IP地址改造重新定義網(wǎng)絡(luò)

2017-11-08 10:39:14

網(wǎng)絡(luò)安全和信息化 2017年12期

通常情況下，一個(gè)單位的網(wǎng)絡(luò)架構(gòu)和IP地址范圍在網(wǎng)絡(luò)建設(shè)初期就已經(jīng)規(guī)劃好了，在運(yùn)行過程中，只會對網(wǎng)絡(luò)架構(gòu)和IP地址使用做部分的修改或增加，不會有非常大的改動。對于小規(guī)模的網(wǎng)絡(luò)來說，本身網(wǎng)絡(luò)架構(gòu)和IP地址范圍都比較簡單，改動起來也比較簡單。對于中等規(guī)模及以上的網(wǎng)絡(luò)來說，不論是網(wǎng)絡(luò)架構(gòu)改造和IP地址改造，改造難度都不小，主要是涉及的網(wǎng)絡(luò)設(shè)備、服務(wù)器以及應(yīng)用系統(tǒng)較多，牽一發(fā)動全身，在對網(wǎng)絡(luò)架構(gòu)和IP地址改造前，需要詳細(xì)整理涉及到的設(shè)備信息，包括防火墻配置、路由器配置、交換機(jī)配置、服務(wù)器配置、用戶IP地址等內(nèi)容，制定詳細(xì)的改造實(shí)施方案，確認(rèn)無誤后，才能對網(wǎng)絡(luò)進(jìn)行改造工作。

網(wǎng)絡(luò)拓?fù)鋱D

IP地址改造前網(wǎng)絡(luò)現(xiàn)狀：

筆者所在單位網(wǎng)絡(luò)規(guī)模較大，一次性改造到位存在較大難度，所以采用分步實(shí)施的方案，先對部分網(wǎng)絡(luò)做IP地址改造。

從網(wǎng)絡(luò)拓?fù)鋱D上可以看到，各業(yè)務(wù)部門的終端連接到接入交換機(jī)，接入交換機(jī)再連接到匯聚交換機(jī)，從匯聚交換機(jī)再通過一個(gè)行為網(wǎng)關(guān)連接到防火墻，從防火墻做隔離后接入互聯(lián)網(wǎng)，防火墻上劃分有DMZ區(qū)域，該區(qū)域部署了郵件、網(wǎng)站、FTP等對外業(yè)務(wù)系統(tǒng)，同時(shí)在匯聚交換機(jī)上部署了VPN設(shè)備，通過該設(shè)備接入集團(tuán)公司的內(nèi)部網(wǎng)絡(luò)。改造前IP地址分配如下：各業(yè)務(wù)部門使用的IP地址范圍為 172.16.0.0-172.16.7.0/24，共 8個(gè) 網(wǎng)段，劃分為8個(gè)VLAN，每個(gè)業(yè)務(wù)部門獨(dú)立使用一個(gè)網(wǎng)段，各業(yè)務(wù)部門交換機(jī)上行至匯聚交換機(jī)端口配置為ACCESS模式，并配置默認(rèn)路由，業(yè)務(wù)部門交換機(jī)管理地址配置為172.16.X.95-99(X為0-7的獨(dú)立網(wǎng)段)。匯聚交換機(jī)上配置VLAN和VLAN接口，匯聚交換機(jī)到防火墻trust區(qū)域端口配置的IP地址段是192.168.100.0/24，匯聚交換機(jī)VLAN接口IP配置為 192.168.100.254，防火墻TRUST區(qū)域端口配置為 192.168.100.1，行為網(wǎng)關(guān)上進(jìn)出兩個(gè)端口配置為網(wǎng)橋模式，IP地址配置為192.168.100.11，在匯聚交換機(jī)和防火墻上配置有默認(rèn)路由，行為網(wǎng)關(guān)上也配置有默認(rèn)路由。防火墻上配置了各網(wǎng)段和IP地址范圍到互聯(lián)網(wǎng)區(qū)域，DMZ等區(qū)域的訪問控制策略和內(nèi)外網(wǎng)NAT地址轉(zhuǎn)換等內(nèi)容。以上就是IP地址改造前的網(wǎng)絡(luò)狀況。

