中小型局域網(wǎng)絡(luò)的整合與優(yōu)化

周昌七

（儀征市教育局，江蘇揚(yáng)州 211400）

中小型局域網(wǎng)絡(luò)的整合與優(yōu)化

周昌七

（儀征市教育局，江蘇揚(yáng)州 211400）

文章以CISCO路由器、三層交換機(jī)、二層交換機(jī)、防火墻組網(wǎng)為案例，詳實(shí)地講述了運(yùn)用CISCO網(wǎng)絡(luò)設(shè)備與已有的網(wǎng)絡(luò)設(shè)備對(duì)中小型局域網(wǎng)絡(luò)的整合與優(yōu)化，并闡述了中小型局域網(wǎng)絡(luò)接入互聯(lián)網(wǎng)絡(luò)的NAT原理。

NAT；路由器；防火墻；網(wǎng)絡(luò)優(yōu)化

引言

隨著信息化的高速發(fā)展，我們的辦公已經(jīng)離不開網(wǎng)絡(luò)，信息的發(fā)布，公文、郵件的收發(fā)等各類信息的傳遞都離不開互聯(lián)網(wǎng)絡(luò)。政府機(jī)構(gòu)、企業(yè)公司、學(xué)校事業(yè)單位無不接入了互聯(lián)網(wǎng)，為此，如何讓中小型局域網(wǎng)安全、合理、優(yōu)化地接入互聯(lián)網(wǎng)，采用的方式與設(shè)備變得十分重要。通過對(duì)市場(chǎng)主流產(chǎn)品進(jìn)行性價(jià)比方面的考察，儀征市教育局網(wǎng)絡(luò)中心機(jī)房新購了兩臺(tái)二層CISCOSLM2024交換機(jī)和1臺(tái)CISCO 2851路由器，機(jī)房原有1臺(tái)CISCOPIX515E防火墻和1臺(tái)CISCO3550交換機(jī)。原CISCOPIX515E連接CISCO3550，CISCO3550只 用 了 二 層 功 能 ，CISCO3550下面連接了幾臺(tái)服務(wù)器：OA公文系統(tǒng)、信息網(wǎng)站、兩個(gè)專題網(wǎng)站。CISCOPIX515E主要用來將私有地址映射出去為公網(wǎng)地址，全單位員工通過1臺(tái)Windows2003服務(wù)器代理接入公網(wǎng)，這樣的網(wǎng)絡(luò)結(jié)構(gòu)很不合理，穩(wěn)定性較差。為此，筆者利用已購買的設(shè)備和已有的幾個(gè)不同品牌的交換機(jī)對(duì)網(wǎng)絡(luò)機(jī)房進(jìn)行了整合優(yōu)化。

一、NAT原理

雖然IPv6解決方案已經(jīng)提出，但目前網(wǎng)絡(luò)還主要是基于IPv4的設(shè)置和運(yùn)用，IP地址即將耗盡，公有IP地址成為不可多得的資源。NAT（NetworkAddressTranslation）作為這樣一種過渡解決手段，可以減少對(duì)全球合法注冊(cè)地址的需求。簡(jiǎn)單地說，NAT就是在內(nèi)部專用網(wǎng)絡(luò)中使用內(nèi)部地址 （不可路由），而當(dāng)內(nèi)部節(jié)點(diǎn)要與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時(shí)，就在邊緣路由器或防火墻處將內(nèi)部地址替換成全局地址——合法地址（可路由），從而在外部公共網(wǎng)上正常使用（圖 1）。NAT地址轉(zhuǎn)換主要有靜態(tài)轉(zhuǎn)換（Static Translation）和動(dòng)態(tài)轉(zhuǎn)換（DynamicTranslations）兩種類型。

圖1

1.靜態(tài)轉(zhuǎn)換

靜態(tài)轉(zhuǎn)換是最簡(jiǎn)單的一種轉(zhuǎn)換方式，它在NAT表中為每一個(gè)需要轉(zhuǎn)換的內(nèi)部地址創(chuàng)建了固定的轉(zhuǎn)換條目，映射了唯一的全局地址。內(nèi)部地址與全局地址一一對(duì)應(yīng)。每當(dāng)內(nèi)部節(jié)點(diǎn)與外界通信時(shí)，內(nèi)部地址就會(huì)轉(zhuǎn)化為對(duì)應(yīng)的全局地址。尤其是我們對(duì)外提供各類信息服務(wù)的各類服務(wù)器，必須要有映射到外網(wǎng)的IP地址，外網(wǎng)用戶才可以訪問。

