1.1.3 园区网络的构成

园区网络虽然多种多样，但是园区网络按业务架构可以抽象成具有不同层次部件的统一模型，如图1-2所示。正是基于园区网络抽象的统一模型，在园区网络会因为技术革新而变得更加复杂时，网络架构师们可以找到化繁为简的契机，让园区网络变得像水一样，能够适应任意一种盛水的容器（园区）。下面在介绍园区网络不同的功能部件时，也会提及这些部件在未来园区网络架构中的变化。

图1-2 园区网络的统一模型

1.园区数据网络

园区数据网络是基于以太网技术或者WLAN技术构建而成的，由园区内部所有数据通信设备构成，包含各类以太网交换机、AP（Access Point，接入点）、WAC（Wireless Access Controller，无线接入控制器）和FW（Firewall，防火墙）等，所有的内部数据流量都会经过园区数据网络进行转发。

园区数据网络通常由同一个管理者管理的多个子网构成，用于承载不同的业务，比如所有园区都会有的办公子网，用于日常员工办公；很多园区内部会保留独立的视频会议子网，并通过专门的子网和链路保证视频会议的质量；未来园区数据网络会接入IoT设备，会有专门承载物联网业务数据的子网，而且由于提供不同业务的物联网技术不同，往往存在多个并行的物联网子网；另外，一般园区会有内部的数据中心，承载数据中心内部转发的子网被称为数据中心网络。未来园区数据网络的发展方向之一就是网络多业务化，由一个融合的园区数据网络统一承载各种业务。

2.接入终端

对于多数网络而言，终端并不被看作网络的一部分，而是被看作网络的消费者。原因是终端的产权所有者和管理者不是网络的管理者。但是园区网络有所不同，终端往往被看作网络的一部分，这是因为园区内部很多终端的所有者就是园区网络的管理者，或者园区网络管理者可以通过管理手段获得权限，从而对园区内部的终端实施管理。这样，园区数据网络和接入终端可以充分互动，形成端到端的网络。

将接入终端视作园区网络的一部分后，园区网络管理者可以更加积极地对终端实施管理和限制，从而简化解决方案。例如，强制终端安装指定的防病毒软件，并在接入网络时进行检查，这在极大地降低病毒对网络威胁的同时，也简化了网络的防病毒解决方案。

端管协同也有利于网络向终端提供更为优质的服务。例如，未来Wi-Fi网络应用于电子课堂时，可以通过对接入终端进行批量指定来优化网络，提升AP的并发接入率、带宽和漫游性能，满足用户对视频质量的要求。

3.网络管理平台

网络管理平台是一个传统的部件，但在最新的园区网络架构中，网络管理平台的定位和它的动能都发生了质的变化，这是化繁为简的关键之一。传统的网络管理平台通常包含各种网管，能够为网络或者设备提供有限的远程管理维护功能。新一代的网络管理平台不但具有网管的全部功能，而且其管理维护功能会发生质变，能够对常用场景或者流程实施自动化管理。同时，网络管理平台还是业务应用的底座，可提供开放的南北向接口，允许各种业务系统调用网络。

4.安全平台

基于新一代的网络管理平台还可以构建新一代的安全平台，通过调用网络管理平台提供的南北向接口，再结合Telemetry采集的网络大数据，提供智能化的安全管理。

先进的安全平台能够对APT（Advanced Persistent Threat，高级持续性威胁）攻击进行防御，这需要有网络大数据的支持。安全平台可以基于网络管理平台提供的大数据分析检测APT攻击，也可以通过调用网络管理平台提供的南北向接口完成威胁流隔离和自动清洗，实现对APT攻击的防御。

5.业务应用平台

未来园区可以通过网络管理平台提供的南北向接口开发更多业务应用，构建基于园区网络的业务应用平台。比如对于商业园区网络，可以调用网络管理平台的接口以获取Wi-Fi网络提供的定位数据，开发客流热力相关的应用，从而为商业场地的调整提供参考。