在解決網(wǎng)絡(luò)故障的時候，我經(jīng)常發(fā)現(xiàn)，用戶的網(wǎng)絡(luò)規(guī)劃存在問題，有的是后期網(wǎng)絡(luò)更新，配置仍然沿用原來的配置，沒有針對新的升級進行改進，所以這些網(wǎng)絡(luò)在使用時，總是存在一些問題，或者感覺使用比較"麻煩"。下面我介紹近期碰到的兩個案例。

1、某政務(wù)中心Internet網(wǎng)絡(luò)接入規(guī)劃問題

某政務(wù)服務(wù)中心，采用100M聯(lián)通、100M廣電專線接入Internet，接入拓撲如圖1-1所示。

 圖1-1 原網(wǎng)絡(luò)拓撲

在該拓撲中，廣電與聯(lián)通通過華為AR-2811路由器接入，之后連接到一臺"聯(lián)想網(wǎng)御防火墻"，在聯(lián)想網(wǎng)御防火墻再接局域網(wǎng)核心交換機，連接各上網(wǎng)的工作站(圖中未畫出)，同時聯(lián)想網(wǎng)御防火墻的FE5口接一臺"金電網(wǎng)安防火墻"，再接一個普通的交換機(稱為"WWW服務(wù)器交換機")，這個交換機連接網(wǎng)站服務(wù)器。該網(wǎng)站服務(wù)器域名對外的IP地址是y1.y2.251.132，該地址是通過AR-2811映射給"聯(lián)想網(wǎng)御防火墻"，再映射給連接到"WWW服務(wù)器交換機"中的一臺IP地址為192.168.60.3的服務(wù)器中。

用戶現(xiàn)在存在的問題是：每過一段時間，單位上網(wǎng)比較慢(過一段時間恢復，但網(wǎng)絡(luò)速度慢的時間不固定)，此時Internet用戶打開單位網(wǎng)站也特別慢甚至不能打開。近期上級要求，政府對外門戶網(wǎng)站要能24小時對外提供服務(wù)。用戶的需求是：首先解決訪問外網(wǎng)慢時，門戶網(wǎng)站外面(指Internet用戶)不能訪問問題，其次解決訪問外網(wǎng)慢問題。因為在網(wǎng)絡(luò)訪問慢的時候，與聯(lián)通公司聯(lián)系，已經(jīng)確認不是線路問題(網(wǎng)站的域名IP使用聯(lián)通的線路)。

對于用戶提出的要求，并與用戶溝通，達到一致意見：用戶網(wǎng)站與內(nèi)部計算機訪問Internet線路"分開"，為網(wǎng)站保留至少10M的帶寬。內(nèi)部計算機上網(wǎng)慢，通過在網(wǎng)絡(luò)中加裝"流量控制"設(shè)備來實現(xiàn)。在我們這個案例中，介紹將線路分開，并為網(wǎng)站服務(wù)器單獨設(shè)計出口的問題。

在圖1-1的拓撲中，你可能注意到，聯(lián)通線路的出口IP地址是y1.y2.251.166，子網(wǎng)掩碼255.255.255.252，上聯(lián)口(對端，聯(lián)通的設(shè)備地址是)y1.y2.251.165。而Web服務(wù)器使用的是y1.y2.251.132的地址。而y1.y2.251.132/28與y1.y2.251.166/30并不是同一子網(wǎng)的地址。另外，在查看華為2811路由器的配置，看到映射的公網(wǎng)地址是y1.y2.251.131～140的IP地址,實際上是使用了y1.y2.251.130/28的整個子網(wǎng)。

另外，經(jīng)過與聯(lián)通公司查詢，該單位還使用了y1.y2.249.240/30的地址。但經(jīng)過對比服務(wù)器的設(shè)置，發(fā)這一地址段也已經(jīng)不用。為什么設(shè)置了這么多段地址呢?因為在前幾年，該中心對外的服務(wù)器數(shù)量較多，而每個服務(wù)器都需要一個公網(wǎng)的IP地址，并且用戶的IP地址需求是慢慢增加的。而在以前"傳統(tǒng)"的分法中，一般都是給專線用戶一段連續(xù)的地址，子網(wǎng)掩碼是255.255.255.252(用戶只有一個可用IP地址)或255.255.255.248(8個地址，可用地址5個)或255.255.255.240(16個地址，可用地址13個)。這樣就造成了，在規(guī)劃好后，當用戶再需要IP地址時，沒有辦法添加，所以聯(lián)通公司，專門給該單位添加了一條靜態(tài)路由，專門設(shè)置了y1.y2.251.164/30的一段"互聯(lián)互通"地址，為用戶添加了兩個可用的子網(wǎng)y1.y2.251.130/28及y1.y2.249.240/30兩段地址，可以使用20個IP地址(16+4)。但這樣造成的浪費也比較大。

