多平台的INTRANET的解决方案(修改稿)(原创)
前言:最近整理了过去写的一些技术文稿,其中本篇是实现将几种不同操作系统平台的网络
互连成部门局域网,然后使用NT SERVER作为代理服务器访问到INTERNET的方案。由于文章写
成时期较早,一些硬件配置与目前相比低档了些,而且随着技术的成熟,原来的组网方案也
有了较大的变动。其中为了保密,对本文做了一些改动,隐去了部门的名称及一些敏感的字
样,希望可以给初学网络建设的朋友一点启发。
1、 建成后的网络可实现的功能
按业务划分,该部门原有三类网管系统,各自独立连成三个分离的局域网,其中有一类
网管需连入internet。建成后的网络要求:1)局域网上的任何一台终端可实现三类网管操作
的功能,但对原有网管工作站的设置无须做太大改动(如保留原有的IP、路由等);2)改变
以往资料只能单机查询的状况,改为建立中心数据库,以WWW的形式在内部网络上发布,在每
台局域网终端上通过统一的客户端软件——WEB浏览器,点指访问数据库,查询各类资料;3
)通过代理服务器,安全访问到INTERNET。
2、 网络平台及网络结构
目前基于交换型集线器的组网技术已日趋成熟,交换型集线器(交换型HUB)不仅具有较
好的网络性能,更重要的原因是有价格上的优势。因此在筹划构建INTRANET的组网方案时,
我们采用交换集线器技术组网。
建成的INTRANET网络拓扑(本来是有附图的,这里只能详细点描述了):网管系统为UNIX系统,微机WINDOWS/NT操作系统,整个网络以TCP/IP协议互连,网络带宽为10M,由两个
虚拟子网VLAN1(网管系统一)和VLAN2(网管系统二)构成,两个子网各自接入一个高速交
换型集线器Switch 1000的10M端口,用一台Cisco 4500路由器作为两个子网的网关(注:此
路由器为该部门空闲未用的,其实要节省资金,可用一台微机安装NT SERVER作为两个子网的
网关,服务器上用两块网卡与两个子网的HUB互连,网络属性里打开RIP Routing。但以路由
器作为网关也有一个好处,就是可扩展性较好,当需要再划分子网的时候,子网之间设置RIP静态路由即可。同时,路由器/NT上可以作为拨号服务器,实现远程拨号连入内部网——嘻
嘻,设置成回拨服务的话,就可以省不少money了:))。两个子网的网段分别是两类网管系统
(网管一和网管二)的网络IP地址。使用两个子网的目的在于原来用于网管的工作站的网络
设置均可不变,方便分化管理。在此基础上,新增加多台PC机,添加合适的软件,使用PC作
为网管图形终端,在无须购置工作站的前提下,充分共享网管工作站的资源,增设多个网管
工作台,还可实现微机原来用于办公处理的功用。在其中一个VLAN中,以一台联想P5/166作
为局域网的数据库SERVER,可供局域网网中的所有机器共享数据;一台HP P5/200作为NT SERVER&PROXY SERVER,为局域网的终端提供连入INTERNET的服务;局域网内还连有高速激光打
印机以共享。
3、 设置交换器,划分虚拟子网(VLAN),以CSICO路由器作为两个子网的网关。
交换型HUB(Switched HUB)是为了使LAN的数据平滑地向目的地流动而设计的中继设备
。它具有多个LAN的端口,将终端和LAN的设备连接成星型结构。交换型HUB对接收到的分组的
目的MAG地址进行解释,查询其内部的地址变换表,只将该分组转发到具有此MAG地址的终端
所连接的端口。因此多个端口组能够同时进行通信。各个端口具有网桥的功能,碰撞域(collision domain)也被分散到各个端口上。
在此局域网中选用的交换型HUB为3COM的SUPERSTACK II SWITCH 1000,该交换器有12个
10M-T RJ45端口,一个全双工100M-TX RJ45高速以太网端口,并具有设置虚拟LAN(VLAN)功
能,能控制广播域;每个端口有两种类型:port和backbone port,port是一般端口类型,backbone port是用于将每个VLAN连入到网络主干的端口,具有如下属性:1)在此端口收到的
地址不存储在交换数据库里;2)含未知地址的分组由交换器收到后转发到backbone port。
因此连接两个VLAN时,用路由器作为网关,与路由器相连的端口要设置为backbone port,每
个VLAN只能有一个backbone port。
对Switch 1000设置,将端口1--6设为属于VLAN 1,端口7--12,14(100M-TX port)设为属
于VLAN 2,其中6,12为backbone port,分别与路由器的两个以太网口互连,作为两个子网
的网关。其余各项的设置可用出厂初始设置。
