第7章园区网出口常见应用模型ppt课件.ppt

第7章 园区网出口常见应用模型,前 言,本章内容主要介绍了园区网出口的常见应用模型和规划设计方法，对于相关的技术原理和配置细节没有过多的阐述。,课程目标,学完本次课程，您可以掌握以下知识点：园区网出口的常见功能需求园区网出口的设备和线路应用园区网出口的规划设计思想园区网出口的部署方法园区网出口的常见问题,提 纲,园区网出口的功能需求 园区网出口的设备需求 园区网出口的线路需求园区网出口的常见应用模型园区网与出口设备的整合应用案例 园区网出口的常见问题和解决思路,提 纲,园区网出口的功能需求 INTERNET 访问CERNET 访问对外服务器公布多出口策略应用负载均衡和热备份系统状态监控日志记录和分析园区网出口的设备需求 园区网出口的线路需求园区网出口的常见应用模型园区网与出口设备的整合应用案例 园区网出口的常见问题和解决思路,INTERNET 访问Internet 为人们进行科学研究、商业活动、社会生活等方面的信息共享提供了重要手段,园区网出口的功能需求,CERNET 访问中国教育和科研计算机网（CERNET）CERNET已经成为世界上最大的学术性计算机网络 我国高等院校的校园网基本上都同时有Internet出口和CERNET出口,园区网出口的功能需求,对外服务器公布公网用户希望远程访问园区网内部的服务器 保证对外提供服务的服务器安全,园区网出口的功能需求,多出口策略应用两条 Internet 线路增加网络带宽，提高访问速度；根据访问的需求，实现流量的负载均衡；当其中一条线路失效时，另外一条线路能够立刻接管所有的出口流量，从而实现线路的自动冗余备份；当失效的线路恢复后，能够自动恢复为负载均衡。,园区网出口的功能需求,多出口策略应用两条 Internet 线路,园区网出口的功能需求,多出口策略应用两条 Internet 线路一条Internet线路、一条CERNET线路Internet 线路通常是包月形式；教育网国际访问是按照流量收费的；Internet 线路访问 CERNET 的资源速度比较慢，而且教育网中有些资源对 Internet 是屏蔽的；基于速度、资源利用和费用的考虑，目前高校网络普遍采用两个出口的方式；访问 CERNET 资源时（CERNET 提供的地址列表中的地址）通过 CERNET 出口访问，访问CERNET 地址列表以外的地址时走Internet出口,园区网出口的功能需求,多出口策略应用两条 Internet 线路一条Internet线路、一条CERNET线路,园区网出口的功能需求,负载均衡和热备份 业务流量的负载均衡设备和线路的热备份,园区网出口的功能需求,系统状态监控管理员能够实时地监控设备的配置信息和运行状态信息 只有被授予权限的用户才能监控设备状态 实时的数据分析，能够及时发现问题,园区网出口的功能需求,日志记录和分析 对网络出口设备的状态以及通过设备的数据包进行记录，供管理员进行分析并获得所需的信息，对管理员事后的数据统计分析有很大的作用,园区网出口的功能需求,提 纲,园区网出口的功能需求 园区网出口的设备需求路由器防火墙代理服务器（不推荐）园区网出口的线路需求园区网出口的常见应用模型园区网与出口设备的整合应用案例 园区网出口的常见问题和解决思路,路由器 由于园区网出口是一个信息流量集中地，对出口的设备性能有足够的要求，因此在选择路由器时，必须要选择性能足够强的高端路由器虽说路由器在出口应用功能需求上能够很好的满足，但是路由器的管理功能需求比较弱，尤其是人机界面，需要管理员有足够的设备操作能力路由器相对于其他的安全产品，在网络出口的安全防护方面不是强项，因此要是考虑网络出口的安全防护则需要与其他的安全产品来协同部署,园区网出口的设备需求,防火墙防火墙作为园区网的出口设备，对它的性能要求有比较大的考验，尤其是在数据流量大且复杂功能启用的比较多时，防火墙的性能会下降的比较明显网络出口单独采用防火墙，其目的除了满足出口的应用需求外，更重要的一点是对安全方面的考虑，对各种网络攻击行为的防护基于上面两点的阐述，单独采用防火墙在功能和性能上得到了双方面压力，因此锐捷网络建议在园区网出口应该采用“高端路由器+防火墙”的整体应用方案，合理的把功能和性能压力有效的分担在两个设备上，各负其职,园区网出口的设备需求,代理服务器（不推荐）价格相对低廉，同时可以通过采用高主频的CPU来提高网络性能配置、维护和管理难度大，对管理人员的能力要求较高无法实现对内部 