前段时间有位朋友曾咨询他们公司的两台业务计算机网络如何设置,才能访问两个不同外网的服务器(后面详述)。而且类似的问题在一些朋友群里提问、咨询的还很多,尽管设置并没有多难,但随着网络和信息化的日趋普及,目前很多中小企业并没有相对专业的信息主管或网络管理员,很多都是兼职,所以很多人有这方面的疑问也算正常,毕竟术业有专攻嘛。
不同公司的网络拓扑连接可能不同,要求也可能不太一样,因此对应的解决方式也不同。常见的连接和解决方式大概有以下几种:
1、对应不同外网服务器的专线光猫连接在多WAN口路由器上,可以通过设置静态路由、策略路由来实现,这样能够比较方便解决公司多台计算机同时访问不同外网业务的问题。但需要注意访问权限的控制,可以通过路由器的访问控制列表、防火墙策略等方式来限制,具体要看公司网络设备提供的功能而定。
2、对应不同外网服务器的专线光猫和路由器(或防火墙)都连接在公司内部的交换机上,可通过在需要访问不同外网的计算机上设置双IP和网关以及静态路由来实现。
3、对应不同外网服务器的专线光猫直接到了需要访问不同外网的特定计算机上,基本是通过双网卡设置双IP和网关来实现。这种方式灵活性最差,基本局限于那台计算机可以同时访问,不方便扩展。
上面朋友公司的网络拓扑由两个外网服务器的服务提供商设计,大致归纳如下:
提供A业务的外部服务器A通过电信公司专线的光猫与专用防火墙A(具备路由功能,配置了网关11.11.11.1)相连,防火墙A与公司内部局域网的交换机A相连,公司内部A业务计算机和服务器组与交换机A相连;
提供B业务的外部服务器B通过移动公司专线的光猫进行与专用防火墙B(具备路由功能,配置了网关12.11.11.1)相连,防火墙B与公司内部局域网的交换机B相连,公司内部B业务计算机和服务器组与交换机B相连。
到这可以看出,应该是基于安全考虑该公司运行了两套相互独立的网络。
但进一步了解,因为公司内部支持A业务的服务器组和支持B业务的服务器组之间有数据交互,所以他们把交换机A和交换机B连接了起来。因此他们公司的局域网部分实际上是一个,已打破了出于安全考虑将两个内部局域网进行物理隔离的特性,只是分别配置成不同的网段而已,其简化的拓扑示意图如下:
网络拓扑示意图
这样的拓扑也为该公司两台业务计算机A和B均能同时访问两个不同外网服务器A、B提供了方便,采用上面第二种方式相对简单,可以不改动网络拓扑。以业务计算机A为例(操作系统为Windows7):
1、首先为其分配第二个IP地址(即B计算机所在网段的地址),如:12.11.11.11/24(其中/24是指网络掩码为255.255.255.0)。
2、为业务计算机A设置第二个IP地址和网关(第二个网关与业务计算机B的相同即12.11.11.1)
(1)鼠标左键点击系统桌面右下的网络图标,在弹出菜单中点击“打开网络和共享中心”,如下图:
(2)在弹出的窗口中,鼠标左键点击左侧的”更改适配器设置“,如下图:
(3)在弹出的窗口中,鼠标右键点击“本地连接”图标,如下图:
(4)在弹出的菜单中,鼠标左键点击“属性”,如下图:
(5)在弹出的窗口中,鼠标左键双击“Internat协议版本4(TCP/IPv4)”,如下图:
(6)在弹出的窗口中,鼠标左键点击“高级”,如下图:
(6)在弹出的窗口中,鼠标左键点击“高级”,再在新的弹出的窗口中分别输入上面分配的第二个地址12.11.11.11和掩码255.255.255.0,以及第二个网关12.11.11.1,分别如下图:
添加第二个IP和掩码
添加网关
(7)依次点击“确定”,逐级关闭窗口。
3、为业务计算机A用系统命令行方式添加新的静态路由
(1)鼠标左键点击系统桌面左下的“开始”,在弹出菜单下方“开始搜索程序和文件”栏中输入“cmd",然后鼠标右键单击上面的cmd.exe,再在新弹出的菜单中点击”以管理员身份运行(A)",如下图:
(2)在弹出的命令行窗口中,输入:route add -p 12.1.1.0 mask 255.255.255.0 12.11.11.1,然后回车,如下图:
注:如果命令执行成功会输入的命令下方出现“操作成功”几个字。
注:命令行-p 后面的12.1.1.0可认为是外网业务服务器B所在网段,这样把外网业务服务器的IP地址最后一位改为0当成其网络号虽然不是很精确,但用此来添加静态路由估计能满足大部有类似需求的场景,毕竟如何计算合适网络号和掩码不是三言两语就能说清楚。命令行尾部的那个IP:12.11.11.1对应防火墙B设置的默认网关。
(3)分别访问外网业务服务器11.1.1.2和12.1.1.2成功。
4、业务计算机B设置类似,
如第二IP地址设为:11.11.11.11
掩码为:255.255.255.0
第二个网关为:11.11.11.1
添加静态路由命令则为:route add -p 11.1.1.0 mask 255.255.255.0 11.11.11.1
仔细观察刚好和计算机A反过来。
注:命令行-p 后面的11.1.1.0可认为是外网业务服务器A所在网段,命令行尾部的IP:11.11.11.1对应防火墙A设置的默认网关。
以上文字希望能为有需求的网友有所帮助,另以上输入和描述可能有疏漏、错误,欢迎大家留言指正!
将《路由器多WAN口方式解决访问不同专线接入的服务器》
《路由器基本安全设置简介》
附在文字最后,便于大家参考对照。