解決網絡規劃中的問題

某政務中心Internet網絡接入規劃問題

某政務服務中心，采用100M聯通、100M廣電專線接入Internet。廣電與聯通通過華為AR-2811路由器接入，之后連接到一臺“聯想網御防火墻”，在聯想網御防火墻再接局域網核心交換機，連接各上網的工作站（圖中未畫出），同時聯想網御防火墻的FE5口接一臺“金電網安防火墻”，再接一個普通的交換機（稱為“WWW服務器交換機”），這個交換機連接網站服務器。該網站服務器域名對外的IP地址是y1.y2.251.132，該地址是通過AR-2811映射給“聯想網御防火墻”，再映射給連接到“WWW服務器交換機”中的一臺IP地址為192.168.60.3的服務器中。

用戶現在存在的問題是：每過一段時間，單位上網比較慢（過一段時間恢復，但網絡速度慢的時間不固定），此時Internet用戶打開單位網站也特別慢甚至不能打開。近期上級要求，政府對外門戶網站要能24小時對外提供服務。用戶的需求是：首先解決訪問外網慢時，門戶網站外面（指Internet用戶）不能訪問問題，其次解決訪問外網慢問題。因為在網絡訪問慢的時候，與聯通公司聯系，已經確認不是線路問題（網站的域名IP使用聯通的線路）。

對于用戶提出的要求，并與用戶溝通，達到一致意見：用戶網站與內部計算機訪問Internet線路“分開”，為網站保留至少10M的帶寬。內部計算機上網慢，通過在網絡中加裝“流量控制”設備來實現。在我們這個案例中，介紹將線路分開，并為網站服務器單獨設計出口的問題。

你可能注意到，聯通線路的出口IP地址是y1.y2.251.166，子網掩碼255.255.255.252，上聯口（對端，聯通的設備地址是）y1.y 2.251.165。而Web服務器使用的是y1.y2.251.132的地址。而y1.y2.251.132/28與y1.y2.251.166/30并不是同一子網的地址。另外，在查看華為2811路由器的配置，看到映射的公網地址是y1.y2.251.131～140的IP地址，實際上是使用了y1.y2.251.130/28的整個子網。

另外，經過與聯通公司查詢，該單位還使用了y1.y2.249.240/30的地址。但經過對比服務器的設置，發這一地址段也已經不用。為什么設置了這么多段地址呢?因為在前幾年，該中心對外的服務器數量較多，而每個服務器都需要一個公網的IP地址，并且用戶的IP地址需求是慢慢增加的。而在以前“傳統”的分法中，一般都是給專線用戶一段連續的地址，子網掩碼是255.255.255.252（用戶只有一個可用IP地址）或 255.255.255.248（8個地址，可用地址5個）或255.255.255.240（16個地址，可用地址13個）。這樣就造成了，在規劃好后，當用戶再需要IP地址時，沒有辦法添加，所以聯通公司，專門給該單位添加了一條靜態路由，專門設置了y1.y2.251.164/30的一段“互聯互通”地址，為用戶添加了兩個可用的子網y1.y2.251.130/28及y1.y2.249.240/30兩段地址，可以使用20個IP地址（16+4）。但這樣造成的浪費也比較大。

此時，如果要在計算機上使用其他的公網地址，需要再在GE1口，添加第二個IP地址，例如，要使用y1.y2.251.130/28，需要在GE1接口上添加y1.y2.251.129的子地址。

這樣，從服務器到聯通機房，就多過了一級設備（路由器）。即通過聯通公司→華為2811路由器，再通過華為2811路由器的GE1端口接一個交換機，分成兩條線，分別為內部計算機提供Internet接入，及為Web服務器提供專線。這要華為2811即是一個“公共”的接點。而如果想讓服務器“直接”到聯通機房，則不能實現。

圖1 改進后的網絡拓撲

所以，為了解決這個問題，在查詢到y1.y2.249.240/30地址不用的情況下，聯系了聯通機房，讓聯通更改級聯地址，取消y1.y2.251.165的地址，改 為 y1.y2.251.142，在路由器上，將默認路由的出口地址由y1.y2.251.165改為y1.y2.251.142（內網計算機訪問Internet的出口IP地址），將原來Web服務器IP地址從華為2811中的映射去掉，改為設置在新添加的軟件防火墻Forefront TMG的外網上，此時網絡拓撲改為圖2。

