對于一些朋友群里經(jīng)常提問或咨詢:怎么才能讓內(nèi)部業(yè)務(wù)計(jì)算機(jī)同時(shí)訪問兩個(gè)或多個(gè)不同外網(wǎng)的業(yè)務(wù)服務(wù)器,前幾天寫過一篇《windows設(shè)置雙IP網(wǎng)關(guān)解決訪問不同專線接入的服務(wù)器》,里面提到了3種常見的連接和解決方式,在該文中主要介紹了通過在計(jì)算機(jī)上設(shè)置雙IP和網(wǎng)關(guān)以及靜態(tài)路由的實(shí)現(xiàn)方式來訪問不同外網(wǎng)的服務(wù)器。
這次準(zhǔn)備介紹:通過在多WAN口路由器上設(shè)置靜態(tài)路由,來實(shí)現(xiàn)訪問兩個(gè)或多個(gè)不同外網(wǎng)的業(yè)務(wù)服務(wù)器的方式,希望能夠?qū)Υ蠹宜袔椭?/p>
對目前很多中小企業(yè)的信息主管或網(wǎng)絡(luò)管理員很多都是兼職,對網(wǎng)絡(luò)管理并不熟悉的情況,因此準(zhǔn)備采用圖形化界面的路由器來進(jìn)行配置(本文截圖使用的是H3C ER8300G2路由器,該路由器最多可以配置成5個(gè)WAN口,可以接入5個(gè)外網(wǎng))
首先還是根據(jù)某實(shí)際網(wǎng)絡(luò)歸納一下網(wǎng)絡(luò)拓?fù)溥B接,畫一張示意圖如圖1(因?yàn)殡[私和安全原因,其中的IP地址做了替換),實(shí)際上很多有這種需求的中小企業(yè)網(wǎng)絡(luò)接入都差不多,可以參照該網(wǎng)絡(luò)拓?fù)溥M(jìn)行設(shè)置。
圖1 網(wǎng)絡(luò)拓?fù)?/p>
拓?fù)湔f明如下:
局域網(wǎng):企業(yè)內(nèi)部局域網(wǎng)所用網(wǎng)段IP地址范圍是:10.20.1.1~10.20.1.254,子網(wǎng)掩碼為:255.255.255.0。其中路由器的LAN口的IP地址是:10.20.1.1,作為局域網(wǎng)的默認(rèn)網(wǎng)關(guān),其LAN口5與企業(yè)內(nèi)部的交換機(jī)相連。
路由器WAN口1:用于與訪問因特網(wǎng)的電信公司互聯(lián)網(wǎng)專線光貓相連(大多是光貓的網(wǎng)口1,具體可以咨詢營運(yùn)商),因?yàn)樵撈髽I(yè)還有網(wǎng)絡(luò)加密(IPSEC VPN)等需求,該WAN口配置了向電信營運(yùn)商申請的固定公網(wǎng)IP地址:120.100.100.100,子網(wǎng)掩碼:255.255.255.0,缺省網(wǎng)關(guān):120.100.100.2(在向營運(yùn)商申請固定公網(wǎng)IP地址時(shí),營運(yùn)商在為企業(yè)拉入專線的同時(shí)一般會提供該IP地址對和子網(wǎng)掩碼)。
路由器WAN口2:用于與訪問外網(wǎng)業(yè)務(wù)服務(wù)器A的電信專線光貓相連(很多外網(wǎng)業(yè)務(wù)需要向網(wǎng)絡(luò)營運(yùn)商申請專門的線路),該WAN口配置了由電信公司提供的固定私有IP地址:10.10.10.2,子網(wǎng)掩碼:255.255.255.252,缺省網(wǎng)關(guān):10.10.10.1(營運(yùn)商在為企業(yè)拉入專線的同時(shí)一般會提供該IP地址對和子網(wǎng)掩碼)。
外網(wǎng)業(yè)務(wù)服務(wù)器A的IP地址是:10.100.10.1。
路由器WAN口3:用于與訪問外網(wǎng)業(yè)務(wù)服務(wù)器B的電信專線光貓相連(很多外網(wǎng)業(yè)務(wù)需要向網(wǎng)絡(luò)營運(yùn)商申請專門的線路),該WAN口配置了由電信公司提供的固定私有IP地址:10.10.10.6,子網(wǎng)掩碼:255.255.255.252,缺省網(wǎng)關(guān):10.10.10.5(營運(yùn)商在為企業(yè)拉入專線的同時(shí)一般會提供該IP地址對和子網(wǎng)掩碼)。
外網(wǎng)業(yè)務(wù)服務(wù)器B的IP地址是:10.101.10.5。