IP地址改造的目標(biāo)：

根據(jù)集團(tuán)公司給我們單位規(guī)劃的IP地址范圍是 10.74.0.0/19，IP地址網(wǎng)段從10.74.0.0-10.74.31.0/24，在本次 IP地址改造中先規(guī)劃使用10.74.0.0-10.74.8.0網(wǎng)段，后續(xù)IP地址段在以后實(shí)施的改造中分配使用。改造后各業(yè)務(wù)部門使用的網(wǎng)段由原來的172.16.X.0/24變更為10.74.X.0/24，交換機(jī)管理地址統(tǒng)一為10.74.1.X/24網(wǎng)段，匯聚交換機(jī)到防火墻區(qū)域的IP地址段采用10.74.30.0/28網(wǎng)段，其中匯聚交換機(jī)VLAN接口 IP配置為 10.74.30.2，行為網(wǎng)關(guān)網(wǎng)橋IP配置為10.74.30.3，防火墻TRUST區(qū)域接口IP配置為10.74.30.1。未來租用的運(yùn)營商的數(shù)據(jù)專線鏈路將直接接入到匯聚交換機(jī)，取代目前的VPN通道連接方式，從而將單位網(wǎng)絡(luò)融入到整個(gè)集團(tuán)公司的大的局域網(wǎng)，實(shí)現(xiàn)IT資源共享的目標(biāo)。

IP地址改造實(shí)施方案和步驟：

1、首先需要備份各交換機(jī)、路由器、行為網(wǎng)關(guān)、防火墻等設(shè)備的配置文件，防止改造出問題時(shí)還可以恢復(fù)到原來的網(wǎng)絡(luò)配置。

2、準(zhǔn)備IP地址改造前后的IP地址對應(yīng)表，根據(jù)該IP地址對應(yīng)表，在行為網(wǎng)關(guān)和防火墻上添加相應(yīng)的IP網(wǎng)段、IP地址，并將相應(yīng)的網(wǎng)段添加到不同的訪問策略。比如在防火墻上trust區(qū)域需要增加10.74.0.0/19網(wǎng)段等。

3、在匯聚交換機(jī)上添加新的VLAN和VLAN接口，比如增加VLAN 300，VLAN 300接口IP 10.74.0.1/24。在各接入交換機(jī)上配置添加新的VLAN和管理VLAN以及管理VLAN的IP地址，并修改默認(rèn)路由到新的接口IP（為了保證在實(shí)施過程中對交換機(jī)設(shè)備的持續(xù)可管理，在交換機(jī)上保留舊的VLAN配置，使新舊網(wǎng)絡(luò)同時(shí)在線，等待新的網(wǎng)絡(luò)運(yùn)行無問題后再刪除舊的網(wǎng)絡(luò)配置）。將各接入交換機(jī)的上行端口和匯聚交換機(jī)的下行端口由原來的access模式修改為trunk模式，并允許所有VLAN 通過。交換機(jī)端口配置示例如下：

在此需要注意，如果是通過遠(yuǎn)程管理交換機(jī)修改配置，在修改完上行端口的工作模式后，交換機(jī)就會網(wǎng)絡(luò)中斷，無法管理。為了避免這種情況發(fā)生，有兩種方法可供選擇。一種方法是事先在該交換機(jī)上配置好VLAN 1的接口IP，端口配置為trunk模式但是未配置允許所有VLAN 通過的情況下，VLAN 1可以通過，可以通過VLAN 1的接口IP地址管理該交換機(jī)。另一種方法是采用secureCRT軟件，通過該軟件管理交換機(jī)，將port link-type trunk和port trunk permit vlanall兩條命令再加上一個(gè)回車命令復(fù)制后，在交換機(jī)的上行端口下直接粘貼，兩條命令會自動執(zhí)行。通過這兩種方法都可以在配置修改過程中保持網(wǎng)絡(luò)的暢通。在匯聚到接入層的網(wǎng)絡(luò)修改完成后，接下來修改匯聚、行為網(wǎng)關(guān)和防火墻的網(wǎng)絡(luò)接口和路由配置。

