分类: 系统运维
2006-11-05 15:11:13
如何实现网络分段
要实现网络分段,可以使用路由器、防火墙、带有虚拟局域网(VIAN)功能的三层交换机。如果没有这些设备该怎样实现网络分段呢?这里介绍三种在没有以上设备的情况下能够实现网络分段的经济、可靠的方法。
随着校园网中计算机数量的迅速增长,计算机管理和计算机安全问题越来越突出。在网络使用初期,由于信息点少,我们只需设置成一个子网,不存在网络的分段问题,而随着用户的增加,就必须要采取措施来加强网络分段
的管理。对网络进行分段管理,不仅便于网络维护,而且可以缩小冲突域的范围,隔离网段内部的广播风暴,使其不至影响其他网段中的用户,提高了网络的稳定性和实际可用带宽.
多网卡主机软路由方式
??这是通过在Windows 2000 Server上安装多块网卡,利用Windows 2000 Server自带的路由器功能实现网络的分段管理。
??下面就以建立两个网段为例(多个网段的实现方法也一样),介绍一下实现方法。假设我们要建立两个网段:网段A的地址为192.168.1.0;网段B的地址为192.168.2.0。它们都是C类子网(IP地址前三段固定,最后一段为任意),子网掩码是255.255.255.0。现在通过安装在主机上的两块网卡将两个网段连接在一起。网络连接示意图如图1所示。
??一、主机设置
??以主机运行Windows 2000 Server为例,具体实现步骤如下。
??1. 安装、设置网卡
??安装好两块网卡,第一块网卡的IP地址设置为192.168.1.1;第二网卡的IP地址设置为192.168.2.1。子网掩码均设为255.255.255.0。
??2. 设置路由器
??(1)在“开始”菜单中依次选择“程序→管理工具→路由和远程访问”。
??(2)在弹出的“路由和远程访问”窗口左侧的“树”栏目中,右击“Server”项,在弹出的快捷菜单中选择“配置并启用路由和远程访问”项。
??(3)在弹出的“路由和远程访问服务器安装向导”中依次点击[下一步]按钮,当出现“公共设置”这一步时,你需要选择“网络路由器”一项,再单击[下一步]按钮。
??(4)在接下来的“路由的协议”中,你应该确定在“协议”列表框中有“TCP/IP”一项,若有此协议,可点击“是,所有可用的协议都在列表上”,然后点击[下一步]按钮继续。
??(5)接下来系统会提示:“您想通过请求拨号来访问远程网络吗?”,点选“否”,然后点击[下一步]按钮,路由器的配置工作就完成了。
??二、客户机设置
??如果想要实现192.168.1.0和192.168.2.0两个IP地址段的计算机之间的互访,在安装并设置好IP路由后,还必须对客户机做相应的设置。对于192.168.1.0IP地址段中的计算机,需将其默认网关设置为192.168.1.1;而对于192.168.2.0IP地址段中的计算机,则需将其默认网关设置为192.168.2.1。网络内的计算机都分别设置默认网关后,即可实现不同网段计算机之间的互访。
??三、注意事项
??1. TCP/IP、IPX/SPX协议支持路由功能,而NetBEUI协议不支持路由功能。
??2. Windows 2000 Server 能支持4块网卡之间的路由连接。
基于第二层交换的多网卡路由方式
??实现这种路由方式的前提是每一网段有一台主机需装两块网卡(这种方式适合于学校各机房之间分段),主机运行操作系统可以是Windows 98或Windows 2000,下面还是以建立两个网段为例,网段地址与上例同。网络连接示意图如图2所示。
一、网段A主机设置
??安装好两块网卡,第一块网卡的IP地址设置为192.168.1.1,不设置网关;第二网卡的IP地址设置为192.168.2.254,网关设置为192.168.1.10。子网掩码均设为“255.255.255.0”。
??二、网段B主机设置
??安装好两块网卡,第一块网卡的IP地址设置为192.168.2.1,不设置网关;第二网卡的IP地址设置为192.168.1.10,网关设置为192.168.2.254。子网掩码均设为“255.255.255.0”。
??三、客户机的设置
??与上例的客户机的设置相同。
??四、说明
??用双网卡方式实现网络分段,实现的方式比较多,用户可以根据自己的情况加以选择。这种方式最大的优点是简单、实用、成本低,但在网络规模稍大时,这种方式就不易于管理了,而且会出现网络阻塞现象。
??IP转发方式
??用第一种方式实现网络互连,必须在每两个网段之间使用一台主机(两块网卡)才能将两个不同的网段进行连接。如果网络规模稍大、网段多,这种方式使网络维护和管理变得比较复杂,因此我们可以设一台主机做IP转发器,一个网段上的计算机要想访问另外网段上的计算机,通过该主机进行IP转发。
??IP转发是指某一网络接口接收的IP包转发至另一个网络接口的过程。这意味着执行IP转发的主机既非数据来源,也非接收方。这种主机本质上是与两个或更多的网络连接。该主机接收来自某一网络的IP包,分析IP包,以决定使用路由机制向哪个网络转发IP包,然后使用其他网络接口把IP包发送至目的地。下面以具体的实例来讲述如何实现IP转发。
一、网络结构及配置方法
??为了方便起见,这里设计了一个简单的网络模型(如图3所示)。假设网络分三个网段(202.100.204.152,子网掩码为为255.255.255.248,为服务器区子网;192.168.2.0为教师子网;192.168.3.0为学生机房子网)。另外,内网接通了DDN专线,路由器对内的以太口地址为202.100.204.158,IP转发主机的IP地址为192.168.2.254。教师子网和学生机房子网的计算机能够访问服务器区子网上的内部服务器,还能直接访问Internet。
??二、Windows 2000 Server主机和客户机的设置
??1. 给主机绑定三个IP地址,使主机能够访问上述三个网段。首先给主机的网络适配器设置IP为202.100.204.153,子网掩码为225.225.225.248,然后给它绑定两个虚拟IP,分别是192.168.2.1和192.168.3.1。完成这步操作后,三个子网上的计算机都能访问该主机,但子网间还不能进行IP通讯。
??2. 启动主机路由转发服务,在Windows 2000中启动Routing and Remote Access服务。
??3. 设置好主机路由后,还必须对客户机做相应的设置。对于192.168.2.0地址段中的计算机,需将其默认网关设置为192.168.2.1;而对于192.168.3.0地址段中的计算机,则需将其默认网关设置为192.168.3.1。网络内的计算机都分别设置默认网关后,即可实现不同网段计算机之间的互访。 ??4. 如果教师子网和学生子网上的计算机需要访问Internet,还需给主机配置一个默认网关,使其指向路由器对内的以太口地址202.100.204.158。
??三、说明
??虽然使用IP转发方式可以很方便地实现网络之间的通讯,但它不能有效地防止网络风暴,同时主机也可能成为通讯瓶颈。