收藏
下载资源

园区网出口常见应用模型(多出口单出口)

上传人:自*** 文档编号:23240451 上传时间:2017-11-30 格式:DOC 页数:21 大小:1.21MB
返回 下载 相关 举报
园区网出口常见应用模型(多出口单出口)_第1页
第1页 / 共21页
园区网出口常见应用模型(多出口单出口)_第2页
第2页 / 共21页
园区网出口常见应用模型(多出口单出口)_第3页
第3页 / 共21页
园区网出口常见应用模型(多出口单出口)_第4页
第4页 / 共21页
园区网出口常见应用模型(多出口单出口)_第5页
第5页 / 共21页
点击查看更多>>
资源描述

《园区网出口常见应用模型(多出口单出口)》由会员分享,可在线阅读,更多相关《园区网出口常见应用模型(多出口单出口)(21页珍藏版)》请在金锄头文库上搜索。

1、 第 7 章 园区网出口常见应用模型第 7 章 园区网出口常见应用模型园区网出口的设计与部署是园区网建设很关键的一个环节,也是经常产生网络拥塞和瓶颈的一个环节,为了能够更好的完成园区网出口的应用,本章就对出口的常见应用模型进行相关的介绍和阐述。7.1 园区网出口的功能需求在介绍常见的应用模型前,我们首先对园区网出口的常见功能需求进行简单的介绍,目的是能够更好的分析我们对出口设备、线路的合理选择和功能部署,下面介绍的内容是园区网出口常见的功能需求。7.1.1 INTERNET 访问Internet 为人们进行科学研究、商业活动、社会生活等方面的信息共享提供了重要手段,Internet 访问是园区

2、网出口最基本的需求,除了满足用户基本的WEB、Email、FTP、软件下载等常规的 Internet 访问需求外,还有在线电影、音视频聊天、BT 下载等对网络实时性以及带宽需求比较大的 Internet 访问需求,基本的网络出口模型见图 7-1。图 7-1 第 7 章 园区网出口常见应用模型7.1.2 CERNET 访问中国教育和科研计算机网(CERNET)是我国教育信息化的重要基础设施、国家信息化基础设施的重要组成部分和建立学习型社会的重要平台,支撑了许多教育信息化重大应用。CERNET 接入用户主要是高等学校和教育主管部门,CERNET 提供面向教育的专门应用,包括许多国家层面教育信息化的

3、重大应用,例如现代远程教育、网上招生远程录取、数字图书馆、中国教育科研网格、数字博物馆、国外大型期刊数据库、教育部的系列网站等。CERNET 已经成为世界上最大的学术性计算机网络,拥有光纤干线 30000 多公里,DWDM 高速传输网 20000 多公里;覆盖全国 31 个省(自治区、直辖市)的 200 多座城市;主干网传输速率达到 2.5-10Gbps,国际出口带宽超过 3G,与国内其他互联网连接带宽超过 10G;联网单位 1500 多个,用户 1800 多万。我国高等院校的校园网络基本上都同时有 Internet 出口和 CERNET 出口,以满足学校用户的各种网络访问需求,校园网络出口模

4、型见图 7-2。图 7-27.1.3 对外服务器公布园区网出口不仅仅要满足内网用户访问 Internet 或者 CERNET 的需求,同时也要满足公网用户能够远程访问园区网内部的服务器,以达到对外提供信息服务的需求,如 WEB、Email、FTP 等应用服务。在实现对外服务器公布的同时,我们还要考虑对外提供服务的服务器安全,以防 第 7 章 园区网出口常见应用模型止外部网络的攻击,有关园区网出口安全的话题不在本课题中进行重点讨论,我们这里只是对出口的应用模型进行阐述,对外服务器公布的模型见图 7-3。图 7-37.1.4 多出口策略应用在园区网出口的建设和部署中,很多情况出口线路不仅仅有一条,

