不同网域融合的类型

■

从事网管工作时间较长的朋友，一定会在网络维护工作中碰到一些不寻常的案例，比如如何才能同时访问不同网络域的问题，诸如此类问题值得我们进行深入的探讨。

一层融合

指不同的网络在终端层面融合起来，通常应用在对此种网络需求数量不多的场景。

实例1：公司新开设的翼支付公交充值台席，需要同时访问内部营业小前台和公交公司网络。这个台席采用了双网卡的方式，内网对应的网卡配置网关，公交网络对应网卡的网关留空，并手工增加指向公交公司的静态路由，这样两个网络就可以同时访问了。

二层融合

指在二层交换机层面将不同的网络连接起来，只要不同的网络有相同的VLAN号，它们之间就可以互相访问（也有可能仅仅用于线路复用）。

实例1：公司DCN网络基本遍布到每个楼层，符合地址规范的IP可以顺利的访问网络资源。但是现在在不同的楼层有些具有私有地址的监控网元（192.168.XXX.XXX） 之间需要互相访问，这些私有地址不能更改，为了避免重新布线的麻烦，我们设置了一个独立的VLAN，这些网元接入的交换机端口都打上这个VLAN标记。虽然这些监控设备无法访问DCN网络，但是这并不妨碍它们之间的互相访问。这种方式实际上是运用了VLAN之间的互相隔离原理。记得本刊曾经有篇文章讲，作者单位有根跨建筑物的网线，这根网线很难布设，作者通过采取将八根网线分为两根四芯网线（分别接RJ45的1236口）的方法，将两个网络引到了另一座建筑物。不难想象，如果我们两边分别增加一台交换机，再配置两个不同的VLAN，然后互联端口再采用trunk模式，这样实际上就会与之起到异曲同工的效果（当然这样增加了交换机的投入，具有一定的实施成本）。

实例2：公司114话务网是一个独立的网络，服务器在省公司，出于安全考虑，省公司没有允许114、DCN直接互联。现在的问题是，几乎所有的坐席都有同时访问两个网络的需求，原先我们采取的方式是双网卡，但是这样就耗费了两套网卡、线路、交换机资源，而且在维护过程中我们发现，每次系统重装时都要重新识别一下两块网卡对应哪个网络，因此维护效率也不高，所以我们决心改造它。我们将两个网络的二层交换机连接起来，在DCN网络配置与114网络具有相同VLAN号的VLAN，所有电脑只需一块网卡一根网线接入DCN网络，主地址配置DCN网络IP，在IP配置的的高级属性里增加114网络的从地址。另外和双网卡方式时一样，我们只需再增加一条静态路由即可访问到114网络。实践证明，当数据包由静态路由分发出去访问114网络的时候，数据包的源地址就会由操作系统自动设置为从地址（这样返回的数据包就可以正常接收到），因此我们主从地址的设置方式，实际上是对网卡进行了复用。如果再考虑到这种方式对线路、交换机的复用，我们可以说这样做是非常节约资源的。

实例3：第一个例子介绍了线路的复用，除此之外两个网络是非常独立的。第二个例子介绍了线路与VLAN的复用，因此在终端最终实现了两个网络的融合。我们再给一个特殊点的例子，如果在第一个例子中，我们某个私网的设备(IP1)，需要访问DCN网络的打印机(IP2)，需要怎么做呢。很简单，在DCN的三层设备定义私网VLAN的接口IP0，再在私网设备IP1上配置指向IP2的静态路由下一跳为IP0即可。因此我们可以看到，通过控制不同的设备，我们完全可以精确的控制两个网络之间的访问方式。

三层融合

即不同网络在三层路由设备上的互相访问策略的设定。看了前面114与DCN的例子，有人一定会想需要这么麻烦么，两个网络的三层设备之间互相学习路由不就可以了么。确实是如此，如果我们可以控制不同的网络核心设备，显然在两个网络的边界路由器上分别配置bgp协议就可以直接打通两个网络。但我们面临的问题恰恰是我们没有所有网络的控制权限，或者仅仅只有部分权限，这就是我们采取非常规做法的原因。

实例1：为了实现电子政务联网，公司DCN与电子政务网之间布设了光纤专线，在专线两端的路由设备上，我们分别配置了指向对方地址段的静态路由，这样就实现了两个网络的互通。而且根据安全需要，我们缩小了可访问地址段的范围，并应用了一些安全策略。

总而言之，面对复杂的网络需求，我们必须针对不同的情景采取不同的方法。有时候有些方法虽然似乎不太符合常规，但是基于我们的有限控制力，我个人认为只要可以快速可靠的解决问题，就不失为一个好的方法。