第7章園區(qū)網(wǎng)出口常見應用模型第7章園區(qū)網(wǎng)出口常見應用模型園區(qū)網(wǎng)出口的設計與部署是園區(qū)網(wǎng)建設很關鍵的一個環(huán)節(jié)，也是經(jīng)常產(chǎn)生網(wǎng)絡擁塞和瓶頸的一個環(huán)節(jié)，為了能夠更好的完成園區(qū)網(wǎng)出口的應用，本章就對出口的常見應用模型進行相關的介紹和闡述。7.1園區(qū)網(wǎng)出口的功能需求在介紹常見的應用模型前，我們首先對園區(qū)網(wǎng)出口的常見功能需求進行簡單的介紹，目的是能夠更好的分析我們對出口設備、線路的合理選擇和功能部署，下面介紹的內(nèi)容是園區(qū)網(wǎng)出口常見的功能需求。7.1.1INTERNETInternet為人們進行科學研究、商業(yè)活動、社會生活等方面的信息共享提供了重要手段，Internet訪問是園區(qū)網(wǎng)出口最基本的需求，除了滿足用戶基本的WEB、Email、FTP、軟件下載等常規(guī)的Internet訪問需求外，還有在線電影、音視頻聊天、BT下載等對網(wǎng)絡實時性以及帶寬需求比較大的Internet訪問需求，基本的網(wǎng)絡出口模型見圖7-1。圖7-17.1.2CERNET中國教育和科研計算機網(wǎng)（CERNET）是我國教育信息化的重要基礎設施、國家信息化基礎設施的重要組成部分和建立學習型社會的重要平臺，支撐了許多教育信息化重大應用。CERNET接入用戶主要是高等學校和教育主管部門，CERNET提供面向教育的專門應用，包括許多國家層面教育信息化的重大應用，例如現(xiàn)代遠程教育、網(wǎng)上招生遠程錄取、數(shù)字圖書館、中國教育科研網(wǎng)格、數(shù)字博物館、國外大型期刊數(shù)據(jù)庫、教育部的系列網(wǎng)站等。CERNET已經(jīng)成為世界上最大的學術性計算機網(wǎng)絡，擁有光纖干線30000多公里，DWDM高速傳輸網(wǎng)20000多公里；覆蓋全國31個?。ㄗ灾螀^(qū)、直轄市）的200多座城市；主干網(wǎng)傳輸速率達到2.5-10Gbps，國際出口帶寬超過3G，與國內(nèi)其他互聯(lián)網(wǎng)連接帶寬超過10G；聯(lián)網(wǎng)單位1500多個，用戶1800多萬。我國高等院校的校園網(wǎng)絡基本上都同時有Internet出口和CERNET出口，以滿足學校用戶的各種網(wǎng)絡訪問需求，校園網(wǎng)絡出口模型見圖7-2。圖7-27.1.3園區(qū)網(wǎng)出口不僅僅要滿足內(nèi)網(wǎng)用戶訪問Internet或者CERNET的需求，同時也要滿足公網(wǎng)用戶能夠遠程訪問園區(qū)網(wǎng)內(nèi)部的服務器，以達到對外提供信息服務的需求，如WEB、Email、FTP等應用服務。在實現(xiàn)對外服務器公布的同時，我們還要考慮對外提供服務的服務器安全，以防止外部網(wǎng)絡的攻擊，有關園區(qū)網(wǎng)出口安全的話題不在本課題中進行重點討論，我們這里只是對出口的應用模型進行闡述，對外服務器公布的模型見圖7-3。圖7-37.1.4在園區(qū)網(wǎng)出口的建設和部署中，很多情況出口線路不僅僅有一條，而是有兩個甚至多個出口，以滿足不同網(wǎng)絡資源的訪問、基于速度的帶寬考慮和線路的冗余備份等，下面是兩種常見的園區(qū)網(wǎng)多出口應用模型。