1.1.2 园区网络的分类

园区网络服务于园区和园区内部的组织。由于园区和园区内部组织具有多样性，园区网络互有不同。

1.从规模大小看

按照终端用户数量或者网元数量，可将园区网络分为小型园区网络、中型园区网络和大型园区网络，如表1-1所示。中型园区网络和小型园区网络有时又被统称为中小型园区网络。

通常来说，大型园区网络本身需求和结构复杂，管理维护的工作量很大，因此会有专业的运维团队负责整个园区的IT（Information Technology，信息技术）管理，包括园区网络的规划、建设、运维和故障处理，同时运维团队会构建完善的管理维护平台，协助其更好地完成运维工作；中小型园区网络受限于预算，通常不会有专业人员和专门的运维平台，往往只有一个员工兼职负责维护网络。

2.从服务对象看

从园区网络的服务对象来看，有些园区网络是封闭的，使用者仅限于组织的内部人员，有些园区网络是开放的，外部人员也可以使用。封闭园区网络和开放园区网络的威胁来源不同，相应的网络安全需求和解决方案也会不同。

封闭园区网络的用户都是内部人员，内部人员的上网行为固定，而且可以通过内部的各种规章制度和奖惩措施进行有效管控。因此，封闭园区网络的威胁主要来自外部入侵。封闭园区网络通常采用堡垒模型，以避免外部非法接入和内部非法访问。一方面，需要引入NAC（Network Admission Control，网络准入控制），采用用户名/账号、令牌、证书等方式进行身份验证，防止非内部人员接入网络；另一方面，需要引入防火墙，部署在不同安全区域的边界，例如网络的出入口处。

对于开放园区网络，由于需要尽可能地服务于公众，网络接入认证需要同时考虑便于公众接入和有效识别用户身份，为此用户身份识别系统一般使用手机号码加短信识别码、社交账号认证等方式，这样还简化了账号管理的工作量。另外，因为公众接入行为具有不确定性，网络安全威胁可能较多，需要在网络内部部署用户行为管控系统，避免有意无意的非法行为。例如，用户终端感染了网络病毒，病毒就会对网络系统进行攻击；为了使网络有能力抑制攻击，用户行为管理系统需要能够识别用户行为，对用户流量实施隔离清洗，这样既可保证用户上网，又不影响网络中的其他用户。

实际运行的园区网络通常既有封闭子网，又有开放子网。服务于公众的网络总会有一个封闭子网，用于内部办公和管理；服务于内部人员的园区网络通常也会有部分开放的需求。例如，企业园区网络会开放部分区域网络给访客使用，以提升沟通和合作效率；政务园区网络会开放部分区域网络用于提供政务便民服务。这种情况下，封闭子网和开放子网之间分属不同的安全域，需要进行隔离。通常的隔离手段包括物理隔离、逻辑网络隔离、防火墙隔离等。对于需要强安全性的网络，一般采取物理隔离，即网络之间完全不互通。

3.从承载业务看

从网络承载的业务来看，园区网络可以分为单业务园区网络和多业务园区网络。承载业务的复杂程度决定了园区网络架构的复杂性。

早期的园区网络通常只承载数据业务，园区的其他业务由其他专网承载。现在的多数中小企业网络业务单一，如租用写字楼中办公室的小型企业的基础网络通常由写字楼的出租方提供，因此企业的园区网络仅需要承载内部的数据通信业务。单业务园区网络的架构会趋于简单化。

先进的大型网络通常服务于独立的大型园区。园区需要提供各种基础服务，例如消防管理服务、视频监控服务、车辆管理服务、能耗控制服务等。如果在大型园区内为每种服务各自部署专门的网络，成本会很高，且管理维护非常麻烦。因此，这些基础服务的技术逐步转向数字化和以太化，以便使用成熟的以太网承载。园区网络逐渐多业务化，一个网络需要承载多种不同的业务，不同的业务间需要实施隔离和保障，园区网络的架构也开始复杂化和虚拟化。

4.从接入方式看

从接入方式上看，园区网络可以分为有线园区网络和无线园区网络。当前的园区网络大多数为有线和无线混合网络。无线园区网络不受端口位置和线缆的限制，网络使用自由，部署灵活。

传统的园区网络是有线园区网络。从使用者的角度看，每台接入网络的设备都需要通过网线连接到预置在墙体或者桌面的网口上。有线园区网络通过实体的线缆进行连接，不同连接之间基本不存在相互的影响。因此，有线网络的架构通常是结构化、层次化的，逻辑清晰，管理简单，故障易于排查。

无线园区网络和有线园区网络的特征差异很大。无线园区网络通常基于Wi-Fi标准，又称为WLAN（Wireless Local Area Network，无线局域网）。WLAN终端通过IEEE 802.11系列空口协议与WLAN接入点进行无线连接。由于是无线连接，网络部署和安装质量会决定网络覆盖的效果，且需要定期针对网络业务情况实施网络优化，才能保证网络质量。另外，无线网络易受外部信号源的干扰，进而引发一系列难以定位的异常。由于无线网络空间连接是不可见和不连续的，异常情况具有突发性，难以复现。无线网络的运维需要运维人员具备与无线空口相关的知识和业务经验。

5.从不同行业看

从园区网络服务的行业角度看，有更多不同的园区网络。为了满足不同行业园区的需求，需要根据园区网络服务的行业的特点设计园区网络架构，最终打造出带有行业属性的园区网络方案。典型的行业园区网络包括企业园区网络、校园网、政务园区网络、商业园区网络。

·企业园区网络：严格意义上来说，企业园区网络的范畴很大，可以按不同行业再往下细分。这里介绍的企业园区网络实际上特指的是基于以太网交换设备组建的企业办公网。企业办公网的组网架构一般与企业内部组织架构相对应，如图1-1所示。围绕着企业的生产与办公，园区网络需要考虑的是如何保证架构的可靠性和先进性，持续提升员工的办公体验，保障生产的效率和质量。

·校园网：根据教育对象的不同，校园可以分为普教园区和高教园区。普教园区面向的是中小学生和教师，内部网络结构和功能更接近企业园区网络。高教园区面向的是各大高等院校学生和教师，相较于普教园区网络，高教园区网络要复杂得多，不但有并行的教研网和学生网，同时还有运营性的宿舍网络，对网络的部署方式和可管理性有特别高的要求。网络不仅仅承担数据传输的功能，同时需要对在校学生的上网行为进行管理，避免出现偏激出位的行为。网络还需要承担一定的研究和教学功能，因此对其先进性，特别是对先进技术的应用有较高的需求。

·政务园区网络：通常指政府相关机构的内部网络。政务园区网络对安全性要求极高，通常采用内网和外网隔离的措施保障涉密信息的绝对安全。

·商业园区网络：通常指各种商业机构和商业场所的网络，例如商场、超市、酒店、博物馆、公园等。商业园区网络会包含一个服务于内部办公的封闭子网，但更为主要的还是服务于消费者，例如商场超市的顾客、酒店的住客等。商业园区网络不仅仅提供网络服务，同时还会构建相应的商业智能化系统，通过网络系统提升客户体验，降低运营成本，提升商业效率，实现价值转移。