在×××网络中客户端地址的设置原则与交换机的调试原则
河北经贸大学 王春海
前几天有个朋友给我打电话,说现在开始负责单位的×××服务器,发现×××客户端不能访问内网的其他服务器,只能访问×××服务器。通过多次沟通、看对方的拓扑图,发现是为×××客户端划分的地址问题,以及三层交换机的设置问题。在让其更改×××客户端地址后,问题解决。
现在许多单位都组建了自己的×××服务器,并且许多单位正在组建×××服务器。而Windows Server 2003内置的“路由和远程访问”服务或者Microsoft ISA Server,且有安装调试简单、管理方便、性能良好等特点,成为组建×××服务器的首选。但许多网管,对怎样为×××客户端分配IP地址存在一定的误区,这就造成:×××客户端已经能登录×××服务器,但总是不能访问内网所需要的资源。实际上,要让×××客户端访问内资源,除了要正确的配置×××服务器、设置×××客户端地址外,有的时候还要对网络中的核心交换机或者服务器进行调试,这样×××客户端才能正常访问内网资源。而是否要对核心交换机或者服务器进行调试,要看当前网络的拓扑结构或者×××服务器的设置,下面将对这个问题进行介绍。
1、×××网络拓扑结构
在组建×××服务器时,根据单位的计算机数量、单位网络带宽等不同,×××服务器通常有以下三种方式:
(1)单接口×××服务器,让单位的“核心路由器”或“防火墙”转发到Internet并对外提供服务,这种方式网络拓扑如图1所示。
图1 由路由器或者防火墙转发单接口×××服务器
在这种方式中,需要一台Windows Server 2003计算机,这台计算机只需要安装一块网卡,并且设置内网的IP地址,由单位连接Internet的路由器或者防火墙将×××服务所需要的TCP的1723端口和UDP的4500端口映射到×××服务器内网地址即可,而×××客户端在呼叫×××时的地址就是路由器或防火墙的外网地址。
(2)双接口×××服务器。许多单位具有不止一个公网地址,并且为了减少核心路由器或者防火墙的负担时,采用这种方式,网络拓扑如图2所示。
图2
图2是在图1的基础上,在Windows Server 2003服务器上添加一块网卡,该网卡直接连接到Internet并且设置一个公网地址,原来的情况下,单位的路由器(或者防火墙)直接连接到Internet,而在这种方式下,在路由器之前增加一个普通的交换机,将路由器、×××外网网线接到这台交换机上。×××客户端呼叫×××时直接使用×××服务器的外网地址。这种方式下,×××客户端访问内网是直接通过×××服务器访问,并不通过路由器。
(3)×××服务器同时做代理服务器。这各方式是在原来代理服务器(或者防火墙)的基础上,启用×××服务器,或者是直接采用ISA Server做代理服务器,在ISA Server上启用×××服务器并且代替原来的防火墙与路由器的结果,在现在网络改造中,这种情况是比较多的。网络拓扑如图3所示。
图3 ×××服务器做代理服务器
2 ×××客户端地址的分配原则
首先介绍为×××客户端分配IP地址的原则。当×××服务器所处的网络位置不同时,分配IP地址的方式也不同。
如果×××服务器属于图1所示的结构,为×××客户端分配IP地址时,×××客户端可以使用与×××服务器同一网段的地址,也可以使用不在同一网段的地址。如果×××客户端分配的地址与×××服务器在同一网段时,×××客户端只能访问×××服务器及×××服务器所属网段,此时×××客户端访问内网计算机时,会由于路由问题而造成访问失败。
例如,在图1中,如果×××服务器IP地址是192.168.1.1/24,防火墙使用了10.10.10.0/24与202.206.192.0/24的地址,则为×××客户端分配IP地址的时候,可以分配192.168.1.1~192.168.1.254/24的地址。在分配这个地址时,不需要对三层交换机进行调试。
而如果×××服务器属于图2~图3所示的结构,在为×××客户端分配IP地址的时候,要保证所分配的地址不能与“×××服务器本身”与×××服务器所属内网、外网的地址冲突,这是一个基本的原则。因为在图2、图3所示的网络拓扑中,×××客户端数量比较多,另外,×××客户端大多需要访问内网,如果为×××客户端分配的IP地址与×××服务器所属网络的内、外网地址冲突,则×××客户端在访问内网时,会造成寻址问题而不能访问。
例如,在上面的图2~图3中,如果×××服务器内网IP地址是192.168.1.0~192.168.100.0/24,防火墙使用了10.10.10.0/24与202.206.192.0/24的地址,则为×××客户端分配IP地址的时候,就要使用此地址之外的地址,例如,可以使用10.11.1.0~10.255.255.255或172.16.0.0~172.31.255.255的地址。在为客户端分配这些地址时,需要在三层交换机上,增加一条静态路由(假设×××服务器地址是192.168.1.1,为×××客户端分配的地址是172.16.0.1~172.16.255.255):
Ip route-static 172.16.0.0 255.255.0.0 192.168.1.1
3 ×××服务器的设置
在用ISA Server做×××服务器时,可以控制×××客户端访问内网、外网(指Internet网络)、以及×××服务器本身,或者控制×××客户端访问任意的地址。在×××客户端访问内网、外网以及任意IP地址时,有两种形式:即NAT方式和路由方式。如果使用NAT方式,则×××客户端可以“单向”访问所需要的网络,例如,×××客户端可以访问内网计算机,但内网计算机不能访问×××客户端(以访问内网为例);如果使用路由方式,则访问关系是“双向”的,×××客户端即可以访问内网,内网也可以访问×××客户端(以访问内网为例)。
通常来说,×××客户端与“外网”的关系要设置为“NAT”,×××客户端与“内网”的关系,可以根据需要与实际情况,选择“NAT”或者“路由”的关系。如果要使用“路由”方式,则需要满足如下两种条件:
(1)×××客户端地址与×××服务器及×××服务器所属网络地址不冲突。
(2)需要在三层交换机(即×××服务器所属的三层交换机或单位核心交换机)上增加到×××客户端地址所属网段的静态路由,路由的目标(网关)地址是×××服务器所属内网地址(假设×××服务器地址是192.168.1.1,为×××客户端分配的地址是172.16.0.1~172.16.255.255):
Ip route-static 172.16.0.0 255.255.0.0 192.168.1.1
如果条件不允许对三层交换机进行调试,则需要在与×××客户端互访的每一台计算机或服务器上,使用route命令添加静态路由,其格式为:
Route add –p 172.16.0.0 mask 255.255.0.0 192.168.1.1
如果网络拓扑是图3所示结构,其三层交换机(或者核心交换机)中已经包含了这条路由,所以不需要再添加类似的静态路由。
在默认情况下,ISA Server中“×××客户端”与“内网”的关系是“路由”,如图4所示。所以,一般情况下,不需要更改ISA Server的设置。但是,如果你的三层交换机不允许调试,并且在目标服务器也不能增加静态路由,或者你的×××客户端地址与×××服务器内网地址在同一网段,你可以在ISA Server管理控制台中,在“配置→网络→网络规则”中,双击该条策略,将网络关系修改为“NAT”方式,如图5所示。
图4 ISA Server中网络规则
图5 更改网络关系