兩條Internet線路園區(qū)網(wǎng)出口部署兩條Internet線路時，大多數(shù)情況是選擇兩個不同的接入運營商，例如圖7-4，其目的主要有以下幾個方面：訪問不同的網(wǎng)絡資源走不同的運營商，從而加快資源的訪問速度；比如訪問網(wǎng)通的服務器和信息資源時走網(wǎng)通的線路，其他的資源訪問走電信的線路；當上網(wǎng)流量比較大時，如果出口只有一條線路則很有能產(chǎn)生出口訪問的擁塞和瓶頸，因此兩條線路會分擔上網(wǎng)流量，加快資源的訪問速度；當其中一條線路失效時（失效的原因很多），另外一條線路能夠立刻接收所有的出口流量，從而實現(xiàn)線路的自動冗余備份。一條Internet線路、一條CERNET線路Internet線路通常是包月形式，無論學校使用的流量有多大，每月固定收取一定費用，但是由于通過Internet線路訪問CERNET的資源速度比較慢，而且教育網(wǎng)中有些資源是對Internet屏蔽的，通過Internet線路完全無法訪問，所以如果學校只使用Internet出口，則會造成無法正常利用教育網(wǎng)資源的情況。相反教育網(wǎng)出口是按照流量收費的，如果完全通過教育網(wǎng)來做出口，則會因為流量巨大造成網(wǎng)絡資費過高。基于速度、資源利用情況和費用的考慮，目前高校網(wǎng)絡普遍采用兩個出口的方式，其中一個出口為CERNET國家教育網(wǎng)出口，另一個為Internet出口，如圖7-5，并且采用如下的方式確定訪問方式，訪問CERNET資源時（CERNET提供的地址列表中的地址）通過CERNET出口訪問，訪問CERNET地址列表以外的地址時，走電信出口。圖7-4圖7-57.1.5隨著網(wǎng)絡技術和信息化建設的發(fā)展，人們將越來越多的關鍵業(yè)務主機和數(shù)據(jù)放到了信息網(wǎng)絡中，借以提高業(yè)務效率，實現(xiàn)自動化的管理。因此網(wǎng)絡出口設備的性能、功能、安全性等得到人們的集中關注，網(wǎng)絡出口設備安裝在內(nèi)部網(wǎng)絡和不可信任網(wǎng)絡的臨界點，是內(nèi)外網(wǎng)絡所有往來流量集中地，所有的對外應用和服務都要經(jīng)過出口設備，一旦臨界點發(fā)生硬件和線路故障，將使內(nèi)外網(wǎng)絡的鏈接中斷，對外的關鍵業(yè)務將無法進行，甚至影響整個企業(yè)的運作。為了保障網(wǎng)絡365x24x7的運轉(zhuǎn)，關鍵業(yè)務的連續(xù)服務，除考慮高可用性的關鍵業(yè)務主機外，作為信息流量集中地的網(wǎng)絡出口設備和運營商線路，我們應當考慮采用高可用性的解決方案，即網(wǎng)絡出口的負載均衡和熱備份（設備備份和線路備份），圖7-6和圖7-7是兩個簡單的網(wǎng)絡出口模型；圖7-6圖7-77.1.6系統(tǒng)狀態(tài)網(wǎng)絡出口設備的系統(tǒng)狀態(tài)監(jiān)控指的是，管理員能夠?qū)崟r地監(jiān)控出口設備的配置信息和運行狀態(tài)信息，且只有被授權有控制和查詢設備權限的用戶才能監(jiān)控設備狀態(tài)。管理員可以實時監(jiān)視設備的各種狀態(tài)，如各種服務的運行狀態(tài)、規(guī)則配置情況、啟停各種服務的運行情況、以及對設備進行重啟或關閉操作等，能夠及時發(fā)現(xiàn)問題。7.1.7系統(tǒng)日志是對網(wǎng)絡出口設備的狀態(tài)以及通過設備的數(shù)據(jù)包進行記錄，供管理員進行分析并獲得所需的信息，對管理員事后的數(shù)據(jù)統(tǒng)計分析有比較大的作用。7.2園區(qū)網(wǎng)出口的設備需求前面一個章節(jié)介紹的是園區(qū)網(wǎng)出口常見的功能需求，其中Internet訪問、CERNET訪問、對外服務器公布、多出口策略應用、負載均衡和熱備份屬于應用功能需求，系統(tǒng)狀態(tài)監(jiān)控、日志記錄和分析屬于管理功能需求。