我的技术我做主-解决网络规划中存在的问题

我的技术我做主-解决网络规划中存在的问题

在处理网络问题时，经常发现客户的网络规划存在一些问题，有些是中后期的互联网升级。还是用原来的设备，对于新的升级没有任何改进。所以这种互联网在应用的时候，总会出现一些问题，或者说应用不方便。下面我详细介绍两个最近的例子。

1、某政务服务中心Internet互联网接入整体规划难题

某政务服务站选择100M联通和100M广电网络接入互联网，连接拓扑如图1-1所示。

图1-1原始网络拓扑

在这种拓扑结构中，广电网络和中国联通按照华为的AR-2811无线路由器连接，然后连接一个“联想御用服务器防火墙”。LenovoRoyal服务器防火墙连接到局域网聚合交换机，该交换机连接每个网络上的服务中心(图中未显示)。另外，联想御服务器防火墙的FE5端口连接了一个“金权网络安全服务器防火墙”然后是一个通用网络交换机(称为“WWW”)这个网址服务器的网站域名的开放IP地址是y1.y2.251.132，按照AR-2811投射到“联想web服务器防火墙”，再投射到一个IP地址为192.168.60.3的服务器连接到“WWW服务器网络交换机”。

现在客户的缺点是:每隔一段时间企业网络就慢(过一段时间就会修复，但是网速慢的时间不会固定)，而这个时候上网客户打开企业网站特别慢，甚至打不开。最近上级领导规定，政府部门要能24小时对外开放门户，呈现服务事项。客户的要求是:首先处理外网地址慢时门户网外部(指互联网客户)无法访问的问题，其次处理外网地址慢的问题。由于上网速度慢，联系联通早就确定不是路由问题(网站地址的网站域名IP套用联通的路由)。

根据客户明确提出的要求，通过与客户的沟通，我们达成了共识:客户的网站要与内部电脑的上网路由“分离”，至少要为网站节省10M的网络带宽。内部电脑上网慢，是通过修改互联网中的“流量监控”机器和设备来完成的。在你的例子中，本文详细介绍了分离路由，独立设计网站服务器入口和出口的问题。

在图1-1的拓扑结构中，您可能会注意到中国联通路由的入口和出口的IP地址是y1.y2.251.166，子网掩码是255.255.255.252，上行端口(对端，中国联通机器设备的地址是)y1.y2.251.165。Web服务器使用y1.y2.251.132的地址，而y1.y2.251.132/28另外，在查询华为2811无线路由器的配置时，可以看到投射的外网地址都是y1.y2.251.131~140的IP地址，实际上都是y1.y2.251.130/28的子网。

此外，经与中国联通核实，该公司还申请了y1.y2.249.240/30的地址。但是对比了服务器的设置之后，就不再需要发送这个地址段了。为什么设置了这么多地址？近两年管理中心对外开放的服务器总数较大，每台服务器都要有一个外网地址的IP地址，客户对IP地址的要求也逐渐提高。而在以前的“传统”方法中，一般给专用运输客户一个连续的地址，子网掩码为255.255.255.252(客户只能使用一个IP地址)或255.255.248(八个地址，可以使用五个地址)或255.255.255。这样一来，规划之后，当客户再次需要IP地址时，就没有办法添加了。于是，专业公司中国联通给企业增加了一条静态路由，设置了一个“数据共享”地址y1.y2.251.164/30，增加了两个可用子网y1.y2.251.130/28和y1..不过那样造成的消耗也比较大。

此时，如果要在电子计算机上应用其他外部网络地址，则必须向GE1端口添加第二个IP地址。例如，要应用y1.y2.251.130/28，必须将y1.y2.251.129的子地址添加到GE1套接字中。

ip地址y1.y2.251.166255.255.255.252

ip地址y1.y2.251.129255.255.255.240sub

那样的话，从服务器到联通的主机房，就会多一层机器设备(无线路由器)。即根据联通→华为2811无线路由器，再根据华为2811无线路由器的GE1端口号连接一个网络交换机，分为两路，分别显示内部电子计算机的互联网连接和Web服务器的专线传输。华为2811是“公”触点。但如果你想让服务器“立马”去联通的主机房，那就做不完了。

所以为了更好的处理这个问题，在检查了y1.y2.249.240/30的地址没有必要后，我联系了中国联通主机室，要求联通更改联合地址，取消y1.y2.251.165的地址，改为y1.y2.251.142，在无线路由器上，将默认路由的出入口地址由y1.y2.251.165改为y1.y2.251.142(入口把Web服务器原来的IP地址从华为2811上去掉，设置在新增加的手机软件服务器防火墙ForefrontTMG的外网上。此时，网络拓扑更改为图1-2。

