第7章--园区网出口常见应用模型

第7章园区网出口常见应用模型前言本章内容主要介绍了园区网出口的常见应用模型和规划设计方法，对于相关的技术原理和配置细节没有过多的阐述。课程目标学完本次课程，您可以掌握以下知识点：园区网出口的常见功能需求园区网出口的设备和线路应用园区网出口的规划设计思想园区网出口的部署方法园区网出口的常见问题提纲园区网出口的功能需求园区网出口的设备需求园区网出口的线路需求园区网出口的常见应用模型园区网与出口设备的整合应用案例园区网出口的常见问题和解决思路提纲园区网出口的功能需求INTERNET访问CERNET访问对外服务器公布多出口策略应用负载均衡和热备份系统状态监控日志记录和分析园区网出口的设备需求园区网出口的线路需求园区网出口的常见应用模型园区网与出口设备的整合应用案例园区网出口的常见问题和解决思路INTERNET访问Internet为人们进行科学研究、商业活动、社会生活等方面的信息共享提供了重要手段园区网出口的功能需求CERNET访问中国教育和科研计算机网（CERNET）CERNET已经成为世界上最大的学术性计算机网络我国高等院校的校园网基本上都同时有Internet出口和CERNET出口园区网出口的功能需求对外服务器公布公网用户希望远程访问园区网内部的服务器保证对外提供服务的服务器安全园区网出口的功能需求多出口策略应用两条Internet线路增加网络带宽，提高访问速度；根据访问的需求，实现流量的负载均衡；当其中一条线路失效时，另外一条线路能够立刻接管所有的出口流量，从而实现线路的自动冗余备份；当失效的线路恢复后，能够自动恢复为负载均衡。园区网出口的功能需求多出口策略应用两条Internet线路园区网出口的功能需求电信网通1、业务分流；2、增加带宽；3、冗余备份；多出口策略应用两条Internet线路一条Internet线路、一条CERNET线路Internet线路通常是包月形式；教育网国际访问是按照流量收费的；Internet线路访问CERNET的资源速度比较慢，而且教育网中有些资源对Internet是屏蔽的；基于速度、资源利用和费用的考虑，目前高校网络普遍采用两个出口的方式；»访问CERNET资源时（CERNET提供的地址列表中的地址）通过CERNET出口访问，访问CERNET地址列表以外的地址时走Internet出口园区网出口的功能需求多出口策略应用两条Internet线路一条Internet线路、一条CERNET线路园区网出口的功能需求InternetCERNET1、业务分流；2、增加带宽；3、冗余备份；4、费用控制；负载均衡和热备份业务流量的负载均衡设备和线路的热备份园区网出口的功能需求系统状态监控管理员能够实时地监控设备的配置信息和运行状态信息只有被授予权限的用户才能监控设备状态实时的数据分析，能够及时发现问题园区网出口的功能需求日志记录和分析对网络出口设备的状态以及通过设备的数据包进行记录，供管理员进行分析并获得所需的信息，对管理员事后的数据统计分析有很大的作用园区网出口的功能需求提纲园区网出口的功能需求园区网出口的设备需求路由器防火墙代理服务器（不推荐）园区网出口的线路需求园区网出口的常见应用模型园区网与出口设备的整合应用案例园区网出口的常见问题和解决思路路由器由于园区网出口是一个信息流量集中地，对出口的设备性能有足够的要求，因此在选择路由器时，必须要选择性能足够强的高端路由器虽说路由器在出口应用功能需求上能够很好的满足，但是路由器的管理功能需求比较弱，尤其是人机界面，需要管理员有足够的设备操作能力路由器相对于其他的安全产品，在网络出口的安全防护方面不是强项，因此要是考虑网络出口的安全防护则需要与其他的安全产品来协同部署园区网出口的设备需求防火墙防火墙作为园区网的出口设备，对它的性能要求有比较大的考验，尤其是在数据流量大且复杂功能启用的比较多时，防火墙的性能会下降的比较明显网络出口单独采用防火墙，其目的除了满足出口的应用需求外，更重要的一点是对安全方面的考虑，对各种网络攻击行为的防护基于上面两点的阐述，单独采用防火墙在功能和性能上得到了双方面压力，因此锐捷网络建议在园区网出口应该采用“高端路由器+防火墙”的整体应用方案，合理的把功能和性能压力有效的分担在两个设备上，各负其职园区网出口的设备需求代理服务器（不推荐）价格相对低廉，同时可以通过采用高主频的CPU来提高网络性能配置、维护和管理难度大，对管理人员的能力要求较高无法实现对内部IP地址限速等控制功能防攻击能力比较差不支持多出口线路的负载均衡和自动备份功能，因此无法充分利用多出口的带宽和信息资源有条件的用户尽量采用“高端路由器+防火墙”的整体应用方案园区网出口的设备需求提纲园区网出口的功能需求园区网出口的设备需求园区网出口的线路需求Internet运营商线路CERNET线路园区网出口的常见应用模型园区网与出口设备的整合应用案例园区网出口的常见问题和解决思路Internet运营商线路中国国内有六大基础电信运营商，即中国电信、中国网通、中国移动、中国联通、中国卫通和中国铁通适合园区网Internet接入的方式主要为光纤接入我们在选择Internet运营商线路时主要是从中国电信、中国网通和中国铁通这三家运营商来进行合理的选择园区网出口的线路需求CERNET线路CERNET是由国家投资建设，教育部负责管理，清华大学等高等学校承担建设和运行的全国性学术计算机互联网络，是全国最大的公益性计算机互联网络，1996年被国务院确认为全国四大骨干网之一CERNET目前有10个地区中心，38个省节点，全国中心设在清华大学。