4、在修改匯聚上行網(wǎng)絡(luò)、行為網(wǎng)關(guān)和防火墻網(wǎng)絡(luò)接口的時(shí)候，同樣采取舊配置不變的方法，保持對設(shè)備的持續(xù)可管理。在匯聚交換機(jī)上行VLAN以及防火墻trust區(qū)域接口配置子接口IP地址，比如防火墻trust區(qū)域子接口為 192.168.1.1/24，匯聚交換機(jī)上行VLAN子接口為192.168.1.3/24。然后修改防火墻上的路由，10.74.0.0/19 下一跳 10.74.30.2，修改行為網(wǎng)關(guān)的默認(rèn)路由指向10.74.30.2，修改匯聚交換機(jī)上行VLAN主接口為10.74.30.2/28，默認(rèn)路由修改為0.0.0.0 0.0.0.0下一跳10.74.30.1，修改防火墻trust區(qū)域的主接口為 10.74.30.1/28，最后修改行為網(wǎng)關(guān)的網(wǎng)橋端口IP地址為 10.74.30.3/28，這樣從匯聚交換機(jī)到行為網(wǎng)關(guān)再到防火墻這一部分的網(wǎng)絡(luò)配置就修改好了，整個(gè)網(wǎng)段就順利的切換過來了。網(wǎng)絡(luò)切換關(guān)鍵的地方在于采用配置子接口IP地址的方式，配置步驟思路清晰合理，在修改的過程中保證設(shè)備不掉線。

5、修改VPN設(shè)備配置，修改VPN設(shè)備接口IP和端口VLAN，修改VPN設(shè)備配置中的IP地址轉(zhuǎn)換表，并測試VPN的連接。

6、修改各終端的新的IP地址配置，包括IP地址和網(wǎng)關(guān)，并測試網(wǎng)絡(luò)連接。在修改終端IP地址的時(shí)候，大部分終端修改了IP地址之后網(wǎng)絡(luò)連接很快，但是有部分終端在修改了IP地址之后，網(wǎng)卡遲遲不能正常連接網(wǎng)絡(luò)，網(wǎng)絡(luò)連接顯示黃色感嘆號，檢查網(wǎng)卡，網(wǎng)線以及交換機(jī)配置均未發(fā)現(xiàn)問題，最后發(fā)現(xiàn)是網(wǎng)卡的ARP緩存問題，清除了終端的ARP緩存后，網(wǎng)卡連接網(wǎng)絡(luò)恢復(fù)正常。

7、網(wǎng)絡(luò)測試全部都正常以后，刪除各網(wǎng)絡(luò)設(shè)備上舊的配置文件信息。

總結(jié)：

此次IP地址改造工作總的來說還比較順利，在改造過程中沒有出現(xiàn)設(shè)備掉線和網(wǎng)絡(luò)中斷的問題。網(wǎng)絡(luò)改造的關(guān)鍵在于在改造前一定要了解各設(shè)備的網(wǎng)絡(luò)配置，在此基礎(chǔ)上做好詳細(xì)的改造方案，按照步驟有計(jì)劃的進(jìn)行實(shí)施，盡量減少網(wǎng)絡(luò)中斷的時(shí)間和影響的范圍。此次IP地址改造只是整個(gè)網(wǎng)絡(luò)改造的一小部分前期工作，通過該工作我們積累了一些改造經(jīng)驗(yàn)，為后續(xù)更復(fù)雜的網(wǎng)絡(luò)改造打下基礎(chǔ)。