看看图、改改线,分析解决"后遗症"~

看看图、改改线,分析解决"后遗症"~



如图,网络未改造前拓扑是基准线左边所示:所有的网关存在Cisco 6509上,全网全2层;服务器(生产、办公)全挂在65下连交换机上。
现需对网络进行改造:
1、生产的网关全部切换到4507R上。
2、生产有关的服务器挂DMZ去(启用单网卡的服务器使用的为生产网段IP,启用双网卡的服务器使用办公和生产网段段IP)。
3、办公与生产网关通过防火墙隔离,办公用户不能访问生产采集设备和终端。
4、办公上所有用户均能访问DMZ中服务器。
5、DMZ中生产服务器能采集到生产设备数据,及生产采集设备上数据都通过4507R到服务器。
方案设计:
(1)将原位置服务器切换到DMZ中并更改服务器IP地址,生产网卡不变,直接挂4507R上。(这种改造方案方便,亦是甲方上级规定,咱的活少、双手赞同;但软件部不同意了,改服务器IP,我的软件要做很大改动,加密狗与IP绑定了,需要返回USA。方案废掉)。
(2)服务器IP地址不变:
A.只将生产服务器中的双网卡服务器的生产网卡接4507R,其余不动。(但DMZ区就是个摆设了,最开始被否定了)。
B.生产网卡挂4507R,办公网卡地址不动切至DMZ区。
与甲方商量,决定采用(2)-B方案。DMZ网关设置为与服务器办公网卡同网段中未使用的IP(但该网段真正网关存在于6509上),在65和45上增加到DMZ的路由,FW上做映射。
改完测试问题出来了:
其他办公网段均能正常访问DMZ中服务器,但与DMZ中服务器同网段的IP不能访问。(为什么呢?想想……)
既然都这么改动了,那就把该网段中办公用户的地址改了吧,网关从65上删除;可问题又出在使用该网段的用户上了,使用的用户均为甲方领导,还有财务科的(恰恰财务科的IP又与上级系统绑定了),哎……一波N折啊( )。
不过人是活的,那把该大段IP划分成三个Vlan(1-128;129-192;193-154),就三个网关,IP地址都不动,大不了咱的活多点,改交换机接口所属Vlan和PC网关;可服务器的IP使用的有16、53、88(1-128),更多的是使用210以后的(193-254)。
怒了,真怒了( )……谁规划的IP,就算没规划好,你就不能配置连续的IP吗,非得跳着配。这就是IP规划、使用不合理留下的后遗症啊。
执行(2)-A方案吧。







评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值