摘 要
在资讯时代来临之际,电脑网路已逐渐深入我们的日常工作,并逐渐发展为资讯时代人们传递资讯的主要手段。企业的通信、应用、财务、决策、会议等资料流动均通过企业的网络进行传送,因此,建立一种“安全可靠、性能优异、管理便捷”的优质企业网络,是企业信息化建设的重要基础。
言湘初版传媒公司作为一家线上图书出版公司,决定构建一个更加高速、稳定、安全的智慧园区,以高性能的网络适应企业现代化办公需求,更好的满足用户的需求,从而提高公司市场竞争力。公司内部采用了三层架构设计,基于 VRRP和 MSTP的高可靠实现,高可靠性的企业网络。公司核心层部署了链路聚合技术,提高网络带宽的同时实现了链路冗余备份,为实现客户端自动分配IP地址,使用网络设备搭建了DHCP服务。在公司网络出口部署了防火墙,并开启安全策略和入侵防御策略,实现进出流量的过滤和安全防护,保护公司内网安全。防火墙通过中国电信和中国联通双链路接入,利用NAT技术使内网的私人住址被翻译为公共的合法 IP,允许内部使用者进入因特网。在信息中心机房搭建服务器集群,为公司提供DNS 域名解析、Web服务。通过MySQL主从服务器配置,实现数据库数据备份功能,防止主服务器数据文件损坏造成的数据丢失问题,另外其另一个其主要功能是实现数据库读写分离,降低主服务器的负载。
整个网络和服务器集群搭建完成后,经测试,公司网络可以正常通信,服务器集群可以正常提供服务,系统运行稳定,且具有良好的高可用性和安全性,能够满足公司业务需求。
关键词:网络规划,MSTP,VRRP,WEB,Keepalived
The Design and Realization of the network of Yanxiang Publishing and Media Company
Abstract
With the advent of the information age, computer networks have gradually penetrated into our daily work, and gradually developed into the main means of information transmission in the information age. Enterprise communication, application, finance, decision-making, conference and other data flow are transmitted through the enterprise network, therefore, the establishment of a "safe and reliable, excellent performance, convenient management" high-quality enterprise network, is an important basis for enterprise information construction.
As an online book publishing company, Yanxiang Media Company decided to build a more rapid, stable and safe smart park to adapt to the modern office needs of enterprises with high performance network, better meet the needs of users, so as to improve the market competitiveness of the company. The company adopts a three-layer architecture design, based on the high reliability implementation of VRRP and MSTP, high reliability enterprise network. The core layer of the company has deployed the link aggregation technology to improve the network bandwidth and realize the redundant link backup, to realize the automatic allocation of IP addresses for clients, and to build the DHCP service using network devices. The firewall is deployed at the outlet of the company's network, and the security strategy and intrusion defense strategy are enabled to realize the filtering and security protection of the traffic and protect the security of the company's Intranet. The firewall is connected through the dual link of China Telecom and China Unicom, and uses NAT technology to translate the private address of the Intranet into a public legal IP, allowing internal users to enter the Internet. Set up a server cluster in the information center machine room to provide DNS domain name resolution and Web services for the company. Through the MySQL master and slave server configuration, the database data backup function is realized to prevent the data loss caused by the damage of the master server data files. In addition, another main function is to realize the separation of database read and write and reduce the load of the master server.
After the construction of the whole network and server cluster, the company network can communicate normally, the server cluster can provide services normally, the system runs stably, and has good high availability and security, which can meet the business needs of the company.
