妙手改造分支機構網絡

某公司本部辦公地點在市區，但是還有不少分支機構分布在郊區，公司的數據中心建立在本部的辦公樓內，運行著生產經營系統、財務系統、OA等一系列應用；各分支機構自身搭建有簡單的局域網，有獨立的Internet出口，分支機構員工都是通過SSLVPN進入公司內網，訪問相應的資源。近年來隨著業務范圍的擴大，分支機構的員工數量大幅增加，訪問公司內網資源的需求也越來越大，原來的SSLVPN方式已經不能滿足分支機構的辦公需求。為了集中化管理，提高分支機構的辦公效率，經過討論，決定聯系運營商為每個分支機構到數據中心之間建立一條帶寬為4Mbps數據專線，由于帶寬資源有限，需要控制使用人數，線路只能提供給分支機構領導和重點業務人員使用，其他人員仍然使用SSLVPN方式的形式訪問內網資源。

圖1 改造前分支機構網絡架構

面臨的問題

確定了建立專線的方案后，就需要網絡管理人員拿出一整套解決方案，主要包括各分支機構原有局域網的改造、兩地網絡之間的互通以及訪問人員控制等問題。經過調研，大多數分支機構的局域網架構如圖1所示。

從圖1可以看出，連接Internet是通過路由器進行ADSL撥號實現，網絡內客戶端的IP地址分配也是通過路由器上的DHCP功能完成，網內的交換機均為二層交換機，沒有進行任何VLAN劃分，所有用戶均在同一網段。這種架構簡單、易維護，屬于典型中小企業網絡架構。為了最大限度減少改造成本和風險，擬對當前架構不做任何改動，僅從路由器上擴展出一個接口，用來接入數據專線。改造后架構如圖2所示。

經過分析，改造主要面臨如下幾個問題：

1、IP地址短缺。由于該公司屬于某集團二級子公司，局域網內所使用的IP地址均是由集團統一劃分的172.19.4.0/22網段地址，近年來由于推廣虛擬化、IP電話等新技術，導致剩余IP地址已經嚴重不足，從集團處申請IP地址的難度大大增加。如果將分支機構均納入到公司局域網內，采用原來的IP分配方法，IP地址肯定會有缺口，難以滿足需求日益增長的分支機構。

2、如何控制使用專線的人數。由于專線帶寬有限，必須限制使用的人數，建立合理的訪問策略來進行控制就顯得尤為重要，由于分支機構都擁有自己獨立的Internet出口，部署專線以后，傳統的路由控制方式已經難以滿足重點人員和普通人員的不同訪問需求，亟需引用新的技術來進行保障。

3、域名解析的問題。改造之前，分支機構員工僅僅只有訪問Internet的需求；但改造之后，分支機構重點人員除了有訪問Internet的需求，還有通過專線訪問內網應用的系統的需求，這就涉及到設置DNS服務器的問題；由于本部不少應用系統已經實現了域名訪問限制，無法直接使用IP地址訪問，必須通過內網的DNS服務器解析才能實現正常訪問；但是如果將重點人員的DNS設置為內網DNS，那么訪問Internet必然會出現問題。

解決方案

針對上述三個問題，本文將逐個進行分析并解決（注：本部及所有分支機構采用的均是集中采購的思科系列路由器及交換機）：

圖2 改造后分支機構網絡架構

1、針對IP地址短缺的問題，本文擬采用NAT（網絡地址轉換）技術進行解決。考慮到未來這些分支機構可能會通過專線訪問集團的應用系統，而且集團只會為統一分配的172.19.4.0/22段地址提供回指路由，所以轉換后的地址必須屬于該網段；而且應用系統及服務器均集中部署在本部數據中心，分支機構局域網內只有用戶，所以決定在專線出口處的三層設備（路由器）上做PAT（端口地址轉換），即分支機構內部采用自主分配的私網IP，如果通過專線去訪問本部數據中心，則會轉換成一個集團統一劃分的172.19.4.0/22網段的合法地址。具體劃分方式如表1所示。

從表1可以看出，每個分支機構內部局域網分配128個私網IP（實際可用126個），用于員工辦公電腦、打印機等；分配8個（實際可用6個）合法IP，其中一個用于PAT，剩余5個作為備用，如果后續有雙向訪問需求，如分支機構部署服務器，可以用這些剩余地址通過做靜態地址轉換來解決。在分支機構路由器上的配置示例如下：

表1 分支機構IP分配表

2、對于使用專線人數的控制，本文使用Routemap技術來進行解決。對于需要通過專線訪問本部應用系統的重點用戶，可以將其IP地址加入到對應的ACL中，通過數據包中源地址和目的地址的匹配，將匹配成功的數據包轉發至專線；其余匹配不成功的數據包直接通過默認路由轉發至Internet線路上。這種方式成功地實現了重點用戶可以按需訪問Internet或本部應用系統，而普通用戶只能訪問Internet的目的。在分支機構路由器上配置Routemap示例如下：

其中192.168.3.1是分支機構路由器上連接專線的接口IP地址。

由于Routemap是利用IP進行路由控制，所以分支機構IP地址需采用靜態地址分配，保證每臺主機的IP地址唯一且不變；而且分支機構人數相對較少，利用靜態地址分配更加有利于管理，可以制作一張IP分配表，內容包括員工姓名、職務、分配IP、聯系方式等信息，根據實際員工信息進行IP分配表的維護。

3、對于域名解析的問題，解決起來就比較簡單，由于內網解 析 記錄較少，可以通過寫host文件來實現。由于host文件中解析記錄的優先級要高于DNS服務器，所以可以將內網解析記錄手工寫入重點人員主機的host文件中，而DNS服務器仍然設置為運營商的外網DNS，這樣訪問業務系統時就可以從host文件中獲取解析記錄，而訪問Internet就從DNS上獲取解析記錄，問題即可迎刃而解。hosts文件路徑的是C:WindowsSystem32driversetchosts，使用記事本即可打開進行編輯，如需要將a.domain.com解析為172.19.4.218，在文件最后一行添加“172.19.4.218 a.domain.com”，然后保存即可。

總結

本文所提出的這種改造方案對分支機構網絡架構變更很小，最大限度利用了現有設備，保護了原有投資，總部網絡管理人員也能夠很方便進行遠程維護，可以作為模板向各個分支機構進行推廣。改造完成后，總部與分支機構業務上聯系更加緊密，信息流組成了一張“大網”，消除了“信息孤島”，提升了經營和管理的競爭力。