| 1.1 園區網絡簡介 |

顧名思義，園區網絡就是我們在工作與生活的園區內使用的網絡。園區有大有小，具有不同的行業屬性，相應地，園區網絡也會變化多樣。但是，無論如何變化，園區網絡有構成其不同層次的統一部件模型。那么什么是園區網絡？從不同的維度看園區網絡有什么不同？它有哪些統一的部件模型？下面將詳細介紹。

1.1.1 什么是園區網絡

日常生活中，我們會接觸到各種各樣的網絡。

當您回到家中，愜意地躺在沙發上，掏出手機，自動接入家里的Wi-Fi網絡開始追劇時，接入的是家庭網絡。家庭網絡有簡有繁。簡單的家庭網絡只有一臺無線路由器，提供上網功能。復雜的家庭網絡面向的是智慧生活，可以為家中各種智能終端，例如電視機、音響、手機、計算機等，提供高速網絡服務；可以接入NAS（Network Attached Storage，網絡附接存儲）子系統，能夠提供數據安全存儲、內容自動獲取和信息共享的服務；可以接入智能安防子系統，支持遠程監控家庭環境和智能檢測威脅及報警；可以接入IoT（Internet of Things，物聯網）子系統，對家庭的各種電器和智能設備進行自動或遠程控制，例如回家路上提前打開空調，進門就可以享受舒適的環境。

家庭網絡對外連接的通常是運營商的城域網。運營商通過城域網，為各類企業用戶和個人用戶提供以互聯網連接、專線、VPN（Virtual Private Network，虛擬專用網）為主的電信互聯網服務，以及基于互聯網服務的各類增值服務，例如互聯網電視服務。城域網覆蓋城市和鄉村，通常由使用廣域網技術的路由器構成核心層，由使用局域網技術的以太網交換機構成匯聚層，由以太網交換機或者使用PON（Passive Optical Network，無源光網絡）技術的OLT（Optical Line Terminal，光線路終端）、ONU（Optical Network Unit，光網絡單元）構成接入網。城域網之間通過各種廣域網互聯，形成一個全球性的互聯網。

當您隨時隨地掏出手機通過移動通信信號上網時，接入的是移動通信網絡。移動通信網絡通常由運營商建設和運營，由一系列的基站以及基站控制器、回傳網絡和核心網構成，可以在廣闊的范圍內為用戶提供語音通話服務以及高速無線上網服務。

還有一類我們經常接觸到的網絡。

當您走進校園學習、走進單位工作、走進商場購物、到旅游景點游玩、入住酒店休息時，您可能會注意到這些場所也被網絡覆蓋。在校園里，有供老師辦公教學用的封閉辦公網，也有供學生訪問教學資源和訪問互聯網的半開放學生網；在單位內部，有單位建設的內部網絡供員工辦公使用，這些網絡通常是封閉的，以保證安全性；在商場和酒店，除了有內部人員使用的封閉辦公網外，還有向消費者開放的網絡，后者作為優質服務的一部分用于提升企業的競爭力。這些網絡都屬于園區網絡。

傳統的園區網絡一般是一個在連續的、有限的地理區域內相互連接的局域網，不連續區域的網絡會被視作不同的園區網絡。很多企業和校園都有多個園區，園區之間通過廣域網技術進行連接。現在，受云計算和SDN等技術的影響，企業業務大量部署在云端，多個園區之間會通過SD-WAN（Software Defined Wide Area Network，軟件定義廣域網）技術進行互聯，企業可以統一管理多個園區的網絡，這種情況下，企業多個園區的網絡也可以看作一個邏輯上的園區網絡。

園區網絡的規模可大可小，小的有如SOHO（Small Office Home Office，家居辦公室），大的有校園、企業、公園、購物中心等。園區的規模是有限的，一般的大型園區，例如高校園區、工業園區，規模依然被限制在幾平方千米以內，在這個范圍內，可以使用局域網技術構建網絡。超過這個范圍的“園區”通常被視作一個“城域”，需要用到城域網技術，相應的網絡會被視作城域網。