目前，園區(qū)網(wǎng)出口設備的選擇主要有三種方式：路由器、防火墻以及代理服務器。下面就對這三種方式的出口設備需求進行簡單的介紹，以方便我們更好的進行網(wǎng)絡出口的設計和規(guī)劃。7.2.1用路由器作為園區(qū)網(wǎng)的出口設備是一種比較典型的應用方式，它能夠很好的滿足網(wǎng)絡出口設備的各種應用功能需求，但是這里有幾個關鍵點需要特別強調(diào)：由于園區(qū)網(wǎng)出口是一個信息流量集中地，對出口的設備性能有足夠的要求，因此在選擇路由器時，必須要選擇性能足夠強的高端路由器；雖說路由器在出口應用功能需求上能夠很好的滿足，但是路由器的管理功能需求比較弱，尤其是人機界面，需要管理員有足夠的設備操作能力；路由器相對于其他的安全產(chǎn)品，在網(wǎng)絡出口的安全防護方面不是強項，因此要是考慮網(wǎng)絡出口的安全防護則需要與其他的安全產(chǎn)品來協(xié)同部署。7.2.2用防火墻作為園區(qū)網(wǎng)的出口設備也是一種比較普及的應用方式，它能夠很好的滿足網(wǎng)絡出口設備的各種管理功能需求，并且能夠完整地實現(xiàn)出口設備的各種應用功能需求，但是同樣有幾個關鍵點需要特別說明：防火墻作為園區(qū)網(wǎng)的出口設備，對它的性能要求有比較大的考驗，尤其是在數(shù)據(jù)流量大且復雜功能啟用的比較多時，防火墻的性能會下降的比較明顯；網(wǎng)絡出口單獨采用防火墻，其目的除了滿足出口的應用需求外，更重要的一點是對安全方面的考慮，對各種網(wǎng)絡攻擊行為的防護；基于上面兩點的闡述，防火墻在功能和性能上得到了雙方面壓力，因此銳捷網(wǎng)絡建議在園區(qū)網(wǎng)出口應該采用“高端路由器+防火墻”的整體應用方案，合理的把功能和性能壓力有效的分擔在兩個設備上，各負其職。7.2.3代理服務器原理上就是在PC或者服務器上安裝雙網(wǎng)卡，其中一個網(wǎng)卡連內(nèi)部網(wǎng)絡，另外一個網(wǎng)卡連外部出口線路上，在這臺PC或者服務器上安裝代理軟件。這種方式價格相對低廉，同時可以通過采用高主頻的CPU來提高網(wǎng)絡性能，但是在實際應用和管理上存在一些必須要面對的問題。代理服務器的配置、維護和管理難度大，對管理人員的能力要求較高；代理服務器采用軟件模式，長時間運行容易死機，因此需要定期重新啟動一次服務器。代理服務器常常采用Linux系統(tǒng)，當遇到機房調(diào)整、服務器維護或者碰到代理服務器死機的情況，服務器重新啟動需要等待5-10分鐘；如果內(nèi)網(wǎng)中的很多用戶啟用了BT或者在線視頻等占用帶寬大的應用時，就會影響其他人的正常上網(wǎng)，代理服務器基本無法實現(xiàn)對內(nèi)部IP地址限速的功能，即給每臺PC進行最大帶寬的限制；代理服務器對DDOS攻擊的防范有限，很容易由于惡意攻擊而進入癱瘓狀態(tài)，防攻擊能力差是代理服務器的一大缺陷；代理服務器不支持多出口線路的負載均衡和自動備份功能，因此無法充分利用多出口的帶寬和信息資源。綜上所述，銳捷網(wǎng)絡不推薦用戶采用代理服務器方式進行園區(qū)網(wǎng)出口的部署，有條件的用戶應該采用“高端路由器+防火墻”的整體應用方案。7.3園區(qū)網(wǎng)出口的線路需求在介紹完前面有關園區(qū)網(wǎng)出口的功能需求和設備需求后，我們來看一看在出口部署時的線路需求，下面主要從Internet運營商線路和CERNET線路兩個方面進行闡述，目的是讓大家了解一下出口線路的選擇范圍和合理使用。