妙手改造分支机构网络

某公司本部办公地点在市区，但是还有不少分支机构分布在郊区，公司的数据中心建立在本部的办公楼内，运行着生产经营系统、财务系统、OA等一系列应用；各分支机构自身搭建有简单的局域网，有独立的Internet出口，分支机构员工都是通过SSLVPN进入公司内网，访问相应的资源。近年来随着业务范围的扩大，分支机构的员工数量大幅增加，访问公司内网资源的需求也越来越大，原来的SSLVPN方式已经不能满足分支机构的办公需求。为了集中化管理，提高分支机构的办公效率，经过讨论，决定联系运营商为每个分支机构到数据中心之间建立一条带宽为4Mbps数据专线，由于带宽资源有限，需要控制使用人数，线路只能提供给分支机构领导和重点业务人员使用，其他人员仍然使用SSLVPN方式的形式访问内网资源。

图1 改造前分支机构网络架构

面临的问题

确定了建立专线的方案后，就需要网络管理人员拿出一整套解决方案，主要包括各分支机构原有局域网的改造、两地网络之间的互通以及访问人员控制等问题。经过调研，大多数分支机构的局域网架构如图1所示。

从图1可以看出，连接Internet是通过路由器进行ADSL拨号实现，网络内客户端的IP地址分配也是通过路由器上的DHCP功能完成，网内的交换机均为二层交换机，没有进行任何VLAN划分，所有用户均在同一网段。这种架构简单、易维护，属于典型中小企业网络架构。为了最大限度减少改造成本和风险，拟对当前架构不做任何改动，仅从路由器上扩展出一个接口，用来接入数据专线。改造后架构如图2所示。

经过分析，改造主要面临如下几个问题：

1、IP地址短缺。由于该公司属于某集团二级子公司，局域网内所使用的IP地址均是由集团统一划分的172.19.4.0/22网段地址，近年来由于推广虚拟化、IP电话等新技术，导致剩余IP地址已经严重不足，从集团处申请IP地址的难度大大增加。如果将分支机构均纳入到公司局域网内，采用原来的IP分配方法，IP地址肯定会有缺口，难以满足需求日益增长的分支机构。

2、如何控制使用专线的人数。由于专线带宽有限，必须限制使用的人数，建立合理的访问策略来进行控制就显得尤为重要，由于分支机构都拥有自己独立的Internet出口，部署专线以后，传统的路由控制方式已经难以满足重点人员和普通人员的不同访问需求，亟需引用新的技术来进行保障。

3、域名解析的问题。改造之前，分支机构员工仅仅只有访问Internet的需求；但改造之后，分支机构重点人员除了有访问Internet的需求，还有通过专线访问内网应用的系统的需求，这就涉及到设置DNS服务器的问题；由于本部不少应用系统已经实现了域名访问限制，无法直接使用IP地址访问，必须通过内网的DNS服务器解析才能实现正常访问；但是如果将重点人员的DNS设置为内网DNS，那么访问Internet必然会出现问题。

解决方案

针对上述三个问题，本文将逐个进行分析并解决（注：本部及所有分支机构采用的均是集中采购的思科系列路由器及交换机）：

图2 改造后分支机构网络架构

1、针对IP地址短缺的问题，本文拟采用NAT（网络地址转换）技术进行解决。考虑到未来这些分支机构可能会通过专线访问集团的应用系统，而且集团只会为统一分配的172.19.4.0/22段地址提供回指路由，所以转换后的地址必须属于该网段；而且应用系统及服务器均集中部署在本部数据中心，分支机构局域网内只有用户，所以决定在专线出口处的三层设备（路由器）上做PAT（端口地址转换），即分支机构内部采用自主分配的私网IP，如果通过专线去访问本部数据中心，则会转换成一个集团统一划分的172.19.4.0/22网段的合法地址。具体划分方式如表1所示。

从表1可以看出，每个分支机构内部局域网分配128个私网IP（实际可用126个），用于员工办公电脑、打印机等；分配8个（实际可用6个）合法IP，其中一个用于PAT，剩余5个作为备用，如果后续有双向访问需求，如分支机构部署服务器，可以用这些剩余地址通过做静态地址转换来解决。在分支机构路由器上的配置示例如下：

表1 分支机构IP分配表

2、对于使用专线人数的控制，本文使用Routemap技术来进行解决。对于需要通过专线访问本部应用系统的重点用户，可以将其IP地址加入到对应的ACL中，通过数据包中源地址和目的地址的匹配，将匹配成功的数据包转发至专线；其余匹配不成功的数据包直接通过默认路由转发至Internet线路上。这种方式成功地实现了重点用户可以按需访问Internet或本部应用系统，而普通用户只能访问Internet的目的。在分支机构路由器上配置Routemap示例如下：

其中192.168.3.1是分支机构路由器上连接专线的接口IP地址。

由于Routemap是利用IP进行路由控制，所以分支机构IP地址需采用静态地址分配，保证每台主机的IP地址唯一且不变；而且分支机构人数相对较少，利用静态地址分配更加有利于管理，可以制作一张IP分配表，内容包括员工姓名、职务、分配IP、联系方式等信息，根据实际员工信息进行IP分配表的维护。

3、对于域名解析的问题，解决起来就比较简单，由于内网解 析 记录较少，可以通过写host文件来实现。由于host文件中解析记录的优先级要高于DNS服务器，所以可以将内网解析记录手工写入重点人员主机的host文件中，而DNS服务器仍然设置为运营商的外网DNS，这样访问业务系统时就可以从host文件中获取解析记录，而访问Internet就从DNS上获取解析记录，问题即可迎刃而解。hosts文件路径的是C:WindowsSystem32driversetchosts，使用记事本即可打开进行编辑，如需要将a.domain.com解析为172.19.4.218，在文件最后一行添加“172.19.4.218 a.domain.com”，然后保存即可。

总结

本文所提出的这种改造方案对分支机构网络架构变更很小，最大限度利用了现有设备，保护了原有投资，总部网络管理人员也能够很方便进行远程维护，可以作为模板向各个分支机构进行推广。改造完成后，总部与分支机构业务上联系更加紧密，信息流组成了一张“大网”，消除了“信息孤岛”，提升了经营和管理的竞争力。