Key words: Network Planning, MSTP, VRRP, WEB, Keepalived
摘 要 I
Abstract II
第1章 绪 论 7
1.1 项目背景及意义 7
1.1.1 项目背景 7
1.1.2 项目意义 7
1.2 论文研究主要内容 7
1.3 国内外现状 8
1.3.1 国内研究现状 8
1.3.2 国外研究现状 8
第2章 关键技术介绍 9
2.1 DHCP技术 9
2.2 MSTP技术 9
2.3 VRRP技术 9
2.4 NAT技术 9
2.5 DNS技术 9
2.6 MySQL技术 10
第3章 系统分析 11
3.1 网络规划需求分析 11
3.1.1 组网需求分析 11
3.1.2 网络管理需求分析 11
3.1.3 无线需求分析 12
3.1.4 网络出口需求分析 12
3.2 业务需求分析 13
3.2.1 Web集群需求分析 13
3.2.2 DNS需求分析 13
第4章 系统设计 15
4.1 网络功能设计 15
4.1.1 组网规划 15
4.1.2 链路聚合规划 18
4.1.3 网络管理规划 18
4.1.4 无线网络规划 19
4.1.5 网络出口规划 20
4.2 业务设计 21
4.2.1 服务器集群规划 21
4.2.2 Web集群设计 22
4.2.3 DNS服务器设计 23
第5章 系统实现 24
5.1 网络功能实现 24
5.1.1 组网实现 24
5.1.2 网络管理实现 30
5.1.3 无线功能实现 33
5.1.4 网络出口实现 33
5.2 业务实现 35
5.2.1 WEB集群实现 35
5.2.2 DNS服务器实现 39
第6章 系统测试 41
6.1 网络功能测试 41
6.1.1 组网功能测试 41
6.1.2 网络管理功能测试 43
6.1.3 无线功能测试 44
6.1.4 网络出口功能测试 46
6.2 业务测试 47
6.2.1 Web集群测试 47
6.2.2 DNS服务测试 47
第7章 结 论 50
参考文献 51
致 谢 52
第1章 绪 论
1.1 项目背景及意义
1.1.1 项目背景
言湘出版传媒公司作为一家专注于图书出版和传媒业务的企业,随着业务的不断扩展和市场竞争的加剧,信息化建设的重要性愈加凸显。在传统的出版行业中,很多企业仍然依赖于人工和纸质文件管理,效率低、管理难度大,无法满足日益复杂的业务需求。随着电子出版物和数字化信息的快速发展,出版行业面临着信息存储、资源共享、数据处理等方面的挑战。因此,建设一个高效、稳定、安全的网络系统,已经成为言湘出版传媒公司提升工作效率、加强内部管理和信息化水平的迫切需求。
本课题旨在设计并实现一个符合公司业务需求的网络系统。通过对现有基础设施和业务流程的分析,构建一个现代化的企业级网络架构,实现信息资源的共享、业务的快速流转和数据的高效处理。同时,确保网络的安全性、稳定性和可扩展性,为公司未来的长期发展打下坚实的基础。
1.1.2 项目意义
本项目的实施不仅能够有效提升言湘出版传媒公司内部的管理效率和信息流通速度,还能够在数字化转型的过程中帮助公司提升竞争力。首先,设计并实现一个符合公司需求的网络架构,可以确保公司内部各个部门之间的信息能够迅速、准确地传递,有效避免信息孤岛和资源浪费。其次,随着数字出版和线上销售的兴起,网络系统的建设对于支持公司扩展新的业务模式至关重要。通过一个智能化的网络平台,言湘出版传媒公司能够更好地利用大数据分析、云计算等技术,提升业务决策的准确性和效率,提升市场响应能力。
网络的安全性和稳定性对于企业来说至关重要。通过优化网络结构和加强安全防护措施,本项目能够有效防范潜在的网络安全风险,保障企业的商业机密和数据安全。总之,该项目的意义在于通过信息化手段提高公司整体运营效率,降低管理成本,为言湘出版传媒公司在竞争激烈的出版行业中立足并持续发展提供有力支持。
1.2 论文研究主要内容
企业内部网的分层结构,按各个分部对访问层进行 VLAN划分,实现部门间二层逻辑隔离。汇聚层部署MSTP技术技术实现网络链路的负载均衡和链路备份。核心层利用 DHCP对企业内部的每一个用户进行 IP的动态配置。采用 LACP协议,提高了网络的带宽,并采用了 VRRP的方法,达到了系统的负荷平衡。OSPF路由协议在公司内部网络中的应用,实现网络快速收敛。公司内部访问 Internet 使用NAT技术进行地址转换,节约公网IPv4 地址,实现接口的重复利用。通过核心层旁挂AC 和接入层部署AP 实现无线网络覆盖。
公司内部在服务器机房搭建服务器集群,分别搭建Web服务器、DNS服务器、数据库服务器。采用Keepalived+Nginx技术实现服务器集群的高可用和负载均衡,将业务流量分流,保证单台服务器故障时业务漂移到备份服务器,实现业务不间断,数据库采用双服务器主从备份保证数据的安全性。