IP 地址限速等控制功能防攻击能力比较差不支持多出口线路的负载均衡和自动备份功能，因此无法充分利用多出口的带宽和信息资源有条件的用户尽量采用“高端路由器+防火墙”的整体应用方案,园区网出口的设备需求,提 纲,园区网出口的功能需求 园区网出口的设备需求园区网出口的线路需求Internet 运营商线路 CERNET 线路 园区网出口的常见应用模型园区网与出口设备的整合应用案例 园区网出口的常见问题和解决思路,Internet 运营商线路 中国国内有六大基础电信运营商，即中国电信、中国网通、中国移动、中国联通、中国卫通和中国铁通适合园区网 Internet 接入的方式主要为光纤接入我们在选择 Internet 运营商线路时主要是从中国电信、中国网通和中国铁通这三家运营商来进行合理的选择,园区网出口的线路需求,CERNET 线路 CERNET 是由国家投资建设，教育部负责管理，清华大学等高等学校承担建设和运行的全国性学术计算机互联网络，是全国最大的公益性计算机互联网络，1996年被国务院确认为全国四大骨干网之一CERNET 目前有10个地区中心，38个省节点，全国中心设在清华大学。CERNET 目前联网大学、教育机构、科研单位超过1500个，用户超过1500万人，是我国教育信息化的基础平台教育部负责 CERNET 主干网的运行与维护，并发展网络增值业务,园区网出口的线路需求,CERNET 线路,园区网出口的线路需求,提 纲,园区网出口的功能需求 园区网出口的设备需求园区网出口的线路需求园区网出口的常见应用模型单设备单出口应用模型单设备多出口应用模型多设备单出口应用模型多设备多出口应用模型园区网与出口设备的整合应用案例园区网出口的常见问题和解决思路,单设备单出口应用模型路由设置启用 NATDMZ 区的安全部署ACL 过滤规则,园区网出口的常见应用模型,默认路由,静态路由,PAT静态/端口映射,DMZACL 过滤规则,单设备多出口应用模型两条 Internet 线路方法一：基于目的地址的策略路由,园区网出口的常见应用模型,电信网段,网通网段,默认路由,默认路由,单设备多出口应用模型两条 Internet 线路方法一：基于目的地址的策略路由方法二：基于源地址的策略路由,园区网出口的常见应用模型,备份,备份,单设备多出口应用模型两条 Internet 线路方法一：基于目的地址的策略路由方法二：基于源地址的策略路由方法三：基于线路带宽的数据自动分流目的地址+源地址源地址,园区网出口的常见应用模型,单设备多出口应用模型两条 Internet 线路Internet 线路和 CERNET 线路采用基于目的地址的策略路由；,园区网出口的常见应用模型,默认路由,CERNET 路由,单设备多出口应用模型两条 Internet 线路Internet 线路和 CERNET 线路采用基于目的地址的策略路由；如果对部分用户要求所有流量均通过CERNET 出口或者 Internet 出口访问，在路由器或者防火墙上设定源地址路由，限定这些数据流强制通过 CERNET或者 Internet 出口出去。,园区网出口的常见应用模型,强制,多设备单出口应用模型一台路由器、一台防火墙变化一变化二,园区网出口的常见应用模型,路由功能启用NAT 功能,路由模式安全过滤规则,路由功能,路由模式启用NAT功能安全过滤规则,多设备单出口应用模型一台路由器、一台防火墙变化一变化二变化三防火墙工作在透明桥模式、路由器承担NAT功能，方便管理员的维护管理。