对于一些朋友群里经常提问或咨询:怎么才能让内部业务计算机同时访问两个或多个不同外网的业务服务器,前几天写过一篇《windows设置双IP网关解决访问不同专线接入的服务器》,里面提到了3种常见的连接和解决方式,在该文中主要介绍了通过在计算机上设置双IP和网关以及静态路由的实现方式来访问不同外网的服务器。
这次准备介绍:通过在多WAN口路由器上设置静态路由,来实现访问两个或多个不同外网的业务服务器的方式,希望能够对大家所有帮助。
对目前很多中小企业的信息主管或网络管理员很多都是兼职,对网络管理并不熟悉的情况,因此准备采用图形化界面的路由器来进行配置(本文截图使用的是H3C ER8300G2路由器,该路由器最多可以配置成5个WAN口,可以接入5个外网)
首先还是根据某实际网络归纳一下网络拓扑连接,画一张示意图如图1(因为隐私和安全原因,其中的IP地址做了替换),实际上很多有这种需求的中小企业网络接入都差不多,可以参照该网络拓扑进行设置。
图1 网络拓扑
拓扑说明如下:
局域网:企业内部局域网所用网段IP地址范围是:10.20.1.1~10.20.1.254,子网掩码为:255.255.255.0。其中路由器的LAN口的IP地址是:10.20.1.1,作为局域网的默认网关,其LAN口5与企业内部的交换机相连。
路由器WAN口1:用于与访问因特网的电信公司互联网专线光猫相连(大多是光猫的网口1,具体可以咨询营运商),因为该企业还有网络加密(IPSEC VPN)等需求,该WAN口配置了向电信营运商申请的固定公网IP地址:120.100.100.100,子网掩码:255.255.255.0,缺省网关:120.100.100.2(在向营运商申请固定公网IP地址时,营运商在为企业拉入专线的同时一般会提供该IP地址对和子网掩码)。
路由器WAN口2:用于与访问外网业务服务器A的电信专线光猫相连(很多外网业务需要向网络营运商申请专门的线路),该WAN口配置了由电信公司提供的固定私有IP地址:10.10.10.2,子网掩码:255.255.255.252,缺省网关:10.10.10.1(营运商在为企业拉入专线的同时一般会提供该IP地址对和子网掩码)。
外网业务服务器A的IP地址是:10.100.10.1。
路由器WAN口3:用于与访问外网业务服务器B的电信专线光猫相连(很多外网业务需要向网络营运商申请专门的线路),该WAN口配置了由电信公司提供的固定私有IP地址:10.10.10.6,子网掩码:255.255.255.252,缺省网关:10.10.10.5(营运商在为企业拉入专线的同时一般会提供该IP地址对和子网掩码)。
外网业务服务器B的IP地址是:10.101.10.5。
下面假设路由器是新的,还未设置过,网络线路均已接好。主要介绍路由器的基本设置,来实现内部业务计算机同时访问两个或多个不同外网的业务服务器
1、设置管理计算机的IP地址
因为路由器是新的,还没被配置过,因此我们先用一台计算机,将其网口与路由器的 LAN 口1 用网线进行连接,设置与路由器为同一网段的计算机静态IP地址——如可设置为:192.168.0.10,子网掩码:255.255.255.0(路由器LAN 口默认的 IP可以参阅路由器的说明书,这里为:192.168.0.1,子网掩码为 255.255.255.0)。
运行Web浏览器,在地址栏中输入"http://192.168.0.1",回车后跳转到登录页面,如图2所示。
图2 路由器登录页面
输入用户名、密码(缺省均为admin,区分大小写,如果不是可以查阅路由器的用户说明书),单击"登录"按钮或直接回车即可进入Web设置页面。
2、设置路由器LAN口IP地址
点击左侧接口管理→LAN 设置→局域网设置,按上面网络拓扑所示,在IP地址栏输入IP地址:10.20.1.1,子网掩码:255.255.255.0,然后点击应用,如图3所示。
修改了路由器 LAN 口的IP 地址后,需要修改计算机的IP地址与其在同一网段,而后在浏览器中输入新的IP 地址10.20.1.1重新登录,才能对路由器继续进行配置和管理。
图3 设置路由器LAN口IP地址
此时可以按规划,设置拓扑中左边的业务计算机IP地址:10.20.1.11,子网掩码:255.255.255.0,默认网关:10.20.1.1。右边的业务计算机IP地址:10.20.1.21,子网掩码:255.255.255.0,默认网关:10.20.1.1。用ping命令测试,到路由器应该应该是通的。
