某公司本部辦公地點在市區(qū)，但是還有不少分支機構(gòu)分布在郊區(qū)，公司的數(shù)據(jù)中心建立在本部的辦公樓內(nèi)，運行著生產(chǎn)經(jīng)營系統(tǒng)、財務(wù)系統(tǒng)、OA等一系列應(yīng)用；各分支機構(gòu)自身搭建有簡單的局域網(wǎng)，有獨立的Internet出口，分支機構(gòu)員工都是通過SSLVPN進入公司內(nèi)網(wǎng)，訪問相應(yīng)的資源。近年來隨著業(yè)務(wù)范圍的擴大，分支機構(gòu)的員工數(shù)量大幅增加，訪問公司內(nèi)網(wǎng)資源的需求也越來越大，原來的SSLVPN方式已經(jīng)不能滿足分支機構(gòu)的辦公需求。為了集中化管理，提高分支機構(gòu)的辦公效率，經(jīng)過討論，決定聯(lián)系運營商為每個分支機構(gòu)到數(shù)據(jù)中心之間建立一條帶寬為4Mbps數(shù)據(jù)專線，由于帶寬資源有限，需要控制使用人數(shù)，線路只能提供給分支機構(gòu)領(lǐng)導(dǎo)和重點業(yè)務(wù)人員使用，其他人員仍然使用SSLVPN方式的形式訪問內(nèi)網(wǎng)資源。

圖1 改造前分支機構(gòu)網(wǎng)絡(luò)架構(gòu)

面臨的問題

確定了建立專線的方案后，就需要網(wǎng)絡(luò)管理人員拿出一整套解決方案，主要包括各分支機構(gòu)原有局域網(wǎng)的改造、兩地網(wǎng)絡(luò)之間的互通以及訪問人員控制等問題。經(jīng)過調(diào)研，大多數(shù)分支機構(gòu)的局域網(wǎng)架構(gòu)如圖1所示。

從圖1可以看出，連接Internet是通過路由器進行ADSL撥號實現(xiàn)，網(wǎng)絡(luò)內(nèi)客戶端的IP地址分配也是通過路由器上的DHCP功能完成，網(wǎng)內(nèi)的交換機均為二層交換機，沒有進行任何VLAN劃分，所有用戶均在同一網(wǎng)段。這種架構(gòu)簡單、易維護，屬于典型中小企業(yè)網(wǎng)絡(luò)架構(gòu)。為了最大限度減少改造成本和風(fēng)險，擬對當(dāng)前架構(gòu)不做任何改動，僅從路由器上擴展出一個接口，用來接入數(shù)據(jù)專線。改造后架構(gòu)如圖2所示。

經(jīng)過分析，改造主要面臨如下幾個問題：

1、IP地址短缺。由于該公司屬于某集團二級子公司，局域網(wǎng)內(nèi)所使用的IP地址均是由集團統(tǒng)一劃分的172.19.4.0/22網(wǎng)段地址，近年來由于推廣虛擬化、IP電話等新技術(shù)，導(dǎo)致剩余IP地址已經(jīng)嚴(yán)重不足，從集團處申請IP地址的難度大大增加。如果將分支機構(gòu)均納入到公司局域網(wǎng)內(nèi)，采用原來的IP分配方法，IP地址肯定會有缺口，難以滿足需求日益增長的分支機構(gòu)。

2、如何控制使用專線的人數(shù)。由于專線帶寬有限，必須限制使用的人數(shù)，建立合理的訪問策略來進行控制就顯得尤為重要，由于分支機構(gòu)都擁有自己獨立的Internet出口，部署專線以后，傳統(tǒng)的路由控制方式已經(jīng)難以滿足重點人員和普通人員的不同訪問需求，亟需引用新的技術(shù)來進行保障。

3、域名解析的問題。改造之前，分支機構(gòu)員工僅僅只有訪問Internet的需求；但改造之后，分支機構(gòu)重點人員除了有訪問Internet的需求，還有通過專線訪問內(nèi)網(wǎng)應(yīng)用的系統(tǒng)的需求，這就涉及到設(shè)置DNS服務(wù)器的問題；由于本部不少應(yīng)用系統(tǒng)已經(jīng)實現(xiàn)了域名訪問限制，無法直接使用IP地址訪問，必須通過內(nèi)網(wǎng)的DNS服務(wù)器解析才能實現(xiàn)正常訪問；但是如果將重點人員的DNS設(shè)置為內(nèi)網(wǎng)DNS，那么訪問Internet必然會出現(xiàn)問題。