7.3.1Internet運營商線路中國國內(nèi)有六大基礎電信運營商，即中國電信、中國網(wǎng)通、中國移動、中國聯(lián)通、中國衛(wèi)通和中國鐵通，他們都有Internet接入服務且接入方式非常豐富，其中適合園區(qū)網(wǎng)Internet接入的方式主要為光纖接入，這其中主要是由中國電信、中國網(wǎng)通和中國鐵通來提供Internet的光纖接入服務，我們在選擇Internet運營商線路時主要是從這三家運營商來進行合理的選擇。7.3.2CERNET線路中國教育和科研計算機網(wǎng)CERNET是由國家投資建設，教育部負責管理，清華大學等高等學校承擔建設和運行的全國性學術計算機互聯(lián)網(wǎng)絡，是全國最大的公益性計算機互聯(lián)網(wǎng)絡，1996年被國務院確認為全國四大骨干網(wǎng)之一。CERNET目前有10個地區(qū)中心，38個省節(jié)點，全國中心設在清華大學。CERNET目前聯(lián)網(wǎng)大學、教育機構、科研單位超過1500個，用戶超過1500萬人，是我國教育信息化的基礎平臺。為進一步加強網(wǎng)絡管理、提高服務質(zhì)量、拓展服務領域，2000年8月，教育部黨組批準CERNET轉(zhuǎn)制方案，即保持CERNET原有的科研體制不變，繼續(xù)承擔國家建設CERNET的科研項目，同時組建賽爾網(wǎng)絡有限公司，負責CERNET主干網(wǎng)的運行與維護，并發(fā)展網(wǎng)絡增值業(yè)務。因此，我國高等院校的校園網(wǎng)絡出口基本上都要有CERNET出口，以滿足學校用戶的各種網(wǎng)絡訪問需求。7.4園區(qū)網(wǎng)出口的常見應用模型有了前面的基礎知識，本小節(jié)我們正式開始介紹園區(qū)網(wǎng)出口的常見應用模型，為了更好的讓大家掌握這方面的內(nèi)容，我們從部署的設備及線路角度展開應用模型的介紹，并且分別從單設備單出口、單設備多出口、多設備單出口、多設備多出口四個應用模型進行介紹。7.4.1單設備單出口應用模型單設備單出口的應用模型圖見7-1，此模型是最簡單的應用模型，無論是采用路由器還是防火墻，也無論是Internet出口還是CERNET出口，它的出口功能部署和實現(xiàn)相對起來都很簡單，只需要在路由器或者防火墻上啟用下面的主要功能即可：啟用到內(nèi)網(wǎng)的靜態(tài)路由和到外網(wǎng)的默認路由功能；啟用NAT功能，一則啟用PAT功能使內(nèi)網(wǎng)用戶可以訪問外網(wǎng)，二則啟用靜態(tài)NAT或者NAT端口映射功能實現(xiàn)對外服務器公布；如果采用防火墻，就可以部署DMZ區(qū)實現(xiàn)對外服務器公布；啟用路由器ACL或者防火墻過濾規(guī)則實現(xiàn)對關鍵數(shù)據(jù)的安全訪問控制。7.4.2單設備多出口應用模型單設備多出口的應用模型圖見7-8和圖7-9，此模型是比較典型的應用模型，無論是采用路由器還是防火墻，它的出口功能部署和實現(xiàn)都比較類似，但具體實施起來還是需要一定的技巧的。圖7-8圖7-9對于模型圖7-8，我們看看在路由器或者防火墻上部署兩條Internet線路的具體實現(xiàn)方法，常用的實現(xiàn)方法有三種：方法一：基于目的地址的策略路由。根據(jù)電信或者網(wǎng)通提供的地址列表進行數(shù)據(jù)分流，即訪問電信資源時（電信提供的地址列表中的地址）通過電信出口訪問，訪問電信地址列表以外的地址時，走網(wǎng)通出口；或者相反，訪問網(wǎng)通資源時（網(wǎng)通提供的地址列表中的地址）通過網(wǎng)通出口訪問，訪問網(wǎng)通地址列表以外的地址時，走電信出口；此方法通過靜態(tài)路由、默認路由以及浮動的默認路由配置，以及相應的NAT配套配置，即可實現(xiàn)電信和網(wǎng)通線路的分流轉(zhuǎn)發(fā)和自動備份功能。