我们在设计一个园区网络的时候,园区网络的出口需要和运营商的网络进行对接,从而提供internet服务。
在和运营商网络对接的时候,一般采用如下3终方式:
单一出口网络结构
1、网络拓扑
终端用户接入到交换机,交换机直连防火墙构成,防火墙连接1一家运营商internet,防火墙上做NAT公私网的地址转换;
(1)单一出口的网络可靠性不高,一般用在小型网络中;
(2)单一出口的网络成本低,结构简单;
2、流量类型
(1)内部用户访问internet:
园区网络连接到运营商时运营商一般会给出两类公网地址。
一种是连接地址,这个地址一般是一个/30掩码长度的地址,用来配置在连接链路上;
还有运营商还会给出一个地址池,这个地址池就是用来给企业内部设备连接互联网时用来做地址转换的,一般来说,这个地址池的地址数量比较少,不够用来给内部的每一台PC分配一个公网地址。
内部用户需要访问internet,需要在防火墙上做NAT映射,将内网地址映射成地址池中的公网IP地址。从而实现用户能够访问internet。
(2)内部服务器对外提供服务:
内部服务器需要对外提供服务,那么就需要给服务器分配一个公网地址,然后再防火墙上使用静态NAT(NAT SERVER)将内网服务器地址映射到公网地址上,从而对外提供服务。
3、实现方式
(1)对于只有一个出口的企业来说,一般使用静态配置的缺省路由指向互联网;
(2)对于运营商来说,因为存在信任边界的问题,所以一般也采用静态路由进行回指。