前言

我们在设计一个园区网络的时候，园区网络的出口需要和运营商的网络进行对接，从而提供服务。

在和运营商网络对接的时候，一般采用如下3终方式：

单一出口网络结构

1、网络拓扑

终端用户接入到交换机，交换机直连防火墙构成，防火墙连接1一家运营商，防火墙上做NAT公私网的地址转换；

（1）单一出口的网络可靠性不高，一般用在小型网络中；

（2）单一出口的网络成本低，结构简单；

2、流量类型

（1）内部用户访问：

园区网络连接到运营商时运营商一般会给出两类公网地址。

内部用户需要访问，需要在防火墙上做NAT映射，将内网地址映射成地址池中的公网IP地址。从而实现用户能够访问。

（2）内部服务器对外提供服务：

内部服务器需要对外提供服务，那么就需要给服务器分配一个公网地址，然后再防火墙上使用静态NAT（NAT ）将内网服务器地址映射到公网地址上，从而对外提供服务。

3、实现方式

（1）对于只有一个出口的企业来说，一般使用静态配置的缺省路由指向互联网；

（2）对于运营商来说，因为存在信任边界的问题，所以一般也采用静态路由进行回指。

同运营商多出口结构

1、网络拓扑

同运营商多出口结构组网，企业边界防火墙连接同一个运营商的多个出口；

2、流量类型

（1）内部用户访问：

双出口都是连接到同一个运营商时，一般会同时提供两个连接地址，但是地址池还是一个。

用户需要访问，需要在防火墙上做NAT映射，将内网地址映射成地址池中的公网IP地址。

但是这里和单出口相比存在一个问题，出方向的时候由于有两条链路需要进行选路。

这里的选路可以采用

由于是同一家运营商，网络质量基本一致，因此尽量选择负载分担的方式，充分利用带宽。

（2）内部服务器对外提供服务：

内部服务器需要对外提供服务，那么就需要给服务器分配一个公网地址；

然后再防火墙上使用静态NAT（NAT ）将内网服务器地址映射到公网地址上，从而对外提供服务。如下图。

这个时候存在一个问题，就是外部用户访问企业服务器的时候也需要进行选路，这个时候走哪条路一般是由运营商控制的。

运营商对于访问企业的数据流，基本不会做特别的控制，按照自身网络路由协议的计算传送到相应的接口。

3、实现方式

（1）对于同运营商多出口的企业来说，一般使用静态配置的等价缺省路由指向互联网，实现出口流量的负载分担。

（2）对于运营商来说，因为存在信任边界的问题，一般还是不会与企业用户之间运行动态路由协议，对于访问企业的数据流，基本不会做特别的控制，按照自身网络路由协议的计算传送到相应的接口。

多运营商多出口架构

1、网络拓扑

多运营商多出口结构组网，企业边界防火墙连接多个运营商的网络；

2、流量类型

（1）内部用户访问：

双出口都是连接到不同运营商时，每个运营商会提供一个连接地址，一个地址池。

两个运营商之间一般会存在数据通路，但是这个通路一般不会存在于本地，而会在核心层面；而且两个运营商之间的连接不如运营商内部的连接强壮。

所以当流量在运营商之间贯穿的时候，服务质量会出现较大的劣化。

因此需要避免这种情况。

用户需要访问，需要在防火墙上做NAT映射，将内网地址映射成地址池中的公网IP地址。

但是这里需要考虑一个问题，出方向的时候由于有两条链路需要进行选路。

（2）内部服务器对外提供服务：

内部服务器需要对外提供服务，那么就需要给服务器分配一个公网地址，再防火墙上使用静态NAT将内网服务器地址映射到公网地址上，从而对外提供服务。

在这里由于对接了两家运营商，那么就需要将服务器内网地址映射到两个运营商的公网地址。（如下图所示）