,园区网出口的常见应用模型,透明桥模式安全过滤规则,路由功能启用NAT功能,多设备单出口应用模型一台路由器、一台防火墙双路由器/双防火墙双路由器,园区网出口的常见应用模型,VRRP,多设备单出口应用模型一台路由器、一台防火墙双路由器/双防火墙双路由器双防火墙HA Active-Standby模式 HA Active Active 模式,园区网出口的常见应用模型,HA,多设备多出口应用模型三出口路由器+防火墙借用核心交换机在核心交换机上配置基于目的地址的策略路由,园区网出口的常见应用模型,多设备多出口应用模型三出口路由器+防火墙借用核心交换机,园区网出口的常见应用模型,默认路由,CERNET 路由,策略基于目的地址基于源地址基于带宽均衡,多设备多出口应用模型三出口路由器+防火墙借用核心交换机冗余设备、冗余线路技术复杂致电锐捷网络技术支持中心,园区网出口的常见应用模型,提 纲,园区网出口的功能需求 园区网出口的设备需求园区网出口的线路需求园区网出口的常见应用模型园区网与出口设备的整合应用案例双核心园区网整合应用案例多核心环行园区网整合应用案例园区网出口的常见问题和解决思路,双核心园区网整合应用案例,园区网与出口设备的整合应用案例,注入默认路由,纳入OSPF Area 0,双核心园区网整合应用案例合理的规划和设计园区网 OSPF 路由协议，实现内部网络以及出口设备的整体负载均衡和热备份，具体实现细节请参见园区网OSPF设计与部署和大型园区网冗余部署考虑网络出口的安全性，在合理的位置部署防火墙或其他的安全产品，实现双核心园区网的综合应用,园区网与出口设备的整合应用案例,多核心环行园区网整合应用案例,园区网与出口设备的整合应用案例,多核心环行园区网整合应用案例 多核心骨干环网属于大型园区网建设模型，便于网络的扩容和升级，因此出口必须选择性能比较强的高端路由器和防火墙合理的规划和设计骨干环网OSPF 路由协议，实现细节请参见园区网OSPF设计与部署和大型园区网冗余部署,园区网与出口设备的整合应用案例,提 纲,园区网出口的功能需求 园区网出口的设备需求园区网出口的线路需求园区网出口的常见应用模型园区网与出口设备的整合应用案例园区网出口的常见问题和解决思路私网公网地址的 NAT 转换CERNET 对外服务器的公网访问内网用户对服务器的公网地址访问,私网公网地址的NAT转换CERNET IP 地址私有 IP 地址NAT 转换,园区网出口的常见问题和解决思路,CERNET IP,私有 IP,NAT 包含：私有 IP,NAT 包含：CERNET IP私有 IP,CERNET 对外服务器的公网访问,园区网出口的常见问题和解决思路,ADSL PC,高校用户,OK,OK,NO,问题的现象描述,CERNET 对外服务器的公网访问问题的现象描述问题产生的原因分析,园区网出口的常见问题和解决思路,Web SERVERCERNET IP,ADSL PC,NAT 之后 TCP的三次握手失败,CERNET 对外服务器的公网访问问题的现象描述问题产生的原因分析 问题的解决思路,园区网出口的常见问题和解决思路,ADSL PC,源地址的策略路由,我们控制不了这个走向,内网用户对服务器的公网地址访问,园区网出口的常见问题和解决思路,通过公网地址ABC或者域名访问服务器？,通过公网地址ABC或者域名访问服务器？,用公网地址ABC映射到内网私有IP 服务器,用公网地址ABC映射到内网私有IP 服务器,内网用户对服务器的公网地址访问内网架设一台DNS服务器,园区网出口的常见问题和解决思路,DNS Server172.16.10.10,DNS：172.16.10.10,域名解析,通过域名访问服务器,OK,WEB Server 域名,内网用户对服务器的公网地址访问内网架设一台DNS服务器反向 PAT,园区网出口的常见问题和解决思路,内网用户对服务器的公网地址访问内网架设一台DNS服务器反向 PAT 调整服务器 IP 地址,园区网出口的常见问题和解决思路,公网 IP,通过公网IP 或者域名访问服务器,OK,回 顾,园区网出口的功能需求INTERNET 访问CERNET 访问对外服务器公布多出口策略应用负载均衡和热备份系统状态监控日志记录和分析园区网出口的设备需求路由器防火墙代理服务器（不推荐）园区网出口的线路需求Internet 运营商线路 CERNET 线路 园区网出口的常见应用模型单设备单出口应用模型单设备多出口应用模型多设备单出口应用模型多设备多出口应用模型园区网与出口设备的整合应用案例双核心园区网整合应用案例多核心环行园区网整合应用案例园区网出口的常见问题和解决思路私网公网地址的 NAT 转换CERNET 对外服务器的公网访问内网用户对服务器的公网地址访问,