Cisco 4500共有6个以太网口,选用E0作为VLAN 1的网关,E1作为VLAN 2的网关,并分别以直
连双绞线与Switch 1000的6,12口互连。
4、 建立WWW服务器,代理服务器(PROXY SERVER)
局域网中的WWW服务器是一台联想P5/166,配64M内存,两个2G的硬盘,(5555,现在看
来这样的配置好低呀!)安装FreeBSD 2.2.5操作系统,使用的WWW服务器软件为Apache WWW
SERVER,MYSQL数据库。全部资料数据存放在该服务器上,通过CGI,将MYSQL数据库的内容
转换以WEB的形式在内部网上发布。
代理服务就是为内部访问INTRENET的用户提供代理申请,通过代理服务器统一出口,有
利于使用防火墙来管理系统安全。代理服务器是一台HP P5/200,64M内存,2.5G硬盘,操作
系统为WINDOWS NT 4.0,IIS 3.0,MS PROXY SERVER 2.0。(嘻嘻,目前该部门的网络此部
分已经改了,不过不少网吧仍采用这种方式接入到Internet。)
NT SERVER&PROXY SERVER的机器上,有两块网卡,一个是内部网卡,连入INTRANET,属
于VLAN2;一个是外部网卡,接入到INTERNET(这里可能会有疑问,可以看作是该部门已有一
路由器1与电信局的路由器2通过专线[DDN或ISDN]互连,从路由器1接一个HUB,相当于
INTERNET的延伸接入,此NT的外部网卡就接到该HUB上)。
对外部网卡的设置,与直接连上INTERNET的机器的网络设置一样,即在网络适配器上绑
定TCP/IP协议,设定外部网络的IP,掩码,缺省网关,域名服务器等。而对内部网卡的网络
选项的设置,因为PROXY SERVER软件的设置要求,在网络属性里,不用设置缺省网关,(与
VLAN1互通的网关)而在路由表里新增一条路由,在DOS下输入指令为:ROUTE ADD XXX.XXX.
XXX.0(VLAN1的网段) MASK 255.255.255.0(子网掩码) YYY.YYY.YYY.ZZZ(VLAN2到VLAN1的网
关地址)。为使两个子网中WINDOWS系统的机器可以共享资源,即在网络邻居下看到彼此,除
了要绑定NETBEUI协议,NT SREVER的机器上要增加WINS SERVICE功能。
安装PROXY SERVER过程中,要预定一个CACHE的大小,用于放置已访问过站点的信息,还
要在LAT(Local Address Table)表中填写内部子网的网络地址段,指明子网的地址范围,并
指明允许代理的授权用户,如允许内部网络中那些帐号可以通过代理出去到INTERNET,或是
否允许以匿名方式使用代理服务。MS PROXY SERVER提供三种代理服务:WEB PROXY SERVICE
,WINSOCK PROXY SERVICE和SOCK PROXY SERVICE。我们的网络主要使用前两种代理服务。
WEB PROXY SERVICE向使用WEB浏览器的客户端提供WEB代理,点指访问INTERNET,而且访
问过的站点内容存放在CACHE中,以便内部网络中的终端再次访问该站点时,只需从CACHE中
调出信息,而不必再发请求到那个站点,这样不仅减少了网络的重复传送信息,也加快了网
络终端获得信息的速度。WEB PROXY SERVICE支持通过WEB浏览器访问INTERNET的几种协议,
如WWW(即HTTP和HTTPS),FTP Read,GOPHER,SECURE等。对于这几种协议,都可在PROXY
SERVER中对其中任一种设置访问权限。
WINSOCK PROXY SERVICE提供客户端使用属于WINDOWS SOCKETS应用的方式访问到INTERNET的代理服务,如客户端可使用WEB浏览器,通过WINDOWS SOCKETS代理访问INTERNET,也可
使用TELNET,WS-FTP等基于WINDOWS SOCKETS的应用软件访问到INTERNET。与WEB PROXY SERVICE类似,也可在WINSOCK PROXY SERVICE中对任何一中协议设置访问权限。
5、 网管工作站及打印机的设置
现有的两类网管设备一为SUN工作站,操作系统为Solaris2.X,属于VLAN1;一套为HP工
作站,操作系统HP_UX,属于VLAN2。对SUN工作站,如果不重新启动与VLAN2互通,需用添加
路由指令(作为root,使用route add指令)实现与VLAN2的互通。如果需要重新启动后该路由
也启用,则需在/etc目录下编辑一个新文件:defaultrouter,文件的内容为与另一个子网互
连的网关IP地址,即路由器e0口的IP地址。指定缺省网关路由后,便可实现与另一个子
