出口部署要點概述

園區(qū)出口部署旨在實現(xiàn)園區(qū)終端用戶能夠訪問廣域網(wǎng)或Internet，以及實現(xiàn)園區(qū)分支與總部的互聯(lián)。園區(qū)出口一般需要部署路由器和防火墻，路由器解決內(nèi)外網(wǎng)互通問題，防火墻提供邊界安全防護能力。

根據(jù)園區(qū)網(wǎng)絡的業(yè)務、規(guī)模的不同，園區(qū)出口部署方式不同：

• 對于鏈路類型、出口路由較簡單的場景，可以僅部署防火墻作為出口設備。

• 對于大型園區(qū)出口，通常采用防火墻直連路由器的組網(wǎng)方式。

• 對于總部與分支相連的場景，推薦部署IPSec進行互聯(lián)。

• 出口設備與Internet連接時，可以使用靜態(tài)路由、OSPF路由或BGP路由。園區(qū)內(nèi)網(wǎng)路由主要滿足園區(qū)內(nèi)部設備、終端的互通需求并且與外部路由交互。一般可以選擇靜態(tài)路由或OSPF。

• 靜態(tài)路由：適用于路由條目較少的場景。大多數(shù)園區(qū)一般使用靜態(tài)路由即可滿足要求

• OSPF路由：適用于路由條目較多的場景。

• BGP路由：適用于路由條目較多的場景。當企業(yè)與ISP之間有多條鏈路，且多條鏈路可以提供差異化的路由服務時，推薦部署B(yǎng)GP。

01防火墻出口

案例描述

園區(qū)出口的兩臺防火墻組建雙機熱備，作為整個園區(qū)網(wǎng)的出口網(wǎng)關，對出入園區(qū)的業(yè)務流量提供安全過濾功能，為網(wǎng)絡安全提供保證。核心層的兩臺交換機組建集群，作為整個園區(qū)網(wǎng)絡的核心，同時作為用戶網(wǎng)關，為用戶分配IP地址。具體業(yè)務要求如下

• 業(yè)務流量在網(wǎng)絡出口側可自動選擇出口，分流到不同的運營商網(wǎng)絡，避免鏈路資源浪費。

• 內(nèi)網(wǎng)用戶可以正常訪問Internet資源，但工作時間不能玩網(wǎng)絡游戲和觀看網(wǎng)絡視頻。

• 外網(wǎng)用戶可以訪問內(nèi)網(wǎng)中的HTTP服務器資源。

本案例中，匯聚層的兩臺交換機組建堆疊，與核心交換機相連。

02防火墻旁掛

案例描述

在大型園區(qū)出口，核心交換機上行通過路由器訪問外網(wǎng)。防火墻旁掛于核心交換機，對業(yè)務流量提供安全過濾功能。核心交換機作為用戶網(wǎng)關，為用戶分配IP地址。具體組網(wǎng)要求如下：

• 為了簡化網(wǎng)絡并提高可靠性，核心層交換機通常部署集群。

• 在防火墻上部署雙機熱備（主備模式），當其中一臺故障時，業(yè)務可以平滑切換到另一臺。

• 核心交換機雙歸接入兩臺出口路由器，路由器之間部署VRRP確?？煽啃?。

• 為提高鏈路可靠性，核心交換機與出口路由器之間，核心交換機與防火墻之間，兩臺防火墻之間均通過Eth-Trunk互連。

本案例中，匯聚層的兩臺交換機與核心交換機相連。

在一般的三層轉(zhuǎn)發(fā)環(huán)境下，園區(qū)內(nèi)外部之間的流量將直接通過交換機轉(zhuǎn)發(fā)，不會經(jīng)過FWA或FWB。當流量需要從交換機轉(zhuǎn)發(fā)至FW，經(jīng)FW檢測后再轉(zhuǎn)發(fā)回交換機，就需要在交換機上配置VRF功能，將交換機隔離成兩個相互獨立的虛擬交換機VRF-A和根交換機Public。

