华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
出口设计
园区出口区一般需要部署出口路由器和防火墙。路由器解决内外网互通的问题,防火墙提供边界安全防护能力。为了保证可靠性,路由器和防火墙通常采用设备冗余部署。大中型园区推荐出口部署设备冗余备份。
根据是否需要部署路由器,通常会有如图3-7所示的两种组网模型。组网1是路由器做出口,组网2是防火墙做出口。
大中型园区组网,出口的路由一般比较少,通常少于几百条,因此不需要路由器的路由表规模,从网络建设成本考虑,推荐组网2,采用防火墙做出口的组网。
如果符合以下几个因素之一,可以选择组网1模型:
- 出口的链路类型
如果出口区运营商提供的链路类型为EI、CE1、CPOS等非以太网的链路,考虑到路由器支持的接口类型比防火墙更为丰富,建议选择组网1,采用路由器做出口。
- 接口数量和密度
如果出口设备不仅要和Internet互连,还要和合作单位或分支机构通过专线互连,考虑到路由器支持的接口数量和密度更高,建议选择组网1,采用路由器做出口。
- 协议类型
如果出口设备与外部网络运行动态路由器协议(如BGP协议),考虑到路由器的路由表规模和性能更强大,同时考虑到在出口设备上需要部署许多路由策略,建议选择组网1,采用路由器做出口。
- QoS需求
如果需要在出口设备上部署QoS策略,考虑到路由器的QoS功能更强大,建议选择组网1,采用路由器做出口。
