之前做的一个客户是美国一家大型跨国公司与本地公司合资成立的企业,总部设在美国。就国内而言,只有上海作为总部。毫无疑问的一点就是,这家企业的网络架构也是美国那边派来工程师统一实施部署的。
在网络基础架构上,此企业网络采用四台WS-C2950-24级联作为核心为终端员工提供上网服务;以上便是网关,设在一台Pix501上,然后Wan口通过公网与美国连同,同样出口IP亦是在美国那边。
为了监控员工上网行为,老外在PIX上做了若干Policy,当然也包括对流量的限制。内部员工若是访问非法网站,便会被deny,相信这些不用细讲,大家也知道的。
级联的四台交换没有进行Vlan划分,其实都隶属于同一个管理Vlan,再通俗点说,他们就是一台96口的交换机。
在网络应用环境上,该企业采用了Windows的域管理体系。该公司的域当然只是美国那边父域的一个次次级子域,而上海那边则是直接父域。
内部则有一台DC Server和一台OAERP等各种应用服务的服务器为内网提供各种服务。在DC上提供DHCPDNS等各项基础性网络服务。
 
具体网络拓扑如下:
[详见附件]
 
不得不佩服的是Cisco的东东就是好,在这种网络架构下,运行了五六年依然是老当益壮。
后来由于满足公司内部领导特殊的上网需求,公司特地从本地网通申请了一个地址,故网络架构有如下变化:光纤经过光电转换后直接接入一Linksys八×××换机,然后由交换机分出两个线路,一条仍然接入到PIX,另外一条则接入到一D-Link路由器上,然后由小路由器分出若干线路,当有人需要使用国内线路的时候,便将此线路插入相应的Cisco交换接口。假设PCx若通过国内线路接入Internet,则管理员直接将路由器上的内部线路直接跳到交换机上任意空闲接口,然后将PCx的地址设置成C类地址,DNS与网关都是同一地址。
具体拓扑如下:
[详见附件]
 
一切看起来都很正常,但是潜在的问题就出现了。
症状:域内PC通过DHCP服务器获取地址、网关及DNS后,三至五秒内,使用Ipconfig/all查看相关讯息,其正常的域名假设为abc.com会变成router;而正常获取的DNS(假设为 10.10.10 .254),则会变为192.168.1.1。此时,内部主机无法正常访问网站。
分析:造成这种现象的原因主要有以下几个方面。
首先,四台级联交换同属一个Vlan,但是同一Vlan中却存在两个不同的网段:A类及C类。
其次,本身简单的网络拓扑,后因其加入五口小交换及HUB等网络节点太多且次级级联数大,影响了数据传输质量,造成数据丢包、延迟等现象。
解决:将出现问题的主机手动进行网络配置,可解决此问题,但限于现行的管理制度不允许为客户机手动配置地址,所以将加入的路由器移除就解决了这个问题。
疑问:虽然有各种表面现象指出了问题所在,但是真正的问题我至今亦没有搞清,核心问题到底是什么?希望各位博友能帮助想一下