某政務中心Internet網(wǎng)絡接入規(guī)劃問題

某政務服務中心，采用100M聯(lián)通、100M廣電專線接入Internet。廣電與聯(lián)通通過華為AR-2811路由器接入，之后連接到一臺“聯(lián)想網(wǎng)御防火墻”，在聯(lián)想網(wǎng)御防火墻再接局域網(wǎng)核心交換機，連接各上網(wǎng)的工作站（圖中未畫出），同時聯(lián)想網(wǎng)御防火墻的FE5口接一臺“金電網(wǎng)安防火墻”，再接一個普通的交換機（稱為“WWW服務器交換機”），這個交換機連接網(wǎng)站服務器。該網(wǎng)站服務器域名對外的IP地址是y1.y2.251.132，該地址是通過AR-2811映射給“聯(lián)想網(wǎng)御防火墻”，再映射給連接到“WWW服務器交換機”中的一臺IP地址為192.168.60.3的服務器中。

用戶現(xiàn)在存在的問題是：每過一段時間，單位上網(wǎng)比較慢（過一段時間恢復，但網(wǎng)絡速度慢的時間不固定），此時Internet用戶打開單位網(wǎng)站也特別慢甚至不能打開。近期上級要求，政府對外門戶網(wǎng)站要能24小時對外提供服務。用戶的需求是：首先解決訪問外網(wǎng)慢時，門戶網(wǎng)站外面（指Internet用戶）不能訪問問題，其次解決訪問外網(wǎng)慢問題。因為在網(wǎng)絡訪問慢的時候，與聯(lián)通公司聯(lián)系，已經(jīng)確認不是線路問題（網(wǎng)站的域名IP使用聯(lián)通的線路）。

對于用戶提出的要求，并與用戶溝通，達到一致意見：用戶網(wǎng)站與內(nèi)部計算機訪問Internet線路“分開”，為網(wǎng)站保留至少10M的帶寬。內(nèi)部計算機上網(wǎng)慢，通過在網(wǎng)絡中加裝“流量控制”設備來實現(xiàn)。在我們這個案例中，介紹將線路分開，并為網(wǎng)站服務器單獨設計出口的問題。

你可能注意到，聯(lián)通線路的出口IP地址是y1.y2.251.166，子網(wǎng)掩碼255.255.255.252，上聯(lián)口（對端，聯(lián)通的設備地址是）y1.y 2.251.165。而Web服務器使用的是y1.y2.251.132的地址。而y1.y2.251.132/28與y1.y2.251.166/30并不是同一子網(wǎng)的地址。另外，在查看華為2811路由器的配置，看到映射的公網(wǎng)地址是y1.y2.251.131～140的IP地址，實際上是使用了y1.y2.251.130/28的整個子網(wǎng)。

另外，經(jīng)過與聯(lián)通公司查詢，該單位還使用了y1.y2.249.240/30的地址。但經(jīng)過對比服務器的設置，發(fā)這一地址段也已經(jīng)不用。為什么設置了這么多段地址呢?因為在前幾年，該中心對外的服務器數(shù)量較多，而每個服務器都需要一個公網(wǎng)的IP地址，并且用戶的IP地址需求是慢慢增加的。而在以前“傳統(tǒng)”的分法中，一般都是給專線用戶一段連續(xù)的地址，子網(wǎng)掩碼是255.255.255.252（用戶只有一個可用IP地址）或 255.255.255.248（8個地址，可用地址5個）或255.255.255.240（16個地址，可用地址13個）。這樣就造成了，在規(guī)劃好后，當用戶再需要IP地址時，沒有辦法添加，所以聯(lián)通公司，專門給該單位添加了一條靜態(tài)路由，專門設置了y1.y2.251.164/30的一段“互聯(lián)互通”地址，為用戶添加了兩個可用的子網(wǎng)y1.y2.251.130/28及y1.y2.249.240/30兩段地址，可以使用20個IP地址（16+4）。但這樣造成的浪費也比較大。

此時，如果要在計算機上使用其他的公網(wǎng)地址，需要再在GE1口，添加第二個IP地址，例如，要使用y1.y2.251.130/28，需要在GE1接口上添加y1.y2.251.129的子地址。

這樣，從服務器到聯(lián)通機房，就多過了一級設備（路由器）。即通過聯(lián)通公司→華為2811路由器，再通過華為2811路由器的GE1端口接一個交換機，分成兩條線，分別為內(nèi)部計算機提供Internet接入，及為Web服務器提供專線。這要華為2811即是一個“公共”的接點。而如果想讓服務器“直接”到聯(lián)通機房，則不能實現(xiàn)。

圖1 改進后的網(wǎng)絡拓撲

所以，為了解決這個問題，在查詢到y(tǒng)1.y2.249.240/30地址不用的情況下，聯(lián)系了聯(lián)通機房，讓聯(lián)通更改級聯(lián)地址，取消y1.y2.251.165的地址，改 為 y1.y2.251.142，在路由器上，將默認路由的出口地址由y1.y2.251.165改為y1.y2.251.142（內(nèi)網(wǎng)計算機訪問Internet的出口IP地址），將原來Web服務器IP地址從華為2811中的映射去掉，改為設置在新添加的軟件防火墻Forefront TMG的外網(wǎng)上，此時網(wǎng)絡拓撲改為圖2。