園區網絡使用的典型局域網技術包括遵循IEEE 802.3標準的以太網技術（有線）和遵循IEEE 802.11標準的Wi-Fi技術（無線）。

園區網絡通常只有一個管理主體。也就是說，覆蓋同一個區域的多個網絡，如果有多個管理者，通常被認為是多個園區網絡；如果都由一個管理者管理，我們會把這多個網絡當作一個園區網絡的多個子網。

1.1.2 園區網絡的分類

園區網絡服務于園區和園區內部組織。由于園區和園區內部組織具有多樣性，園區網絡也互有不同。

1.從規模大小看

按照終端用戶數量或者網元數量，可將園區網絡分為小型園區網絡、中型園區網絡和大型園區網絡，如表1-1所示。中型園區網絡和小型園區網絡有時又被統稱為中小型園區網絡。

表1-1 按終端用戶數量或者網元數量衡量的園區網絡規模大小

通常來說，大型園區網絡本身需求和結構復雜，管理維護的工作量很大，因此會有專業的運維團隊負責整個園區的IT（Information Technology，信息技術）管理，包括園區網絡的規劃、建設、運維和故障處理，同時運維團隊會構建完善的管理維護平臺，協助其更好地完成運維工作；中小型園區網絡受限于預算，通常不會有專業人員和專門的運維平臺，往往只有一個員工兼職負責維護網絡。

2.從服務對象看

從園區網絡的服務對象看，有些園區網絡是封閉的，使用者僅限于組織的內部人員，有些園區網絡是開放的，外部人員也可以使用。封閉園區網絡和開放園區網絡的威脅來源不同，相應的網絡安全需求和解決方案也會不同。

封閉園區網絡的用戶都是內部人員，內部人員的上網行為固定，而且可以通過內部的各種規章制度和獎懲措施進行有效管控。因此，封閉園區網絡的威脅主要來自外部入侵。封閉園區網絡通常采用堡壘模型，以避免外部非法接入和內部非法訪問。一方面，需要引入NAC（Network Admission Control，網絡準入控制），采用用戶名/賬號、令牌、證書等方式進行身份驗證，防止非內部人員接入網絡；另一方面，需要引入防火墻，部署在不同安全區域的邊界，例如網絡的出入口處。

對于開放園區網絡，由于需要盡可能地服務于公眾，網絡接入認證既需要便于公眾接入，又需要有效識別用戶身份，為此用戶身份識別系統一般使用手機號碼加短信識別碼、社交賬號認證等方式，這樣還簡化了賬號管理的工作量。另外，因為公眾接入行為具有不確定性，網絡安全威脅可能較多，需要在網絡內部部署用戶行為管控系統，避免有意或無意的非法行為。例如，用戶終端感染了網絡病毒，病毒就會對網絡系統進行攻擊；為了使網絡有能力抑制攻擊，用戶行為管理系統需要能夠識別用戶行為，對用戶流量實施隔離清洗，這樣既可保證用戶上網，又不影響網絡中的其他用戶。

實際運行的園區網絡通常既有封閉子網，又有開放子網。服務于公眾的網絡總會有一個封閉子網，用于內部辦公和管理；服務于內部人員的園區網絡通常也會有部分開放的需求。例如，企業園區網絡會開放部分區域網絡給訪客使用，以提高溝通和合作效率；政務園區網絡會開放部分區域網絡用于提供政務便民服務。這種情況下，封閉子網和開放子網之間分屬不同的安全域，需要進行隔離。通常的隔離手段包括物理隔離、邏輯網絡隔離、防火墻隔離等。對于需要強安全性的網絡，一般采取物理隔離，即網絡之間完全不互通。

3.從承載業務看

從網絡承載的業務看，園區網絡可以分為單業務園區網絡和多業務園區網絡。承載業務的復雜程度決定了園區網絡架構的復雜性。

早期的園區網絡通常只承載數據業務，園區的其他業務由其他專網承載。現在的多數中小企業網絡業務單一，如租用寫字樓中辦公室的小型企業的基礎網絡通常由寫字樓的出租方提供，因此企業的園區網絡僅需要承載內部的數據通信業務。單業務園區網絡的架構會趨于簡單化。

