修長虹 鄭小松 趙云飛

1沈陽藥科大學網(wǎng)絡(luò)中心 遼寧 110016

2沈陽藥科大學計算中心 遼寧 110016

0 引言

在高校校園網(wǎng)解決方案中，往往都是雙出口的解決策略，其中一條出口線路連接教育網(wǎng)，另一條連接其他的接入提供商（網(wǎng)通或者電信），根據(jù)訪問目標IP進行策略路由，使訪問的流量分配到不同的出口線路上。

隨著校園網(wǎng)應(yīng)用的進一步發(fā)展和提高，過去以網(wǎng)絡(luò)中心為主進行信息處理的模式逐漸演變成各個部門獨立處理部門信息的模式，各二級部門由于工作的需要紛紛搭建了自己部門的WEB服務(wù)器或者由幾個二級部門合用一臺WEB服務(wù)器，發(fā)布更新維護各自學院的信息，而且各二級部門也都希望通過一個域名的方式而不是以ip的方式訪問這些服務(wù)器，服務(wù)器分布在各個系部，地理位置上比較分散，針對這些需求，比較不同方案，決定采用Windows 2003 Server的IIS作為WEB 服務(wù)器，在一臺服務(wù)器上實現(xiàn)多個WEB站點，以不同的域名訪問，在服務(wù)器上配置雙網(wǎng)卡，解決內(nèi)外網(wǎng)的訪問速度問題，同時控制內(nèi)網(wǎng)訪問服務(wù)器的流量在三層交換機上處理完成，不經(jīng)過防火墻和邊界路由器，減輕防火墻和路由器的負載。

為討論問題，本文假定以10開頭的ip地址為ISP1提供的可用公網(wǎng)ip，以172開頭的ip地址為ISP2提供的可用公網(wǎng)的ip，以192開頭的ip地址為內(nèi)網(wǎng)ip地址。假定域名為abc.edu.cn，并假定域名是通過ISP2注冊得到的。

1 具體實現(xiàn)

1.1 系統(tǒng)網(wǎng)絡(luò)配置

在服務(wù)器上配置兩塊網(wǎng)卡，其中一塊的網(wǎng)卡的IP地址為172.16.16.188，掩碼255.255.255.0，網(wǎng)關(guān)172.16.16.254。為外網(wǎng)網(wǎng)卡。另一塊網(wǎng)卡的IP地址為192.168.47.45，掩碼255.255.255.0，網(wǎng)關(guān)不設(shè)置，為內(nèi)網(wǎng)網(wǎng)卡。服務(wù)器上安裝Windows 2003 enterprise x64版本。

為了實現(xiàn)與內(nèi)網(wǎng)的通信，必須要加一條路由信息，我們內(nèi)網(wǎng)的地址段是192.168.0.0到192.168.100.0這個范圍。添加方法如下，點擊開始菜單，選擇run，之后鍵入cmd，彈出如下窗口：如圖1在提示符下鍵入route –p add 192.168.0.0 mask 255.255.0.0 192.168.47.254，當然，為了控制精確可以用更小的網(wǎng)絡(luò)掩碼，route –p add 192.168.0.0 mask 255.255.128.0 192.168.47.254。

route命令加上-p和add參數(shù)時，指定路由被添加到注冊表并在啟動TCP/IP協(xié)議的時候初始化IP路由表。永久路由存儲在注冊表中的位置是HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersPersiste ntRoutes。這樣在系統(tǒng)重新啟動的時候，就能自動加載這條路由信息，不必再次手動添加，192.168.47.254是三層交換機網(wǎng)關(guān)地址。

1.2 網(wǎng)絡(luò)環(huán)境介紹

網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖（如圖1）。

圖1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖

防火墻eth2口以透明模式連接到三層交換機屬于VLAN 1的某個端口，這里面vlan 1為默認vlan同時也是native vlan，接入層交換機都是通過光纖連接到三層核心交換機上，這臺服務(wù)器外網(wǎng)卡通過接入層交換機屬于vlan 1的端口接入到網(wǎng)絡(luò)上。防火墻eth1口連接到核心交換機的一個不屬于vlan 1而屬于內(nèi)網(wǎng)某個vlan的端口，而服務(wù)器的內(nèi)網(wǎng)卡通過接入層交換機接入到內(nèi)網(wǎng)上。

