Windows域环境下的网络问题

之前做的一个客户是美国一家大型跨国公司与本地公司合资成立的企业，总部设在美国。就国内而言，只有上海作为总部。毫无疑问的一点就是，这家企业的网络架构也是美国那边派来工程师统一实施部署的。

在网络基础架构上，此企业网络采用四台 WS-C2950-24 级联作为核心为终端员工提供上网服务；以上便是网关，设在一台 Pix501 上，然后 Wan 口通过公网与美国连同，同样出口 IP 亦是在美国那边。

为了监控员工上网行为，老外在 PIX 上做了若干 Policy ，当然也包括对流量的限制。内部员工若是访问非法网站，便会被 deny ，相信这些不用细讲，大家也知道的。

级联的四台交换没有进行 Vlan 划分，其实都隶属于同一个管理 Vlan ，再通俗点说，他们就是一台 96 口的交换机。

在网络应用环境上，该企业采用了 Windows 的域管理体系。该公司的域当然只是美国那边父域的一个次次级子域，而上海那边则是直接父域。

内部则有一台 DC Server 和一台 OA 几 ERP 等各种应用服务的服务器为内网提供各种服务。在 DC 上提供 DHCP 、 DNS 等各项基础性网络服务。

 

具体网络拓扑如下：

[详见附件]

 

不得不佩服的是 Cisco 的东东就是好，在这种网络架构下，运行了五六年依然是老当益壮。

后来由于满足公司内部领导特殊的上网需求，公司特地从本地网通申请了一个地址，故网络架构有如下变化：光纤经过光电转换后直接接入一 Linksys 八口交换机，然后由交换机分出两个线路，一条仍然接入到 PIX ，另外一条则接入到一 D-Link 路由器上，然后由小路由器分出若干线路，当有人需要使用国内线路的时候，便将此线路插入相应的 Cisco 交换接口。假设 PCx 若通过国内线路接入 Internet ，则管理员直接将路由器上的内部线路直接跳到交换机上任意空闲接口，然后将 PCx 的地址设置成 C 类地址， DNS 与网关都是同一地址。

具体拓扑如下：

[详见附件]

 

一切看起来都很正常，但是潜在的问题就出现了。

症状：域内 PC 通过 DHCP 服务器获取地址、网关及 DNS 后，三至五秒内，使用 Ipconfig/all 查看相关讯息，其正常的域名假设为 abc.com 会变成 router; 而正常获取的 DNS （假设为 10.10.10 .254 ），则会变为 192.168.1.1 。此时，内部主机无法正常访问网站。

分析：造成这种现象的原因主要有以下几个方面。

首先，四台级联交换同属一个 Vlan ，但是同一 Vlan 中却存在两个不同的网段： A 类及 C 类。

其次，本身简单的网络拓扑，后因其加入五口小交换及 HUB 等网络节点太多且次级级联数大，影响了数据传输质量，造成数据丢包、延迟等现象。

解决：将出现问题的主机手动进行网络配置，可解决此问题，但限于现行的管理制度不允许为客户机手动配置地址，所以将加入的路由器移除就解决了这个问题。

疑问：虽然有各种表面现象指出了问题所在，但是真正的问题我至今亦没有搞清，核心问题到底是什么？希望各位博友能帮助想一下 …