如圖2所示，Public作為連接出口路由器的交換機。對于下行流量，它將外網(wǎng)進來的流量轉(zhuǎn)發(fā)給FW進行檢測；對于上行流量，它接收經(jīng)FW檢測后的流量，并轉(zhuǎn)發(fā)到路由器。

VRF-A作為連接內(nèi)網(wǎng)側的交換機。對于下行流量，它接收經(jīng)FW檢測后的流量，并轉(zhuǎn)發(fā)到內(nèi)網(wǎng)；對于上行流量，它將內(nèi)網(wǎng)的流量轉(zhuǎn)發(fā)到FW去檢測。

03防火墻直連路由器出口

案例描述

在大型園區(qū)出口，核心交換機上行和防火墻直連，通過防火墻連接到出口網(wǎng)關。兩臺路由器作為出口網(wǎng)關，直連Internet。兩臺防火墻組建雙機熱備，對出入園區(qū)的業(yè)務流量提供安全過濾功能，為網(wǎng)絡安全提供保證。核心層的兩臺交換機組建集群，作為整個園區(qū)網(wǎng)絡的核心，同時作為用戶網(wǎng)關，為用戶分配IP地址。具體業(yè)務要求如下：

• 部門A用戶能夠訪問Internet，部門B用戶不能訪問Internet。

• 內(nèi)外網(wǎng)用戶都可以訪問HTTP服務器。

本案例中，匯聚層的兩臺交換機組建堆疊，與核心交換機相連。

04防火墻部署IPSec與總部互聯(lián)

案例描述

園區(qū)分支出口的兩臺防火墻組建雙機熱備，作為整個園區(qū)網(wǎng)絡的出口網(wǎng)關，對出入園區(qū)的業(yè)務流量提供安全過濾功能，為網(wǎng)絡安全提供保證。核心層的兩臺交換機組建集群，作為整個園區(qū)網(wǎng)絡的核心，同時作為用戶網(wǎng)關，為用戶分配IP地址。具體業(yè)務要求如下：

• 禁止外網(wǎng)用戶訪問內(nèi)網(wǎng)，內(nèi)網(wǎng)用戶可以正常訪問Internet，但不能玩網(wǎng)絡游戲和觀看網(wǎng)絡視頻。

• 分支和總部之間需要通過Internet進行互通，通信內(nèi)容需要有安全保護。

本案例中，匯聚層的兩臺交換機組建堆疊，與核心交換機相連。

05路由器部署IPSec與分支互聯(lián)

案例描述

園區(qū)總部采用雙路由器出口冗余備份方式，保證設備級的可靠性。核心交換機采用兩臺堆疊，保證設備級的可靠性；并且核心交換機作為用戶網(wǎng)關，為用戶分配IP地址。具體業(yè)務要求如下：

• 部門A的用戶可以訪問Internet，但是部門B的用戶不能訪問Internet。

• 總部有Web服務器，對外提供WWW服務，外網(wǎng)用戶可以訪問內(nèi)網(wǎng)服務器。

• 總部和分支之間需要通過Internet進行私網(wǎng)VPN互通，通信內(nèi)容需要有安全保護。

本案例中，匯聚層的兩臺交換機組建堆疊，與核心交換機相連。

06路由器部署專線與總部互聯(lián)

案例描述

園區(qū)分支出口的兩臺防火墻組建雙機熱備，作為整個園區(qū)網(wǎng)絡的出口網(wǎng)關，承擔外網(wǎng)出口業(yè)務，并對出入園區(qū)的業(yè)務流量提供安全過濾功能，為網(wǎng)絡安全提供保證。同時，路由器也作為整個園區(qū)網(wǎng)絡的出口網(wǎng)關，通過專線與總部互聯(lián)。核心層的兩臺交換機組建集群，作為整個園區(qū)網(wǎng)絡的核心，同時作為用戶網(wǎng)關，為用戶分配IP地址。具體業(yè)務要求如下：

• 內(nèi)網(wǎng)用戶可以正常訪問Internet資源，但不能玩網(wǎng)絡游戲和觀看網(wǎng)絡視頻。

• 禁止外網(wǎng)用戶訪問內(nèi)網(wǎng)。

本案例中，匯聚層的兩臺交換機組建堆疊，與核心交換機相連。