1.3 国内外现状
1.3.1 国内研究现状
近年来,随着国内信息化进程的不断加快,公司网络的设计与实现受到了越来越多的关注。国内的研究主要集中在企业网络架构的优化、信息安全管理、网络性能提升和资源共享等方面。许多企业在网络设计上采用了分层结构,如核心层、汇聚层和接入层的三层架构,以便于资源管理与扩展。国内学者也积极探讨如何通过虚拟化技术、云计算等先进手段优化公司内部网络,提高资源的利用率和网络的稳定性。同时,信息安全问题也是国内研究的一个热点,许多学者提出了基于防火墙、入侵检测系统(IDS)、VPN等技术的安全防护模型,以应对日益严峻的网络安全威胁。整体来看,国内公司网络设计的研究呈现出多元化发展趋势,随着5G、物联网、大数据等技术的兴起,越来越多的企业开始关注如何将这些前沿技术集成进公司的网络架构,以实现高效、安全和灵活的网络管理。
1.3.2 国外研究现状
在国外,尤其是在欧美发达国家,公司网络的设计与实现已有较为成熟的研究与应用实践。国外的研究聚焦于更为高效、智能化的网络架构设计以及云计算、软件定义网络(SDN)等新兴技术的应用。许多学者和企业在网络架构设计方面提出了基于分布式计算与动态调度的方案,以支持企业复杂多变的业务需求。同时,随着物联网和大数据技术的兴起,国外的研究者也在探讨如何利用这些技术进行数据流分析、网络性能优化以及故障预测等方面的应用。此外,信息安全也是国外研究的重要方向,尤其是在企业面临全球网络攻击和数据泄露风险的背景下,网络安全的研究不仅仅局限于传统的防火墙和加密技术,更多的前沿技术,如人工智能与机器学习在网络安全中的应用,已逐渐成为研究的热点。总的来说,国外的公司网络设计与实现研究紧跟技术发展的潮流,推动着网络架构向更加智能、安全和高效的方向演进。
第2章 关键技术介绍
2.1 DHCP技术
DHCP的全名是动态托管组态协定,是一种在公司内部经常使用的网络协议。 DHCP 能够为公司员工提供便捷的服务,减少了公司员工对于客户机正P分配的工作,降低了员工对于 IP地址 重复分配的错误行为,保证了公司内网 IP地址 的合理分配。同时DHCP 具有保护功能,将 DAI与 ARP协议相结合,可以完成 ARP抗欺诈与 IP业务的控制,增加公司网络安全性。
2.2 MSTP技术
MSTP 技术的全称是多生成树协议,通过对环路进行精简,使其形成无环树型网络,以防止消息在回路中的增殖与无穷回圈,并为其传输提供多条冗余通路,使 VLAN之间的数据传输达到平衡。MSTP与 STP、 RSTP是相容的,能有效地克服两者各自的不足。该算法具有较高的收敛速度,且能够在冗余链路上实现数据包的分配,因此具有较好的网络负荷分配策略。
2.3 VRRP技术
VRRP是一种规范的备份路由协议,它是一种基于网络拓扑结构的网络拓扑结构。
在相同的 VRRP群中,多台路由共用一个虚拟 IP,这个虚拟 IP是 LAN中其它计算机的缺省入口。VRRP确定哪个路由器处于主态,并将其传送给客户网关,并将其传送给客户网关,并对 PC向网关发出的 arp请求进行回复,然后等待该路由监听主状态,随时准备接替。当主状态的路由器发生了故障,备份状态的路由器将会自动成为主状态承担网关的功能,且从网络内的主机来看,网关并没有变化。
2.4 NAT技术
NAT是一种在局域网内采用专用位址的方法,当网路与网际网路相连时,则改用全球 IP位址。NAT的目的是把一个外来的 IP位址与埠对应成一个较大的 IP位址。NAT是一种暂时的方法,它可以减轻IPv4公共 IP地址耗尽,同时也可以在网路中隐蔽和保护电脑。,有效地避免来自网络外部的攻击。
2.5 DNS技术
DNS即域名解析服务,是因特网的一项基础服务,它是一个分布式数据库,用于将域名和IP地址互相映射。这样,用户在当你在访问因特网的时候,你就可以在没有记忆 IP字符的情况下,通过计算机来阅读它,而可以通过更容易记忆的主机名进行访问。当用户输入一个域名时,DNS服务就会运行,通过一系列步骤,最终返回与该域名对应的IP地址。这个过程被称为域名解析或主机名解析。
2.6 MySQL技术
MySQL是一个关系型数据库管理系统,MySQL在开源领域中占据了重要地位,它以其高性能、可靠性和易用性受到广泛欢迎。MySQL采用了SQL语言作为其数据操作语言,并提供了丰富的API接口和工具,使得用户可以方便地进行数据存储、查询和管理等操作。
(3) VLAN及IP地址规划
在言湘出版传媒公司的网络规划中,VLAN 的划分和IP 的分配计划根据部门来进行区分,同时要具有易于管理和可扩展性的特点。根据设计,公司内网地址采用192.168.0.0/16 网段,公司从运营商申请了200.202.11.0/24和200.202.12.0/24网段的公网地址。VLAN及 IP位址的具体分区见下图4.1所示。
