對于一些朋友群裡經常提問或咨詢:怎麼才能讓内部業務計算機同時通路兩個或多個不同外網的業務伺服器,前幾天寫過一篇《windows設定雙IP網關解決通路不同專線接入的伺服器》,裡面提到了3種常見的連接配接和解決方式,在該文中主要介紹了通過在計算機上設定雙IP和網關以及靜态路由的實作方式來通路不同外網的伺服器。
這次準備介紹:通過在多WAN口路由器上設定靜态路由,來實作通路兩個或多個不同外網的業務伺服器的方式,希望能夠對大家所有幫助。
對目前很多中小企業的資訊主管或網絡管理者很多都是兼職,對網絡管理并不熟悉的情況,是以準備采用圖形化界面的路由器來進行配置(本文截圖使用的是H3C ER8300G2路由器,該路由器最多可以配置成5個WAN口,可以接入5個外網)
首先還是根據某實際網絡歸納一下網絡拓撲連接配接,畫一張示意圖如圖1(因為隐私和安全原因,其中的IP位址做了替換),實際上很多有這種需求的中小企業網絡接入都差不多,可以參照該網絡拓撲進行設定。
圖1 網絡拓撲
拓撲說明如下:
區域網路:企業内部區域網路所用網段IP位址範圍是:10.20.1.1~10.20.1.254,子網路遮罩為:255.255.255.0。其中路由器的LAN口的IP位址是:10.20.1.1,作為區域網路的預設網關,其LAN口5與企業内部的交換機相連。
路由器WAN口1:用于與通路網際網路的電信公司網際網路專線光貓相連(大多是光貓的網口1,具體可以咨詢營運商),因為該企業還有網絡加密(IPSEC VPN)等需求,該WAN口配置了向電信營運商申請的固定公網IP位址:120.100.100.100,子網路遮罩:255.255.255.0,預設網關:120.100.100.2(在向營運商申請固定公網IP位址時,營運商在為企業拉入專線的同時一般會提供該IP位址對和子網路遮罩)。
路由器WAN口2:用于與通路外網業務伺服器A的電信專線光貓相連(很多外網業務需要向網絡營運商申請專門的線路),該WAN口配置了由電信公司提供的固定私有IP位址:10.10.10.2,子網路遮罩:255.255.255.252,預設網關:10.10.10.1(營運商在為企業拉入專線的同時一般會提供該IP位址對和子網路遮罩)。
外網業務伺服器A的IP位址是:10.100.10.1。
路由器WAN口3:用于與通路外網業務伺服器B的電信專線光貓相連(很多外網業務需要向網絡營運商申請專門的線路),該WAN口配置了由電信公司提供的固定私有IP位址:10.10.10.6,子網路遮罩:255.255.255.252,預設網關:10.10.10.5(營運商在為企業拉入專線的同時一般會提供該IP位址對和子網路遮罩)。
外網業務伺服器B的IP位址是:10.101.10.5。
下面假設路由器是新的,還未設定過,網絡線路均已接好。主要介紹路由器的基本設定,來實作内部業務計算機同時通路兩個或多個不同外網的業務伺服器
1、設定管理計算機的IP位址
因為路由器是新的,還沒被配置過,是以我們先用一台計算機,将其網口與路由器的 LAN 口1 用網線進行連接配接,設定與路由器為同一網段的計算機靜态IP位址——如可設定為:192.168.0.10,子網路遮罩:255.255.255.0(路由器LAN 口預設的 IP可以參閱路由器的說明書,這裡為:192.168.0.1,子網路遮罩為 255.255.255.0)。
運作Web浏覽器,在位址欄中輸入"http://192.168.0.1",回車後跳轉到登入頁面,如圖2所示。
圖2 路由器登入頁面
輸入使用者名、密碼(預設均為admin,區分大小寫,如果不是可以查閱路由器的使用者說明書),單擊"登入"按鈕或直接回車即可進入Web設定頁面。
2、設定路由器LAN口IP位址
點選左側接口管理→LAN 設定→區域網路設定,按上面網絡拓撲所示,在IP位址欄輸入IP位址:10.20.1.1,子網路遮罩:255.255.255.0,然後點選應用,如圖3所示。
修改了路由器 LAN 口的IP 位址後,需要修改計算機的IP位址與其在同一網段,而後在浏覽器中輸入新的IP 位址10.20.1.1重新登入,才能對路由器繼續進行配置和管理。
圖3 設定路由器LAN口IP位址
此時可以按規劃,設定拓撲中左邊的業務計算機IP位址:10.20.1.11,子網路遮罩:255.255.255.0,預設網關:10.20.1.1。右邊的業務計算機IP位址:10.20.1.21,子網路遮罩:255.255.255.0,預設網關:10.20.1.1。用ping指令測試,到路由器應該應該是通的。
3、設定路由器WAN口