图1-2改进的网络拓扑

改进后，联通的光纤(根据光电收发换成RJ45插座)先在一个网络交换机上接收，然后根据两条RJ45网线，将华为公司的AR2811和一个新增加的安装了ForefrontTMG的服务器的“外网口”分别接入网络交换机。而ForefrontTMG服务器的另一个网络端口(命名为“内网端口”)连接到另一个新增加的通用网络交换机，再连接到原联想互联网皇家服务器防火墙的FE5端口和金权网络安全服务器防火墙的EXT5端口。此时，在“WWW服务器网络交换机”中，每个Web服务器的网关ip地址由原来的192.168.60.254更改为192.168.60.253，并在每个Web服务器上增加了一条到局域网其他子网的静态路由:。

路由添加p192.168.0.0掩码255.255.0.0192.168.60.254

在新增加的前沿TMG中，采用“web服务器公布总体方案”的方法，使用排名第一的应用服务器(即类似于www.abc.net和xyz.com的名字)将每个Web地址的IP地址公布给内网中的每个服务器。

【说明】大部分服务器防火墙和无线路由器只是一对一的映射端口号，无法保证端口号的“复用”。ForefrontTMG的服务器防火墙可以根据对外开放网站的不同域名，只使用一个端口号(如TCP端口80或其他端口号)发布到不同内部IP地址的服务器上。这样，当最初需要多个公共IP地址时，只需要一个公共IP地址来应用ForefrontTMG(自然，也可以应用多个IP地址)。

2某企业根据×××互联网以后无线路由器信息内容沒有升级

一个企业接入了上级领导的政务服务内网，后来这个企业就是它的下属单位。在中国联通的帮助下，根据中国联通专线传输的应用技术，建立了内网。拓扑如图1-3所示。

图1-3系统架构图

图1-3中，企业电子计算机设置地址为x1.x3.0.1~250，子网掩码为255.255.255.0，网关设置为x1.x3.0.254本企业其他单位根据IDC机房设置XXX互联网，相关IP地址为x1.x3.10.0~x1.x3.47.0/24。中国联通IDC机房有一台x1.x3.120.1服务器，申请XXX的企业和相关部门要访问该服务器。成立后，每隔一段时间，企业访问上级领导政府部门内网出现问题，只能通过重启无线路由器到上级领导内网来处理，而访问放置在中国联通IDC机房的服务器没有问题。

满足AR1220的设备后，发现无线路由器有以下设备:

0.0.0.0x1.x2.1.9

x1.x3.10.0255.255.255.0x1.x3.0.253

x1.x3.11.0255.255.255.0x1.x3.0.253

x1.x3.12.0255.255.252.0x1.x3.0.253

x1.x3.16.0255.255.240.0x1.x3.0.253

x1.x3.32.0255.255.240.0x1.x3.0.253

x1.x3.120.0

这说明访问上级领导政务服务内网时，访问基于AR1220的GE0端口号和专线运输，而访问x1.x3.120.1和x1.x3.10.0~x1.x3.47.0/24互联网时，访问基于专线运输到中国联通IDC机房。这样，所有服务中心访问x1.x3.120.1时，首先访问其网关ipx1.x3.0.254，即AR1220的GE1端口号，然后根据GE1“转到”IDC机房的x1.x3.0.253路由。这是第一个。如果要处理这个问题，把图1-3中的网络交换机改成三层交换机，在三层交换机中整体规划一个VLAN，比如VLAN1001，把VLAN1001的地址设置为x1.x3.0.252，给三层交换机增加一条静态路由:

ip路由-静态0.0.0.0.0.0.0x1.x3.0.254

ip路由-静态x1.x3.10.0255.255.255.0x1.x3.0.253

ip路由-静态x1.x3.11.0255.255.255.0x1.x3.0.253

ip路由-静态x1.x3.12.0255.255.252.0x1.x3.0.253

ip路由-静态x1.x3.16.0255.255.240.0x1.x3.0.253

ip路由-静态x1.x3.32.0255.255.240.0x1.x3.0.253

ip路由-静态x1.x3.120.0255.255.255.0x1.x3.0.253

以后将本企业每台电子计算机的网关ip地址改为x1.x3.0.252，这样电子计算机访问x1.x3.120.0和XXX子网时，根据网络交换机的静态路由配置，访问x1.x3.0.253；；而访问上级领导的互联网是基于x1.x3.0.254

另外，在查询AR1220的设备时，发现其GE1的IP地址为x1.x3.0.254，但子网掩码为255.255.128.0，存在设置不正确的问题。之所以会出现这个问题，是因为这家企业的地址是x1.x3.0.根据中国联通IDC的数据，在互联网建立之前。但XXX成立后，将x1.x3.0.0/24独立分配给企业行政机关申请。此时，子网掩码255.255.128.0不能再设置，必须更改为255.255.255.0。