表4.1 部门VLAN与IP地址规划表
| 部门 |
VLAN |
IP网段 |
子网掩码 |
网关 |
用途 |
| 总裁办 |
2 |
192.168.2.0 |
255.255.255.0 |
192.168.2.254 |
有线接入 |
| 人事部 |
3 |
192.168.3.0 |
255.255.255.0 |
192.168.3.254 |
有线接入 |
| 技术部 |
4 |
192.168.4.0 |
255.255.255.0 |
192.168.4.254 |
有线接入 |
| 财务部 |
5 |
192.168.5.0 |
255.255.255.0 |
192.168.5.254 |
有线接入 |
| 销售部 |
6 |
192.168.6.0 |
255.255.255.0 |
192.168.6.254 |
有线接入 |
为了保证核心交换机和防火墙能够通信,在各个核心交换机添加了一个VLAN,防火墙与核心交换机使用此VLAN进行数据交流,详情如表4.2所示。
位址的具体分区见下图4.1所示。
表4.2 核心交换机与防火墙互联VLAN规划表
| 设备名称 |
接口 |
VLAN |
IP地址 |
| HX-SW1 |
G0/0/1 |
11 |
10.10.11.2/24 |
| HX-SW1 |
G0/0/1 |
12 |
10.10.12.2/24 |
(4) MSTP规划
该公司采用 MSTP多发生树型通信协议,避免冗余链路构成二级网络回路。通过对开关进行分区,将 VLAN添加到各个示例中,根据其优先权对每个示例进行根桥和非根桥的分割,从而使 VLAN之间的数据传输达到负载平衡。该工程将示例的优先权设定为4096、8192,较低的级别由高到低,4096为根桥,8192为非根桥
在企业中建立两个例子1和2,其中,以HX-SW1作为例1的主干,HX-SW2作为例1的第二根;记例2的主要根为HX-SW2,例2的第二根为HX-SW1,详情如表4.3所示。
表4.3 MSTP规划表
| 设备 |
实例 |
VLAN |
优先级 |
设备 |
实例 |
| HX-SW1 |
1 |
VLAN 2 |
4096 |
HX-SW1 |
1 |
| VLAN 3 |
|||||
| VLAN 4 |
|||||
| 2 |
VLAN 5 |
8192 |
2 |
||
| VLAN 6 |
|||||
| VLAN 7 |
|||||
| HX-SW2 |
1 |
VLAN 2 |
8192 |
HX-SW2 |
1 |
| VLAN 3 |
|||||
| VLAN 4 |
|||||
| 2 |
VLAN 5 |
4096 |
2 |
||
| VLAN 6 |
(5) VRRP规划
为了确保公司的运营不受影响,核心采用 VRRP热备份,根据优先级确定主/后备,只允许主/后备,只允许主/后备,并打开界面监视,如果监测到的界面出现异常中断,则降低所属装置的优先权,确保高可用。
其中,在HX-SW1、HX-SW2中,设定HX-SW1作为VLAN2,VLAN3,VLAN4的主要入口,VLAN5,VLAN6,VLAN7的备份网络,其中,主网关的优先权设定120,后备网络关的优先权设定100,在120个具有优先权的界面上打开界面监视,在界面发生变化时,将该装置的优先权降低30,使后备装置变为主控装置,详情如表4.4所示。
表4.4 VRRP规划表
| 设备 |
VLAN |
Virtual-IP |
优先级 |
主备状态 |
优先减少 |
| HX-SW1 |
2 |
192.168.2.254 |
120 |
Master |
30 |
| 3 |
192.168.3.254 |
120 |
Master |
30 |
|
| 4 |
192.168.4.254 |
120 |
Master |
30 |
|
| 5 |
192.168.5.254 |
100 |
Backup |
0 |
|
| 6 |
192.168.6.254 |
100 |
Backup |
0 |
|
| 7 |
192.168.7.254 |
100 |
Backup |
0 |
|
| HX-SW2 |
2 |
192.168.2.254 |
100 |
Backup |
0 |
| 3 |
192.168.3.254 |
100 |
Backup |
0 |
|
| 4 |
192.168.4.254 |
100 |
Backup |
0 |
|
| 5 |
192.168.5.254 |
120 |
Master |
30 |
|
| 6 |
192.168.6.254 |
120 |
Master |
30 |
|
| 7 |
192.168.7.254 |
120 |
Master |
30 |
