我們在設(shè)計一個園區(qū)網(wǎng)絡(luò)的時候，園區(qū)網(wǎng)絡(luò)的出口需要和運營商的網(wǎng)絡(luò)進行對接，從而提供internet服務(wù)。

在和運營商網(wǎng)絡(luò)對接的時候，一般采用如下3終方式：

單一出口網(wǎng)絡(luò)結(jié)構(gòu)

1、網(wǎng)絡(luò)拓?fù)?/p>

終端用戶接入到交換機，交換機直連防火墻構(gòu)成，防火墻連接1一家運營商internet，防火墻上做NAT公私網(wǎng)的地址轉(zhuǎn)換；

（1）單一出口的網(wǎng)絡(luò)可靠性不高，一般用在小型網(wǎng)絡(luò)中；

（2）單一出口的網(wǎng)絡(luò)成本低，結(jié)構(gòu)簡單；

2、流量類型

（1）內(nèi)部用戶訪問internet：

園區(qū)網(wǎng)絡(luò)連接到運營商時運營商一般會給出兩類公網(wǎng)地址。

• 一種是連接地址，這個地址一般是一個/30掩碼長度的地址，用來配置在連接鏈路上；

• 還有運營商還會給出一個地址池，這個地址池就是用來給企業(yè)內(nèi)部設(shè)備連接互聯(lián)網(wǎng)時用來做地址轉(zhuǎn)換的，一般來說，這個地址池的地址數(shù)量比較少，不夠用來給內(nèi)部的每一臺PC分配一個公網(wǎng)地址。

內(nèi)部用戶需要訪問internet，需要在防火墻上做NAT映射，將內(nèi)網(wǎng)地址映射成地址池中的公網(wǎng)IP地址。從而實現(xiàn)用戶能夠訪問internet。

（2）內(nèi)部服務(wù)器對外提供服務(wù)：

內(nèi)部服務(wù)器需要對外提供服務(wù)，那么就需要給服務(wù)器分配一個公網(wǎng)地址，然后再防火墻上使用靜態(tài)NAT（NAT SERVER）將內(nèi)網(wǎng)服務(wù)器地址映射到公網(wǎng)地址上，從而對外提供服務(wù)。

3、實現(xiàn)方式

（1）對于只有一個出口的企業(yè)來說，一般使用靜態(tài)配置的缺省路由指向互聯(lián)網(wǎng)；

（2）對于運營商來說，因為存在信任邊界的問題，所以一般也采用靜態(tài)路由進行回指。