對于一些朋友群里經常提問或咨詢:怎么才能讓內部業務計算機同時訪問兩個或多個不同外網的業務服務器,前幾天寫過一篇《windows設置雙IP網關解決訪問不同專線接入的服務器》,里面提到了3種常見的連接和解決方式,在該文中主要介紹了通過在計算機上設置雙IP和網關以及靜態路由的實現方式來訪問不同外網的服務器。
這次準備介紹:通過在多WAN口路由器上設置靜態路由,來實現訪問兩個或多個不同外網的業務服務器的方式,希望能夠對大家所有幫助。
對目前很多中小企業的信息主管或網絡管理員很多都是兼職,對網絡管理并不熟悉的情況,因此準備采用圖形化界面的路由器來進行配置(本文截圖使用的是H3C ER8300G2路由器,該路由器最多可以配置成5個WAN口,可以接入5個外網)
首先還是根據某實際網絡歸納一下網絡拓撲連接,畫一張示意圖如圖1(因為隱私和安全原因,其中的IP地址做了替換),實際上很多有這種需求的中小企業網絡接入都差不多,可以參照該網絡拓撲進行設置。
圖1 網絡拓撲
拓撲說明如下:
局域網:企業內部局域網所用網段IP地址范圍是:10.20.1.1~10.20.1.254,子網掩碼為:255.255.255.0。其中路由器的LAN口的IP地址是:10.20.1.1,作為局域網的默認網關,其LAN口5與企業內部的交換機相連。
路由器WAN口1:用于與訪問因特網的電信公司互聯網專線光貓相連(大多是光貓的網口1,具體可以咨詢營運商),因為該企業還有網絡加密(IPSEC VPN)等需求,該WAN口配置了向電信營運商申請的固定公網IP地址:120.100.100.100,子網掩碼:255.255.255.0,缺省網關:120.100.100.2(在向營運商申請固定公網IP地址時,營運商在為企業拉入專線的同時一般會提供該IP地址對和子網掩碼)。
路由器WAN口2:用于與訪問外網業務服務器A的電信專線光貓相連(很多外網業務需要向網絡營運商申請專門的線路),該WAN口配置了由電信公司提供的固定私有IP地址:10.10.10.2,子網掩碼:255.255.255.252,缺省網關:10.10.10.1(營運商在為企業拉入專線的同時一般會提供該IP地址對和子網掩碼)。
外網業務服務器A的IP地址是:10.100.10.1。
路由器WAN口3:用于與訪問外網業務服務器B的電信專線光貓相連(很多外網業務需要向網絡營運商申請專門的線路),該WAN口配置了由電信公司提供的固定私有IP地址:10.10.10.6,子網掩碼:255.255.255.252,缺省網關:10.10.10.5(營運商在為企業拉入專線的同時一般會提供該IP地址對和子網掩碼)。
外網業務服務器B的IP地址是:10.101.10.5。
下面假設路由器是新的,還未設置過,網絡線路均已接好。主要介紹路由器的基本設置,來實現內部業務計算機同時訪問兩個或多個不同外網的業務服務器
1、設置管理計算機的IP地址
因為路由器是新的,還沒被配置過,因此我們先用一臺計算機,將其網口與路由器的 LAN 口1 用網線進行連接,設置與路由器為同一網段的計算機靜態IP地址——如可設置為:192.168.0.10,子網掩碼:255.255.255.0(路由器LAN 口默認的 IP可以參閱路由器的說明書,這里為:192.168.0.1,子網掩碼為 255.255.255.0)。
運行Web瀏覽器,在地址欄中輸入"http://192.168.0.1",回車后跳轉到登錄頁面,如圖2所示。
圖2 路由器登錄頁面
輸入用戶名、密碼(缺省均為admin,區分大小寫,如果不是可以查閱路由器的用戶說明書),單擊"登錄"按鈕或直接回車即可進入Web設置頁面。
2、設置路由器LAN口IP地址
點擊左側接口管理→LAN 設置→局域網設置,按上面網絡拓撲所示,在IP地址欄輸入IP地址:10.20.1.1,子網掩碼:255.255.255.0,然后點擊應用,如圖3所示。
修改了路由器 LAN 口的IP 地址后,需要修改計算機的IP地址與其在同一網段,而后在瀏覽器中輸入新的IP 地址10.20.1.1重新登錄,才能對路由器繼續進行配置和管理。
圖3 設置路由器LAN口IP地址
此時可以按規劃,設置拓撲中左邊的業務計算機IP地址:10.20.1.11,子網掩碼:255.255.255.0,默認網關:10.20.1.1。右邊的業務計算機IP地址:10.20.1.21,子網掩碼:255.255.255.0,默認網關:10.20.1.1。用ping命令測試,到路由器應該應該是通的。