4.1.2 链路聚合规划
为了增加通信带宽和可靠性,为了保证终端间的通讯安全,三链路的连接采用链路聚集,链路融合的 LACP,将三层实体连接起来,以增加通讯的带宽。
在HX-SW1和HX-SW2设备上运用LACP技术,将G0/0/22-G0/0/24物理端口划入逻辑端口Eth-Trunk1中。配置活动接口上限阈值为2,通过接口优先级确定活动链路,同时,通过改变系统的优先权,将HX-SW1作为有源终端,HX-SW2作为无源终端,并且由该有源装置选择激活和备用的端口,详情如表4.5所示。
表4.5 链路聚合规划表
| 设备 |
模式 |
优先级 |
端口 |
| HX-SW1 |
LACP |
100 |
G0/0/22-G0/0/23 |
| 32768 |
G0/0/24 |
||
| HX-SW2 |
LACP |
100 |
G0/0/22-G0/0/24 |
4.1.3 网络管理规划
(1)管理地址规划
为了方便日后运维人员的维护,需要为设备设置管理地址,当运维人员在进行远程维护时就可以通过访问设备的管理地址来进行远程的故障排查和日常维护。设备的管理VLAN 统一设置为 VLAN 200,具体的管理地址设置如表 4.6所示。
表4.6 设备管理地址规划表
| 设备名称 |
端口名称 |
IP地址 |
用户名 |
密码 |
| HX-SW1 |
Vlanif200 |
192.168.200.1/25 |
yanxiang |
yanxiang@12345 |
| HX-SW2 |
Vlanif200 |
192.168.200.2/25 |
yanxiang |
yanxiang@12345 |
| HJ-SW1 |
Vlanif200 |
192.168.200.3/25 |
yanxiang |
yanxiang@12345 |
| HJ-SW2 |
Vlanif200 |
192.168.200.4/25 |
yanxiang |
yanxiang@12345 |
| HJ-SW3 |
Vlanif200 |
192.168.200.5/25 |
yanxiang |
yanxiang@12345 |
| JR-SW1 |
Vlanif200 |
192.168.200.6/25 |
yanxiang |
yanxiang@12345 |
| JR-SW2 |
Vlanif200 |
192.168.200.7/25 |
yanxiang |
yanxiang@12345 |
| JR-SW3 |
Vlanif200 |
192.168.200.8/25 |
yanxiang |
yanxiang@12345 |
| JR-SW4 |
Vlanif200 |
192.168.200.9/25 |
yanxiang |
yanxiang@12345 |
| JR-SW5 |
Vlanif200 |
192.168.200.10/25 |
yanxiang |
yanxiang@12345 |
| JR-SW6 |
Vlanif200 |
192.168.200.11/25 |
yanxiang |
yanxiang@12345 |
| AC1 |
Vlanif200 |
192.168.200.12/25 |
yanxiang |
yanxiang@12345 |
| POE-SW7 |
Vlanif200 |
192.168.200.13/25 |
yanxiang |
yanxiang@12345 |
| FW1 |
LoopBack0 |
192.168.200.254/32 |
yanxiang |
yanxiang@12345 |
(2)DHCP规划
公司内为了方便IP地址的管理,安排使用 DHCP服务器进行 IP地址的动态分配,两台核心交换机作为DHCP服务器,为各单位配置对应的 VLAN,DHCP 地址池的规划如表4.7 所示。
表4.7 DHCP规划表
| 设备名称 |
VLAN |
IP地址范围 |
网关 |
DNS |
| HX-SW1 |
2 |
192.168.2.1~192.168.2.251/24 |
192.168.2.254 |
192.168.10.2 |
| 3 |
192.168.3.1~192.168.3.251/24 |
192.168.3.254 |
192.168.10.2 |
|
| 4 |
192.168.4.1~192.168.4.251/24 |
192.168.4.254 |
192.168.10.2 |
|
| 5 |
192.168.5.1~192.168.5.251/24 |
192.168.5.254 |
192.168.10.2 |
|
| 6 |
192.168.6.1~192.168.6.251/24 |
192.168.6.254 |
