修长虹 郑小松 赵云飞
1沈阳药科大学网络中心 辽宁 110016
2沈阳药科大学计算中心 辽宁 110016
在高校校园网解决方案中,往往都是双出口的解决策略,其中一条出口线路连接教育网,另一条连接其他的接入提供商(网通或者电信),根据访问目标IP进行策略路由,使访问的流量分配到不同的出口线路上。
随着校园网应用的进一步发展和提高,过去以网络中心为主进行信息处理的模式逐渐演变成各个部门独立处理部门信息的模式,各二级部门由于工作的需要纷纷搭建了自己部门的WEB服务器或者由几个二级部门合用一台WEB服务器,发布更新维护各自学院的信息,而且各二级部门也都希望通过一个域名的方式而不是以ip的方式访问这些服务器,服务器分布在各个系部,地理位置上比较分散,针对这些需求,比较不同方案,决定采用Windows 2003 Server的IIS作为WEB 服务器,在一台服务器上实现多个WEB站点,以不同的域名访问,在服务器上配置双网卡,解决内外网的访问速度问题,同时控制内网访问服务器的流量在三层交换机上处理完成,不经过防火墙和边界路由器,减轻防火墙和路由器的负载。
为讨论问题,本文假定以10开头的ip地址为ISP1提供的可用公网ip,以172开头的ip地址为ISP2提供的可用公网的ip,以192开头的ip地址为内网ip地址。假定域名为abc.edu.cn,并假定域名是通过ISP2注册得到的。
在服务器上配置两块网卡,其中一块的网卡的IP地址为172.16.16.188,掩码255.255.255.0,网关172.16.16.254。为外网网卡。另一块网卡的IP地址为192.168.47.45,掩码255.255.255.0,网关不设置,为内网网卡。服务器上安装Windows 2003 enterprise x64版本。
为了实现与内网的通信,必须要加一条路由信息,我们内网的地址段是192.168.0.0到192.168.100.0这个范围。添加方法如下,点击开始菜单,选择run,之后键入cmd,弹出如下窗口:如图1在提示符下键入route –p add 192.168.0.0 mask 255.255.0.0 192.168.47.254,当然,为了控制精确可以用更小的网络掩码,route –p add 192.168.0.0 mask 255.255.128.0 192.168.47.254。
route命令加上-p和add参数时,指定路由被添加到注册表并在启动TCP/IP协议的时候初始化IP路由表。永久路由存储在注册表中的位置是HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersPersiste ntRoutes。这样在系统重新启动的时候,就能自动加载这条路由信息,不必再次手动添加,192.168.47.254是三层交换机网关地址。
网络拓扑结构图(如图1)。
图1 网络拓扑结构图
防火墙eth2口以透明模式连接到三层交换机属于VLAN 1的某个端口,这里面vlan 1为默认vlan同时也是native vlan,接入层交换机都是通过光纤连接到三层核心交换机上,这台服务器外网卡通过接入层交换机属于vlan 1的端口接入到网络上。防火墙eth1口连接到核心交换机的一个不属于vlan 1而属于内网某个vlan的端口,而服务器的内网卡通过接入层交换机接入到内网上。
进一步说明的是,当服务器只配置外网卡的时候,就可以与网络上的其他计算机进行通信了,为这台服务器安装配置内网卡的目的在于加快内网计算机对服务器访问速度,是内网计算机对这台服务器的访问流量不必经过防火墙和路由器,同时为了满足应用的需要,可以让这台服务器对Internet的访问多了另一种选择,本来这台机器的网关是配置ISP2的地址段中的地址,所有对Internet的访问都是由ISP2这条线路出去的,但如果知道要访问目标机器的Internet上的IP地址,就可以根据需要,选择从ISP1这条线路上访问出去,这就需要在服务器上额外添加路由信息,之后经由防火墙做NAT从ISP1这条线路上访问出去。
在内网DNS服务器上添加如下记录
www1 192.168.47.45
www2 192.168.47.45
…..……
在外网DNS服务器上添加如下记录
www1 172.16.16.188
www2 172.16.16.188
…… ……
其中www1,www2代表着不同部门,可以根据实际需要改为易于区分的名称。
内网的计算机上,在tcp/ip协议配置DNS选项上,首选DNS服务器一定要是内网的DNS服务器地址。
在IIS中,每个Web站点都具有惟一的、由三个部分组成的标识,用来接收和响应请求:
(1)IP地址;
(2)端口号;
(3)主机头名。
在这里,我们利用IP和主机头名在内外网上建立多个独立的Web站点。通过使用主机头,站点只需一个IP地址即可维护多个站点。客户可以使用不同的域名访问各自的站点,根本感觉不到这些站点在同一主机上。
具体操作如下:
(1)在Win2003服务器为不同的部门建立不同的文件夹,做为WEB站点主目录。如下:WEB站点主目录WEB站点
E:weba A部门网站
E:web B部门网站
…………
(2)使用WEB站点管理向导,分别不同部门建立两个不同独立的WEB站点,其中一个为内网站点,一个为外网站点,以其中A部门为例,建立一个名称为internetA的站点,为外网站点,建立一个名称为intranetA的站点,为内网站点。
internetA站点的属性为:
IP地址172.16.16.188(注意ip地址一定要写外网地址,不要选择默认的all unassigned)
TCP端口80
权限 读取和运行脚本
主机头名www1.abc.edu.cn
站点主目录e:weba
intranetA站点的属性为:
IP地址192.168.45.47(注意ip地址一定要写内网地址,不要选择默认的all unassigned)
TCP端口80
权限 读取和运行脚本
主机头名www1.abc.edu.cn
站点主目录e:weba
无论是internetA站点,还是intranetA站点,它们的站点主目录都是同一个路径,当然,如果不用同一个路径也可以,为了保持同步更新,必须保持这两个路径下文件的同步,设置为同一个路径,就避免了这种同步的设置。
同理,通过这样的方法可以在这台服务器上建立B部门的内外网站点。
通过以上三个重要环节的配置,就能很好的解决前面所提问题,充分的利用了服务器的资源,同时也提供了校园网应用的灵活性,在实际应用取得了很好的效果。
[1]高升,邵玉梅等.WINDOWS SERVER 2003系统管理.北京:清华大学出版社.2010.
[2]王淑江,刘晓辉等.WINDOWS SERVER 2003系统安全管理.北京:电子工业出版社.2009.