此時，如果要在計算機上使用其他的公網(wǎng)地址，需要再在GE1口，添加第二個IP地址，例如，要使用y1.y2.251.130/28，需要在GE1接口上添加y1.y2.251.129的子地址。

ip address y1.y2.251.166 255.255.255.252

ip address y1.y2.251.129 255.255.255.240 sub

這樣，從服務(wù)器到聯(lián)通機房，就多過了一級設(shè)備(路由器)。即通過聯(lián)通公司→華為2811路由器，再通過華為2811路由器的GE1端口接一個交換機，分成兩條線，分別為內(nèi)部計算機提供Internet接入，及為Web服務(wù)器提供專線。這要華為2811即是一個"公共"的接點。而如果想讓服務(wù)器"直接"到聯(lián)通機房，則不能實現(xiàn)。

所以，為了解決這個問題，在查詢到y(tǒng)1.y2.249.240/30地址不用的情況下，聯(lián)系了聯(lián)通機房，讓聯(lián)通更改級聯(lián)地址，取消y1.y2.251.165的地址，改為y1.y2.251.142，在路由器上，將默認路由的出口地址由y1.y2.251.165改為y1.y2.251.142(內(nèi)網(wǎng)計算機訪問Internet的出口IP地址)，將原來Web服務(wù)器IP地址從華為2811中的映射去掉，改為設(shè)置在新添加的軟件防火墻Forefront TMG的外網(wǎng)上，此時網(wǎng)絡(luò)拓撲改為圖1-2。

 圖1-2 改進后的網(wǎng)絡(luò)拓撲

改進后，聯(lián)通光纖(通過光電收發(fā)器轉(zhuǎn)為RJ45接口)先接到一個交換機上，在該交換機上再通過兩條RJ45網(wǎng)線分別接華為AR2811及新添加的一臺安裝Forefront TMG的服務(wù)器的"外部網(wǎng)卡"，而Forefront TMG服務(wù)器的另一塊網(wǎng)卡(命名為"內(nèi)部網(wǎng)卡")連接到另一臺新添加的普通交換機上，此普通交換機再連接原來聯(lián)想網(wǎng)御防火墻的FE5口及金電網(wǎng)安防火墻的EXT5端口。此時"WWW服務(wù)器交換機"中，各個Web服務(wù)器的網(wǎng)關(guān)地址由原來的192.168.60.254改為192.168.60.253，并在每臺Web服務(wù)器中，添加到局域網(wǎng)其他網(wǎng)段的靜態(tài)路由：。

route add p 192.168.0.0 mask 255.255.0.0 192.168.60.254

在新添加的Forefront TMG，使用"Web服務(wù)器發(fā)布規(guī)劃"，使用主機頭名(即類似www.abc.net、xyz.com之類的名稱)的方式，發(fā)布每個網(wǎng)站到內(nèi)網(wǎng)中每臺服務(wù)器的IP地址。

【說明】大多數(shù)的硬件防火墻、路由器，只能做端口一對一的映射，不能做到端口的"復用"。而Forefront TMG的防火墻，可以用"主機頭名"的方式，在只使用一個端口(例如TCP的80端口或其他端口)，根據(jù)網(wǎng)站對外域名的不同，發(fā)布到內(nèi)部不同IP地址的服務(wù)器。這樣，在原來需要多個公網(wǎng)IP地址時，使用Forefront TMG，只需要一個公網(wǎng)IP地址即可(當然也可以使用多個IP地址)。