先進的大型網絡通常服務于獨立的大型園區。園區需要提供各種基礎服務，例如消防管理服務、視頻監控服務、車輛管理服務、能耗控制服務等。如果在大型園區內為每種服務各自部署專門的網絡，成本會很高，且管理維護非常麻煩。因此，這些基礎服務的技術逐步轉向數字化和以太化，以便使用成熟的以太網承載。園區網絡逐漸多業務化，一個網絡需要承載多種不同的業務，不同的業務間需要實施隔離和保障，園區網絡的架構也開始復雜化和虛擬化。

4.從接入方式看

從接入方式看，園區網絡可以分為有線園區網絡和無線園區網絡。當前的園區網絡大多數為有線和無線混合網絡。無線園區網絡不受端口位置和線纜的限制，網絡使用自由，部署靈活。

傳統的園區網絡是有線園區網絡。從使用者的角度看，每臺接入網絡的設備都需要通過網線連接到預置在墻體或者桌面的網口上。有線園區網絡通過實體的線纜進行連接，不同連接之間基本不存在相互的影響。因此，有線網絡的架構通常是結構化、層次化的，邏輯清晰，管理簡單，故障易于排查。

無線園區網絡和有線園區網絡的特征差異很大。無線園區網絡通常基于Wi-Fi標準，又稱為WLAN（Wireless Local Area Network，無線局域網）。WLAN終端通過IEEE 802.11系列空口協議與WLAN接入點進行無線連接。由于是無線連接，網絡部署和安裝質量會決定網絡覆蓋的效果，且需要定期針對網絡業務情況實施網絡優化，才能保證網絡質量。另外，無線網絡易受外部信號源的干擾，進而引發一系列難以定位的異常。由于無線網絡空間連接是不可見和不連續的，異常情況具有突發性，難以復現。無線網絡的運維需要運維人員具備與無線空口相關的知識和業務經驗。

5.從不同行業看

從園區網絡服務的行業看，有更多不同的園區網絡。為了滿足不同行業園區的需求，需要根據園區網絡服務的行業的特點設計園區網絡架構，最終打造出帶有行業屬性的園區網絡方案。典型的行業園區網絡包括企業園區網絡、校園網、政務園區網絡、商業園區網絡。

·企業園區網絡：從嚴格意義上來說，企業園區網絡的范疇很大，可以按不同行業再往下細分。這里介紹的企業園區網絡實際上特指的是基于以太網交換設備組建的企業辦公網。企業辦公網的組網架構一般與企業內部組織架構相對應，如圖1-1所示。圍繞著企業的生產與辦公，園區網絡需要考慮的是如何保證架構的可靠性和先進性，持續提升員工的辦公體驗，保障生產的效率和質量。

圖1-1 企業園區網絡架構

·校園網：根據教育對象的不同，校園可以分為普教園區和高教園區。普教園區面向的是中小學生和教師，內部網絡的結構和功能更接近企業園區網絡。高教園區面向的是各大高等院校的學生和教師，相較于普教園區網絡，高教園區網絡要復雜得多，不但有并行的教研網和學生網，同時還有運營性的宿舍網絡，對網絡的部署方式和可管理性有特別高的要求。校園網不僅僅承擔數據傳輸的功能，同時需要對在校學生的上網行為進行管理，避免出現偏激出位的行為。校園網還需要一定的研究和教學功能，因此學校對校園網的技術先進性有較高的要求。

·政務園區網絡：通常指政府相關機構的內部網絡。政務園區網絡對安全性要求極高，通常采用內網和外網隔離的措施保障涉密信息的絕對安全。

·商業園區網絡：通常指各種商業機構和商業場所的網絡，例如商場、超市、酒店、博物館、公園等。商業園區網絡會包含一個服務于內部辦公的封閉子網，但主要還是服務于消費者，例如商場超市的顧客、酒店的住客等。商業園區網絡不僅僅提供網絡服務，同時還會構建相應的商業智能化系統，通過網絡系統提升客戶體驗，降低運營成本，提高商業效率，實現價值轉移。

