大型企业的边界拓扑 http://www.freeimagehosting.net/uploads/d24ede3b2f.png
假设您有一家企业,在 DMZ 上以 DNS 服务器、Web 服务器和 VPN 服务器的形式存在小型互联网(在这种情况下,一对不可见的交换机直接连接到防火墙) . 企业网络内还有 20,000 个节点,分布在许多建筑物中,有许多路由器和 vlan 等。企业里到处都是非常重要、非常忙碌的人,他们喜欢能够毫不拖延地访问facebook……一切都变得井井有条;DMZ 具有静态对称 NAT,其他所有人都可以共享为此目的而预留的池中的传出 IP 地址。
边界是一对路由器,它们通过一对千兆以太网交换机相互连接,防火墙通过城域以太网连接到 ISP,并通过城域以太网连接到 ISP。边界路由器通过 eBGP 与 ISP 交换路由,并通过 iBGP 相互交换路由。内部网络具有到网络中任意点的不同路由,并使用动态路由协议来管理故障转移和路由分配。
防火墙通过数据中心的一对路由器连接到企业核心。
我的问题是这样的:
静态路由还是动态路由协议?
静态路由:
每组设备都有静态路由,并使用 VRRP 或 HSRP 等机制来管理 L2<->L3 故障切换。防火墙将指向企业默认路由的边界路由器的虚拟地址,内部路由器将指向其默认路由的防火墙的虚拟地址,防火墙将指向内部路由器的虚拟地址 10.0 .0.0/8。
动态路由:
在防火墙和边界路由器之间使用 iBGP,在防火墙和内部路由器之间使用 OSPF/EIGRP。
我已经看到人们使用静态路由模型的频率远远高于动态路由模型。我的问题是——为什么?
这种拓扑的最佳实践是什么?或者这只是一个宗教问题?
小智 0
静态方法可以更细粒度地控制流量如何路由到两个 ISP。您可以使用非对称路由,具体取决于 ISP 的速度或您想要访问的服务。
复制/故障转移的设置相当简单,因为大多数防火墙/设备提供非常简单的过程(至少在思科)。