CERNET目前联网大学、教育机构、科研单位超过1500个，用户超过1500万人，是我国教育信息化的基础平台教育部负责CERNET主干网的运行与维护，并发展网络增值业务园区网出口的线路需求CERNET线路园区网出口的线路需求提纲园区网出口的功能需求园区网出口的设备需求园区网出口的线路需求园区网出口的常见应用模型单设备单出口应用模型单设备多出口应用模型多设备单出口应用模型多设备多出口应用模型园区网与出口设备的整合应用案例园区网出口的常见问题和解决思路单设备单出口应用模型路由设置启用NATDMZ区的安全部署ACL过滤规则园区网出口的常见应用模型内部网络Internet应用服务器群DMZ区默认路由静态路由PAT静态/端口映射DMZACL过滤规则单设备多出口应用模型两条Internet线路方法一：基于目的地址的策略路由园区网出口的常见应用模型电信内部网络网通电信网段网通网段默认路由默认路由浮动默认路由浮动默认路由单设备多出口应用模型两条Internet线路方法一：基于目的地址的策略路由方法二：基于源地址的策略路由园区网出口的常见应用模型电信内部网络网通备份备份单设备多出口应用模型两条Internet线路方法一：基于目的地址的策略路由方法二：基于源地址的策略路由方法三：基于线路带宽的数据自动分流»目的地址+源地址»源地址园区网出口的常见应用模型电信内部网络网通单设备多出口应用模型两条Internet线路Internet线路和CERNET线路采用基于目的地址的策略路由；园区网出口的常见应用模型内部网络InternetCERNET默认路由CERNET路由浮动默认路由单设备多出口应用模型两条Internet线路Internet线路和CERNET线路采用基于目的地址的策略路由；如果对部分用户要求所有流量均通过CERNET出口或者Internet出口访问，在路由器或者防火墙上设定源地址路由，限定这些数据流强制通过CERNET或者Internet出口出去。园区网出口的常见应用模型内部网络InternetCERNET强制多设备单出口应用模型一台路由器、一台防火墙变化一变化二园区网出口的常见应用模型Internet对外服务器群路由功能启用NAT功能路由模式安全过滤规则路由功能路由模式启用NAT功能安全过滤规则多设备单出口应用模型一台路由器、一台防火墙变化一变化二变化三»防火墙工作在透明桥模式、路由器承担NAT功能，方便管理员的维护管理。园区网出口的常见应用模型Internet透明桥模式安全过滤规则路由功能启用NAT功能多设备单出口应用模型一台路由器、一台防火墙双路由器/双防火墙双路由器园区网出口的常见应用模型VRRPInternet多设备单出口应用模型一台路由器、一台防火墙双路由器/双防火墙双路由器双防火墙»HAActive-Standby模式»HAActive–Active模式园区网出口的常见应用模型HAInternet多设备多出口应用模型三出口路由器+防火墙借用核心交换机»在核心交换机上配置基于目的地址的策略路由园区网出口的常见应用模型电信网通CERNET服务器群内部网络多设备多出口应用模型三出口路由器+防火墙借用核心交换机园区网出口的常见应用模型内部网络电信网通CERNET对外服务器群默认路由CERNET路由浮动默认路由策略基于目的地址基于源地址基于带宽均衡多设备多出口应用模型三出口路由器+防火墙借用核心交换机冗余设备、冗余线路技术复杂致电锐捷网络技术支持中心园区网出口的常见应用模型电信网通提纲园区网出口的功能需求园区网出口的设备需求园区网出口的线路需求园区网出口的常见应用模型园区网与出口设备的整合应用案例双核心园区网整合应用案例多核心环行园区网整合应用案例园区网出口的常见问题和解决思路双核心园区网整合应用案例园区网与出口设备的整合应用案例注入默认路由纳入OSPFArea0双核心园区网整合应用案例合理的规划和设计园区网OSPF路由协议，实现内部网络以及出口设备的整体负载均衡和热备份，具体实现细节请参见《园区网OSPF设计与部署》和《大型园区网冗余部署》考虑网络出口的安全性，在合理的位置部署防火墙或其他的安全产品，实现双核心园区网的综合应用园区网与出口设备的整合应用案例多核心环行园区网整合应用案例园区网与出口设备的整合应用案例多核心环行园区网整合应用案例多核心骨干环网属于大型园区网建设模型，便于网络的扩容和升级，因此出口必须选择性能比较强的高端路由器和防火墙合理的规划和设计骨干环网OSPF路由协议，实现细节请参见《园区网OSPF设计与部署》和《大型园区网冗余部署》园区网与出口设备的整合应用案例提纲园区网出口的功能需求园区网出口的设备需求园区网出口的线路需求园区网出口的常见应用模型园区网与出口设备的整合应用案例园区网出口的常见问题和解决思路私网公网地址的NAT转换CERNET对外服务器的公网访问内网用户对服务器的公网地址访问私网公网地址的NAT转换CERNETIP地址私有IP地址NAT转换园区网出口的常见问题和解决思路CERNETIP私有IPCERNET网通NAT包含：私有IPNAT包含：CERNETIP私有IPCERNET对外服务器的公网访问园区网出口的常见问题和解决思路ADSLPC高校用户CERNETWebSERVERCERNETIP网通内网用户OKOKNO问题的现象描述CERNET对外服务器的公网访问问题的现象描述问题产生的原因分析园区网出口的常见问题和解决思路WebSERVERCERNETIPCERNET网通①②ADSLPCNAT之后TCP的三次握手失败CERNET对外服务器的公网访问问题的现象描述问题产生的原因分析问题的解决思路园区网出口的常见问题和解决思路CERNETWebSERVERCERNETIP网通ADSLPC源地址的策略路由①②③我们控制不了这个走向内网用户对服务器的公网地址访问园区网出口的常见问题和解决思路WebSERVER私有IPInternetW