外部网络设计

https://support.huawei.com/enterprise/zh/doc/EDOC1100368575/e64f745b#ZH-CN_TOPIC_0268148455

在Fabric网络的资源模型设计中，通过在Border节点创建外部网络，使得园区内部终端能够访问外部Internet等。Border上创建的每个外部网络资源都会被分配一个VRF，VN构建过程中选取了一个外部网络资源后，通过其VRF与VN的VRF间进行路由互引，实现VN内业务子网与外部网络的互通，如图2-40所示。

图2-40 Fabric中外部网络资源模型设计示意图

外部网络的出口类型

外部网络资源定义了三种类型，如果用户网关位于Fabric内，主要采用L3共享出口或者L3独占出口两种类型，如图2-41所示。

• L3共享出口：Fabric网络的多个VN共享L3出口，与出口设备互通。由于VN与外部互访必须要在防火墙上配置到达业务子网的回程路由，这也间接导致不同VN间业务子网在防火墙上是可以互通的。如果不同VN间在防火墙仍需隔离，需基于VN内的业务网段配置策略。

  L3共享出口可以节省VLAN和IP等用于互联的资源，适用于不同VN间安全控制策略要求较低的场景。

• L3独占出口：Fabric网络的每个VN独占一个L3出口，与出口设备互通。此时，防火墙可以创建多个安全区域，安全区域与L3独占出口一一对应，到达防火墙的不同VN间业务子网流量是隔离的。如果不同VN间需要在防火墙实现互访，可以在不同安全区域间配置安全策略，配置的安全策略还能够控制互访的应用端口、限制带宽等。

  L3独占出口适用于不同VN间安全控制策略要求较高的场景。

图2-41 Fabric采用L3共享出口和L3独占出口的流量模型

外部网络的路由规划

VN与外部网络互通有两个关键点：在Border上，VN与外部网络资源的VRF间通过配置静态路由实现互通；Border与防火墙间通过配置路由协议互通。如图2-42所示，Border与防火墙间的路由设计遵循传统园区内网与外部互通的路由设计原则：

• Border侧园区内网去往外部网络的路由：考虑需要访问的外部网络数量多、稳定性相对较低，一般采用缺省路由。

• 防火墙侧外部网络向园区内网的回程路由：一般采用明细路由。