方法二：基于源地址的策略路由。根據(jù)內(nèi)網(wǎng)用戶的分布情況進行數(shù)據(jù)分流，比如IP地址為奇數(shù)的優(yōu)先選取電信線路，為偶數(shù)的優(yōu)先選取網(wǎng)通線路；或者辦公樓、圖書館、實驗樓等優(yōu)先選取電信線路，宿舍樓、家屬區(qū)優(yōu)先選取網(wǎng)通線路；此方法通過相應的NAT配套配置，即可實現(xiàn)電信和網(wǎng)通線路的分流轉(zhuǎn)發(fā)和自動備份功能。方法三：基于線路帶寬的數(shù)據(jù)自動分流。該負載均衡策略是基于帶寬的，一般有兩種方案：按報文的（目的地址+源地址）和按報文的源地址；基于帶寬是根據(jù)外網(wǎng)口上配置的bandwidth，來計算多個外網(wǎng)口之間的帶寬比，然后再根據(jù)每次經(jīng)過的IP報文（目的地址+源地域）或源地址，按這個比例分配到多個外網(wǎng)口上。此方法通過相應的NAT配套配置，即可實現(xiàn)電信和網(wǎng)通線路基于線路帶寬的數(shù)據(jù)自動分流和自動備份功能。對于模型圖7-9，我們看看在路由器或者防火墻上部署一條Internet線路和一條CERNET線路的具體實現(xiàn)方法：實際上也是采用基于目的地址的策略路由。根據(jù)CERNET提供的地址列表進行數(shù)據(jù)分流，即訪問CERNET資源時（CERNET提供的地址列表中的地址）通過CERNET出口訪問，訪問CERNET地址列表以外的地址時，走Internet出口；此方法通過相應的NAT配套配置，即可實現(xiàn)CERNET和Internet線路的分流轉(zhuǎn)發(fā)和自動備份功能；如果內(nèi)網(wǎng)部分用戶要求所有訪問均通過CERNET出口或者Internet出口訪問，那在路由器或者防火墻上來設定源地址路由，限定這些數(shù)據(jù)流強制通過CERNET出口或者Internet出口出去；7.4.3多設備單出口應用模型多設備單出口的應用模型見圖7-10和圖7-11，這兩種模型的具體實施也是需要一定技巧的，下面就結合這兩種模型分別進行闡述。圖7-10圖7-11對于模型圖7-10，我們可以根據(jù)實際的應用情況靈活的掌握具體的實現(xiàn)方法，例如我們可以根據(jù)現(xiàn)場情況做到下面的三個變化：變化一：防火墻工作在有DMZ區(qū)的路由模式、路由器承擔NAT功能。這也是我們推薦采用的實現(xiàn)方式，目的是合理的把網(wǎng)絡出口設備的功能和性能壓力分擔在兩個設備上，各負其職。這樣路由器負責內(nèi)網(wǎng)用戶的PAT和DMZ區(qū)服務器的靜態(tài)NAT或者NAT端口映射；防火墻負責各種過濾規(guī)則的部署，尤其是對應用服務器群的嚴格控制，而其性能可以很好的承載該種應用。變化二：防火墻工作在有DMZ區(qū)的路由模式并承擔NAT功能，路由器只是負責路由功能。這種變化的存在，主要是考慮因素是路由器的性能問題，可以用戶采購的是中低端的路由器，不具備大流量下的NAT承載能力。這里要求防火墻的性能要足夠的強，否則啟用多種復雜功能的防火墻很難能承擔這么大的工作壓力；變化三：如果防火墻上沒有部署DMZ區(qū)，則防火墻可以工作在透明橋模式、路由器承擔NAT功能。這種部署方式的優(yōu)點在于防火墻重點任務是完成過濾規(guī)則的安全訪問控制，而將其工作在透明橋模式，使得網(wǎng)絡結構更清晰明了，尤其是在網(wǎng)絡測試和性能分析是可以臨時把防火墻撤掉而不用修改網(wǎng)絡的邏輯結構，也不需要修改其他網(wǎng)絡設備的配置，方便管理員的維護管理。