192.168.10.2 |
|
| 7 |
192.168.7.1~192.168.7.251/24 |
192.168.7.254 |
192.168.10.2 |
|
| HX-SW2 |
2 |
192.168.2.1~192.168.2.251/24 |
192.168.2.254 |
192.168.10.2 |
| 3 |
192.168.3.1~192.168.3.251/24 |
192.168.3.254 |
192.168.10.2 |
|
| 4 |
192.168.4.1~192.168.4.251/24 |
192.168.4.254 |
192.168.10.2 |
|
| 5 |
192.168.5.1~192.168.5.251/24 |
192.168.5.254 |
192.168.10.2 |
|
| 6 |
192.168.6.1~192.168.6.251/24 |
192.168.6.254 |
192.168.10.2 |
|
| 7 |
192.168.7.1~192.168.7.251/24 |
192.168.7.254 |
192.168.10.2 |
4.1.4 无线网络规划
为了实现公司内部无线设备的接入,在公司内部使用AC+AP瘦模式,实现无线网络的全覆盖。使用旁挂AC 直接转发,AP 通过接入层交换机POE 供电。无线网分别为员工和访客提供不同的网络,员工通过office网络,可用于访问内外网,访客连接guest仅能访问外网。无线局域网的详细配置如表4.8所示。
表4.8 无线网络规划表
| AP管理VLAN |
VLAN 51 |
| STA业务VLAN |
访客:VLAN 49 员工:VLAN 50 |
| DHCP服务器 |
HX-SW2作为DHCP服务器为AP和STA分配IP地址 |
| AP的IP地址池 |
192.168.51.2~192.168.51.253/24 |
| STA的IP地址池 |
访客:192.168.49.1~192.168.49.253/24 员工:192.168.50.1~192.168.50.253/24 |
| AC的源接口IP地址 |
VLANIF 51:192.168.51.1/24 |
| AP组 |
名称:default 引用模板:VAP模板guest、VAP模板office、域管理模板default |
| 域管理模板 |
名称:default 国家码:cn |
| SSID模板 |
名称:guest SSID名称:guest 名称:office SSID名称:office |
| 安全模板 |
名称:wifi 安全策略:WPA-WPA2+PSK+AES 密码:yanxiang@12345 |
| VAP模板 |
名称:guest 转发模式:直接转发 业务VLAN:VLAN 49 引用模板:SSID模板guest、安全模板wifi 名称:office 转发模式:直接转发 业务VLAN:VLAN 50 引用模板:SSID模板office |
4.1.5 网络出口规划
(1)网络安全规划
防止外部非法使用者进入企业内部网络,在防火墙上按照安全级别,划分了trust、untrust和DMZ三个安全区域,通过配置域间安全策略,实现不同安全区域访问,详细规划如表4.9所示。
表4.9 防火墙规划表
| 设备名称 |
端口 |
区域 |
优先级 |
| FW1 |
G1/0/0 |
untrust |
5 |
| G1/0/1 |
untrust |
5 |
|
| G1/0/2 |
trust |
85 |
|
| G1/0/3 |
trust |
85 |
|
| G1/0/4 |
dmz |
50 |
(2)NAT规划
为确保企业内网和外网之间的通信畅通,在防火墙上建立 NAT的位址翻译,公司网络出口分别连接电信和联通两个运营商。电信作为主出口,联通作为备用出口,详细规划如表4.10 所示。
表4.10 NAT规划表
| 名称 |
源区域 |
目的区域 |
源地址 |
NAT类型 |
模式 |
| ISP1 |
trust |
untrust |
192.168.0.0/16 |
easy-ip |
仅转换源地址 |
| ISP2 |
trust |
untrust |
192.168.0.0/16 |
easy-ip |
仅转换源地址 |
在防火墙使用了服务器映射功能,把调度器的虚拟 IP地址对应到公共地址:200.202.11.3,这样外部网络就无法获得真实的业务地址,实现了对服务器的安全保障,详情如表 4.11 所示。
表4.11 NAT映射规划表
| 名称 |
公网地址 |
私有地址 |
访问区域 |
| Web |
200.202.11.3 |
192.168.10.100 |
DMZ |
