中小型局域网络的整合与优化

2010-10-18周昌七

中国教育信息化 2010年22期

关键词：IP地址路由器交换机

周昌七

（仪征市教育局，江苏扬州 211400）

中小型局域网络的整合与优化

周昌七

（仪征市教育局，江苏扬州 211400）

文章以CISCO路由器、三层交换机、二层交换机、防火墙组网为案例，详实地讲述了运用CISCO网络设备与已有的网络设备对中小型局域网络的整合与优化，并阐述了中小型局域网络接入互联网络的NAT原理。

NAT；路由器；防火墙；网络优化

引言

随着信息化的高速发展，我们的办公已经离不开网络，信息的发布，公文、邮件的收发等各类信息的传递都离不开互联网络。政府机构、企业公司、学校事业单位无不接入了互联网，为此，如何让中小型局域网安全、合理、优化地接入互联网，采用的方式与设备变得十分重要。通过对市场主流产品进行性价比方面的考察，仪征市教育局网络中心机房新购了两台二层CISCOSLM2024交换机和1台CISCO 2851路由器，机房原有1台CISCOPIX515E防火墙和1台CISCO3550交换机。原CISCOPIX515E连接CISCO3550，CISCO3550只用了二层功能，CISCO3550下面连接了几台服务器：OA公文系统、信息网站、两个专题网站。CISCOPIX515E主要用来将私有地址映射出去为公网地址，全单位员工通过1台Windows2003服务器代理接入公网，这样的网络结构很不合理，稳定性较差。为此，笔者利用已购买的设备和已有的几个不同品牌的交换机对网络机房进行了整合优化。

一、NAT原理

虽然IPv6解决方案已经提出，但目前网络还主要是基于IPv4的设置和运用，IP地址即将耗尽，公有IP地址成为不可多得的资源。NAT（NetworkAddressTranslation）作为这样一种过渡解决手段，可以减少对全球合法注册地址的需求。简单地说，NAT就是在内部专用网络中使用内部地址（不可路由），而当内部节点要与外界网络发生联系时，就在边缘路由器或防火墙处将内部地址替换成全局地址——合法地址（可路由），从而在外部公共网上正常使用（图 1）。NAT地址转换主要有静态转换（Static Translation）和动态转换（DynamicTranslations）两种类型。

图1

1.静态转换

静态转换是最简单的一种转换方式，它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。内部地址与全局地址一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。尤其是我们对外提供各类信息服务的各类服务器，必须要有映射到外网的IP地址，外网用户才可以访问。

2.动态转换

动态转换增加了网络管理的复杂性，但也提供了很大的灵活性，它将可用的全局地址地址集定义成NAT池（NATpool）。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙将会动态地从NAT池中选择全局地址对内部地址进行转化。每个转换条目在连接建立时动态建立，而在连接终止时会被回收。这样，网络的灵活性大大增强了，所需要的全局地址进一步减少。值得注意的是，当NAT池中的全局地址被全部占用以后，地址转换的申请会被拒绝，这样会造成网络连通性的问题。所以应该使用超时操作选项来回收NAT池的全局地址。另外，由于每次的地址转换都是动态的，所以同一个节点在不同的连接中的全局地址是不同的，这样也会对网络监管带来不利。

无论是静态还是动态地址转换，都是在防火墙或者边缘路由器（即连接内部网络和公用网络的设备）完成的，而对于通信的各节点，无论是内部还是外部的，都是透明的。

二、路由与三层交换机的整合

对于单位的办公信息化来说，在保证内部信息安全的前提下，首先要保障单位全部办公电脑都可以连接到公网。针对这种情况，各单位可根据自己的财力、技术人员实力和对信息安全的要求，采取不同的措施。笔者利用已有3COM交换机1台、CISCO3550交换机1台、CISCOSLM2024交换机1台、D-Link和 TP-Link交换机共 6台、CISCO2851路由1台，对全单位机器进行动态NAT接入互连网络。

1.网络拓扑结构

由图2可以看出，全单位接入互连网络的接入结构为3COM交换机→CISCO2851→CISCO3550→相关二层交换机，每个Vlan接口连接一个二层交换机，给一个楼层使用。

2.三层交换机CISCO3550配置

首先根据单位各部门和楼层结构分为8个Vlan，确保各网段内计算机的信息安全和网络的稳定性与可管理性。