5、而是有两个甚至多个出口,以满足不同网络资源的访问、基于速度的带宽考虑和线路的冗余备份等,下面是两种常见的园区网多出口应用模型。1、 两条 Internet 线路园区网出口部署两条 Internet 线路时,大多数情况是选择两个不同的接入运营商,例如图 7-4,其目的主要有以下几个方面: 访问不同的网络资源走不同的运营商,从而加快资源的访问速度;比如访问网通的服务器和信息资源时走网通的线路,其他的资源访问走电信的线路; 当上网流量比较大时,如果出口只有一条线路则很有能产生出口访问的拥塞和瓶颈,因此两条线路会分担上网流量,加快资源的访问速度; 当其中一条线路失效时(失效的原因很多) ,另外一条线路

6、能够立刻接收所有的出口流量,从而实现线路的自动冗余备份。2、 一条 Internet 线路、一条 CERNET 线路 第 7 章 园区网出口常见应用模型Internet 线路通常是包月形式,无论学校使用的流量有多大,每月固定收取一定费用,但是由于通过 Internet 线路访问 CERNET 的资源速度比较慢,而且教育网中有些资源是对 Internet 屏蔽的,通过 Internet 线路完全无法访问,所以如果学校只使用Internet 出口,则会造成无法正常利用教育网资源的情况。相反教育网出口是按照流量收费的,如果完全通过教育网来做出口,则会因为流量巨大造成网络资费过高。基于速度、资源利用情

7、况和费用的考虑,目前高校网络普遍采用两个出口的方式,其中一个出口为 CERNET 国家教育网出口,另一个为 Internet 出口,如图 7-5,并且采用如下的方式确定访问方式,访问 CERNET 资源时(CERNET 提供的地址列表中的地址)通过 CERNET 出口访问,访问 CERNET 地址列表以外的地址时,走电信出口。图 7-4图 7-5 第 7 章 园区网出口常见应用模型7.1.5 负载均衡和热备份随着网络技术和信息化建设的发展,人们将越来越多的关键业务主机和数据放到了信息网络中,借以提高业务效率,实现自动化的管理。因此网络出口设备的性能、功能、安全性等得到人们的集中关注,网络出口设

8、备安装在内部网络和不可信任网络的临界点,是内外网络所有往来流量集中地,所有的对外应用和服务都要经过出口设备,一旦临界点发生硬件和线路故障,将使内外网络的链接中断,对外的关键业务将无法进行,甚至影响整个企业的运作。为了保障网络 365 x 24 x 7 的运转,关键业务的连续服务,除考虑高可用性的关键业务主机外,作为信息流量集中地的网络出口设备和运营商线路,我们应当考虑采用高可用性的解决方案,即网络出口的负载均衡和热备份(设备备份和线路备份) ,图 7-6 和 图 7-7 是两个简单的网络出口模型;图 7-6 第 7 章 园区网出口常见应用模型图 7-77.1.6 系统状态监控网络出口设备的系统

9、状态监控指的是,管理员能够实时地监控出口设备的配置信息和运行状态信息,且只有被授权有控制和查询设备权限的用户才能监控设备状态。管理员可以实时监视设备的各种状态,如各种服务的运行状态、规则配置情况、启停各种服务的运行情况、以及对设备进行重启或关闭操作等,能够及时发现问题。7.1.7 日志记录和分析系统日志是对网络出口设备的状态以及通过设备的数据包进行记录,供管理员进行分析并获得所需的信息,对管理员事后的数据统计分析有比较大的作用。7.2 园区网出口的设备需求前面一个章节介绍的是园区网出口常见的功能需求,其中 Internet 访问、CERNET访问、对外服务器公布、多出口策略应用、负载均衡和热备

10、份属于应用功能需求,系统状态监控、日志记录和分析属于管理功能需求。目前,园区网出口设备的选择主要有三种方式:路由器、防火墙以及代理服务器。下面就对这三种方式的出口设备需求进行简单的介绍,以方便我们更好的进行网络出口的设计和规划。7.2.1 路由器用路由器作为园区网的出口设备是一种比较典型的应用方式,它能够很好的满足网络出口设备的各种应用功能需求,但是这里有几个关键点需要特别强调: 由于园区网出口是一个信息流量集中地,对出口的设备性能有足够的要求,因此在选择路由器时,必须要选择性能足够强的高端路由器; 虽说路由器在出口应用功能需求上能够很好的满足,但是路由器的管理功能需求比较弱,尤其是人机界面,

