园区网技术架构

最新推荐文章于 2025-03-26 14:44:56 发布

盛满暮色风止何安

最新推荐文章于 2025-03-26 14:44:56 发布

阅读量800

点赞数 19

文章标签：网络网络安全网络协议信息与通信华为

本文链接：https://blog.csdn.net/weixin_69023088/article/details/144649557

版权

前言：

园区网络一般是指企业或者企业机构的内部网络。
园区网络的主要目的是使企业或者机构的各项业务运行的更有效率
华为园区网络一般分为出口层、核心层、汇聚层及接入层
一般为了实现数据互通而搭建的网络成为园区网

园区网

按规模园区网络的划分
大型：终端用户数量/个大于2000；网元数量/个大于100
中型：终端数量/个大于200且小于2000；网元数量/个大于25且小于100
小型：终端用户数量/个小于200；网元数量/个小于25
网元：简单理解就是网络中的元素，网络中的设备，是网络管理中可以监视和管理的最小单位

园区网络典型架构和主要协议
典型架构	主要协议
接入层：为终端用户提供园区网接入功能，是园区网的边界。	DHCP、MSTP、VLAN、堆叠、链路聚合、VRRP等
汇聚层：处于园区网的中间层次，完成数据汇聚和交换的功能，可以提供一些关键的网络基础功能，如路由、安全等	堆叠、链路聚合、LLDP、OSPF、IS-IS等
核心层：是园区网的骨干，是园区数据交换的核心，联结园区网的各个组成部分	集群、802.11、OSPF、SNMP、LLDP、VPN等
出口层：园区内部网络到外部网络的边界，用于实现内部用户接入到公网，外部用户（包括客户、合作伙伴、分支机构等）接入到内部网络	NAT、BGP、静态路由、防火墙、VPN等

以太网交换基础

二层交接

概述：

二层交换是以太网交换机的基本功能。
二层交换指的是交换机根据数据帧的第二次头部中的目的MAC地址进行帧转发的行为。
每台交换机都维护一个MAC地址表，用于指导数据帧的转发。
当交换机收到数据帧时，将在其MAC地址表中查询该帧的目的MAC地址，并根据匹配的表项执行相应的操作。此外，交换机收到数据帧时，还会进行源MAC地址学习。

VLAN

概述：

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。
一个VLAN中所有设备都在同一个广播域内，不同的VLAN为不同的广播域。
VLAN内的设备间直接通信，而VLAN间不能直接互通。
一个VLAN一般为一个逻辑子网。
VLAN之间相互隔离，不同VLAN间需通过三层设备实现相互通信。
VLAN中成员多基于交换机的端口分配，所谓的VLAN划分，通常指的是将交换机的接口添加到特定的VLAN中，从而该接口所连接的设备也加入到该VLAN。
交换机的以太网二层接口主要存在以下三种类型：Access、Trunk、Hybrid。
实现VLAN之间的IP可达性：通过路由器物理接口实现、通过路由器子接口实现、通过三层交换机实现。

生成树技术

解决交换网络中的环路问题，动态地使用根据网络拓扑变更，配合冗余链路，保证二层可靠性

无线接入

WLAN

WLAN（无线局域网）广义上是指以无线电波、激光、红外线等来代替有线局域网中的部分或全部传输介质所构成的网络。

网络可靠性与网络服务、管理

VRRP

冗余备份、负载分担、联动、实现网络可靠性

堆叠和集群

iStack ( Intelligent Stack ，智能堆叠），简称堆叠，是指将多台支持堆叠特性的交换机设备组合在一起，从逻辑上组合成一台交换设备。 iStack 针对华为盒式交换机。·
CSS ( Cluster Switch System ，集群交换机系统），又称为集群，是指将两台支持集群特性的交换机设备组合在一起，从逻辑上组合成一台交换设备。 CSS 针对华为框式交换机。

DHCP

概述：

DHCP广泛应用于各种园区网络，实现有线或无线终端的IP地址自动配置
DHCP中继负载转变DHCP Server和DHCP Client之间的DHCP报文，协助DHCP Server向DHCP Client动态分配网络参数的设备
使用DHCP进行IP地址自动配置——广播发送DHCP Discover报文、服务器回应DHCP Offer报文、广播发送DHCP Request、服务器回应DHCP Ack报文

NTP

主要应用于网络中所有设备时钟需要保持一致的场合、时间服务器

一般分为网络管理、计费系统、多个系统协同处理同一个复杂事件、系统时间、备份服务器和客户机之间进行增量备份

LLDP

LLDP提供了一种标准的链路层发现方式：

获取相连设备的拓扑状态
显示设备之间的路径
检测设备间的配置冲突、查询网络失败的原因
可使用网管系统，对运行LLDP的设备进行链路状态监控，在网络发生故障的时候快速进行故障定位

SNMP

SNMP ( Simple Network nagement Protecel ，简单网络管理协议）是广泛应用手 TCP / IP 网络的网络管理标准协议。
SNMP 提供了一种通过运行网络管理软件的中心计算机（即网络管理工作站NMS)来管理设备的方法。
通过"利用网络管理网络"的方式， SNMP 实现了对网络设备的高效和批量的管理：同时， SNMP 协议也屏蔽了不同产品之间的差异，实现了不同种类和厂商的网络设备之间的统一管理。

NETCONF

NETCONF （网络配置协议）提供了一种网管和网络设备之间通信的机制。
网络管理员可以利用这套机制在网管上增加、修改、删除网络设备的配置，获取网络设备的配置和状态信息。
NETCONF 基于 XML ( Extensible Markup Language ，可扩展标记语言）。

网络安全

园区边界

通过防火墙实现不同安全区域之间的划分及业务隔离、安全管控。

通过 Anti - DDoS 设备抵御 DDoS 攻击。

通过 IPS 设备进行入侵检测及安全态势感知。

核心及汇聚层

对不同的业务进行隔离部署、互访流量管控。

按需部署网络准入控制。
部署设备本机防攻击，提高设备抗攻击能力。

接入层

建议开启广播风暴控制、 DHCP Snooping 、 IPSG 、 DAI 等安全功能，建议部署端口隔离，加强用户通信安全。、

部署网络准入控制，对接入园区的用户的身份或终端进行认证，并根据结果授予网络访问权限。

部署无线空口安全及无线业务安全。

VPN

对于规模较大的企业来说，网络访问需求不仅仅局限于公司总部网络内，分公司、出差员工、合作单位等也需要访问公司总部的网络资源，一般采用 VPN ( Virtual Private Network ，虚拟专用网络）技术来实现这一需求。
VPN 可以在不改变现有网络结构的情况下，建立虚拟专用连接。因其具有廉价、专用和虚拟等多种优势，在现网中应用非常广泛。
VPN 是一类技术的统称，不同的 VPN 技术拥有不同的特性和实现方式，常见的 VPN 技术包括 IPSec VPN 、 GRE VPN 、L2TP VPN 、 MPLS VPN 等。