改進后，聯(lián)通光纖（通過光電收發(fā)器轉(zhuǎn)為RJ45接口）先接到一個交換機上，在該交換機上再通過兩條RJ45網(wǎng)線分別接華為AR2811及新添加的一臺安裝Forefront TMG的服務器的“外部網(wǎng)卡”，而Forefront TMG服務器的另一塊網(wǎng)卡（命名為“內(nèi)部網(wǎng)卡”）連接到另一臺新添加的普通交換機上，此普通交換機再連接原來聯(lián)想網(wǎng)御防火墻的FE5口及金電網(wǎng)安防火墻的EXT5端口。此時“WWW服務器交換機”中，各個Web服務器的網(wǎng)關地址由原來的192.168.60.254改為192.168.60.253，并在每臺Web服務器中，添加到局域網(wǎng)其他網(wǎng)段的靜態(tài)路由：。

在新添加的Forefront TMG，使用“Web服務器發(fā)布規(guī)劃”，使用主機頭名（即類似www.abc.net、xyz.com 之類的名稱）的方式，發(fā)布每個網(wǎng)站到內(nèi)網(wǎng)中每臺服務器的IP地址。

【說明】大多數(shù)的硬件防火墻、路由器，只能做端口一對一的映射，不能做到端口的“復用”。而Forefront TMG的防火墻，可以用“主機頭名”的方式，在只使用一個端口（例如TCP的80端口或其他端口），根據(jù)網(wǎng)站對外域名的不同，發(fā)布到內(nèi)部不同IP地址的服務器。這樣，在原來需要多個公網(wǎng)IP地址時，使用Forefront TMG，只需要一個公網(wǎng)IP地址即可（當然也可以使用多個IP地址）。

某單位通過VPN網(wǎng)絡之后路由器信息沒有更新

某單位接入上級政務內(nèi)網(wǎng)，之后該單位又為其下級單位，依托聯(lián)通公司，通過聯(lián)通公司專線使用VPN技術組建了內(nèi)網(wǎng)。

該單位計算機設置x1.x3.0.1～250的 地 址，子網(wǎng)掩碼255.255.255.0，網(wǎng)關設置為x1.x3.0.254。該單位其他部門通過IDC機房組建VPN網(wǎng)絡，相關IP地址是x1.x3.10.0～x1.x3.47.0/24。在聯(lián)通IDC機房有一臺x1.x3.120.1的服務器，該單位及其使用VPN的相關部門要訪問該服務器。組建之后，每過一段時間，該單位訪問上級政府內(nèi)網(wǎng)出問題，只有重啟到上級內(nèi)網(wǎng)的路由器才能解決，而訪問放置在聯(lián)通IDC機房的服務器則無問題。

經(jīng)過相看AR 1220的配置，發(fā)現(xiàn)在該路由器中，有如下的配置：

這表示，在訪問上級政務內(nèi)網(wǎng)時，通過AR 1220的GE0端口及專線訪問，而在訪問x1.x3.120.1及x1.x3.10.0～x1.x3.4 7.0/24網(wǎng)絡時，是通過到聯(lián)通IDC機房的專線訪問的。這樣，所有的工作站在訪問x1.x3.120.1時，先訪問其網(wǎng)關x1.x3.0.254即AR1220的GE1端口，再通過GE1“轉(zhuǎn)到”IDC機房的x1.x3.0.253線路訪問，此其一。如果要解決這個問題，將圖1-3中的交換機，換為三層交換機，在該三層交換機中規(guī)劃一個 VLAN，例如 VLAN1001，設置VLAN1001的地址是x1.x3.0.252，在該三層交換機上添加靜態(tài)路由：

之后，修改該單位每臺計算機的網(wǎng)關地址為x1.x3.0.252，這樣，在計算機訪問x1.x3.120.0及VPN網(wǎng)段時，通過交換機的靜態(tài)路由配置，是訪問x1.x3.0.253；而訪問上級網(wǎng)絡則是通過x1.x3.0.254訪問。

另外，在查看AR1220的配置時，發(fā)現(xiàn)其GE1的IP地址是x1.x3.0.254，但子網(wǎng)掩碼是255.255.128.0，這存在設置錯誤問題，此問題的原因是：原來在沒有通過聯(lián)通IDC組建VPN網(wǎng)絡時，該單位的地址是x1.x3.0.0～x1.x3.127.0/24，故子網(wǎng)掩碼設置為255.255.128.0不存在問題（原來也沒有三層交換機，是直接設置一大段IP地址）。但后來組建VPN之后，x1.x3.0.0/24單獨分配給該單位機關使用，此時就不能再設置255.255.128.0的子網(wǎng)掩碼了，需要將其修改為255.255.255.0。