企業網絡配置不是一成不變的,往往使用幾年都會遇到應用瓶頸,需要對網絡進行升級和改造。這些都可以通過添加新網絡設備,以滿足擴大的網絡需求。但有時網絡需要在規模上擴展,這時就非常棘手了。例如筆者負責的教育信息網在最近一次升級過程中就遇到了要在原有教育信息網絡的基礎上再引入金財網,保證在同一個物理網絡中運行兩個互相沒有聯系各自獨立的網絡。這種跑雙網的情況在現實中還是比較常見的,那么我們該如何升級實現這種隔離與兼顧呢?筆者采用的是訪問控制列表法來解決的,下面就將實現雙網的思路介紹給大家。由于很多內容都是基礎命令,這里就不詳細羅列出來了僅僅介紹實現思路。
網絡現狀和需求
當前網絡環境:
筆者所在教育信息網絡是以區信息中心為核心,核心設備為CISCO 6509。各個下屬學校網絡作為分支分散在全區147個網絡中,分支網絡通過電信提供的ATM技術與核心設備CISCO 6509互連,每個學校都有一個路由器作為網絡出口,路由器型號為華為3COM的2621設備。
在升級之前學校的計算機要上網的話,首先發送數據包到本學校的交換機,然后交換機將數據傳輸到學校2621設備上,在2621路由器上通過設置缺省路由指向CISCO 6509的相應接口完成數據的路由工作,最后由CISCO 6509把數據發送到全區網絡出口對應的端口,通過光纖連接到北京市。數據接收也是一樣的,只是上面過程的逆向傳送而已。(如圖1)
![]("http://network.51cto.com/files/uploadimg/20061107/1023290.jpg") 498)this.style.width=498;" border=1> |
| 圖1 |
雙網環境需求:
由于財政部門要求區網絡中心對網絡進行改造,對部分學校開通金財網絡。而我們又不可能再花精力和財力用于新建一個網絡,所以工作的重點就落在了對目前網絡的升級上。如果在目前這樣一個接入層與匯聚層組成的網絡中再添加一個金財網呢?而且財政部門要求金財網與之前的教育信息網是隔離的,也就是說學校連接金財網的終端是不能夠訪問連接教育信息網中的主機的。而不同學校之間同屬一個網的用戶是可以互相訪問的,例如A學校金財網用戶不能訪問A學校的教育信息網終
實現雙網運轉
實現步驟1——運轉雙網:
首先要實現的是在同一個網絡中跑兩個網絡,之后再考慮隔離的問題。由于之前我們使用的網絡地址為10.82.*.*,而金財網要求的IP地址信息為192.168.*.*,所以在初始階段不會存在沖突的問題。另外由于區教育網絡的結構比較簡單但是分支眾多,所以我們只需要針對一個分支學校進行實驗,成功后再推廣到全區147所分支學校即可。
交換機上設置:
在學校端對于一個教育信息網的用戶和一個金財網的用戶來說,兩者IP地址是不同的,但是他們有可能連接到同一個交換機上,這就需要交換機上設置兩套IP地址,最有效的方法就是在交換機上啟用VLAN設置,教育信息網絡的終端放到VLAN 10中,而對于金財網的終端放到VLAN 20中,之后再給交換機相應VLAN設置一個IP地址即可,從而實現了在交換機上跑雙網的功能。
學校路由器上設置:
由于學校端2621路由器采用的是默認路由,也就是說不管你的數據包來源地址是多少,默認地址是多少,路由器都將依據默認路由把數據傳輸到下一跳地址。因此教育信息網用戶的數據和金財網用戶的數據都會由路由器發送到指定的地址,所以學校路由器上設置不用做任何修改。
核心設備CISCO 6509上的設置:(如圖2)
![]("http://network.51cto.com/files/uploadimg/20061107/1023291.jpg") 498)this.style.width=498;" border=1> |
| 圖2 |
既然是跑雙網,那么在核心設備上肯定是有兩個網絡出口的,一個是連接教育信息網的上層設備,一個是連接金財網的上層設備。所以說在核心設備6509上需要為走金財網的信息設置一個靜態路由,將所有目標地址和源地址為金財網的數據包發送到對應的金財網接口。
至此我們就完成了在原有網絡基礎上跑雙網的升級工作,在學校連接金財網接口的用戶可以輕松的訪問其他學校的金財網用戶,也可以通過區核心設備連接到區財政局的金財網絡中。不過這時雖然實現了一個物理網跑兩個邏輯網的目的,但是連接金財網的終端依然可以訪問教育信息網的終端,如何解決呢?就要靠下面的隔離手段了。
實現雙網隔離
實現步驟2——隔離雙網:
添加了雙網后的關鍵步驟就是隔離了,否則我們跑雙網就沒有任何意義了,互相都能訪問實際上還是一個網絡。隔離雙網也需要在多個設備上進行設置操作。
學校交換機上設置:
正如前面提到的那樣,在學校交換機上通過劃分VLAN的手段實現對兩個網絡的分離。VLAN 10教育信息網用戶是不能夠正常訪問VLAN 20中的金財網用戶的。
學校路由器上的設置:
學校路由器上的隔離操作是非常關鍵的,在開始階段這個設置就被筆者忽略了。由于華為3Com 2621路由器有兩個接口,一個連接區級核心設備6509,另外一個連接學校的交換機,所以說下行接口是非常關鍵的,隔離兩網的工作也主要由他來完成。
我們通過訪問控制列表來實現隔離操作,通過在這個接口上添加訪問控制列表ACL來實現兩個網絡的互相隔離,例如禁止任何來自于教育信息網的IP地址訪問金財網的IP地址;禁止任何來自金財網的IP地址訪問教育信息網的IP地址。
核心設備CISCO 6509上的設置:(如圖3)
![]("http://network.51cto.com/files/uploadimg/20061107/1023292.jpg") 498)this.style.width=498;" border=1> |
| 圖3 |
在CISCO 6509上也需要進行設置來隔離兩個網絡,主要操作是在兩個網絡出口對應的接口上添加訪問控制列表,在金財網外部出口處禁止所有源地址為教育信息網IP的數據通過,在教育信息網外部出口處禁止所有源地址為金財網IP的數據通過。至此我們完成了兩個網絡的安全隔離,任何一個金財網的用戶都無法訪問教育信息網的用戶,而反之亦然。
總結:
通過訪問控制列表ACL實現兩個網絡隔離可以說是最簡單最普通的方法,在實際使用中也沒有出現任何安全問題。當然可能有的讀者會覺得這個方法會占用一定的系統資源,使路由交換設備的CPU及內存占用率升高。不過由于金財網的數據流量并不大,所以在實際使用中并沒有出現類似問題。當然如果各位讀者擔心這方面會存在問題的話,可以按照之前介紹過的策略路由法來解決。
端,卻可以訪問B學校的金財網。
