某公司本部辦公地點在市區(qū),但是還有不少分支機構(gòu)分布在郊區(qū),公司的數(shù)據(jù)中心建立在本部的辦公樓內(nèi),運行著生產(chǎn)經(jīng)營系統(tǒng)、財務(wù)系統(tǒng)、OA等一系列應(yīng)用;各分支機構(gòu)自身搭建有簡單的局域網(wǎng),有獨立的Internet出口,分支機構(gòu)員工都是通過SSLVPN進入公司內(nèi)網(wǎng),訪問相應(yīng)的資源。近年來隨著業(yè)務(wù)范圍的擴大,分支機構(gòu)的員工數(shù)量大幅增加,訪問公司內(nèi)網(wǎng)資源的需求也越來越大,原來的SSLVPN方式已經(jīng)不能滿足分支機構(gòu)的辦公需求。為了集中化管理,提高分支機構(gòu)的辦公效率,經(jīng)過討論,決定聯(lián)系運營商為每個分支機構(gòu)到數(shù)據(jù)中心之間建立一條帶寬為4Mbps數(shù)據(jù)專線,由于帶寬資源有限,需要控制使用人數(shù),線路只能提供給分支機構(gòu)領(lǐng)導(dǎo)和重點業(yè)務(wù)人員使用,其他人員仍然使用SSLVPN方式的形式訪問內(nèi)網(wǎng)資源。
圖1 改造前分支機構(gòu)網(wǎng)絡(luò)架構(gòu)
確定了建立專線的方案后,就需要網(wǎng)絡(luò)管理人員拿出一整套解決方案,主要包括各分支機構(gòu)原有局域網(wǎng)的改造、兩地網(wǎng)絡(luò)之間的互通以及訪問人員控制等問題。經(jīng)過調(diào)研,大多數(shù)分支機構(gòu)的局域網(wǎng)架構(gòu)如圖1所示。
從圖1可以看出,連接Internet是通過路由器進行ADSL撥號實現(xiàn),網(wǎng)絡(luò)內(nèi)客戶端的IP地址分配也是通過路由器上的DHCP功能完成,網(wǎng)內(nèi)的交換機均為二層交換機,沒有進行任何VLAN劃分,所有用戶均在同一網(wǎng)段。這種架構(gòu)簡單、易維護,屬于典型中小企業(yè)網(wǎng)絡(luò)架構(gòu)。為了最大限度減少改造成本和風(fēng)險,擬對當(dāng)前架構(gòu)不做任何改動,僅從路由器上擴展出一個接口,用來接入數(shù)據(jù)專線。改造后架構(gòu)如圖2所示。
經(jīng)過分析,改造主要面臨如下幾個問題:
1、IP地址短缺。由于該公司屬于某集團二級子公司,局域網(wǎng)內(nèi)所使用的IP地址均是由集團統(tǒng)一劃分的172.19.4.0/22網(wǎng)段地址,近年來由于推廣虛擬化、IP電話等新技術(shù),導(dǎo)致剩余IP地址已經(jīng)嚴(yán)重不足,從集團處申請IP地址的難度大大增加。如果將分支機構(gòu)均納入到公司局域網(wǎng)內(nèi),采用原來的IP分配方法,IP地址肯定會有缺口,難以滿足需求日益增長的分支機構(gòu)。
2、如何控制使用專線的人數(shù)。由于專線帶寬有限,必須限制使用的人數(shù),建立合理的訪問策略來進行控制就顯得尤為重要,由于分支機構(gòu)都擁有自己獨立的Internet出口,部署專線以后,傳統(tǒng)的路由控制方式已經(jīng)難以滿足重點人員和普通人員的不同訪問需求,亟需引用新的技術(shù)來進行保障。
3、域名解析的問題。改造之前,分支機構(gòu)員工僅僅只有訪問Internet的需求;但改造之后,分支機構(gòu)重點人員除了有訪問Internet的需求,還有通過專線訪問內(nèi)網(wǎng)應(yīng)用的系統(tǒng)的需求,這就涉及到設(shè)置DNS服務(wù)器的問題;由于本部不少應(yīng)用系統(tǒng)已經(jīng)實現(xiàn)了域名訪問限制,無法直接使用IP地址訪問,必須通過內(nèi)網(wǎng)的DNS服務(wù)器解析才能實現(xiàn)正常訪問;但是如果將重點人員的DNS設(shè)置為內(nèi)網(wǎng)DNS,那么訪問Internet必然會出現(xiàn)問題。
針對上述三個問題,本文將逐個進行分析并解決(注:本部及所有分支機構(gòu)采用的均是集中采購的思科系列路由器及交換機):
