在解决网络故障的时候,我经常发现,用户的网络规划存在问题,有的是后期网络更新,配置仍然沿用原来的配置,没有针对新的升级进行改进,所以这些网络在使用时,总是存在一些问题,或者感觉使用比较"麻烦"。下面我介绍近期碰到的两个案例。

1、某政务中心Internet网络接入规划问题

某政务服务中心,采用100M联通、100M广电专线接入Internet,接入拓扑如图1-1所示。

我的技术我做主-解决网络规划中存在的问题_网络

图1-1 原网络拓扑

在该拓扑中,广电与联通通过华为AR-2811路由器接入,之后连接到一台"联想网御防火墙",在联想网御防火墙再接局域网核心交换机,连接各上网的工作站(图中未画出),同时联想网御防火墙的FE5口接一台"金电网安防火墙",再接一个普通的交换机(称为"WWW服务器交换机"),这个交换机连接网站服务器。该网站服务器域名对外的IP地址是y1.y2.251.132,该地址是通过AR-2811映射给"联想网御防火墙",再映射给连接到"WWW服务器交换机"中的一台IP地址为192.168.60.3的服务器中。

用户现在存在的问题是:每过一段时间,单位上网比较慢(过一段时间恢复,但网络速度慢的时间不固定),此时Internet用户打开单位网站也特别慢甚至不能打开。近期上级要求,政府对外门户网站要能24小时对外提供服务。用户的需求是:首先解决访问外网慢时,门户网站外面(指Internet用户)不能访问问题,其次解决访问外网慢问题。因为在网络访问慢的时候,与联通公司联系,已经确认不是线路问题(网站的域名IP使用联通的线路)。

对于用户提出的要求,并与用户沟通,达到一致意见:用户网站与内部计算机访问Internet线路"分开",为网站保留至少10M的带宽。内部计算机上网慢,通过在网络中加装"流量控制"设备来实现。在我们这个案例中,介绍将线路分开,并为网站服务器单独设计出口的问题。

在图1-1的拓扑中,你可能注意到,联通线路的出口IP地址是y1.y2.251.166,子网掩码255.255.255.252,上联口(对端,联通的设备地址是)y1.y2.251.165。而Web服务器使用的是y1.y2.251.132的地址。而y1.y2.251.132/28与y1.y2.251.166/30并不是同一子网的地址。另外,在查看华为2811路由器的配置,看到映射的公网地址是y1.y2.251.131~140的IP地址,实际上是使用了y1.y2.251.130/28的整个子网。

另外,经过与联通公司查询,该单位还使用了y1.y2.249.240/30的地址。但经过对比服务器的设置,发这一地址段也已经不用。为什么设置了这么多段地址呢?因为在前几年,该中心对外的服务器数量较多,而每个服务器都需要一个公网的IP地址,并且用户的IP地址需求是慢慢增加的。而在以前"传统"的分法中,一般都是给专线用户一段连续的地址,子网掩码是255.255.255.252(用户只有一个可用IP地址)或255.255.255.248(8个地址,可用地址5个)或255.255.255.240(16个地址,可用地址13个)。这样就造成了,在规划好后,当用户再需要IP地址时,没有办法添加,所以联通公司,专门给该单位添加了一条静态路由,专门设置了y1.y2.251.164/30的一段"互联互通"地址,为用户添加了两个可用的子网y1.y2.251.130/28及y1.y2.249.240/30两段地址,可以使用20个IP地址(16+4)。但这样造成的浪费也比较大。

此时,如果要在计算机上使用其他的公网地址,需要再在GE1口,添加第二个IP地址,例如,要使用y1.y2.251.130/28,需要在GE1接口上添加y1.y2.251.129的子地址。

ip address y1.y2.251.166 255.255.255.252

ip address y1.y2.251.129 255.255.255.240 sub

这样,从服务器到联通机房,就多过了一级设备(路由器)。即通过联通公司→华为2811路由器,再通过华为2811路由器的GE1端口接一个交换机,分成两条线,分别为内部计算机提供Internet接入,及为Web服务器提供专线。这要华为2811即是一个"公共"的接点。而如果想让服务器"直接"到联通机房,则不能实现。

所以,为了解决这个问题,在查询到y1.y2.249.240/30地址不用的情况下,联系了联通机房,让联通更改级联地址,取消y1.y2.251.165的地址,改为y1.y2.251.142,在路由器上,将默认路由的出口地址由y1.y2.251.165改为y1.y2.251.142(内网计算机访问Internet的出口IP地址),将原来Web服务器IP地址从华为2811中的映射去掉,改为设置在新添加的软件防火墙Forefront TMG的外网上,此时网络拓扑改为图1-2。


