周昌七

（儀征市教育局，江蘇揚州 211400）

中小型局域網(wǎng)絡的整合與優(yōu)化

周昌七

（儀征市教育局，江蘇揚州 211400）

文章以CISCO路由器、三層交換機、二層交換機、防火墻組網(wǎng)為案例，詳實地講述了運用CISCO網(wǎng)絡設備與已有的網(wǎng)絡設備對中小型局域網(wǎng)絡的整合與優(yōu)化，并闡述了中小型局域網(wǎng)絡接入互聯(lián)網(wǎng)絡的NAT原理。

NAT；路由器；防火墻；網(wǎng)絡優(yōu)化

引言

隨著信息化的高速發(fā)展，我們的辦公已經(jīng)離不開網(wǎng)絡，信息的發(fā)布，公文、郵件的收發(fā)等各類信息的傳遞都離不開互聯(lián)網(wǎng)絡。政府機構(gòu)、企業(yè)公司、學校事業(yè)單位無不接入了互聯(lián)網(wǎng)，為此，如何讓中小型局域網(wǎng)安全、合理、優(yōu)化地接入互聯(lián)網(wǎng)，采用的方式與設備變得十分重要。通過對市場主流產(chǎn)品進行性價比方面的考察，儀征市教育局網(wǎng)絡中心機房新購了兩臺二層CISCOSLM2024交換機和1臺CISCO 2851路由器，機房原有1臺CISCOPIX515E防火墻和1臺CISCO3550交換機。原CISCOPIX515E連接CISCO3550，CISCO3550只 用 了 二 層 功 能 ，CISCO3550下面連接了幾臺服務器：OA公文系統(tǒng)、信息網(wǎng)站、兩個專題網(wǎng)站。CISCOPIX515E主要用來將私有地址映射出去為公網(wǎng)地址，全單位員工通過1臺Windows2003服務器代理接入公網(wǎng)，這樣的網(wǎng)絡結(jié)構(gòu)很不合理，穩(wěn)定性較差。為此，筆者利用已購買的設備和已有的幾個不同品牌的交換機對網(wǎng)絡機房進行了整合優(yōu)化。

一、NAT原理

雖然IPv6解決方案已經(jīng)提出，但目前網(wǎng)絡還主要是基于IPv4的設置和運用，IP地址即將耗盡，公有IP地址成為不可多得的資源。NAT（NetworkAddressTranslation）作為這樣一種過渡解決手段，可以減少對全球合法注冊地址的需求。簡單地說，NAT就是在內(nèi)部專用網(wǎng)絡中使用內(nèi)部地址 （不可路由），而當內(nèi)部節(jié)點要與外界網(wǎng)絡發(fā)生聯(lián)系時，就在邊緣路由器或防火墻處將內(nèi)部地址替換成全局地址——合法地址（可路由），從而在外部公共網(wǎng)上正常使用（圖 1）。NAT地址轉(zhuǎn)換主要有靜態(tài)轉(zhuǎn)換（Static Translation）和動態(tài)轉(zhuǎn)換（DynamicTranslations）兩種類型。

圖1

1.靜態(tài)轉(zhuǎn)換

靜態(tài)轉(zhuǎn)換是最簡單的一種轉(zhuǎn)換方式，它在NAT表中為每一個需要轉(zhuǎn)換的內(nèi)部地址創(chuàng)建了固定的轉(zhuǎn)換條目，映射了唯一的全局地址。內(nèi)部地址與全局地址一一對應。每當內(nèi)部節(jié)點與外界通信時，內(nèi)部地址就會轉(zhuǎn)化為對應的全局地址。尤其是我們對外提供各類信息服務的各類服務器，必須要有映射到外網(wǎng)的IP地址，外網(wǎng)用戶才可以訪問。

2.動態(tài)轉(zhuǎn)換

動態(tài)轉(zhuǎn)換增加了網(wǎng)絡管理的復雜性，但也提供了很大的靈活性，它將可用的全局地址地址集定義成NAT池（NATpool）。對于要與外界進行通信的內(nèi)部節(jié)點，如果還沒有建立轉(zhuǎn)換映射，邊緣路由器或者防火墻將會動態(tài)地從NAT池中選擇全局地址對內(nèi)部地址進行轉(zhuǎn)化。每個轉(zhuǎn)換條目在連接建立時動態(tài)建立，而在連接終止時會被回收。這樣，網(wǎng)絡的靈活性大大增強了，所需要的全局地址進一步減少。值得注意的是，當NAT池中的全局地址被全部占用以后，地址轉(zhuǎn)換的申請會被拒絕，這樣會造成網(wǎng)絡連通性的問題。所以應該使用超時操作選項來回收NAT池的全局地址。另外，由于每次的地址轉(zhuǎn)換都是動態(tài)的，所以同一個節(jié)點在不同的連接中的全局地址是不同的，這樣也會對網(wǎng)絡監(jiān)管帶來不利。