圖2 改造后分支機構(gòu)網(wǎng)絡(luò)架構(gòu)
1、針對IP地址短缺的問題,本文擬采用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)進行解決??紤]到未來這些分支機構(gòu)可能會通過專線訪問集團的應(yīng)用系統(tǒng),而且集團只會為統(tǒng)一分配的172.19.4.0/22段地址提供回指路由,所以轉(zhuǎn)換后的地址必須屬于該網(wǎng)段;而且應(yīng)用系統(tǒng)及服務(wù)器均集中部署在本部數(shù)據(jù)中心,分支機構(gòu)局域網(wǎng)內(nèi)只有用戶,所以決定在專線出口處的三層設(shè)備(路由器)上做PAT(端口地址轉(zhuǎn)換),即分支機構(gòu)內(nèi)部采用自主分配的私網(wǎng)IP,如果通過專線去訪問本部數(shù)據(jù)中心,則會轉(zhuǎn)換成一個集團統(tǒng)一劃分的172.19.4.0/22網(wǎng)段的合法地址。具體劃分方式如表1所示。
從表1可以看出,每個分支機構(gòu)內(nèi)部局域網(wǎng)分配128個私網(wǎng)IP(實際可用126個),用于員工辦公電腦、打印機等;分配8個(實際可用6個)合法IP,其中一個用于PAT,剩余5個作為備用,如果后續(xù)有雙向訪問需求,如分支機構(gòu)部署服務(wù)器,可以用這些剩余地址通過做靜態(tài)地址轉(zhuǎn)換來解決。在分支機構(gòu)路由器上的配置示例如下:
表1 分支機構(gòu)IP分配表
2、對于使用專線人數(shù)的控制,本文使用Routemap技術(shù)來進行解決。對于需要通過專線訪問本部應(yīng)用系統(tǒng)的重點用戶,可以將其IP地址加入到對應(yīng)的ACL中,通過數(shù)據(jù)包中源地址和目的地址的匹配,將匹配成功的數(shù)據(jù)包轉(zhuǎn)發(fā)至專線;其余匹配不成功的數(shù)據(jù)包直接通過默認(rèn)路由轉(zhuǎn)發(fā)至Internet線路上。這種方式成功地實現(xiàn)了重點用戶可以按需訪問Internet或本部應(yīng)用系統(tǒng),而普通用戶只能訪問Internet的目的。在分支機構(gòu)路由器上配置Routemap示例如下:
其中192.168.3.1是分支機構(gòu)路由器上連接專線的接口IP地址。
由于Routemap是利用IP進行路由控制,所以分支機構(gòu)IP地址需采用靜態(tài)地址分配,保證每臺主機的IP地址唯一且不變;而且分支機構(gòu)人數(shù)相對較少,利用靜態(tài)地址分配更加有利于管理,可以制作一張IP分配表,內(nèi)容包括員工姓名、職務(wù)、分配IP、聯(lián)系方式等信息,根據(jù)實際員工信息進行IP分配表的維護。
3、對于域名解析的問題,解決起來就比較簡單,由于內(nèi)網(wǎng)解 析 記錄較少,可以通過寫host文件來實現(xiàn)。由于host文件中解析記錄的優(yōu)先級要高于DNS服務(wù)器,所以可以將內(nèi)網(wǎng)解析記錄手工寫入重點人員主機的host文件中,而DNS服務(wù)器仍然設(shè)置為運營商的外網(wǎng)DNS,這樣訪問業(yè)務(wù)系統(tǒng)時就可以從host文件中獲取解析記錄,而訪問Internet就從DNS上獲取解析記錄,問題即可迎刃而解。hosts文件路徑的是C:WindowsSystem32driversetchosts,使用記事本即可打開進行編輯,如需要將a.domain.com解析為172.19.4.218,在文件最后一行添加“172.19.4.218 a.domain.com”,然后保存即可。
本文所提出的這種改造方案對分支機構(gòu)網(wǎng)絡(luò)架構(gòu)變更很小,最大限度利用了現(xiàn)有設(shè)備,保護了原有投資,總部網(wǎng)絡(luò)管理人員也能夠很方便進行遠程維護,可以作為模板向各個分支機構(gòu)進行推廣。改造完成后,總部與分支機構(gòu)業(yè)務(wù)上聯(lián)系更加緊密,信息流組成了一張“大網(wǎng)”,消除了“信息孤島”,提升了經(jīng)營和管理的競爭力。