11、需要管理员有足够的设备操作能力; 路由器相对于其他的安全产品,在网络出口的安全防护方面不是强项,因此要是考虑网络出口的安全防护则需要与其他的安全产品来协同部署。 第 7 章 园区网出口常见应用模型7.2.2 防火墙用防火墙作为园区网的出口设备也是一种比较普及的应用方式,它能够很好的满足网络出口设备的各种管理功能需求,并且能够完整地实现出口设备的各种应用功能需求,但是同样有几个关键点需要特别说明: 防火墙作为园区网的出口设备,对它的性能要求有比较大的考验,尤其是在数据流量大且复杂功能启用的比较多时,防火墙的性能会下降的比较明显; 网络出口单独采用防火墙,其目的除了满足出口的应用需求外,更重要的一

12、点是对安全方面的考虑,对各种网络攻击行为的防护; 基于上面两点的阐述,防火墙在功能和性能上得到了双方面压力,因此锐捷网络建议在园区网出口应该采用“高端路由器+防火墙”的整体应用方案,合理的把功能和性能压力有效的分担在两个设备上,各负其职。7.2.3 代理服务器(不推荐)代理服务器原理上就是在 PC 或者服务器上安装双网卡,其中一个网卡连内部网络,另外一个网卡连外部出口线路上,在这台 PC 或者服务器上安装代理软件。这种方式价格相对低廉,同时可以通过采用高主频的 CPU 来提高网络性能,但是在实际应用和管理上存在一些必须要面对的问题。 代理服务器的配置、维护和管理难度大,对管理人员的能力要求较高

13、; 代理服务器采用软件模式,长时间运行容易死机,因此需要定期重新启动一次服务器。 代理服务器常常采用 Linux 系统,当遇到机房调整、服务器维护或者碰到代理服务器死机的情况,服务器重新启动需要等待 5-10 分钟; 如果内网中的很多用户启用了 BT 或者在线视频等占用带宽大的应用时,就会影响其他人的正常上网,代理服务器基本无法实现对内部 IP 地址限速的功能,即给每台 PC 进行最大带宽的限制; 代理服务器对 DDOS 攻击的防范有限,很容易由于恶意攻击而进入瘫痪状态,防攻击能力差是代理服务器的一大缺陷; 代理服务器不支持多出口线路的负载均衡和自动备份功能,因此无法充分利用多出口的带宽和信息

14、资源。 第 7 章 园区网出口常见应用模型综上所述,锐捷网络不推荐用户采用代理服务器方式进行园区网出口的部署,有条件的用户应该采用“高端路由器+防火墙”的整体应用方案。7.3 园区网出口的线路需求在介绍完前面有关园区网出口的功能需求和设备需求后,我们来看一看在出口部署时的线路需求,下面主要从 Internet 运营商线路和 CERNET 线路两个方面进行阐述,目的是让大家了解一下出口线路的选择范围和合理使用。7.3.1 Internet 运营商线路中国国内有六大基础电信运营商,即中国电信、中国网通、中国移动、中国联通、中国卫通和中国铁通,他们都有 Internet 接入服务且接入方式非常丰富,

15、其中适合园区网 Internet 接入的方式主要为光纤接入,这其中主要是由中国电信、中国网通和中国铁通来提供 Internet 的光纤接入服务,我们在选择 Internet 运营商线路时主要是从这三家运营商来进行合理的选择。7.3.2 CERNET 线路中国教育和科研计算机网 CERNET 是由国家投资建设,教育部负责管理,清华大学等高等学校承担建设和运行的全国性学术计算机互联网络,是全国最大的公益性计算机互联网络,1996 年被国务院确认为全国四大骨干网之一。CERNET 目前有 10 个地区中心,38 个省节点,全国中心设在清华大学。CERNET目前联网大学、教育机构、科研单位超过 1500 个,用户超过 1500 万人,是我国教育信息化的基础平台。为进一步加强网络管理、提高服务质量、拓

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号