前言
我们在设计一个园区网络的时候,园区网络的出口需要和运营商的网络进行对接,从而提供internet服务。
在和运营商网络对接的时候,一般采用如下3终方式:
单一出口网络结构
1、网络拓扑
终端用户接入到交换机,交换机直连防火墙构成,防火墙连接1一家运营商internet,防火墙上做NAT公私网的地址转换;
(1)单一出口的网络可靠性不高,一般用在小型网络中;
(2)单一出口的网络成本低,结构简单;
2、流量类型
(1)内部用户访问internet:
园区网络连接到运营商时运营商一般会给出两类公网地址。
- 一种是连接地址,这个地址一般是一个/30掩码长度的地址,用来配置在连接链路上;
- 还有运营商还会给出一个地址池,这个地址池就是用来给企业内部设备连接互联网时用来做地址转换的,一般来说,这个地址池的地址数量比较少,不够用来给内部的每一台PC分配一个公网地址。
内部用户需要访问internet,需要在防火墙上做NAT映射,将内网地址映射成地址池中的公网IP地址。从而实现用户能够访问internet。
(2)内部服务器对外提供服务:
内部服务器需要对外提供服务,那么就需要给服务器分配一个公网地址,然后再防火墙上使用静态NAT(NAT SERVER)将内网服务器地址映射到公网地址上,从而对外提供服务。
3、实现方式
(1)对于只有一个出口的企业来说,一般使用静态配置的缺省路由指向互联网;
(2)对于运营商来说,因为存在信任边界的问题,所以一般也采用静态路由进行回指。
同运营商多出口结构
1、网络拓扑
同运营商多出口结构组网,企业边界防火墙连接同一个运营商的多个出口;
- 同运营商多出口的网络可靠性比单出口要高,提供了冗余,一般用在中小型网络中;
2、流量类型
(1)内部用户访问internet:
双出口都是连接到同一个运营商时,一般会同时提供两个连接地址,但是地址池还是一个。
用户需要访问internet,需要在防火墙上做NAT映射,将内网地址映射成地址池中的公网IP地址。
但是这里和单出口相比存在一个问题,出方向的时候由于有两条链路需要进行选路。
这里的选路可以采用
- 主备的方式——浮动静态路由实现 主备通过配置浮动的静态路由实现,当主出口故障后,浮动静态路由生效,流量可以走备用接口;
- 负载分担——等价静态路由实现 通过配置等价缺省静态可以实现出流量的负载分担;
由于是同一家运营商,网络质量基本一致,因此尽量选择负载分担的方式,充分利用带宽。
(2)内部服务器对外提供服务:
内部服务器需要对外提供服务,那么就需要给服务器分配一个公网地址;
然后再防火墙上使用静态NAT(NAT SERVER)将内网服务器地址映射到公网地址上,从而对外提供服务。如下图。
这个时候存在一个问题,就是外部用户访问企业服务器的时候也需要进行选路,这个时候走哪条路一般是由运营商控制的。
运营商对于访问企业的数据流,基本不会做特别的控制,按照自身网络路由协议的计算传送到相应的接口。
3、实现方式
(1)对于同运营商多出口的企业来说,一般使用静态配置的等价缺省路由指向互联网,实现出口流量的负载分担。
(2)对于运营商来说,因为存在信任边界的问题,一般还是不会与企业用户之间运行动态路由协议,对于访问企业的数据流,基本不会做特别的控制,按照自身网络路由协议的计算传送到相应的接口。
多运营商多出口架构
1、网络拓扑
多运营商多出口结构组网,企业边界防火墙连接多个运营商的网络;
- 多运营商多出口结构组网可靠性是最高的,提供了冗余。
- 成本较高,一般用在大型网络中;
2、流量类型
(1)内部用户访问internet:
双出口都是连接到不同运营商时,每个运营商会提供一个连接地址,一个地址池。
两个运营商之间一般会存在数据通路,但是这个通路一般不会存在于本地,而会在核心层面;而且两个运营商之间的连接不如运营商内部的连接强壮。
所以当流量在运营商之间贯穿的时候,服务质量会出现较大的劣化。
因此需要避免这种情况。
用户需要访问internet,需要在防火墙上做NAT映射,将内网地址映射成地址池中的公网IP地址。
但是这里需要考虑一个问题,出方向的时候由于有两条链路需要进行选路。
- 当内网中出现访问外网的数据流量的时候,首先得指向正确的链路,防止流量走向错误的方向导致质量劣化。 因为企业与运营商之间一般使用静态路由,所以这部分的实现需要收集运营商的公网地址空间。
- 因为NAT的关系,返回流量其实是由地址池的选择决定的。 如果出向流量选择的NAT地址池是由ISP1提供的,则返回流量必然使用ISP1的链路。所以NAT地址池与数据流的出端口需要绑定。
(2)内部服务器对外提供服务:
内部服务器需要对外提供服务,那么就需要给服务器分配一个公网地址,再防火墙上使用静态NAT将内网服务器地址映射到公网地址上,从而对外提供服务。
在这里由于对接了两家运营商,那么就需要将服务器内网地址映射到两个运营商的公网地址。(如下图所示)
---END---