1.1.3 園區網絡的構成

園區網絡雖然多種多樣，但是它按業務架構可以抽象成具有不同層次部件的統一模型，如圖1-2所示。正是基于園區網絡抽象的統一模型，在園區網絡會因為技術革新而變得更加復雜時，網絡架構師可以找到化繁為簡的契機，讓園區網絡變得像水一樣，能夠適應任意一種“盛水的容器”（園區）。下面在介紹園區網絡不同的功能部件時，也會提及這些部件在未來園區網絡架構中的變化。

1.園區數據網絡

園區數據網絡是基于以太網技術或者WLAN技術構建而成的，由園區內部所有數據通信設備構成，包含各類以太網交換機、AP（Access Point，接入點）、WAC（Wireless Access Controller，無線接入控制器）和FW（Firewall，防火墻）等，所有的內部數據流量都會經過園區數據網絡進行轉發。

園區數據網絡通常由同一個管理者管理的多個子網構成，用于承載不同的業務，比如所有園區都會有的辦公子網，用于日常員工辦公；很多園區內部會保留獨立的視頻會議子網，并通過專門的子網和鏈路保證視頻會議的質量；未來園區數據網絡會接入IoT設備，有專門承載物聯網業務數據的子網，而且由于提供不同業務的物聯網技術不同，往往存在多個并行的物聯網子網；另外，一般園區會有內部的數據中心，承載數據中心內部數據轉發的子網被稱為數據中心網絡。未來園區數據網絡的發展方向之一就是網絡多業務化，由一個融合的園區數據網絡統一承載各種業務。

注：LBS即Location Based Service，基于位置的服務。

圖1-2 園區網絡的統一模型

2.接入終端

對多數網絡而言，終端并不被看作網絡的一部分，而是被看作網絡的消費者。原因是終端的產權所有者和管理者不是網絡的管理者。但是園區網絡有所不同，終端往往被看作網絡的一部分，這是因為園區內部很多終端的所有者就是園區，或者園區網絡管理者可以通過管理手段獲得權限，從而對園區內部的終端實施管理。這樣，園區數據網絡和接入終端可以充分互動，形成端到端的網絡。

將接入終端視作園區網絡的一部分后，園區網絡管理者可以更加積極地對終端實施管理和限制，從而簡化解決方案。例如，強制終端安裝指定的防病毒軟件，并在接入網絡時進行檢查，這在極大地減少病毒對網絡威脅的同時，簡化了網絡的防病毒解決方案。

端管協同也有利于網絡向終端提供更為優質的服務。例如，未來Wi-Fi網絡應用于電子課堂時，可以通過對接入終端進行批量指定來優化網絡，提升AP的并發接入率、帶寬和漫游性能，滿足用戶對視頻質量的要求。

3.網絡管理平臺

網絡管理平臺是一個傳統的部件，但在最新的園區網絡架構中，網絡管理平臺的定位和它的動能都發生了質的變化，這是化繁為簡的關鍵之一。傳統的網絡管理平臺通常包含各種網管，能夠為網絡或者設備提供有限的遠程管理維護功能。新一代的網絡管理平臺不但具有網管的全部功能，而且其管理維護功能會發生質變，能夠對常用場景或者流程實施自動化管理。同時，網絡管理平臺還是業務應用的底座，可提供開放的南北向接口，允許各種業務系統調用網絡。

4.安全平臺

基于新一代的網絡管理平臺還可以構建新一代的安全平臺，通過調用網絡管理平臺提供的南北向接口，再結合Telemetry采集的網絡大數據，提供智能化的安全管理。

先進的安全平臺能夠對APT（Advanced Persistent Threat，高級可持續性攻擊，業界常稱高級持續性威脅，本書用后者）攻擊進行防御，這需要有網絡大數據的支持。安全平臺可以基于網絡管理平臺提供的大數據分析檢測APT攻擊，也可以通過調用網絡管理平臺提供的南北向接口完成威脅流隔離和自動清洗，實現對APT攻擊的防御。

5.業務應用平臺

未來園區可以通過網絡管理平臺提供的南北向接口開發更多業務應用，構建基于園區網絡的業務應用平臺。比如對于商業園區網絡，可以調用網絡管理平臺的接口以獲取Wi-Fi網絡提供的定位數據，開發客流熱力相關的應用，從而為商業場地的調整提供參考。