2.動(dòng)態(tài)轉(zhuǎn)換

動(dòng)態(tài)轉(zhuǎn)換增加了網(wǎng)絡(luò)管理的復(fù)雜性，但也提供了很大的靈活性，它將可用的全局地址地址集定義成NAT池（NATpool）。對(duì)于要與外界進(jìn)行通信的內(nèi)部節(jié)點(diǎn)，如果還沒有建立轉(zhuǎn)換映射，邊緣路由器或者防火墻將會(huì)動(dòng)態(tài)地從NAT池中選擇全局地址對(duì)內(nèi)部地址進(jìn)行轉(zhuǎn)化。每個(gè)轉(zhuǎn)換條目在連接建立時(shí)動(dòng)態(tài)建立，而在連接終止時(shí)會(huì)被回收。這樣，網(wǎng)絡(luò)的靈活性大大增強(qiáng)了，所需要的全局地址進(jìn)一步減少。值得注意的是，當(dāng)NAT池中的全局地址被全部占用以后，地址轉(zhuǎn)換的申請(qǐng)會(huì)被拒絕，這樣會(huì)造成網(wǎng)絡(luò)連通性的問題。所以應(yīng)該使用超時(shí)操作選項(xiàng)來回收NAT池的全局地址。另外，由于每次的地址轉(zhuǎn)換都是動(dòng)態(tài)的，所以同一個(gè)節(jié)點(diǎn)在不同的連接中的全局地址是不同的，這樣也會(huì)對(duì)網(wǎng)絡(luò)監(jiān)管帶來不利。

無論是靜態(tài)還是動(dòng)態(tài)地址轉(zhuǎn)換，都是在防火墻或者邊緣路由器 （即連接內(nèi)部網(wǎng)絡(luò)和公用網(wǎng)絡(luò)的設(shè)備）完成的，而對(duì)于通信的各節(jié)點(diǎn)，無論是內(nèi)部還是外部的，都是透明的。

二、路由與三層交換機(jī)的整合

對(duì)于單位的辦公信息化來說，在保證內(nèi)部信息安全的前提下，首先要保障單位全部辦公電腦都可以連接到公網(wǎng)。針對(duì)這種情況，各單位可根據(jù)自己的財(cái)力、技術(shù)人員實(shí)力和對(duì)信息安全的要求，采取不同的措施。筆者利用已有3COM交換機(jī)1臺(tái)、CISCO3550交換機(jī)1臺(tái)、CISCOSLM2024交換機(jī)1臺(tái)、D-Link和 TP-Link交換機(jī)共 6臺(tái)、CISCO2851路由1臺(tái)，對(duì)全單位機(jī)器進(jìn)行動(dòng)態(tài)NAT接入互連網(wǎng)絡(luò)。

1.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

由圖2可以看出，全單位接入互連網(wǎng)絡(luò)的接入結(jié)構(gòu)為3COM交換機(jī)→CISCO2851→CISCO3550→相關(guān)二層交換機(jī)，每個(gè)Vlan接口連接一個(gè)二層交換機(jī)，給一個(gè)樓層使用。

2.三層交換機(jī)CISCO3550配置

首先根據(jù)單位各部門和樓層結(jié)構(gòu)分為8個(gè)Vlan，確保各網(wǎng)段內(nèi)計(jì)算機(jī)的信息安全和網(wǎng)絡(luò)的穩(wěn)定性與可管理性。

圖2

到此三層交換機(jī)配置完畢，各網(wǎng)段間實(shí)現(xiàn)了互通并進(jìn)行路由的宣告。

3.路由器CISCO2851配置

該路由器的任務(wù)首先是接收三層交換機(jī)的路由信息，其次是將所有私有的內(nèi)部網(wǎng)絡(luò)IP地址通過NAT轉(zhuǎn)換為公有的IP地址。

端口地址設(shè)置：

至此已經(jīng)實(shí)現(xiàn)了內(nèi)部各私有網(wǎng)絡(luò)地址動(dòng)態(tài)NAT轉(zhuǎn)換為互連網(wǎng)絡(luò)的公有IP地址。

三、防火墻PIX515E與二層交換的組合

防火墻的功能是保證內(nèi)部網(wǎng)絡(luò)信息的安全并實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)信息的互訪。該P(yáng)IX515E防火墻主要是實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的私有IP地址靜態(tài)NAT為互聯(lián)網(wǎng)公有IP地址。CISCO防火墻的設(shè)置有點(diǎn)類似CISCO的路由器，但也有不同的地方。

1.配置防火墻接口的名字，并指定安全級(jí)別（nameif）

2.配置內(nèi)外網(wǎng)卡的IP地址（ipaddress）

3.靜態(tài)地址NAT

4.配置fixup協(xié)議

fixup命令作用是啟用、禁止、改變一個(gè)服務(wù)或協(xié)議通過PIX防火墻，由fixup命令指定的端口是PIX防火墻要偵聽的服務(wù)。

5.設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由（route）

routeoutside0.0.0.00.0.0.0218.91.151.1771 //表示一條指向邊界路由器 （IP地址61.144.51.168）的缺省路由

routeinside192.168.0.0255.255.0.0192.168.1.11//創(chuàng)建了一條到網(wǎng)絡(luò)192.168.0.0的靜態(tài)路由，靜態(tài)路由的下一條路由器IP地址是192.168.1.1

結(jié)束語

通過上述的CISCO2851路由器與CISCO3550三層交換機(jī)的配置、PIX515E的配置，我們基本可以了解CISCO路由與三層交換、CISCO防火墻的設(shè)置，尤其是動(dòng)態(tài)與靜態(tài)地址NAT實(shí)現(xiàn)以及Vlan的劃分與路由。

[1]（美）CiscoNetworkingAcademy著，韓江、黃海譯.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程（第二版）[M].北京：人民郵電出版社，2002.

[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第四版）[M].北京：電子工業(yè)出版社，2004.

（編輯：魯利瑞）

TP393.18

A

1673-8454（2010）22-0056-04