(1)接口轉換:如果機關需要用單獨專線接入的業務較多,則可以點選左側接口管理→WAN 設定→接口轉換→WAN口數目設定,來設定WAN口數量,如圖4。示例路由器的型号最多可以有5個WAN口。
圖4 設定路由器WAN口接口轉換
(2)WAN口設定
① WAN口1設定:點選左側接口管理→WAN 設定→連接配接到網際網路,此時預設可以設定WAN口1,因為申請了公網IP,是以在WAN網口1:首先選擇下拉框中的"靜态位址(手工配置位址)",然後在IP位址欄中輸入:120.100.100.100(該IP位址即為由電信營運商指定的配置給公司這端的位址),子網路遮罩:255.255.255.0,預設網關:120.100.100.1(該IP位址即為與WAN口1連接配接的網際網路線路電信營運商那端的位址),然後點選應用,如圖5。
圖5 WAN口1設定
注:如無特殊要求,目前網絡營運商提供的網絡寬帶一般為動态位址(其提供的光貓一般配置為路由器模式),是以在WAN網口1:選擇下拉框中的動态位址(從DHCP伺服器配置設定),無需配置IP位址。
如果需要做L2TP VPN之類的,又想節約費用而不想申請公網IP,可以與網絡營運商溝通,請其将光貓設定為橋接模式,并将光貓上的PPPoE使用者名和密碼設定在路由器上,此時在WAN網口1:選擇下拉框中的PPPoE(大部分的寬帶網或xDSL)進行設定,然後可以通過設定DDNS達到類似靜态公網IP的效果。
② WAN口2設定:點選左側接口管理→WAN 設定→連接配接到網際網路→WAN網口2,如圖6。
圖6 選擇WAN口2
與WAN口1操作類似,首先選擇下拉框中的"靜态位址(手工配置位址)",然後在相應位置輸入營運商為業務A專線指定的IP位址對,在此不再贅述,直接截圖如圖7所示。
圖7 WAN口2設定
② WAN口3設定:與WAN口2操作類似,注意在相應位置輸入營運商為業務B專線指定的IP位址對,如圖8所示。
圖8 WAN口3設定
(3)設定靜态路由
點選左側進階設定→路由設定→靜态路由→新增,如圖9所示。
圖9 新增靜态路由
在彈出的視窗中,為通路外網業務伺服器A設定靜态路由,在目的位址欄輸入:10.100.10.0,子網路遮罩欄:255.255.255.0,下一跳位址:10.10.10.1,出接口:選擇WAN2,描述:業務A,然後點選"增加"按鈕,如圖10所示。
注:
其中的目的位址10.100.10.0和子網路遮罩255.255.255.0,因為外網業務A可能不隻有一台伺服器,是将業務A伺服器的IP位址最後一位改成0後,大緻估計的。這裡此種方式應該能适合相當多的場景,以友善不熟悉計算網絡位址的朋友仿照。
其中的下一跳位址10.10.10.1,即是前面所說的由營運商為業務A專線配置設定的與WAN口2連接配接的電信營運商一端的位址。
圖10 為業務B服務設定靜态路由
仿照上面的增加步驟,為通路外網業務伺服器B設定靜态路由(此處是将伺服器B的IP位址最後一位改成0,是以有了目的位址10.101.10.0和子網路遮罩255.255.255.0;其中的下一跳位址10.10.10.1,即為由營運商為業務B專線配置設定。),如圖11所示。
圖11 為業務A服務設定靜态路由
注:該型号路由器,會自動加入一條由WAN口1出去的預設路由(或叫做預設路由),用于通路網際網路。
至此,企業内部的業務計算機隻要安裝了相應的軟體,應該均可以通路網際網路、外網業務伺服器A和B。
如果企業有對内部計算機進行限制的需求,可以結合防火牆政策(或者通路控制清單ACL)來進行控制;也可以通過配置政策路由的方式來實作控制的目的(政策路由可以指定内部IP位址範圍、外部IP位址範圍、協定類型、并從指定的接口發送出去,還可以設定生效的時間段,起到業務分流的作用)。
出于安全考慮,還應該修改通路路由器的管理密碼、協定和端口,以及對諸如防火牆政策等進行設定。為避免一次說的較多,讓不熟悉網絡的朋友更難參照,還是以後如有時間再寫一些。
注:本次之是以使用H3C的ER8300舉例,是了解到很多中小企業使用該系列,該系列價格相對低廉,功能還算豐富,配置方式主要為圖形界面,操作比較簡單直覺,但其指令行方式提供的指令隻有幾條基本用不上,相比真正指令行方式的路由器存在配置起來有些方面不夠靈活,管理的精确度不夠細緻,對路由器比較熟悉的朋友還是盡量選擇指令行為主的路由器,會感覺更得心應手些。
以上文字希望能為有需求的網友有所幫助,另以上輸入和描述可能有疏漏、錯誤,歡迎大家在下面讨論留言指正!
附:《windows設定雙IP網關解決通路不同專線接入的伺服器》