某政務(wù)中心Internet網(wǎng)絡(luò)接入規(guī)劃問(wèn)題

某政務(wù)服務(wù)中心，采用100M聯(lián)通、100M廣電專線接入Internet。廣電與聯(lián)通通過(guò)華為AR-2811路由器接入，之后連接到一臺(tái)“聯(lián)想網(wǎng)御防火墻”，在聯(lián)想網(wǎng)御防火墻再接局域網(wǎng)核心交換機(jī)，連接各上網(wǎng)的工作站（圖中未畫(huà)出），同時(shí)聯(lián)想網(wǎng)御防火墻的FE5口接一臺(tái)“金電網(wǎng)安防火墻”，再接一個(gè)普通的交換機(jī)（稱為“WWW服務(wù)器交換機(jī)”），這個(gè)交換機(jī)連接網(wǎng)站服務(wù)器。該網(wǎng)站服務(wù)器域名對(duì)外的IP地址是y1.y2.251.132，該地址是通過(guò)AR-2811映射給“聯(lián)想網(wǎng)御防火墻”，再映射給連接到“WWW服務(wù)器交換機(jī)”中的一臺(tái)IP地址為192.168.60.3的服務(wù)器中。

用戶現(xiàn)在存在的問(wèn)題是：每過(guò)一段時(shí)間，單位上網(wǎng)比較慢（過(guò)一段時(shí)間恢復(fù)，但網(wǎng)絡(luò)速度慢的時(shí)間不固定），此時(shí)Internet用戶打開(kāi)單位網(wǎng)站也特別慢甚至不能打開(kāi)。近期上級(jí)要求，政府對(duì)外門(mén)戶網(wǎng)站要能24小時(shí)對(duì)外提供服務(wù)。用戶的需求是：首先解決訪問(wèn)外網(wǎng)慢時(shí)，門(mén)戶網(wǎng)站外面（指Internet用戶）不能訪問(wèn)問(wèn)題，其次解決訪問(wèn)外網(wǎng)慢問(wèn)題。因?yàn)樵诰W(wǎng)絡(luò)訪問(wèn)慢的時(shí)候，與聯(lián)通公司聯(lián)系，已經(jīng)確認(rèn)不是線路問(wèn)題（網(wǎng)站的域名IP使用聯(lián)通的線路）。

對(duì)于用戶提出的要求，并與用戶溝通，達(dá)到一致意見(jiàn)：用戶網(wǎng)站與內(nèi)部計(jì)算機(jī)訪問(wèn)Internet線路“分開(kāi)”，為網(wǎng)站保留至少10M的帶寬。內(nèi)部計(jì)算機(jī)上網(wǎng)慢，通過(guò)在網(wǎng)絡(luò)中加裝“流量控制”設(shè)備來(lái)實(shí)現(xiàn)。在我們這個(gè)案例中，介紹將線路分開(kāi)，并為網(wǎng)站服務(wù)器單獨(dú)設(shè)計(jì)出口的問(wèn)題。

你可能注意到，聯(lián)通線路的出口IP地址是y1.y2.251.166，子網(wǎng)掩碼255.255.255.252，上聯(lián)口（對(duì)端，聯(lián)通的設(shè)備地址是）y1.y 2.251.165。而Web服務(wù)器使用的是y1.y2.251.132的地址。而y1.y2.251.132/28與y1.y2.251.166/30并不是同一子網(wǎng)的地址。另外，在查看華為2811路由器的配置，看到映射的公網(wǎng)地址是y1.y2.251.131～140的IP地址，實(shí)際上是使用了y1.y2.251.130/28的整個(gè)子網(wǎng)。