我的技术我做主-解决网络规划中存在的问题_网络_02

图1-2 改进后的网络拓扑

改进后,联通光纤(通过光电收发器转为RJ45接口)先接到一个交换机上,在该交换机上再通过两条RJ45网线分别接华为AR2811及新添加的一台安装Forefront TMG的服务器的"外部网卡",而Forefront TMG服务器的另一块网卡(命名为"内部网卡")连接到另一台新添加的普通交换机上,此普通交换机再连接原来联想网御防火墙的FE5口及金电网安防火墙的EXT5端口。此时"WWW服务器交换机"中,各个Web服务器的网关地址由原来的192.168.60.254改为192.168.60.253,并在每台Web服务器中,添加到局域网其他网段的静态路由:。

route add p 192.168.0.0 mask 255.255.0.0 192.168.60.254

在新添加的Forefront TMG,使用"Web服务器发布规划",使用主机头名(即类似www.abc.net、xyz.com之类的名称)的方式,发布每个网站到内网中每台服务器的IP地址。

【说明】大多数的硬件防火墙、路由器,只能做端口一对一的映射,不能做到端口的"复用"。而Forefront TMG的防火墙,可以用"主机头名"的方式,在只使用一个端口(例如TCP的80端口或其他端口),根据网站对外域名的不同,发布到内部不同IP地址的服务器。这样,在原来需要多个公网IP地址时,使用Forefront TMG,只需要一个公网IP地址即可(当然也可以使用多个IP地址)。

2 某单位通过×××网络之后路由器信息没有更新

某单位接入上级政务内网,之后该单位又为其下级单位,依托联通公司,通过联通公司专线使用×××技术组建了内网。拓扑如图1-3所示。

我的技术我做主-解决网络规划中存在的问题_网络_03

图1-3 拓扑图

在图1-3中,该单位计算机设置x1.x3.0.1~250的地址,子网掩码255.255.255.0,网关设置为x1.x3.0.254。该单位其他部门通过IDC机房组建×××网络,相关IP地址是x1.x3.10.0~x1.x3.47.0/24。在联通IDC机房有一台x1.x3.120.1的服务器,该单位及其使用×××的相关部门要访问该服务器。组建之后,每过一段时间,该单位访问上级政府内网出问题,只有重启到上级内网的路由器才能解决,而访问放置在联通IDC机房的服务器则无问题。

经过相看AR 1220的配置,发现在该路由器中,有如下的配置:

0.0.0.0 0.0.0.0 x1.x2.1.9

x1.x3.10.0 255.255.255.0 x1.x3.0.253

x1.x3.11.0 255.255.255.0 x1.x3.0.253

x1.x3.12.0 255.255.252.0 x1.x3.0.253

x1.x3.16.0 255.255.240.0 x1.x3.0.253

x1.x3.32.0 255.255.240.0 x1.x3.0.253

x1.x3.120.0 255.255.255.0 x1.x3.0.253

这表示,在访问上级政务内网时,通过AR 1220的GE0端口及专线访问,而在访问x1.x3.120.1及x1.x3.10.0~x1.x3.47.0/24网络时,是通过到联通IDC机房的专线访问的。这样,所有的工作站在访问x1.x3.120.1时,先访问其网关x1.x3.0.254即AR1220的GE1端口,再通过GE1"转到"IDC机房的x1.x3.0.253线路访问,此其一。如果要解决这个问题,将图1-3中的交换机,换为三层交换机,在该三层交换机中规划一个VLAN,例如VLAN1001,设置VLAN1001的地址是x1.x3.0.252,在该三层交换机上添加静态路由:

ip route-static 0.0.0.0 0.0.0.0 x1.x3.0.254

ip route-static x1.x3.10.0 255.255.255.0 x1.x3.0.253

ip route-static x1.x3.11.0 255.255.255.0 x1.x3.0.253

ip route-static x1.x3.12.0 255.255.252.0 x1.x3.0.253

ip route-static x1.x3.16.0 255.255.240.0 x1.x3.0.253

ip route-static x1.x3.32.0 255.255.240.0 x1.x3.0.253

ip route-static x1.x3.120.0 255.255.255.0 x1.x3.0.253

之后,修改该单位每台计算机的网关地址为x1.x3.0.252,这样,在计算机访问x1.x3.120.0及×××网段时,通过交换机的静态路由配置,是访问x1.x3.0.253;而访问上级网络则是通过x1.x3.0.254访问。

另外,在查看AR1220的配置时,发现其GE1的IP地址是x1.x3.0.254,但子网掩码是255.255.128.0,这存在设置错误问题,此问题的原因是:原来在没有通过联通IDC组建×××网络时,该单位的地址是x1.x3.0.0~x1.x3.127.0/24,故子网掩码设置为255.255.128.0不存在问题(原来也没有三层交换机,是直接设置一大段IP地址)。但后来组建×××之后,x1.x3.0.0/24单独分配给该单位机关使用,此时就不能再设置255.255.128.0的子网掩码了,需要将其修改为255.255.255.0。