[工学]第7章 园区网出口常见应用模型.pptVIP

前 言 课程目标 学完本次课程，您可以掌握以下知识点： 园区网出口的常见功能需求 园区网出口的设备和线路应用 园区网出口的规划设计思想 园区网出口的部署方法 园区网出口的常见问题 提 纲 园区网出口的功能需求 园区网出口的设备需求 园区网出口的线路需求 园区网出口的常见应用模型 园区网与出口设备的整合应用案例 园区网出口的常见问题和解决思路 提 纲 园区网出口的功能需求 INTERNET 访问 CERNET 访问 对外服务器公布 多出口策略应用 负载均衡和热备份 系统状态监控 日志记录和分析 园区网出口的设备需求 园区网出口的线路需求 园区网出口的常见应用模型 园区网与出口设备的整合应用案例 园区网出口的常见问题和解决思路 园区网出口的功能需求 INTERNET 访问 Internet 为人们进行科学研究、商业活动、社会生活等方面的信息共享提供了重要手段 园区网出口的功能需求 CERNET 访问 中国教育和科研计算机网（CERNET） CERNET已经成为世界上最大的学术性计算机网络 我国高等院校的校园网基本上都同时有Internet出口和CERNET出口 园区网出口的功能需求 对外服务器公布 公网用户希望远程访问园区网内部的服务器 保证对外提供服务的服务器安全 园区网出口的功能需求 多出口策略应用 两条 Internet 线路 增加网络带宽，提高访问速度； 根据访问的需求，实现流量的负载均衡； 当其中一条线路失效时，另外一条线路能够立刻接管所有的出口流量，从而实现线路的自动冗余备份； 当失效的线路恢复后，能够自动恢复为负载均衡。 园区网出口的功能需求 多出口策略应用 两条 Internet 线路 园区网出口的功能需求 多出口策略应用 两条 Internet 线路 一条Internet线路、一条CERNET线路 Internet 线路通常是包月形式； 教育网国际访问是按照流量收费的； Internet 线路访问 CERNET 的资源速度比较慢，而且教育网中有些资源对 Internet 是屏蔽的； 基于速度、资源利用和费用的考虑，目前高校网络普遍采用两个出口的方式； 访问 CERNET 资源时（CERNET 提供的地址列表中的地址）通过 CERNET 出口访问，访问CERNET 地址列表以外的地址时走Internet出口 园区网出口的功能需求 多出口策略应用 两条 Internet 线路 一条Internet线路、一条CERNET线路 园区网出口的功能需求 负载均衡和热备份 业务流量的负载均衡 设备和线路的热备份 园区网出口的功能需求 系统状态监控 管理员能够实时地监控设备的配置信息和运行状态信息 只有被授予权限的用户才能监控设备状态 实时的数据分析，能够及时发现问题 园区网出口的功能需求 日志记录和分析 对网络出口设备的状态以及通过设备的数据包进行记录，供管理员进行分析并获得所需的信息，对管理员事后的数据统计分析有很大的作用 提 纲 园区网出口的功能需求 园区网出口的设备需求 路由器 防火墙 代理服务器（不推荐） 园区网出口的线路需求 园区网出口的常见应用模型 园区网与出口设备的整合应用案例 园区网出口的常见问题和解决思路 园区网出口的设备需求 路由器 由于园区网出口是一个信息流量集中地，对出口的设备性能有足够的要求，因此在选择路由器时，必须要选择性能足够强的高端路由器 虽说路由器在出口应用功能需求上能够很好的满足，但是路由器的管理功能需求比较弱，尤其是人机界面，需要管理员有足够的设备操作能力 路由器相对于其他的安全产品，在网络出口的安全防护方面不是强项，因此要是考虑网络出口的安全防护则需要与其他的安全产品来协同部署 园区网出口的设备需求 防火墙 防火墙作为园区网的出口设备，对它的性能要求有比较大的考验，尤其是在数据流量大且复杂功能启用的比较多时，防火墙的性能会下降的比较明显 网络出口单独采用防火墙，其目的除了满足出口的应用需求外，更重要的一点是对安全方面的考虑，对各种网络攻击行为的防护 基于上面两点的阐述，单独采用防火墙在功能和性能上得到了双方面压力，因此锐捷网络建议在园区网出口应该采用“高端路由器+防火墙”的整体应用方案，合理的把功能和性能压力有效的分担在两个设备上，各负其职 园区网出口的设备需求 代理服务器（不推荐） 价格相对低廉，同时可以通过采用高主频的CPU来提高网络性能 配置、维护和管理难度大，对管理人员的能力要求较高 无法实现对内部 IP 地址限速等控制功能 防攻击能力比较差 不支持多出口线路的负载均衡和自动备份功能，因此无法充分利用多出口的带宽和信息资源 有条件的用户尽量采用“高端路由器+防火墙”的整体应用方案