另外，經(jīng)過(guò)與聯(lián)通公司查詢，該單位還使用了y1.y2.249.240/30的地址。但經(jīng)過(guò)對(duì)比服務(wù)器的設(shè)置，發(fā)這一地址段也已經(jīng)不用。為什么設(shè)置了這么多段地址呢?因?yàn)樵谇皫啄?，該中心?duì)外的服務(wù)器數(shù)量較多，而每個(gè)服務(wù)器都需要一個(gè)公網(wǎng)的IP地址，并且用戶的IP地址需求是慢慢增加的。而在以前“傳統(tǒng)”的分法中，一般都是給專線用戶一段連續(xù)的地址，子網(wǎng)掩碼是255.255.255.252（用戶只有一個(gè)可用IP地址）或 255.255.255.248（8個(gè)地址，可用地址5個(gè)）或255.255.255.240（16個(gè)地址，可用地址13個(gè)）。這樣就造成了，在規(guī)劃好后，當(dāng)用戶再需要IP地址時(shí)，沒(méi)有辦法添加，所以聯(lián)通公司，專門(mén)給該單位添加了一條靜態(tài)路由，專門(mén)設(shè)置了y1.y2.251.164/30的一段“互聯(lián)互通”地址，為用戶添加了兩個(gè)可用的子網(wǎng)y1.y2.251.130/28及y1.y2.249.240/30兩段地址，可以使用20個(gè)IP地址（16+4）。但這樣造成的浪費(fèi)也比較大。

此時(shí)，如果要在計(jì)算機(jī)上使用其他的公網(wǎng)地址，需要再在GE1口，添加第二個(gè)IP地址，例如，要使用y1.y2.251.130/28，需要在GE1接口上添加y1.y2.251.129的子地址。

這樣，從服務(wù)器到聯(lián)通機(jī)房，就多過(guò)了一級(jí)設(shè)備（路由器）。即通過(guò)聯(lián)通公司→華為2811路由器，再通過(guò)華為2811路由器的GE1端口接一個(gè)交換機(jī)，分成兩條線，分別為內(nèi)部計(jì)算機(jī)提供Internet接入，及為Web服務(wù)器提供專線。這要華為2811即是一個(gè)“公共”的接點(diǎn)。而如果想讓服務(wù)器“直接”到聯(lián)通機(jī)房，則不能實(shí)現(xiàn)。

圖1 改進(jìn)后的網(wǎng)絡(luò)拓?fù)?/p>

所以，為了解決這個(gè)問(wèn)題，在查詢到y(tǒng)1.y2.249.240/30地址不用的情況下，聯(lián)系了聯(lián)通機(jī)房，讓聯(lián)通更改級(jí)聯(lián)地址，取消y1.y2.251.165的地址，改 為 y1.y2.251.142，在路由器上，將默認(rèn)路由的出口地址由y1.y2.251.165改為y1.y2.251.142（內(nèi)網(wǎng)計(jì)算機(jī)訪問(wèn)Internet的出口IP地址），將原來(lái)Web服務(wù)器IP地址從華為2811中的映射去掉，改為設(shè)置在新添加的軟件防火墻Forefront TMG的外網(wǎng)上，此時(shí)網(wǎng)絡(luò)拓?fù)涓臑閳D2。

改進(jìn)后，聯(lián)通光纖（通過(guò)光電收發(fā)器轉(zhuǎn)為RJ45接口）先接到一個(gè)交換機(jī)上，在該交換機(jī)上再通過(guò)兩條RJ45網(wǎng)線分別接華為AR2811及新添加的一臺(tái)安裝Forefront TMG的服務(wù)器的“外部網(wǎng)卡”，而Forefront TMG服務(wù)器的另一塊網(wǎng)卡（命名為“內(nèi)部網(wǎng)卡”）連接到另一臺(tái)新添加的普通交換機(jī)上，此普通交換機(jī)再連接原來(lái)聯(lián)想網(wǎng)御防火墻的FE5口及金電網(wǎng)安防火墻的EXT5端口。此時(shí)“WWW服務(wù)器交換機(jī)”中，各個(gè)Web服務(wù)器的網(wǎng)關(guān)地址由原來(lái)的192.168.60.254改為192.168.60.253，并在每臺(tái)Web服務(wù)器中，添加到局域網(wǎng)其他網(wǎng)段的靜態(tài)路由：。

在新添加的Forefront TMG，使用“Web服務(wù)器發(fā)布規(guī)劃”，使用主機(jī)頭名（即類似www.abc.net、xyz.com 之類的名稱）的方式，發(fā)布每個(gè)網(wǎng)站到內(nèi)網(wǎng)中每臺(tái)服務(wù)器的IP地址。

【說(shuō)明】大多數(shù)的硬件防火墻、路由器，只能做端口一對(duì)一的映射，不能做到端口的“復(fù)用”。而Forefront TMG的防火墻，可以用“主機(jī)頭名”的方式，在只使用一個(gè)端口（例如TCP的80端口或其他端口），根據(jù)網(wǎng)站對(duì)外域名的不同，發(fā)布到內(nèi)部不同IP地址的服務(wù)器。這樣，在原來(lái)需要多個(gè)公網(wǎng)IP地址時(shí)，使用Forefront TMG，只需要一個(gè)公網(wǎng)IP地址即可（當(dāng)然也可以使用多個(gè)IP地址）。