网互通。为能浏览WEB,需在SUN上安装相应的浏览器软件,如NETSCAPE FOR UNIX系列产品。
而对HP工作站,除了安装浏览器软件外(专用于HP-UX系统的NETSCAPE),还要增加路由
信息,或修改其路由文件netconf。临时增加路由的指令如下:
1、 作为root2、 route add net (VLAN1的地址段) netmask (子网掩码) (至VLAN1的网关)
以上指令只能临时添加路由,要使机器重新启动后保持新路由信息,就要修改路由配置文件
:/etc/rc.config.d/netconf。在该文件中增加如下:
#TO VLAN1ROUTE_DESTINATION[6]='net xxx.xxx.xxx.0'(VLAN1的地址段)
ROUTE_MASK[6]="255.255.255.0"(子网掩码)
ROUTE_GATEWAY[6]=yyy.yyy.yyy.yyy(至VLAN1的网关)
ROUTE_COUNT[6]=1ROUTE_ARGS[6]=""
对于网络共享打印机,要在打印机的网络配置选项里,把与另一个子网互通的网关加上。
6、 一般PC机的设置
PC机操作系统为WINDOWS 95,安装OFFICE 97软件用于办公;安装EXCEED 95 FOR WIN95
,可在微机上开图形仿真终端,可同时连接三类网管系统,实现将PC机作为网管工作台的功
能;使用WINDOWS 95预先装入的IE浏览器,或安装NETSCAPE浏览器,可随时接入内部网WWW
SERVER,通过CGI访问中心数据库,点指查询各类资料,或通过PROXY SERVER访问到INTERNET(工作站亦可通过PROXY SERVER灵活访问到INTERNET)。
PC机的网络设置和以前设置网络无太大变动,只要添加一个网关,指定WIN SERVER就差
不多了。
客户端要通过PROXY SERVER访问到外部网络,还必须安装PROXY SERVER FOR CLIENT软件
。在WINDOWS NT环境下安装MS PROXY SERVER后,会生成一个MSPCLNT的目录,通过网络邻居
或WWW的访问NT&PROXY SERVER,可直接在客户端上安装MS PROXY FOR CLIENT软件。安装完毕
后,会在控制面板上出现WSP Client的图标,打开WSP Client图标,在SERVER NAME上填入PROXY SERVER的机器名或IP(一般安装后,缺省都带有已检测到的SERVER名),选中Enable
Winsock Proxy Client选项,然后UPDATE NOW,执行完毕后会出现已刷新更改成功的提示,
可不必重新启动WINDOWS,则机器可通过PROXY SERVER上的WINDOWS SOCKET的代理服务,使用
各种工具访问到INTERNET。
假如使用浏览器访问INTERNET时,想通过PROXY SERVER的WEB代理服务实现,可在浏览器
的网络选项中设置,将NT&PROXY SERVER的IP或名字及端口(一般缺省为80)填上即可。
7、 建立物理网络,各种设备的物理连接
整个网络的物理连接,在主干上以10M重发型集中器(Repeater HUB)接入到交换型HUB
的10M VLAN口,其中交换器上100M的高速口接一个100M的重发型HUB,HUB的端口全设置为MDIX模式,因此HUB之间的连接应该用交叉的标准5类网线互连。
网络上的各类终端都以直连的标准5类网线接入到各自对应的VLAN的HUB上,其中局域网
中的服务器NT&PROXY SERVE,WWW SERVER都接入到100M HUB上。CSCIO 4500路由器接入到SWITCH 1000,也使用直连的标准5类网线。
8、 其他的网络服务及网络安全管理
在局域网上可建立邮件服务器,邮件服务器软件可用微软的Microsoft Exchange Server,为局域网内部提供专用的内部邮件系统,通过内置的邮件网关,还可实现与INTERNET SMTP邮件系统的连接。
建立拨号访问功能,允许用户在远程利用电话线通过拨号与内部网络连接。
通过防火墙完善安全措施。PROXY SERVER可充当防火墙,用来加强访问控制能力,可设
置哪些内部服务允许哪些外部用户访问,以及哪些外部服务允许内部人员访问,没有被允许
的访问操作或用户都将被拒绝。
*********************************
后话:虽然对旧作进行了删改,但粗略看来还是有很多不尽如意之处,可能
高手看了会不哂一顾,而新手又可能会摸不着头脑。虽然网络技术是在不断
向前发展的,但一些基本的东西还是可以延用的。本文对理论部分涉及不多,
但对一些设备及系统的设置还算讲得详细,应该是一些比较实际的东西。
就当是抛砖引玉吧,以后有机会我愿就组建网络和大家一起讨论学习。:)