改進后，聯通光纖（通過光電收發器轉為RJ45接口）先接到一個交換機上，在該交換機上再通過兩條RJ45網線分別接華為AR2811及新添加的一臺安裝Forefront TMG的服務器的“外部網卡”，而Forefront TMG服務器的另一塊網卡（命名為“內部網卡”）連接到另一臺新添加的普通交換機上，此普通交換機再連接原來聯想網御防火墻的FE5口及金電網安防火墻的EXT5端口。此時“WWW服務器交換機”中，各個Web服務器的網關地址由原來的192.168.60.254改為192.168.60.253，并在每臺Web服務器中，添加到局域網其他網段的靜態路由：。

在新添加的Forefront TMG，使用“Web服務器發布規劃”，使用主機頭名（即類似www.abc.net、xyz.com 之類的名稱）的方式，發布每個網站到內網中每臺服務器的IP地址。

【說明】大多數的硬件防火墻、路由器，只能做端口一對一的映射，不能做到端口的“復用”。而Forefront TMG的防火墻，可以用“主機頭名”的方式，在只使用一個端口（例如TCP的80端口或其他端口），根據網站對外域名的不同，發布到內部不同IP地址的服務器。這樣，在原來需要多個公網IP地址時，使用Forefront TMG，只需要一個公網IP地址即可（當然也可以使用多個IP地址）。

某單位通過VPN網絡之后路由器信息沒有更新

某單位接入上級政務內網，之后該單位又為其下級單位，依托聯通公司，通過聯通公司專線使用VPN技術組建了內網。

該單位計算機設置x1.x3.0.1～250的 地 址，子網掩碼255.255.255.0，網關設置為x1.x3.0.254。該單位其他部門通過IDC機房組建VPN網絡，相關IP地址是x1.x3.10.0～x1.x3.47.0/24。在聯通IDC機房有一臺x1.x3.120.1的服務器，該單位及其使用VPN的相關部門要訪問該服務器。組建之后，每過一段時間，該單位訪問上級政府內網出問題，只有重啟到上級內網的路由器才能解決，而訪問放置在聯通IDC機房的服務器則無問題。

經過相看AR 1220的配置，發現在該路由器中，有如下的配置：

這表示，在訪問上級政務內網時，通過AR 1220的GE0端口及專線訪問，而在訪問x1.x3.120.1及x1.x3.10.0～x1.x3.4 7.0/24網絡時，是通過到聯通IDC機房的專線訪問的。這樣，所有的工作站在訪問x1.x3.120.1時，先訪問其網關x1.x3.0.254即AR1220的GE1端口，再通過GE1“轉到”IDC機房的x1.x3.0.253線路訪問，此其一。如果要解決這個問題，將圖1-3中的交換機，換為三層交換機，在該三層交換機中規劃一個 VLAN，例如 VLAN1001，設置VLAN1001的地址是x1.x3.0.252，在該三層交換機上添加靜態路由：

之后，修改該單位每臺計算機的網關地址為x1.x3.0.252，這樣，在計算機訪問x1.x3.120.0及VPN網段時，通過交換機的靜態路由配置，是訪問x1.x3.0.253；而訪問上級網絡則是通過x1.x3.0.254訪問。

另外，在查看AR1220的配置時，發現其GE1的IP地址是x1.x3.0.254，但子網掩碼是255.255.128.0，這存在設置錯誤問題，此問題的原因是：原來在沒有通過聯通IDC組建VPN網絡時，該單位的地址是x1.x3.0.0～x1.x3.127.0/24，故子網掩碼設置為255.255.128.0不存在問題（原來也沒有三層交換機，是直接設置一大段IP地址）。但后來組建VPN之后，x1.x3.0.0/24單獨分配給該單位機關使用，此時就不能再設置255.255.128.0的子網掩碼了，需要將其修改為255.255.255.0。