對于模型圖7-11，我們需要掌握“路由器VRRP技術”或者“防火墻HA技術”，從而實現(xiàn)物理硬件設備的負載均衡和自動備份，下面就針對這兩種技術做個簡單的介紹，有關具體的內(nèi)容請見《大型園區(qū)網(wǎng)冗余部署》章節(jié)或者其他資料。雙路由器：如果模型圖7-11采用的是兩臺路由器，那么我們需要在路由器上部署和實現(xiàn)VRRP協(xié)議，將兩臺路由器虛擬成一臺路由器，并完成網(wǎng)絡出口設備的相關功能，從而實現(xiàn)物理硬件設備的負載均衡和自動備份的功能；雙防火墻：如果模型圖7-11采用的是兩臺防火墻，那么我們需要在防火墻上部署和實現(xiàn)HA（高可用性），目前一般的防火墻都是采用Active-Standby機制來實現(xiàn)HA結構，如需要做到防火墻HA結構的負載均衡，則需要在防火墻上下端安裝L4Switch，通過L4Switch的負載均衡功能實現(xiàn)Active-Active模式的HA結構?？上驳氖卿J捷網(wǎng)絡防火墻支持Active-Active模式的HA結構，從而節(jié)省了在防火墻上下端部署L4Switch來實現(xiàn)防火墻HA結構的負載均衡功能，有關更具體的HA內(nèi)容請見相關的資料。HAActive-Standby模式：兩臺防火墻總是只有一個在轉(zhuǎn)發(fā)數(shù)據(jù)，另一個則一直在備用，只有當正常運轉(zhuǎn)的防火墻出現(xiàn)問題的時候，備用防火墻才接手轉(zhuǎn)發(fā)數(shù)據(jù)；HAActive–Active模式：兩臺（或多臺）防火墻可同時實現(xiàn)數(shù)據(jù)處理和轉(zhuǎn)發(fā)功能，提高了數(shù)據(jù)包處理的效率與吞吐量，也平衡了網(wǎng)絡負載，優(yōu)化了網(wǎng)絡性能。7.4.4多設備多出口應用模型經(jīng)過上面三種應用模型的介紹，多設備多出口的應用模型再介紹起來就不會很復雜了，下面我們根據(jù)實際的應用情況對該模型做以下三種情況的介紹：在前面模型圖7-10的基礎上，我們可以將其擴展到出口為兩條Internet線路或者部署一條Internet線路和一條CERNET線路，這樣多設備多出口應用模型完全類似于單設備多出口應用模型，這里不再進行過多的介紹。有這樣一種情況，園區(qū)網(wǎng)中有三個出口，一條電信線路、一條網(wǎng)通線路和一條CERNET線路，對于這樣的多出口應用可以借鑒圖7-6的模型用單臺路由器或者單臺防火墻來實現(xiàn)，當然還有一種比較好的辦法可以實現(xiàn)三出口需求，見圖7-12，圖中無論是兩臺防火墻還是兩臺路由器，它的實現(xiàn)原理是一致的，下面我們來看看這種模型的功能是如何來實現(xiàn)的。首先需要在核心交換機上配置基于目的地址的策略路由，即根據(jù)CERNET提供的地址列表進行數(shù)據(jù)分流，訪問CERNET資源時下一跳到左邊的防火墻（靜態(tài)路由），訪問CERNET地址列表以外的地址時，下一跳到右邊的防火墻（默認路由），同時在核心交換機上配置好浮動的默認路由下一跳到左邊的防火墻，從而實現(xiàn)CERNET和雙Internet線路的分流和適當備份功能；分別在兩臺防火墻上做好各自的出口配置，實現(xiàn)CERNET對外服務器的發(fā)布，以及電信、網(wǎng)通線路的策略路由和自動備份功能。圖7-12如前面圖7-7所示的模型，要想實現(xiàn)網(wǎng)絡出口設備以及線路的雙重負載均衡與自動備份，是非常復雜的，其中涉及到很多的技術環(huán)節(jié)，如您希望了解該種模型下的設計和部署，請致電銳捷網(wǎng)絡技術支持中心，尋求更深入的技術支持。