连接园区网的各个组成部分，如数据中心、汇聚层、出口区等，核心层负责整个园区网络的高速互联。网络需要实现带宽的高利用率和网络故障的快速收敛，通常需要部署高性能的核心交换机，通常三个以上部门规模的园区网建议规划核心层。针对无线网络，核心层包括WAC，WAC通过CAPWAP（无线接入点控制协议）协议对AP进行管理。

汇聚层

汇聚层是接入层与园区核心骨干网之间的网络分界线，主要用于转发用户间的“横向”流量，同时转发到核心层的“纵向”流量。汇聚层可作为部门或区域内部的交换核心，实现与区域或部门专用服务器区的连接。另外汇聚层还可以扩展接入终端的数量。

终端层

终端层是指接入园区网络的各种终端设备，例如电脑、打印机、IP话机、手机、摄像头等。

接入层

接入层为用户提供各种接入方式，是终端接入网络的第一层。接入层通常由接入交换机组成，接入层交换机在网络中数量众多，安装位置分散，通常是简单的二层交换机。如果终端层存在无线终端设备，接入层需要无线接入点AP设备，AP设备通过接入交换机接入网络。