终端层是指接入园区网络的各种终端设备，例如电脑、打印机、IP话机、手机、摄像头等。

接入层为用户提供各种接入方式，是终端接入网络的第一层。接入层通常由接入交换机组成，接入层交换机在网络中数量众多，安装位置分散，通常是简单的二层交换机。如果终端层存在无线终端设备，接入层需要无线接入点AP设备，AP设备通过接入交换机接入网络。

汇聚层是接入层与园区核心骨干网之间的网络分界线，主要用于转发用户间的“横向”流量，同时转发到核心层的“纵向”流量。汇聚层可作为部门或区域内部的交换核心，实现与区域或部门专用服务器区的连接。另外汇聚层还可以扩展接入终端的数量。

核心层是园区数据交换的核心，连接园区网的各个组成部分，如数据中心、汇聚层、出口区等，核心层负责整个园区网络的高速互联。网络需要实现带宽的高利用率和网络故障的快速收敛，通常需要部署高性能的核心交换机，通常三个以上部门规模的园区网建议规划核心层。针对无线网络，核心层包括WAC，WAC通过CAPWAP（Control and Provisioning of Wireless Access Points，无线接入点控制协议）协议对AP进行管理。

园区出口是园区内部网络到外部网络的边界，内部用户通过园区出口区接入到外部网络，外部网络的用户通过园区出口区接入到内部网络。园区出口区一般需要部署出口路由器和防火墙。路由器解决内外网互通的问题，防火墙提供边界安全防护能力。

数据中心区是管理业务服务器（例如文件服务器、邮件服务器等）的区域，为企业内部和外部用户提供业务服务

网络管理区是管理网络服务器（例如网管系统、认证服务器等）的区域。网管系统通过网管协议与和网络设备交互，能够提供配置、管理和运维功能，主流的网管协议有：SNMP（Simple Network Management Protocol，简单网络管理协议）和Netconf（Network Configuration Protocol ，网络配置协议）。认证服务器可提供网络准入的认证、授权和计费功能，主流的认证协议有：RADIUS（Remote Authentication Dial In User Service，用户远端拨号接入服务）和TACACS（Terminal Access Controller Access-Control System，终端访问控制器访问控制系统）。

DMZ（Demilitarized Zone，半信任区）区为外部访客（非企业员工）提供访问业务，通常将公用服务器部署在该区域，其安全性受到严格控制。

组网2

出口的链路类型 如果出口区运营商提供的链路类型为EI、CE1、CPOS等非以太网的链路，考虑到路由器支持的接口类型比防火墙更为丰富，建议选择组网1，采用路由器做出口。

接口数量和密度 如果出口设备不仅要和Internet互连，还要和合作单位或分支机构通过专线互连，考虑到路由器支持的接口数量和密度更高，建议选择组网1，采用路由器做出口。

协议类型 如果出口设备与外部网络运行动态路由器协议（如BGP协议），考虑到路由器的路由表规模和性能更强大，同时考虑到在出口设备上需要部署许多路由策略，建议选择组网1，采用路由器做出口。

QoS需求 如果需要在出口设备上部署QoS策略，考虑到路由器的QoS功能更强大，建议选择组网1，采用路由器做出口。

组网1

根据网络规模确定接入交换机的端口数量：根据网络规模确定接入端口数量一般情况下，假设一个端口对应一个终端或一个网络接入点（如无线AP）。

选择接入交换机：根据终端网卡的接口速率初步确定交换机，即确定交换机的规格（接入能力、端口密度、上行方式）

计算接入交换机数量：接入交换机数量=【接入端口数量÷接入交换机的下行端口密度】（计算结果取整数偏大值。）。

交换机数量计算出来，如果数量大于1，继续选择汇聚交换机；否则就可以采用单层架构。

根据接入交换机的上行端口速率选择汇聚交换机。

计算接入交换机的上行线路数量，有如下两种计算方法：

计算汇聚交换机数量：汇聚交换机数量=【接入交换机的上行线路数量÷汇聚交换机的下行端口密度】（计算结果取整数偏大值。）。如果数量大于1，采用三层架构；否则可以采用两层架构。