7.5園區(qū)網(wǎng)與出口設備的整合應用案例通過前面幾部分內(nèi)容的介紹，大家已經(jīng)對園區(qū)網(wǎng)出口常見的應用模型有了全面的了解，接下來我們將針對典型的園區(qū)網(wǎng)模型結合出口設備的整合應用案例進行介紹。7.5.1雙核心園區(qū)網(wǎng)整合應用案例雙核心是一種技術比較成熟且應用比較普遍的園區(qū)網(wǎng)建設模型，在這種網(wǎng)絡模型下，為了能夠更好的滿足出口建設的功能需求，我們一般需要整合核心層與出口設備的設計和部署，見圖7-13。圖7-13圖7-13只是物理連接的設計，我們還需要做到如下的邏輯規(guī)劃和部署，才能夠?qū)崿F(xiàn)整個園區(qū)網(wǎng)及出口的各項功能需求，如負載均衡和熱備份、多出口策略路由等。出口路由器需要啟用動態(tài)路由協(xié)議，如OSPF協(xié)議，同時將其劃分到園區(qū)網(wǎng)的骨干區(qū)域Area0內(nèi)，即出口設備也納入到整個園區(qū)網(wǎng)的路由規(guī)劃設計之內(nèi)，目的是為了實現(xiàn)整網(wǎng)的負載均衡和熱備份打好基礎；出口路由器需要向Area0內(nèi)注入一條默認路由（在OSPF協(xié)議的配置中用命令default-informationoriginatealways），目的是讓核心交換機自動學習到默認路由，并且當路由器和核心交換機之間的硬件模塊或者線路出現(xiàn)問題時，可以自動實現(xiàn)默認路由的動態(tài)調(diào)整；雙核心園區(qū)網(wǎng)必須合理的規(guī)劃和設計好OSPF路由協(xié)議，以保證整個園區(qū)網(wǎng)內(nèi)部的路由合理性，最終實現(xiàn)內(nèi)部網(wǎng)絡以及出口設備的整體負載均衡和熱備份，有關雙核心園區(qū)網(wǎng)的OSPF規(guī)劃與設計，請參見《園區(qū)網(wǎng)OSPF設計與部署》和《大型園區(qū)網(wǎng)冗余部署》這兩個章節(jié)，具體的內(nèi)容這里不再做過多的介紹。在圖7-13的網(wǎng)絡拓撲下，我們也可以考慮網(wǎng)絡出口的安全性，在合理的位置部署防火墻或其他的安全產(chǎn)品，實現(xiàn)雙核心園區(qū)網(wǎng)的綜合應用。7.5.2多核心環(huán)行園區(qū)網(wǎng)整合應用案例多核心骨干環(huán)網(wǎng)是一種規(guī)模比較大的園區(qū)骨干網(wǎng)建設模型，一般部署這樣的網(wǎng)絡模型其整網(wǎng)的信息點和數(shù)據(jù)流量都會比較大，并且這種模型非常適合整個網(wǎng)絡的擴展和升級，因此在該模型下為了能夠更好的滿足出口建設的各種功能需求，我們必須要選擇性能比較強大的高端路由器和防火墻，例如圖7-14。圖7-14實現(xiàn)模型圖7-14的邏輯規(guī)劃和部署，請參考前面介紹過的“多設備多出口”的應用模型分析，同時需要參見《園區(qū)網(wǎng)OSPF設計與部署》和《大型園區(qū)網(wǎng)冗余部署》這兩個章節(jié)，從而部署和實現(xiàn)骨干環(huán)網(wǎng)的建設，具體的內(nèi)容這里也不再做過多的介紹。7.6園區(qū)網(wǎng)出口的常見問題和解決思路在部署園區(qū)網(wǎng)出口的時侯，我們會經(jīng)常遇到一些共性的問題，那么本節(jié)中我們就針對三個典型的共性問題進行討論，并尋找相應的解決思路和辦法。