2 某單位通過VPN網(wǎng)絡(luò)之后路由器信息沒有更新

某單位接入上級政務(wù)內(nèi)網(wǎng)，之后該單位又為其下級單位，依托聯(lián)通公司，通過聯(lián)通公司專線使用VPN技術(shù)組建了內(nèi)網(wǎng)。拓撲如圖1-3所示。

 圖1-3 拓撲圖

在圖1-3中，該單位計算機設(shè)置x1.x3.0.1～250的地址，子網(wǎng)掩碼255.255.255.0，網(wǎng)關(guān)設(shè)置為x1.x3.0.254。該單位其他部門通過IDC機房組建VPN網(wǎng)絡(luò)，相關(guān)IP地址是x1.x3.10.0～x1.x3.47.0/24。在聯(lián)通IDC機房有一臺x1.x3.120.1的服務(wù)器，該單位及其使用VPN的相關(guān)部門要訪問該服務(wù)器。組建之后，每過一段時間，該單位訪問上級政府內(nèi)網(wǎng)出問題，只有重啟到上級內(nèi)網(wǎng)的路由器才能解決，而訪問放置在聯(lián)通IDC機房的服務(wù)器則無問題。

經(jīng)過相看AR 1220的配置，發(fā)現(xiàn)在該路由器中，有如下的配置：

0.0.0.0 0.0.0.0 x1.x2.1.9

x1.x3.10.0 255.255.255.0 x1.x3.0.253

x1.x3.11.0 255.255.255.0 x1.x3.0.253

x1.x3.12.0 255.255.252.0 x1.x3.0.253

x1.x3.16.0 255.255.240.0 x1.x3.0.253

x1.x3.32.0 255.255.240.0 x1.x3.0.253

x1.x3.120.0 255.255.255.0 x1.x3.0.253

這表示，在訪問上級政務(wù)內(nèi)網(wǎng)時，通過AR 1220的GE0端口及專線訪問，而在訪問x1.x3.120.1及x1.x3.10.0～x1.x3.47.0/24網(wǎng)絡(luò)時，是通過到聯(lián)通IDC機房的專線訪問的。這樣，所有的工作站在訪問x1.x3.120.1時，先訪問其網(wǎng)關(guān)x1.x3.0.254即AR1220的GE1端口，再通過GE1"轉(zhuǎn)到"IDC機房的x1.x3.0.253線路訪問，此其一。如果要解決這個問題，將圖1-3中的交換機，換為三層交換機，在該三層交換機中規(guī)劃一個VLAN，例如VLAN1001，設(shè)置VLAN1001的地址是x1.x3.0.252，在該三層交換機上添加靜態(tài)路由：

ip route-static 0.0.0.0 0.0.0.0 x1.x3.0.254

ip route-static x1.x3.10.0 255.255.255.0 x1.x3.0.253

ip route-static x1.x3.11.0 255.255.255.0 x1.x3.0.253

ip route-static x1.x3.12.0 255.255.252.0 x1.x3.0.253

ip route-static x1.x3.16.0 255.255.240.0 x1.x3.0.253

ip route-static x1.x3.32.0 255.255.240.0 x1.x3.0.253

ip route-static x1.x3.120.0 255.255.255.0 x1.x3.0.253

之后，修改該單位每臺計算機的網(wǎng)關(guān)地址為x1.x3.0.252，這樣，在計算機訪問x1.x3.120.0及VPN網(wǎng)段時，通過交換機的靜態(tài)路由配置，是訪問x1.x3.0.253;而訪問上級網(wǎng)絡(luò)則是通過x1.x3.0.254訪問。

另外，在查看AR1220的配置時，發(fā)現(xiàn)其GE1的IP地址是x1.x3.0.254，但子網(wǎng)掩碼是255.255.128.0，這存在設(shè)置錯誤問題，此問題的原因是：原來在沒有通過聯(lián)通IDC組建VPN網(wǎng)絡(luò)時，該單位的地址是x1.x3.0.0～x1.x3.127.0/24，故子網(wǎng)掩碼設(shè)置為255.255.128.0不存在問題(原來也沒有三層交換機，是直接設(shè)置一大段IP地址)。但后來組建VPN之后，x1.x3.0.0/24單獨分配給該單位機關(guān)使用，此時就不能再設(shè)置255.255.128.0的子網(wǎng)掩碼了，需要將其修改為255.255.255.0。