進一步說明的是，當服務(wù)器只配置外網(wǎng)卡的時候，就可以與網(wǎng)絡(luò)上的其他計算機進行通信了，為這臺服務(wù)器安裝配置內(nèi)網(wǎng)卡的目的在于加快內(nèi)網(wǎng)計算機對服務(wù)器訪問速度，是內(nèi)網(wǎng)計算機對這臺服務(wù)器的訪問流量不必經(jīng)過防火墻和路由器，同時為了滿足應(yīng)用的需要，可以讓這臺服務(wù)器對Internet的訪問多了另一種選擇，本來這臺機器的網(wǎng)關(guān)是配置ISP2的地址段中的地址，所有對Internet的訪問都是由ISP2這條線路出去的，但如果知道要訪問目標機器的Internet上的IP地址，就可以根據(jù)需要，選擇從ISP1這條線路上訪問出去，這就需要在服務(wù)器上額外添加路由信息，之后經(jīng)由防火墻做NAT從ISP1這條線路上訪問出去。

1.3 DNS服務(wù)器上配置

在內(nèi)網(wǎng)DNS服務(wù)器上添加如下記錄

www1 192.168.47.45

www2 192.168.47.45

…..……

在外網(wǎng)DNS服務(wù)器上添加如下記錄

www1 172.16.16.188

www2 172.16.16.188

…… ……

其中www1，www2代表著不同部門，可以根據(jù)實際需要改為易于區(qū)分的名稱。

內(nèi)網(wǎng)的計算機上，在tcp/ip協(xié)議配置DNS選項上，首選DNS服務(wù)器一定要是內(nèi)網(wǎng)的DNS服務(wù)器地址。

1.4 IIS上的配置

在IIS中，每個Web站點都具有惟一的、由三個部分組成的標識，用來接收和響應(yīng)請求：

（1）IP地址；

（2）端口號；

（3）主機頭名。

在這里，我們利用IP和主機頭名在內(nèi)外網(wǎng)上建立多個獨立的Web站點。通過使用主機頭，站點只需一個IP地址即可維護多個站點?？蛻艨梢允褂貌煌挠蛎L問各自的站點，根本感覺不到這些站點在同一主機上。

具體操作如下：

（1）在Win2003服務(wù)器為不同的部門建立不同的文件夾，做為WEB站點主目錄。如下：WEB站點主目錄WEB站點

E:weba A部門網(wǎng)站

E:web B部門網(wǎng)站

…………

（2）使用WEB站點管理向?qū)?，分別不同部門建立兩個不同獨立的WEB站點，其中一個為內(nèi)網(wǎng)站點，一個為外網(wǎng)站點，以其中A部門為例，建立一個名稱為internetA的站點，為外網(wǎng)站點，建立一個名稱為intranetA的站點，為內(nèi)網(wǎng)站點。

internetA站點的屬性為：

IP地址172.16.16.188（注意ip地址一定要寫外網(wǎng)地址，不要選擇默認的all unassigned）

TCP端口80

權(quán)限 讀取和運行腳本

主機頭名www1.abc.edu.cn

站點主目錄e:weba

intranetA站點的屬性為：

IP地址192.168.45.47（注意ip地址一定要寫內(nèi)網(wǎng)地址，不要選擇默認的all unassigned）

TCP端口80

權(quán)限 讀取和運行腳本

主機頭名www1.abc.edu.cn

站點主目錄e:weba

無論是internetA站點，還是intranetA站點，它們的站點主目錄都是同一個路徑，當然，如果不用同一個路徑也可以，為了保持同步更新，必須保持這兩個路徑下文件的同步，設(shè)置為同一個路徑，就避免了這種同步的設(shè)置。

同理，通過這樣的方法可以在這臺服務(wù)器上建立B部門的內(nèi)外網(wǎng)站點。

2 結(jié)論

通過以上三個重要環(huán)節(jié)的配置，就能很好的解決前面所提問題，充分的利用了服務(wù)器的資源，同時也提供了校園網(wǎng)應(yīng)用的靈活性，在實際應(yīng)用取得了很好的效果。

[1]高升，邵玉梅等.WINDOWS SERVER 2003系統(tǒng)管理.北京:清華大學出版社.2010.

[2]王淑江，劉曉輝等.WINDOWS SERVER 2003系統(tǒng)安全管理.北京:電子工業(yè)出版社.2009.