解決方案

針對上述三個問題，本文將逐個進行分析并解決（注：本部及所有分支機構(gòu)采用的均是集中采購的思科系列路由器及交換機）：

圖2 改造后分支機構(gòu)網(wǎng)絡(luò)架構(gòu)

1、針對IP地址短缺的問題，本文擬采用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)進行解決?？紤]到未來這些分支機構(gòu)可能會通過專線訪問集團的應(yīng)用系統(tǒng)，而且集團只會為統(tǒng)一分配的172.19.4.0/22段地址提供回指路由，所以轉(zhuǎn)換后的地址必須屬于該網(wǎng)段；而且應(yīng)用系統(tǒng)及服務(wù)器均集中部署在本部數(shù)據(jù)中心，分支機構(gòu)局域網(wǎng)內(nèi)只有用戶，所以決定在專線出口處的三層設(shè)備（路由器）上做PAT（端口地址轉(zhuǎn)換），即分支機構(gòu)內(nèi)部采用自主分配的私網(wǎng)IP，如果通過專線去訪問本部數(shù)據(jù)中心，則會轉(zhuǎn)換成一個集團統(tǒng)一劃分的172.19.4.0/22網(wǎng)段的合法地址。具體劃分方式如表1所示。

從表1可以看出，每個分支機構(gòu)內(nèi)部局域網(wǎng)分配128個私網(wǎng)IP（實際可用126個），用于員工辦公電腦、打印機等；分配8個（實際可用6個）合法IP，其中一個用于PAT，剩余5個作為備用，如果后續(xù)有雙向訪問需求，如分支機構(gòu)部署服務(wù)器，可以用這些剩余地址通過做靜態(tài)地址轉(zhuǎn)換來解決。在分支機構(gòu)路由器上的配置示例如下：

表1 分支機構(gòu)IP分配表

2、對于使用專線人數(shù)的控制，本文使用Routemap技術(shù)來進行解決。對于需要通過專線訪問本部應(yīng)用系統(tǒng)的重點用戶，可以將其IP地址加入到對應(yīng)的ACL中，通過數(shù)據(jù)包中源地址和目的地址的匹配，將匹配成功的數(shù)據(jù)包轉(zhuǎn)發(fā)至專線；其余匹配不成功的數(shù)據(jù)包直接通過默認(rèn)路由轉(zhuǎn)發(fā)至Internet線路上。這種方式成功地實現(xiàn)了重點用戶可以按需訪問Internet或本部應(yīng)用系統(tǒng)，而普通用戶只能訪問Internet的目的。在分支機構(gòu)路由器上配置Routemap示例如下：

其中192.168.3.1是分支機構(gòu)路由器上連接專線的接口IP地址。

由于Routemap是利用IP進行路由控制，所以分支機構(gòu)IP地址需采用靜態(tài)地址分配，保證每臺主機的IP地址唯一且不變；而且分支機構(gòu)人數(shù)相對較少，利用靜態(tài)地址分配更加有利于管理，可以制作一張IP分配表，內(nèi)容包括員工姓名、職務(wù)、分配IP、聯(lián)系方式等信息，根據(jù)實際員工信息進行IP分配表的維護。

3、對于域名解析的問題，解決起來就比較簡單，由于內(nèi)網(wǎng)解 析 記錄較少，可以通過寫host文件來實現(xiàn)。由于host文件中解析記錄的優(yōu)先級要高于DNS服務(wù)器，所以可以將內(nèi)網(wǎng)解析記錄手工寫入重點人員主機的host文件中，而DNS服務(wù)器仍然設(shè)置為運營商的外網(wǎng)DNS，這樣訪問業(yè)務(wù)系統(tǒng)時就可以從host文件中獲取解析記錄，而訪問Internet就從DNS上獲取解析記錄，問題即可迎刃而解。hosts文件路徑的是C:WindowsSystem32driversetchosts，使用記事本即可打開進行編輯，如需要將a.domain.com解析為172.19.4.218，在文件最后一行添加“172.19.4.218 a.domain.com”，然后保存即可。

總結(jié)

本文所提出的這種改造方案對分支機構(gòu)網(wǎng)絡(luò)架構(gòu)變更很小，最大限度利用了現(xiàn)有設(shè)備，保護了原有投資，總部網(wǎng)絡(luò)管理人員也能夠很方便進行遠程維護，可以作為模板向各個分支機構(gòu)進行推廣。改造完成后，總部與分支機構(gòu)業(yè)務(wù)上聯(lián)系更加緊密，信息流組成了一張“大網(wǎng)”，消除了“信息孤島”，提升了經(jīng)營和管理的競爭力。