某公司本部辦公地點(diǎn)在市區(qū)，但是還有不少分支機(jī)構(gòu)分布在郊區(qū)，公司的數(shù)據(jù)中心建立在本部的辦公樓內(nèi)，運(yùn)行著生產(chǎn)經(jīng)營系統(tǒng)、財(cái)務(wù)系統(tǒng)、OA等一系列應(yīng)用；各分支機(jī)構(gòu)自身搭建有簡單的局域網(wǎng)，有獨(dú)立的Internet出口，分支機(jī)構(gòu)員工都是通過SSLVPN進(jìn)入公司內(nèi)網(wǎng)，訪問相應(yīng)的資源。近年來隨著業(yè)務(wù)范圍的擴(kuò)大，分支機(jī)構(gòu)的員工數(shù)量大幅增加，訪問公司內(nèi)網(wǎng)資源的需求也越來越大，原來的SSLVPN方式已經(jīng)不能滿足分支機(jī)構(gòu)的辦公需求。為了集中化管理，提高分支機(jī)構(gòu)的辦公效率，經(jīng)過討論，決定聯(lián)系運(yùn)營商為每個(gè)分支機(jī)構(gòu)到數(shù)據(jù)中心之間建立一條帶寬為4Mbps數(shù)據(jù)專線，由于帶寬資源有限，需要控制使用人數(shù)，線路只能提供給分支機(jī)構(gòu)領(lǐng)導(dǎo)和重點(diǎn)業(yè)務(wù)人員使用，其他人員仍然使用SSLVPN方式的形式訪問內(nèi)網(wǎng)資源。

圖1 改造前分支機(jī)構(gòu)網(wǎng)絡(luò)架構(gòu)

面臨的問題

確定了建立專線的方案后，就需要網(wǎng)絡(luò)管理人員拿出一整套解決方案，主要包括各分支機(jī)構(gòu)原有局域網(wǎng)的改造、兩地網(wǎng)絡(luò)之間的互通以及訪問人員控制等問題。經(jīng)過調(diào)研，大多數(shù)分支機(jī)構(gòu)的局域網(wǎng)架構(gòu)如圖1所示。

從圖1可以看出，連接Internet是通過路由器進(jìn)行ADSL撥號(hào)實(shí)現(xiàn)，網(wǎng)絡(luò)內(nèi)客戶端的IP地址分配也是通過路由器上的DHCP功能完成，網(wǎng)內(nèi)的交換機(jī)均為二層交換機(jī)，沒有進(jìn)行任何VLAN劃分，所有用戶均在同一網(wǎng)段。這種架構(gòu)簡單、易維護(hù)，屬于典型中小企業(yè)網(wǎng)絡(luò)架構(gòu)。為了最大限度減少改造成本和風(fēng)險(xiǎn)，擬對(duì)當(dāng)前架構(gòu)不做任何改動(dòng)，僅從路由器上擴(kuò)展出一個(gè)接口，用來接入數(shù)據(jù)專線。改造后架構(gòu)如圖2所示。

經(jīng)過分析，改造主要面臨如下幾個(gè)問題：

1、IP地址短缺。由于該公司屬于某集團(tuán)二級(jí)子公司，局域網(wǎng)內(nèi)所使用的IP地址均是由集團(tuán)統(tǒng)一劃分的172.19.4.0/22網(wǎng)段地址，近年來由于推廣虛擬化、IP電話等新技術(shù)，導(dǎo)致剩余IP地址已經(jīng)嚴(yán)重不足，從集團(tuán)處申請(qǐng)IP地址的難度大大增加。如果將分支機(jī)構(gòu)均納入到公司局域網(wǎng)內(nèi)，采用原來的IP分配方法，IP地址肯定會(huì)有缺口，難以滿足需求日益增長的分支機(jī)構(gòu)。

2、如何控制使用專線的人數(shù)。由于專線帶寬有限，必須限制使用的人數(shù)，建立合理的訪問策略來進(jìn)行控制就顯得尤為重要，由于分支機(jī)構(gòu)都擁有自己獨(dú)立的Internet出口，部署專線以后，傳統(tǒng)的路由控制方式已經(jīng)難以滿足重點(diǎn)人員和普通人員的不同訪問需求，亟需引用新的技術(shù)來進(jìn)行保障。

3、域名解析的問題。改造之前，分支機(jī)構(gòu)員工僅僅只有訪問Internet的需求；但改造之后，分支機(jī)構(gòu)重點(diǎn)人員除了有訪問Internet的需求，還有通過專線訪問內(nèi)網(wǎng)應(yīng)用的系統(tǒng)的需求，這就涉及到設(shè)置DNS服務(wù)器的問題；由于本部不少應(yīng)用系統(tǒng)已經(jīng)實(shí)現(xiàn)了域名訪問限制，無法直接使用IP地址訪問，必須通過內(nèi)網(wǎng)的DNS服務(wù)器解析才能實(shí)現(xiàn)正常訪問；但是如果將重點(diǎn)人員的DNS設(shè)置為內(nèi)網(wǎng)DNS，那么訪問Internet必然會(huì)出現(xiàn)問題。

解決方案

針對(duì)上述三個(gè)問題，本文將逐個(gè)進(jìn)行分析并解決（注：本部及所有分支機(jī)構(gòu)采用的均是集中采購的思科系列路由器及交換機(jī)）：