3、設置路由器WAN口
(1)接口轉換:如果單位需要用單獨專線接入的業務較多,則可以點擊左側接口管理→WAN 設置→接口轉換→WAN口數目設置,來設置WAN口數量,如圖4。示例路由器的型號最多可以有5個WAN口。
圖4 設置路由器WAN口接口轉換
(2)WAN口設置
① WAN口1設置:點擊左側接口管理→WAN 設置→連接到因特網,此時默認可以設置WAN口1,因為申請了公網IP,因此在WAN網口1:首先選擇下拉框中的"靜態地址(手工配置地址)",然后在IP地址欄中輸入:120.100.100.100(該IP地址即為由電信營運商指定的配置給公司這端的地址),子網掩碼:255.255.255.0,缺省網關:120.100.100.1(該IP地址即為與WAN口1連接的互聯網線路電信營運商那端的地址),然后點擊應用,如圖5。
圖5 WAN口1設置
注:如無特殊要求,目前網絡營運商提供的網絡寬帶一般為動態地址(其提供的光貓一般配置為路由器模式),因此在WAN網口1:選擇下拉框中的動態地址(從DHCP服務器分配),無需配置IP地址。
如果需要做L2TP VPN之類的,又想節約費用而不想申請公網IP,可以與網絡營運商溝通,請其將光貓設置為橋接模式,并將光貓上的PPPoE用戶名和密碼設置在路由器上,此時在WAN網口1:選擇下拉框中的PPPoE(大部分的寬帶網或xDSL)進行設置,然后可以通過設置DDNS達到類似靜態公網IP的效果。
② WAN口2設置:點擊左側接口管理→WAN 設置→連接到因特網→WAN網口2,如圖6。
圖6 選擇WAN口2
與WAN口1操作類似,首先選擇下拉框中的"靜態地址(手工配置地址)",然后在相應位置輸入營運商為業務A專線指定的IP地址對,在此不再贅述,直接截圖如圖7所示。
圖7 WAN口2設置
② WAN口3設置:與WAN口2操作類似,注意在相應位置輸入營運商為業務B專線指定的IP地址對,如圖8所示。
圖8 WAN口3設置
(3)設置靜態路由
點擊左側高級設置→路由設置→靜態路由→新增,如圖9所示。
圖9 新增靜態路由
在彈出的窗口中,為訪問外網業務服務器A設置靜態路由,在目的地址欄輸入:10.100.10.0,子網掩碼欄:255.255.255.0,下一跳地址:10.10.10.1,出接口:選擇WAN2,描述:業務A,然后點擊"增加"按鈕,如圖10所示。
注:
其中的目的地址10.100.10.0和子網掩碼255.255.255.0,因為外網業務A可能不只有一臺服務器,是將業務A服務器的IP地址最后一位改成0后,大致估計的。這里此種方式應該能適合相當多的場景,以方便不熟悉計算網絡地址的朋友仿照。
其中的下一跳地址10.10.10.1,即是前面所說的由營運商為業務A專線分配的與WAN口2連接的電信營運商一端的地址。
圖10 為業務B服務設置靜態路由
仿照上面的增加步驟,為訪問外網業務服務器B設置靜態路由(此處是將服務器B的IP地址最后一位改成0,因此有了目的地址10.101.10.0和子網掩碼255.255.255.0;其中的下一跳地址10.10.10.1,即為由營運商為業務B專線分配。),如圖11所示。
圖11 為業務A服務設置靜態路由
注:該型號路由器,會自動加入一條由WAN口1出去的默認路由(或叫做缺省路由),用于訪問因特網。
至此,企業內部的業務計算機只要安裝了相應的軟件,應該均可以訪問因特網、外網業務服務器A和B。
如果企業有對內部計算機進行限制的需求,可以結合防火墻策略(或者訪問控制列表ACL)來進行控制;也可以通過配置策略路由的方式來實現控制的目的(策略路由可以指定內部IP地址范圍、外部IP地址范圍、協議類型、并從指定的接口發送出去,還可以設置生效的時間段,起到業務分流的作用)。
出于安全考慮,還應該修改訪問路由器的管理密碼、協議和端口,以及對諸如防火墻策略等進行設置。為避免一次說的較多,讓不熟悉網絡的朋友更難參照,還是以后如有時間再寫一些。
注:本次之所以使用H3C的ER8300舉例,是了解到很多中小企業使用該系列,該系列價格相對低廉,功能還算豐富,配置方式主要為圖形界面,操作比較簡單直觀,但其命令行方式提供的命令只有幾條基本用不上,相比真正命令行方式的路由器存在配置起來有些方面不夠靈活,管理的精確度不夠細致,對路由器比較熟悉的朋友還是盡量選擇命令行為主的路由器,會感覺更得心應手些。
以上文字希望能為有需求的網友有所幫助,另以上輸入和描述可能有疏漏、錯誤,歡迎大家在下面討論留言指正!