某單位通過(guò)VPN網(wǎng)絡(luò)之后路由器信息沒(méi)有更新

某單位接入上級(jí)政務(wù)內(nèi)網(wǎng)，之后該單位又為其下級(jí)單位，依托聯(lián)通公司，通過(guò)聯(lián)通公司專線使用VPN技術(shù)組建了內(nèi)網(wǎng)。

該單位計(jì)算機(jī)設(shè)置x1.x3.0.1～250的 地 址，子網(wǎng)掩碼255.255.255.0，網(wǎng)關(guān)設(shè)置為x1.x3.0.254。該單位其他部門(mén)通過(guò)IDC機(jī)房組建VPN網(wǎng)絡(luò)，相關(guān)IP地址是x1.x3.10.0～x1.x3.47.0/24。在聯(lián)通IDC機(jī)房有一臺(tái)x1.x3.120.1的服務(wù)器，該單位及其使用VPN的相關(guān)部門(mén)要訪問(wèn)該服務(wù)器。組建之后，每過(guò)一段時(shí)間，該單位訪問(wèn)上級(jí)政府內(nèi)網(wǎng)出問(wèn)題，只有重啟到上級(jí)內(nèi)網(wǎng)的路由器才能解決，而訪問(wèn)放置在聯(lián)通IDC機(jī)房的服務(wù)器則無(wú)問(wèn)題。

經(jīng)過(guò)相看AR 1220的配置，發(fā)現(xiàn)在該路由器中，有如下的配置：

這表示，在訪問(wèn)上級(jí)政務(wù)內(nèi)網(wǎng)時(shí)，通過(guò)AR 1220的GE0端口及專線訪問(wèn)，而在訪問(wèn)x1.x3.120.1及x1.x3.10.0～x1.x3.4 7.0/24網(wǎng)絡(luò)時(shí)，是通過(guò)到聯(lián)通IDC機(jī)房的專線訪問(wèn)的。這樣，所有的工作站在訪問(wèn)x1.x3.120.1時(shí)，先訪問(wèn)其網(wǎng)關(guān)x1.x3.0.254即AR1220的GE1端口，再通過(guò)GE1“轉(zhuǎn)到”IDC機(jī)房的x1.x3.0.253線路訪問(wèn)，此其一。如果要解決這個(gè)問(wèn)題，將圖1-3中的交換機(jī)，換為三層交換機(jī)，在該三層交換機(jī)中規(guī)劃一個(gè) VLAN，例如 VLAN1001，設(shè)置VLAN1001的地址是x1.x3.0.252，在該三層交換機(jī)上添加靜態(tài)路由：

之后，修改該單位每臺(tái)計(jì)算機(jī)的網(wǎng)關(guān)地址為x1.x3.0.252，這樣，在計(jì)算機(jī)訪問(wèn)x1.x3.120.0及VPN網(wǎng)段時(shí)，通過(guò)交換機(jī)的靜態(tài)路由配置，是訪問(wèn)x1.x3.0.253；而訪問(wèn)上級(jí)網(wǎng)絡(luò)則是通過(guò)x1.x3.0.254訪問(wèn)。

另外，在查看AR1220的配置時(shí)，發(fā)現(xiàn)其GE1的IP地址是x1.x3.0.254，但子網(wǎng)掩碼是255.255.128.0，這存在設(shè)置錯(cuò)誤問(wèn)題，此問(wèn)題的原因是：原來(lái)在沒(méi)有通過(guò)聯(lián)通IDC組建VPN網(wǎng)絡(luò)時(shí)，該單位的地址是x1.x3.0.0～x1.x3.127.0/24，故子網(wǎng)掩碼設(shè)置為255.255.128.0不存在問(wèn)題（原來(lái)也沒(méi)有三層交換機(jī)，是直接設(shè)置一大段IP地址）。但后來(lái)組建VPN之后，x1.x3.0.0/24單獨(dú)分配給該單位機(jī)關(guān)使用，此時(shí)就不能再設(shè)置255.255.128.0的子網(wǎng)掩碼了，需要將其修改為255.255.255.0。