我們在設計一個園區網絡的時候,園區網絡的出口需要和營運商的網絡進行對接,進而提供internet服務。
在和營運商網絡對接的時候,一般采用如下3終方式:
單一出口網絡結構
1、網絡拓撲
終端使用者接入到交換機,交換機直連防火牆構成,防火牆連接配接1一家營運商internet,防火牆上做NAT公私網的位址轉換;
(1)單一出口的網絡可靠性不高,一般用在小型網絡中;
(2)單一出口的網絡成本低,結構簡單;
2、流量類型
(1)内部使用者通路internet:
園區網絡連接配接到營運商時營運商一般會給出兩類公網位址。
- 一種是連接配接位址,這個位址一般是一個/30掩碼長度的位址,用來配置在連接配接鍊路上;
- 還有營運商還會給出一個位址池,這個位址池就是用來給企業内部裝置連接配接網際網路時用來做位址轉換的,一般來說,這個位址池的位址數量比較少,不夠用來給内部的每一台PC配置設定一個公網位址。
内部使用者需要通路internet,需要在防火牆上做NAT映射,将内網位址映射成位址池中的公網IP位址。進而實作使用者能夠通路internet。
(2)内部伺服器對外提供服務:
内部伺服器需要對外提供服務,那麼就需要給伺服器配置設定一個公網位址,然後再防火牆上使用靜态NAT(NAT SERVER)将内網伺服器位址映射到公網位址上,進而對外提供服務。
3、實作方式
(1)對于隻有一個出口的企業來說,一般使用靜态配置的預設路由指向網際網路;
(2)對于營運商來說,因為存在信任邊界的問題,是以一般也采用靜态路由進行回指。