园区网出口常见应用模型.docVIP

第章 .1 园区网出口的功能需求 在介绍常见的应用模型前，我们首先对园区网出口的常见功能需求进行简单的介绍，目的是能够更好的分析我们对出口设备、线路的合理选择和功能部署，下面介绍的内容是园区网出口常见的功能需求。 7.1.1 INTERNET访问 Internet为人们进行科学研究、商业活动、社会生活等方面信息提供重要手段mail、FTP、软件下载等常规的Internet访问需求外，还有在线电影、音视频聊天、BT下载等对网络实时性以及带宽需求比较大的Internet访问需求，基本的网络出口模型见图7-1。 图7-1 7.1.2 CERNET访问 中国教育和科研计算机网CERNET）是我国教育信息化的重要基础设施、国家信息化基础设施的重要组成部分和建立学习型社会的重要平台，支撑了许多教育信息化重大应用CERNET接入用户主要是高等学校和教育主管部门CERNET提供面向教育的专门应用，包括许多国家层面教育信息化的重大应用，例如现代远程教育、网上招生远程录取、数字图书馆、中国教育科研网格、数字博物馆、国外大型期刊数据库、教育部的系列网站等。已经成为世界上最大的学术性计算机网络，拥有光纤干线30000多公里，DWDM高速传输网20000多公里；覆盖全国31个省（自治区、直辖市）的200多座城市；主干网传输速率达到2.5-10Gbps国际出口带宽超过3G，与国内其他互联网连接带宽超过10G；联网单位1500多个，用户1800多万。高等校基于速度通常是包月形式，无论学校使用的流量有多大，每月固定收取一定费用但是由于通过访问CERNET的资源速度比较慢，而且教育网中有些资源是对屏蔽的，通过完全无法访问，所以如果学校只使用出口，则会造成无法正常利用教育网资源教育网出口是按照流量收费的如果完全通过教育网来，则会因为流量巨大造成网络资费过高基于速度资源利用情况和费用的考虑，目前高校网络普遍采用方式其中一个出口为国家教育网出口，另一个为出口采用如下方式确定访问方式访问提供的地址列表中的地址通过CERNET出口访问，访问CERNET地址列表以外的地址，电信出口。 为了保障网络365 x 24 x 7 的运转，关键业务的连续服务，除考虑高可用性的关键业务主机外，作为信息流量集中地的网络出口设备和运营商线路，我们应当考虑采用高可用性的解决方案，即网络出口的负载均衡和热备份（设备备份和线路备份），图7-6和 图7-7是两个简单的网络出口模型； 图7-6 图7-7 7.1.6 系统状态监控 网络出口设备的系统状态监控指的是，管理员能够实时地监控出口设备的配置信息和运行状态信息，且只有被授权有控制和查询设备权限的用户才能监控设备状态。 管理员可以实时监视设备的各种状态，如各种服务的运行状态、规则配置情况、启停各种服务的运行情况、以及对设备进行重启或关闭操作等，能够及时发现问题。 7.1.7 日志记录和分析 系统日志是对网络出口设备的状态以及通过设备的数据包进行记录，供管理员进行分析并获得所需的信息，对管理员事后的数据统计分析有比较大的作用。 7.2 园区网出口的设备需求 前面一个章节介绍的是园区网出口常见的功能需求，其中Internet访问、CERNET访问、对外服务器公布、多出口策略应用、负载均衡和热备份属于应用功能需求，系统状态监控、日志记录和分析属于管理功能需求。目前，园区网出口设备的选择主要有三种方式：路由器、防火墙以及代理服务器。下面就对这三种方式的出口设备需求进行简单的介绍，以方便我们更好的进行网络出口的设计和规划。 7.2.1 路由器 用路由器作为园区网的出口设备是一种比较典型的应用方式，它能够很好的满足网络出口设备的各种应用功能需求，但是这里有几个关键点需要特别强调： 由于园区网出口是一个信息流量集中地，对出口的设备性能有足够的要求，因此在选择路由器时，必须要选择性能足够强的高端路由器； 虽说路由器在出口应用功能需求上能够很好的满足，但是路由器的管理功能需求比较弱，尤其是人机界面，需要管理员有足够的设备操作能力； 路由器相对于其他的安全产品，在网络出口的安全防护方面不是强项，因此要是考虑网络出口的安全防护则需要与其他的安全产品来协同部署。 7.2.2 防火墙 用防火墙作为园区网的出口设备也是一种比较普及的应用方式，它能够很好的满足网络出口设备的各种管理功能需求，并且能够完整地实现出口设备的各种应用功能需求，但是同样有几个关键点需要特别说明： 防火墙作为园区网的出口设备，对它的性能要求有比较大的考验，尤其是在数据流量大且复杂功能启用的比较多时，防火墙的性能会下降的比较明显； 网络出口单独采用防火墙，其目的除了满足出口的应用需求外，更重要的一点是对安全方面的考虑，对各种网络攻击行为的防护； 基于上面两点的阐述，防火墙在功能和性能上