下面假設(shè)路由器是新的,還未設(shè)置過,網(wǎng)絡(luò)線路均已接好。主要介紹路由器的基本設(shè)置,來實(shí)現(xiàn)內(nèi)部業(yè)務(wù)計(jì)算機(jī)同時(shí)訪問兩個(gè)或多個(gè)不同外網(wǎng)的業(yè)務(wù)服務(wù)器
1、設(shè)置管理計(jì)算機(jī)的IP地址
因?yàn)槁酚善魇切碌模€沒被配置過,因此我們先用一臺計(jì)算機(jī),將其網(wǎng)口與路由器的 LAN 口1 用網(wǎng)線進(jìn)行連接,設(shè)置與路由器為同一網(wǎng)段的計(jì)算機(jī)靜態(tài)IP地址——如可設(shè)置為:192.168.0.10,子網(wǎng)掩碼:255.255.255.0(路由器LAN 口默認(rèn)的 IP可以參閱路由器的說明書,這里為:192.168.0.1,子網(wǎng)掩碼為 255.255.255.0)。
運(yùn)行Web瀏覽器,在地址欄中輸入"http://192.168.0.1",回車后跳轉(zhuǎn)到登錄頁面,如圖2所示。
圖2 路由器登錄頁面
輸入用戶名、密碼(缺省均為admin,區(qū)分大小寫,如果不是可以查閱路由器的用戶說明書),單擊"登錄"按鈕或直接回車即可進(jìn)入Web設(shè)置頁面。
2、設(shè)置路由器LAN口IP地址
點(diǎn)擊左側(cè)接口管理→LAN 設(shè)置→局域網(wǎng)設(shè)置,按上面網(wǎng)絡(luò)拓?fù)渌荆贗P地址欄輸入IP地址:10.20.1.1,子網(wǎng)掩碼:255.255.255.0,然后點(diǎn)擊應(yīng)用,如圖3所示。
修改了路由器 LAN 口的IP 地址后,需要修改計(jì)算機(jī)的IP地址與其在同一網(wǎng)段,而后在瀏覽器中輸入新的IP 地址10.20.1.1重新登錄,才能對路由器繼續(xù)進(jìn)行配置和管理。
圖3 設(shè)置路由器LAN口IP地址
此時(shí)可以按規(guī)劃,設(shè)置拓?fù)渲凶筮叺臉I(yè)務(wù)計(jì)算機(jī)IP地址:10.20.1.11,子網(wǎng)掩碼:255.255.255.0,默認(rèn)網(wǎng)關(guān):10.20.1.1。右邊的業(yè)務(wù)計(jì)算機(jī)IP地址:10.20.1.21,子網(wǎng)掩碼:255.255.255.0,默認(rèn)網(wǎng)關(guān):10.20.1.1。用ping命令測試,到路由器應(yīng)該應(yīng)該是通的。
3、設(shè)置路由器WAN口
(1)接口轉(zhuǎn)換:如果單位需要用單獨(dú)專線接入的業(yè)務(wù)較多,則可以點(diǎn)擊左側(cè)接口管理→WAN 設(shè)置→接口轉(zhuǎn)換→WAN口數(shù)目設(shè)置,來設(shè)置WAN口數(shù)量,如圖4。示例路由器的型號最多可以有5個(gè)WAN口。
圖4 設(shè)置路由器WAN口接口轉(zhuǎn)換
(2)WAN口設(shè)置
① WAN口1設(shè)置:點(diǎn)擊左側(cè)接口管理→WAN 設(shè)置→連接到因特網(wǎng),此時(shí)默認(rèn)可以設(shè)置WAN口1,因?yàn)樯暾埩斯W(wǎng)IP,因此在WAN網(wǎng)口1:首先選擇下拉框中的"靜態(tài)地址(手工配置地址)",然后在IP地址欄中輸入:120.100.100.100(該IP地址即為由電信營運(yùn)商指定的配置給公司這端的地址),子網(wǎng)掩碼:255.255.255.0,缺省網(wǎng)關(guān):120.100.100.1(該IP地址即為與WAN口1連接的互聯(lián)網(wǎng)線路電信營運(yùn)商那端的地址),然后點(diǎn)擊應(yīng)用,如圖5。
圖5 WAN口1設(shè)置
注:如無特殊要求,目前網(wǎng)絡(luò)營運(yùn)商提供的網(wǎng)絡(luò)寬帶一般為動態(tài)地址(其提供的光貓一般配置為路由器模式),因此在WAN網(wǎng)口1:選擇下拉框中的動態(tài)地址(從DHCP服務(wù)器分配),無需配置IP地址。
如果需要做L2TP VPN之類的,又想節(jié)約費(fèi)用而不想申請公網(wǎng)IP,可以與網(wǎng)絡(luò)營運(yùn)商溝通,請其將光貓?jiān)O(shè)置為橋接模式,并將光貓上的PPPoE用戶名和密碼設(shè)置在路由器上,此時(shí)在WAN網(wǎng)口1:選擇下拉框中的PPPoE(大部分的寬帶網(wǎng)或xDSL)進(jìn)行設(shè)置,然后可以通過設(shè)置DDNS達(dá)到類似靜態(tài)公網(wǎng)IP的效果。
