公司的路由器“租”给了电信,一分钱都收不到!
----路由器上多公网IP地址的设置方法
用户需求:我们公司是做写字楼招租的,满租大概100家企业左右,目前遇到一些问题,有几家客户需要映射自己的服务器,且都是一些标准端口,比如80、21、25端口等等,而我们公司一个公网IP地址又不够用,且标准端口自己还要用,于是乎,向电信申请了公网IP地址~~~~~~
经过长达三周的申请,电信的五个公网IP地址终于下来了,我公司的大客户都快疯掉了,刚开始给了五个IP地址,既然不能用,我又怕自己出错,也就用笔算了一下,果然有问题,简单描述一下,刚开始时公司的公网IP地址为116.236.177.242,子网掩码为255.255.255.252,电信给我的是116.236.177.242/243/244/245/246/247,我差点晕倒,子网掩码既然不变,掐头去尾,也就剩下两个能够用了,一个为网关,另一个为公司路由器WAN的地址,测试了好几次都不成功,于是我再次拨通了电信技术人员的电话,继续问五个IP地址的问题,他们说已经给我了,又重复给我报了一遍,还是这五个地址,我直接来了一句:“麻烦您算一下,这五个IP地址对么”,电信人员沉默了大概30秒,来了一句,待会给您回复!在这里,我已经知道他们给我错了,呵呵!
下午吃饭的时候,电信又打来了电话,报了六个IP地址,我说不是五个麽,他既然说多给一个,我不思其解,不过子网掩码划分到了255.255.255.248,我细细算了一下,掐头去尾,刚好六个公网IP地址,为什么电信要多给我一个呢,继续分析,除此之外,电信又给我报了一个叫互联地址跟这五个IP地址不在一个段,我也就更晕了,咋这么多IP地址呢,在路由器上又如何配置呢,电信技术人员继续描述到将互联地址配在WAN口上,然后将五个公网IP地址配置在路由器的LAN口上,NAT不要开启。在这里,同志们先不要往下看,想想电信要做什么,应该如何配置.
简单描述一下我们公司的网络,我们公司全部采用H3C的设备,电信的光纤连接了一个光猫然后连接到我们公司的路由器的WAN口上,公司的路由器的LAN1口连接在三层交换机的G1/0/24号接口上,三层交换机的其它端口分别连接到各个楼层的二层交换机上,其次还连接了两台服务器,(本来想用visio2007画一张拓扑图呢,找不到序列号,功能无法使用,电脑下载速度也只有30Kbps,太慢,也就没有了办法了,只好口头描述) 具体的配置为,交换机上划了多个VLAN,其中G1/0/24号接口在VLAN1里,路由器的接口LAN1也就和VLAN1配置在同一个段里,路由器上配置了多条静态路由指向三层交换机的各个VLAN,三层交换机上配置了一条默认路由,下一跳指向路由器的LAN1口上,其次还配置了RIP协议,不过我一直都没搞懂上次来给我们配置交换机的H3C专业人员配置这个是干什么用的,路由器上又没有启用RIP,交换机上却启用了,改天把它删了试试看,估计没啥作用, 毕竟两边都配置了静态路由和默认路由,(大家都知道,H3C的三层交换机接口是不能配置IP地址的,具体可以理解为将一个VLAN的IP地址用做交换机和路由器直连的接口的IP地址),二层交换机上大部分端口采用了H3C专有的隔离技术,毕竟每个端口连的公司不一样,如果不隔离,岂不挂掉.
现在呢,需要将路由器WAN口的IP地址换成电信给的互联地址,然后将五个公网IP地址配置在路由器的LAN口上(路由器上除了LAN1外,还有LAN2和LAN3,蛮神奇的),如何配置呢,方案1:将路由器的LAN1口配置成公网的IP地址,而且网段不变和三层交换机的VLAN1相连,那二层交换机的VLAN1岂不是都要配置成公网IP地址,要不然无法管理撒,这不太浪费了麽;无法实现,pass!
方案二:为了不给二层交换机配置公网IP地址,准备将路由器的LAN1口和三层交换机的其它VLAN相连,这样VLAN1就不占用公网IP地址了,只要将客户连接二层交换机的端口配置在这个VLAN里,就可以设置公网IP地址上网了,不过又遇到一个非常可笑的问题,路由器的LAN1口如果这么配置,那么NAT就要关掉了,因为LAN1的IP地址就是公网的,不需要转换,那么普通客户的电脑没有了NAT转换,将如何上网,难道要在三层交换机上配置NAT???,毕竟客户的电脑是通过三层交换机和路由器VLAN1相连的那个VLAN地址出去的,方法过于繁琐,动作太大,还有没有更好的办法呢??
方法三:启用路由器的LAN2接口,并划分到一个VLAN里,然后连接到交换机的另一个接口上,并将交换机的这个接口也划分到对于的VLAN里,并配置公网IP地址,然后将客户路由器连接的二层交换机的接口也配置在这个VLAN里,这不就不用动以前的网络了么,普通客户还是通过以前的VLAN1出去,这些需要公网IP地址的客户就可以通过路由器的LAN2口出去了,而路由器的角色对于普通客户来说起到了NAT作用,而对于需要公网IP地址的客户来说起到了转发作用。
既然方案三没有了问题,那就采用了,做四件事情:1、将路由器的LAN2口启用,划分一个VLAN出来(不可和已有VLAN冲突),并分配公网IP地址以及子网掩码;2、在三层交换机上创建和路由器对应的VLAN,并将路由器LAN2和三层交换机连接的G1/0/23号接口划分到这个VLAN里,并给这个VLAN分配IP地址以及子网掩码,两个公网IP地址没了;3、三层交换机上添加一条静态路由,下一跳指向路由器的LAN2接口的IP地址上;4、给二层交换机划分指定的VLAN,并将指定的端口划分到这个VLAN里来。
这样,所有的配置就算完成了,为了验证一下是否正确,我一个电话打到了客户网管那里,报给他了具体的公网IP地址、子网掩码以及网关,过了大概1分钟,电话打了过来,测试通过。
虽说全部完成了,不过路由器却租给了电信,本来我还以为电信给的五个公网IP地址在路由器的WAN口上配置呢(配置一个,其它的用NAT一对一转换),谁知道,自己的路由器竟成了公网上的节点,差点汗死!,不过这样也好,路由器的压力似乎小了一点,毕竟不用在做那么多NAT转换了,呵呵!!至于电信为什么给我六个IP地址,就可想而知了!
还有,如果谁有更好的方案,还希望多多提出,众人的力量才是精华所在啊!
方案三搞不定哈,我已做了悬赏帖:http://bbs.51cto.com/viewthread.php?tid=713712&extra=page%3D1&frombbs=1,看看谁能搞定哈!
下面是公司的路由器ER5100-EI
