HCIA-Datacom 22. 园区网典型组网架构及案例实践

22.1 园区网络基本概念

园区网络是限定区域内，连接人与物的局域网络；园区网络通常只有一个管理主体；如果有多个管理主体，通常被认为为多个园区网络。

园区网典型架构

园区网络典型层次和区域：

• 核心层：是园区网骨干，是园区数据交换的核心，联接园区网的各个组成部分，如数据中心、管理中心、园区出口等。
• 汇聚层：处于园区网的中间层次，完成数据汇聚或交换的功能，可以提供一些关键的网络基本功能，如路由、QoS、安全等。
• 接入层：为终端用户提供园区网接入服务，是园区网的边界。
• 出口区：园区内部网络到外部网络的边界，用于实现内部用户接入到公网，外部用户接入到内部网络。一般会在此区域中部署大量的网络安全设备来抵御外部网络的攻击，如IPS（intrusion prevention system，入侵防御系统）、Anti-DDoS设备、Firewall（防火墙）等。
• 数据中心区：部署服务器和应用系统的区域，为企业内部和外部用户提供数据和应用服务。
• 网络管理区：部署网络管理系统的区域，包括SDN控制器，无线控制器，eLOG (日志服务器）等，管理监控整个园区网络。

小型园区网典型架构

• 小型园区网络应用于接入用户数量较少的场景，一般支持几个至几十个用户。网络覆盖范围也仅限于一个地点，网络不分层次结构。网络建设的目的常常就是为了满足内部资源互访。
• 小型园区网络特点：
  • 用户数量较少
  • 仅单个地点
  • 网络无层次性
  • 网络需求简单
    
    

中型园区网典型架构

• 中型园区网络能够支撑几百至上千用户的接入。

• 中型网络引入了按功能进行分区的理念，也就是模块化的设计思路，但功能模块相对较少。一般根据业务需要进行灵活分区。

• 中型园区网络特点：

  • 规模中等
  • 使用场合最多
  • 功能分区
  • —般采用三层网络结构：核心、汇聚、接入
    
    
    大型园区网典型架构

• 大型园区网络可能是覆盖多幢建筑的网络，也可能是通过WAN连接一个城市内的多个园区的网络。一般会提供接入服务，允许出差员工通过VPN等技术接入公司内部网络。

• 大型园区网络特点：

  • 覆盖范围广
  • 用户数量多
  • 网络需求复杂
  • 功能模块全
  • 网络层次丰富
    
    

园区网络主要协议/技术

22.2 典型园区网络建设流程

22.2.1 网络需求

某公司（规模为200人左右）因业务发展需要，准备搭建一张全新的园区网络，对网络需求如下：

• 能够满足公司当前的业务需求
• 网络拓扑简单，维护方便
• 提供有线接入供员工办公使用，提供WiFi服务供访客使用
• 做到简单的网络流量管理
• 保证一定的安全性

22.2.2 园区网络项目生命周期

22.2.3 小型园区网络设计

1. 组网方案设计

   综合考虑预算、业务需求等因素之后，物理拓扑如下图所示：

   • 整个网络采用三层架构
     • 接入层接入交换机采用S3700，为员工PC以及打印机等终端提供百兆网络接入。
     • 汇聚层采用S5700设备，作为二层网络的网关。
     • 核心&出口采用AR2240设备，作为整个园区网络的出口。

2. 网络设计

   • 基础业务设计-VLAN

     • VLAN设计

       VLAN编号建议连续分配，以保证VLAN资源合理利用。

       VLAN划分需要区分业务VLAN、管理VLAN和互联VLAN。

       最常用的划分方式是基于接口的方式。

       

     • VLAN规划

       预留二层设备的管理VLAN。

       根据人员结构划分，分为访客VLAN，研发部VLAN，市场部VLAN，行政部VLAN。

       考虑到三层交换机需要通过VLANIF与路由连通，所以需要预留互联VLAN。

       AP与AC之间建立CAPWAP隧道所需要的VLAN。

       

   • 基础业务设计-IP地址

     • IP地址设计

       

     • IP地址规划

       综合考虑接入客户端个数并预留足够的IP地址，为每类业务规划网段及网关地址。

       为管理IP划分网段。

       为互联IP划分网段。

       

     • IP地址分配方式设计

       

     • IP地址分配方式规划

       出口网关采用PPPoE方式获取IP地址。

       所有终端采用DHCP方式获取IP地址，服务器及打印机分配固定的IP地址。

       所有网络设备上的IP地址采用手工静态方式配置（AP除外）。

       

   • 基础业务设计-路由设计

     园区内部的路由设计：

     • 同—网段内：通过DHCP分配lP地址后默认会生成一条缺省路由，以Agg-S1作为三层网关。
     • 不同网段之间：由于当前拓扑较为简单，通过在所有需要转发三层数据的设备上部署静态路由即可满足需求，无需部署复杂的路由协议。

     园区出口的路由设计：配置静态默认路由。

     

   • WLAN设计

     • WLAN组网与转发方式设计

       

     • WLAN数据规划

       

   • 可靠性设计

     端口级别的可靠性：为了增加接入交换机与汇聚交换机之间的可靠性，同时为了增加链路带宽，采用以太网链路聚合技术。

     设备级别的可靠性：可以采用iStack或者CSS技术，本组网不涉及。

     

   • 二层环路避免

     当前网段并没有引入冗余链路，为防止办公人员误操作造成的二层网络环路呢，可在二层网络采用生成树技术，防止环路产生。同时建议手工配置Agg-S1为根桥。

     

   • 出口NAT设计

     

3. 安全设计

   

4. 运维管理设计

   

22.2.4 配置方案

1. 网络设备之间物理线路连接，配置链路聚合，同时添加接口描述，详细内容如下：

   

2. 基础业务-VLAN配置，采用基于端口的划分方式，详细内容如下：

   

3. 基础业务-IP地址配置，终端与AP采用DHCP方式，设备采用静态配置，详细内容如下：

   

4. 基础业务-IP地址分配方式配置，关于DHCP的详细内容如下：

   

5. 基础业务-路由配置，由于网络规模较小且网元数量较少，采用静态路由方式，详细内容如下：

   

6. 网络管理配置，采用Telnet远程管理，认证方式为AAA，详细内容如下：

   

7. 网络出口配置

   

8. WLAN配置

   

9. 安全相关配置，详细内容如下：