圖2 改造后分支機(jī)構(gòu)網(wǎng)絡(luò)架構(gòu)

1、針對(duì)IP地址短缺的問題，本文擬采用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)進(jìn)行解決?？紤]到未來這些分支機(jī)構(gòu)可能會(huì)通過專線訪問集團(tuán)的應(yīng)用系統(tǒng)，而且集團(tuán)只會(huì)為統(tǒng)一分配的172.19.4.0/22段地址提供回指路由，所以轉(zhuǎn)換后的地址必須屬于該網(wǎng)段；而且應(yīng)用系統(tǒng)及服務(wù)器均集中部署在本部數(shù)據(jù)中心，分支機(jī)構(gòu)局域網(wǎng)內(nèi)只有用戶，所以決定在專線出口處的三層設(shè)備（路由器）上做PAT（端口地址轉(zhuǎn)換），即分支機(jī)構(gòu)內(nèi)部采用自主分配的私網(wǎng)IP，如果通過專線去訪問本部數(shù)據(jù)中心，則會(huì)轉(zhuǎn)換成一個(gè)集團(tuán)統(tǒng)一劃分的172.19.4.0/22網(wǎng)段的合法地址。具體劃分方式如表1所示。

從表1可以看出，每個(gè)分支機(jī)構(gòu)內(nèi)部局域網(wǎng)分配128個(gè)私網(wǎng)IP（實(shí)際可用126個(gè)），用于員工辦公電腦、打印機(jī)等；分配8個(gè)（實(shí)際可用6個(gè)）合法IP，其中一個(gè)用于PAT，剩余5個(gè)作為備用，如果后續(xù)有雙向訪問需求，如分支機(jī)構(gòu)部署服務(wù)器，可以用這些剩余地址通過做靜態(tài)地址轉(zhuǎn)換來解決。在分支機(jī)構(gòu)路由器上的配置示例如下：

表1 分支機(jī)構(gòu)IP分配表

2、對(duì)于使用專線人數(shù)的控制，本文使用Routemap技術(shù)來進(jìn)行解決。對(duì)于需要通過專線訪問本部應(yīng)用系統(tǒng)的重點(diǎn)用戶，可以將其IP地址加入到對(duì)應(yīng)的ACL中，通過數(shù)據(jù)包中源地址和目的地址的匹配，將匹配成功的數(shù)據(jù)包轉(zhuǎn)發(fā)至專線；其余匹配不成功的數(shù)據(jù)包直接通過默認(rèn)路由轉(zhuǎn)發(fā)至Internet線路上。這種方式成功地實(shí)現(xiàn)了重點(diǎn)用戶可以按需訪問Internet或本部應(yīng)用系統(tǒng)，而普通用戶只能訪問Internet的目的。在分支機(jī)構(gòu)路由器上配置Routemap示例如下：

其中192.168.3.1是分支機(jī)構(gòu)路由器上連接專線的接口IP地址。

由于Routemap是利用IP進(jìn)行路由控制，所以分支機(jī)構(gòu)IP地址需采用靜態(tài)地址分配，保證每臺(tái)主機(jī)的IP地址唯一且不變；而且分支機(jī)構(gòu)人數(shù)相對(duì)較少，利用靜態(tài)地址分配更加有利于管理，可以制作一張IP分配表，內(nèi)容包括員工姓名、職務(wù)、分配IP、聯(lián)系方式等信息，根據(jù)實(shí)際員工信息進(jìn)行IP分配表的維護(hù)。

3、對(duì)于域名解析的問題，解決起來就比較簡單，由于內(nèi)網(wǎng)解 析 記錄較少，可以通過寫host文件來實(shí)現(xiàn)。由于host文件中解析記錄的優(yōu)先級(jí)要高于DNS服務(wù)器，所以可以將內(nèi)網(wǎng)解析記錄手工寫入重點(diǎn)人員主機(jī)的host文件中，而DNS服務(wù)器仍然設(shè)置為運(yùn)營商的外網(wǎng)DNS，這樣訪問業(yè)務(wù)系統(tǒng)時(shí)就可以從host文件中獲取解析記錄，而訪問Internet就從DNS上獲取解析記錄，問題即可迎刃而解。hosts文件路徑的是C:WindowsSystem32driversetchosts，使用記事本即可打開進(jìn)行編輯，如需要將a.domain.com解析為172.19.4.218，在文件最后一行添加“172.19.4.218 a.domain.com”，然后保存即可。

總結(jié)

本文所提出的這種改造方案對(duì)分支機(jī)構(gòu)網(wǎng)絡(luò)架構(gòu)變更很小，最大限度利用了現(xiàn)有設(shè)備，保護(hù)了原有投資，總部網(wǎng)絡(luò)管理人員也能夠很方便進(jìn)行遠(yuǎn)程維護(hù)，可以作為模板向各個(gè)分支機(jī)構(gòu)進(jìn)行推廣。改造完成后，總部與分支機(jī)構(gòu)業(yè)務(wù)上聯(lián)系更加緊密，信息流組成了一張“大網(wǎng)”，消除了“信息孤島”，提升了經(jīng)營和管理的競爭力。