② WAN口2設(shè)置:點(diǎn)擊左側(cè)接口管理→WAN 設(shè)置→連接到因特網(wǎng)→WAN網(wǎng)口2,如圖6。
圖6 選擇WAN口2
與WAN口1操作類似,首先選擇下拉框中的"靜態(tài)地址(手工配置地址)",然后在相應(yīng)位置輸入營運(yùn)商為業(yè)務(wù)A專線指定的IP地址對,在此不再贅述,直接截圖如圖7所示。
圖7 WAN口2設(shè)置
② WAN口3設(shè)置:與WAN口2操作類似,注意在相應(yīng)位置輸入營運(yùn)商為業(yè)務(wù)B專線指定的IP地址對,如圖8所示。
圖8 WAN口3設(shè)置
(3)設(shè)置靜態(tài)路由
點(diǎn)擊左側(cè)高級設(shè)置→路由設(shè)置→靜態(tài)路由→新增,如圖9所示。
圖9 新增靜態(tài)路由
在彈出的窗口中,為訪問外網(wǎng)業(yè)務(wù)服務(wù)器A設(shè)置靜態(tài)路由,在目的地址欄輸入:10.100.10.0,子網(wǎng)掩碼欄:255.255.255.0,下一跳地址:10.10.10.1,出接口:選擇WAN2,描述:業(yè)務(wù)A,然后點(diǎn)擊"增加"按鈕,如圖10所示。
注:
其中的目的地址10.100.10.0和子網(wǎng)掩碼255.255.255.0,因?yàn)橥饩W(wǎng)業(yè)務(wù)A可能不只有一臺服務(wù)器,是將業(yè)務(wù)A服務(wù)器的IP地址最后一位改成0后,大致估計(jì)的。這里此種方式應(yīng)該能適合相當(dāng)多的場景,以方便不熟悉計(jì)算網(wǎng)絡(luò)地址的朋友仿照。
其中的下一跳地址10.10.10.1,即是前面所說的由營運(yùn)商為業(yè)務(wù)A專線分配的與WAN口2連接的電信營運(yùn)商一端的地址。
圖10 為業(yè)務(wù)B服務(wù)設(shè)置靜態(tài)路由
仿照上面的增加步驟,為訪問外網(wǎng)業(yè)務(wù)服務(wù)器B設(shè)置靜態(tài)路由(此處是將服務(wù)器B的IP地址最后一位改成0,因此有了目的地址10.101.10.0和子網(wǎng)掩碼255.255.255.0;其中的下一跳地址10.10.10.1,即為由營運(yùn)商為業(yè)務(wù)B專線分配。),如圖11所示。
圖11 為業(yè)務(wù)A服務(wù)設(shè)置靜態(tài)路由
注:該型號路由器,會自動加入一條由WAN口1出去的默認(rèn)路由(或叫做缺省路由),用于訪問因特網(wǎng)。
至此,企業(yè)內(nèi)部的業(yè)務(wù)計(jì)算機(jī)只要安裝了相應(yīng)的軟件,應(yīng)該均可以訪問因特網(wǎng)、外網(wǎng)業(yè)務(wù)服務(wù)器A和B。
如果企業(yè)有對內(nèi)部計(jì)算機(jī)進(jìn)行限制的需求,可以結(jié)合防火墻策略(或者訪問控制列表ACL)來進(jìn)行控制;也可以通過配置策略路由的方式來實(shí)現(xiàn)控制的目的(策略路由可以指定內(nèi)部IP地址范圍、外部IP地址范圍、協(xié)議類型、并從指定的接口發(fā)送出去,還可以設(shè)置生效的時(shí)間段,起到業(yè)務(wù)分流的作用)。
出于安全考慮,還應(yīng)該修改訪問路由器的管理密碼、協(xié)議和端口,以及對諸如防火墻策略等進(jìn)行設(shè)置。為避免一次說的較多,讓不熟悉網(wǎng)絡(luò)的朋友更難參照,還是以后如有時(shí)間再寫一些。
注:本次之所以使用H3C的ER8300舉例,是了解到很多中小企業(yè)使用該系列,該系列價(jià)格相對低廉,功能還算豐富,配置方式主要為圖形界面,操作比較簡單直觀,但其命令行方式提供的命令只有幾條基本用不上,相比真正命令行方式的路由器存在配置起來有些方面不夠靈活,管理的精確度不夠細(xì)致,對路由器比較熟悉的朋友還是盡量選擇命令行為主的路由器,會感覺更得心應(yīng)手些。
以上文字希望能為有需求的網(wǎng)友有所幫助,另以上輸入和描述可能有疏漏、錯(cuò)誤,歡迎大家在下面討論留言指正!