無論是靜態(tài)還是動態(tài)地址轉(zhuǎn)換，都是在防火墻或者邊緣路由器 （即連接內(nèi)部網(wǎng)絡和公用網(wǎng)絡的設備）完成的，而對于通信的各節(jié)點，無論是內(nèi)部還是外部的，都是透明的。

二、路由與三層交換機的整合

對于單位的辦公信息化來說，在保證內(nèi)部信息安全的前提下，首先要保障單位全部辦公電腦都可以連接到公網(wǎng)。針對這種情況，各單位可根據(jù)自己的財力、技術(shù)人員實力和對信息安全的要求，采取不同的措施。筆者利用已有3COM交換機1臺、CISCO3550交換機1臺、CISCOSLM2024交換機1臺、D-Link和 TP-Link交換機共 6臺、CISCO2851路由1臺，對全單位機器進行動態(tài)NAT接入互連網(wǎng)絡。

1.網(wǎng)絡拓撲結(jié)構(gòu)

由圖2可以看出，全單位接入互連網(wǎng)絡的接入結(jié)構(gòu)為3COM交換機→CISCO2851→CISCO3550→相關(guān)二層交換機，每個Vlan接口連接一個二層交換機，給一個樓層使用。

2.三層交換機CISCO3550配置

首先根據(jù)單位各部門和樓層結(jié)構(gòu)分為8個Vlan，確保各網(wǎng)段內(nèi)計算機的信息安全和網(wǎng)絡的穩(wěn)定性與可管理性。

圖2

到此三層交換機配置完畢，各網(wǎng)段間實現(xiàn)了互通并進行路由的宣告。

3.路由器CISCO2851配置

該路由器的任務首先是接收三層交換機的路由信息，其次是將所有私有的內(nèi)部網(wǎng)絡IP地址通過NAT轉(zhuǎn)換為公有的IP地址。

端口地址設置：

至此已經(jīng)實現(xiàn)了內(nèi)部各私有網(wǎng)絡地址動態(tài)NAT轉(zhuǎn)換為互連網(wǎng)絡的公有IP地址。

三、防火墻PIX515E與二層交換的組合

防火墻的功能是保證內(nèi)部網(wǎng)絡信息的安全并實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)信息的互訪。該PIX515E防火墻主要是實現(xiàn)內(nèi)部網(wǎng)絡的私有IP地址靜態(tài)NAT為互聯(lián)網(wǎng)公有IP地址。CISCO防火墻的設置有點類似CISCO的路由器，但也有不同的地方。

1.配置防火墻接口的名字，并指定安全級別（nameif）

2.配置內(nèi)外網(wǎng)卡的IP地址（ipaddress）

3.靜態(tài)地址NAT

4.配置fixup協(xié)議

fixup命令作用是啟用、禁止、改變一個服務或協(xié)議通過PIX防火墻，由fixup命令指定的端口是PIX防火墻要偵聽的服務。

5.設置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由（route）

routeoutside0.0.0.00.0.0.0218.91.151.1771 //表示一條指向邊界路由器 （IP地址61.144.51.168）的缺省路由

routeinside192.168.0.0255.255.0.0192.168.1.11//創(chuàng)建了一條到網(wǎng)絡192.168.0.0的靜態(tài)路由，靜態(tài)路由的下一條路由器IP地址是192.168.1.1

結(jié)束語

通過上述的CISCO2851路由器與CISCO3550三層交換機的配置、PIX515E的配置，我們基本可以了解CISCO路由與三層交換、CISCO防火墻的設置，尤其是動態(tài)與靜態(tài)地址NAT實現(xiàn)以及Vlan的劃分與路由。

[1]（美）CiscoNetworkingAcademy著，韓江、黃海譯.思科網(wǎng)絡技術(shù)學院教程（第二版）[M].北京：人民郵電出版社，2002.

[2]謝希仁.計算機網(wǎng)絡（第四版）[M].北京：電子工業(yè)出版社，2004.

（編輯：魯利瑞）

TP393.18

A

1673-8454（2010）22-0056-04