二、 统一互联网出口需求要点

　　■ 运营级高可靠

　　互联网出口是整个网络对外流量的必经之路，互联网出口是否足够“强壮”直接影响着整个网络用户的上网体验。传统方案大多为“串糖葫芦”式组网，部署防火墙、入侵检测、防病毒网关、负载均衡、流量控制、行为审计、Web防火墙等设备，不但数量和种类繁多，而且极大的影响了网络的可靠性。即使设备部署中采用双机VRRP备份的方式，故障恢复时间也为秒级，而且组网极为复杂。因此，统一互联网出口的建设首先需要简化网络结构，并提高整体的可靠性。

　　■ 提升用户体验

　　用户对于带宽的需求是无止境的，尤其是在统一互联网出口后用户数成倍增加的情况下，不论出口带宽增加到多大，都无法完全满足用户的需求。但对客户来说，出口带宽的每次增加，都意味着成本的提高。因此，客户越来越关注带宽的合理利用，以达到提升带宽价值的目的。这时传统方案的局限性凸显无疑：

　　1) 用户投诉网速慢、体验不佳时，出口带宽却往往有富余，甚至某条链路空闲，传统带宽管理方案对此无能为力。

　　2) 启用流控功能为提高带宽利用率，却导致带宽资源的大量损耗。

　　3) 差异化安全防护。统一互联网出口后，不同分支对安全防护的需求存在差异，传统方案只能进行统一的安全防护，无法进行差异化防护。

　　因此，信息中心需要在用户体验和成本间找到平衡点，既让用户满意又不付出过高成本。

　　■ 精细的行为管理

　　网络规模增加后，需要对用户的行为进行精细化的管理，不然会导致工作状态无法监控、泄漏公司机密，甚至会出现不符合法律违规等严重问题。传统的行为审计大多是基于IP，无法精确到人，审计细粒度存在局限。此外，互联网统一出口后，分支的局域网往往通过NAT网关上连至出口，这样一来，分支的用户便经过一次或多次NAT后才到达互联网统一出口，如何在多次NAT后准确定位到人就成了必然要面临的问题。

　　因此，新的出口建设需要能审计到人，同时实现多级NAT的精确溯源。

　　■ 高性能

　　统一出口建设后，出口带宽成倍增加，往往到10G甚至更高，这就要求出口设备具备较高的处理性能，满足业务高峰期需要。