7.6.1私網(wǎng)公網(wǎng)地址的NAT轉(zhuǎn)換當園區(qū)網(wǎng)中既存在公有地址又存在私有地址時，我們需要注意在網(wǎng)絡出口設備上的NAT配置方法，例如圖7-15所示，內(nèi)部網(wǎng)絡中存在兩類IP地址，一類是CERNET真地址，一類是私有地址；我們的需求是內(nèi)網(wǎng)用戶訪問CERNET資源時走CERNET線路，訪問非CERNET資源時走網(wǎng)通的線路，我們知道內(nèi)網(wǎng)的CERNET地址對CERNET線路來說是可路由的，而對網(wǎng)通線路來說是假地址，是不可路由的，因此我們在出口路由器或者防火墻上配置NAT時，需要在網(wǎng)通出端口上對CERNET和私有地址都作NAT，在CERNET出端口上只對私有地址作NAT即可。圖7-157.6.2CERNET對外服務器的公網(wǎng)訪問當園區(qū)網(wǎng)中有服務器需要對外提供服務時，可能會存在一個訪問問題，這個訪問問題一般是產(chǎn)生在有兩條不同運營商的出口線路時，例如圖7-16，下面我們就看一看這是怎樣的一個問題？是如何產(chǎn)生的？應該如何避免？問題的現(xiàn)象描述。圖7-16是一個很典型的網(wǎng)絡出口應用方式，它有網(wǎng)通和CERNET兩個出口，其中內(nèi)網(wǎng)有一臺WEB服務器需要從CERNET線路提供訪問服務，但是經(jīng)過通常的配置后，我們發(fā)現(xiàn)有這樣一個問題，即CERNET網(wǎng)絡中的高校用戶可以正常訪問這臺WEB服務器，而Internet中的用戶“比如ADSL用戶”卻無法正常訪問該WEB服務器，從而造成了用戶應用服務的訪問問題。圖7-1圖7-16問題產(chǎn)生的原因分析。我們現(xiàn)在看一看上述的問題現(xiàn)象是如何產(chǎn)生的，見圖7-17。當Internet上的用戶，例如ADSLPC訪問園區(qū)網(wǎng)內(nèi)部的WEB服務器時，數(shù)據(jù)包的源地址為PC的網(wǎng)通公網(wǎng)IP地址、目的地址為WEB服務器的CERNET地址；由于目的地址是CERNET地址，所以數(shù)據(jù)包會從網(wǎng)通運營商內(nèi)部轉(zhuǎn)入CERNET運營商網(wǎng)絡，并且通過CERNET網(wǎng)絡從該出口設備的CERNET線路端口進入，如圖中標識的數(shù)據(jù)包走向“①”。當數(shù)據(jù)包到達WEB服務器并且返回ADSLPC的時候（數(shù)據(jù)包是要雙向握手并雙向傳輸?shù)模?，?shù)據(jù)包的源地址為WEB服務器的CERNET地址，目的地址為PC的網(wǎng)通公網(wǎng)IP地址，由于目的地址是網(wǎng)通地址，因此匹配出口路由器的路由表后，會從網(wǎng)通線路出去（因為出口設備是采用基于目的地址的策略路由：即根據(jù)CERNET提供的地址列表進行數(shù)據(jù)分流，訪問CERNET資源時（CERNET提供的地址列表中的地址）通過CERNET出口訪問，訪問CERNET地址列表以外的地址時，走Internet出口），如圖中標識的數(shù)據(jù)包走向“②”。我們發(fā)現(xiàn)，數(shù)據(jù)訪問的“來”和“去”不是同一路徑，而路由器或者防火墻又是在網(wǎng)通出口做了NAT后轉(zhuǎn)發(fā)出去的，使得WEB服務器返回ADSLPC的數(shù)據(jù)包源地址發(fā)生了變化，這樣就造成TCP的會話連接無法正常完成（TCP的三次握手），最終體現(xiàn)在Internet中的用戶無法正常訪問WEB服務器。圖7-17問題的解決思路。在清楚的明白了上述問題產(chǎn)生的原因后，我們來看一看有什么辦法來解決這個問題，見圖7-18。首先，我們控制不了Internet上的用戶訪問WEB服務器時的數(shù)據(jù)包“來”向，即圖中的數(shù)據(jù)包走向“①”，但是我們能夠控制WEB服務器返回給I