3、设置路由器WAN口
(1)接口转换:如果单位需要用单独专线接入的业务较多,则可以点击左侧接口管理→WAN 设置→接口转换→WAN口数目设置,来设置WAN口数量,如图4。示例路由器的型号最多可以有5个WAN口。
图4 设置路由器WAN口接口转换
(2)WAN口设置
① WAN口1设置:点击左侧接口管理→WAN 设置→连接到因特网,此时默认可以设置WAN口1,因为申请了公网IP,因此在WAN网口1:首先选择下拉框中的"静态地址(手工配置地址)",然后在IP地址栏中输入:120.100.100.100(该IP地址即为由电信营运商指定的配置给公司这端的地址),子网掩码:255.255.255.0,缺省网关:120.100.100.1(该IP地址即为与WAN口1连接的互联网线路电信营运商那端的地址),然后点击应用,如图5。
图5 WAN口1设置
注:如无特殊要求,目前网络营运商提供的网络宽带一般为动态地址(其提供的光猫一般配置为路由器模式),因此在WAN网口1:选择下拉框中的动态地址(从DHCP服务器分配),无需配置IP地址。
如果需要做L2TP VPN之类的,又想节约费用而不想申请公网IP,可以与网络营运商沟通,请其将光猫设置为桥接模式,并将光猫上的PPPoE用户名和密码设置在路由器上,此时在WAN网口1:选择下拉框中的PPPoE(大部分的宽带网或xDSL)进行设置,然后可以通过设置DDNS达到类似静态公网IP的效果。
② WAN口2设置:点击左侧接口管理→WAN 设置→连接到因特网→WAN网口2,如图6。
图6 选择WAN口2
与WAN口1操作类似,首先选择下拉框中的"静态地址(手工配置地址)",然后在相应位置输入营运商为业务A专线指定的IP地址对,在此不再赘述,直接截图如图7所示。
图7 WAN口2设置
② WAN口3设置:与WAN口2操作类似,注意在相应位置输入营运商为业务B专线指定的IP地址对,如图8所示。
图8 WAN口3设置
(3)设置静态路由
点击左侧高级设置→路由设置→静态路由→新增,如图9所示。
图9 新增静态路由
在弹出的窗口中,为访问外网业务服务器A设置静态路由,在目的地址栏输入:10.100.10.0,子网掩码栏:255.255.255.0,下一跳地址:10.10.10.1,出接口:选择WAN2,描述:业务A,然后点击"增加"按钮,如图10所示。
注:
其中的目的地址10.100.10.0和子网掩码255.255.255.0,因为外网业务A可能不只有一台服务器,是将业务A服务器的IP地址最后一位改成0后,大致估计的。这里此种方式应该能适合相当多的场景,以方便不熟悉计算网络地址的朋友仿照。
其中的下一跳地址10.10.10.1,即是前面所说的由营运商为业务A专线分配的与WAN口2连接的电信营运商一端的地址。
图10 为业务B服务设置静态路由
仿照上面的增加步骤,为访问外网业务服务器B设置静态路由(此处是将服务器B的IP地址最后一位改成0,因此有了目的地址10.101.10.0和子网掩码255.255.255.0;其中的下一跳地址10.10.10.1,即为由营运商为业务B专线分配。),如图11所示。
图11 为业务A服务设置静态路由
注:该型号路由器,会自动加入一条由WAN口1出去的默认路由(或叫做缺省路由),用于访问因特网。
至此,企业内部的业务计算机只要安装了相应的软件,应该均可以访问因特网、外网业务服务器A和B。
如果企业有对内部计算机进行限制的需求,可以结合防火墙策略(或者访问控制列表ACL)来进行控制;也可以通过配置策略路由的方式来实现控制的目的(策略路由可以指定内部IP地址范围、外部IP地址范围、协议类型、并从指定的接口发送出去,还可以设置生效的时间段,起到业务分流的作用)。
出于安全考虑,还应该修改访问路由器的管理密码、协议和端口,以及对诸如防火墙策略等进行设置。为避免一次说的较多,让不熟悉网络的朋友更难参照,还是以后如有时间再写一些。
注:本次之所以使用H3C的ER8300举例,是了解到很多中小企业使用该系列,该系列价格相对低廉,功能还算丰富,配置方式主要为图形界面,操作比较简单直观,但其命令行方式提供的命令只有几条基本用不上,相比真正命令行方式的路由器存在配置起来有些方面不够灵活,管理的精确度不够细致,对路由器比较熟悉的朋友还是尽量选择命令行为主的路由器,会感觉更得心应手些。
以上文字希望能为有需求的网友有所帮助,另以上输入和描述可能有疏漏、错误,欢迎大家在下面讨论留言指正!