之前做的一個客戶是美國一家大型跨國公司與本地公司合資成立的企業,總部設在美國。就國內而言,只有上海作爲總部。毫無疑問的一點就是,這家企業的網絡架構也是美國那邊派來工程師統一實施部署的。
在網絡基礎架構上,此企業網絡採用四臺WS-C2950-24級聯作爲核心爲終端員工提供上網服務;以上便是網關,設在一臺Pix501上,然後Wan口通過公網與美國連同,同樣出口IP亦是在美國那邊。
爲了監控員工上網行爲,老外在PIX上做了若干Policy,當然也包括對流量的限制。內部員工若是訪問非法網站,便會被deny,相信這些不用細講,大家也知道的。
級聯的四臺交換沒有進行Vlan劃分,其實都隸屬於同一個管理Vlan,再通俗點說,他們就是一臺96口的交換機。
在網絡應用環境上,該企業採用了Windows的域管理體系。該公司的域當然只是美國那邊父域的一個次次級子域,而上海那邊則是直接父域。
內部則有一臺DC Server和一臺OA幾ERP等各種應用服務的服務器爲內網提供各種服務。在DC上提供DHCP、DNS等各項基礎性網絡服務。
具體網絡拓撲如下:
[詳見附件]
不得不佩服的是Cisco的東東就是好,在這種網絡架構下,運行了五六年依然是老當益壯。
後來由於滿足公司內部領導特殊的上網需求,公司特地從本地網通申請了一個地址,故網絡架構有如下變化:光纖經過光電轉換後直接接入一Linksys八口交換機,然後由交換機分出兩個線路,一條仍然接入到PIX,另外一條則接入到一D-Link路由器上,然後由小路由器分出若干線路,當有人需要使用國內線路的時候,便將此線路插入相應的Cisco交換接口。假設PCx若通過國內線路接入Internet,則管理員直接將路由器上的內部線路直接跳到交換機上任意空閒接口,然後將PCx的地址設置成C類地址,DNS與網關都是同一地址。
具體拓撲如下:
[詳見附件]
一切看起來都很正常,但是潛在的問題就出現了。
症狀:域內PC通過DHCP服務器獲取地址、網關及DNS後,三至五秒內,使用Ipconfig/all查看相關訊息,其正常的域名假設爲abc.com會變成router;而正常獲取的DNS(假設爲10.10.10 .254),則會變爲192.168.1.1。此時,內部主機無法正常訪問網站。
分析:造成這種現象的原因主要有以下幾個方面。
首先,四臺級聯交換同屬一個Vlan,但是同一Vlan中卻存在兩個不同的網段:A類及C類。
其次,本身簡單的網絡拓撲,後因其加入五口小交換及HUB等網絡節點太多且次級級聯數大,影響了數據傳輸質量,造成數據丟包、延遲等現象。
解決:將出現問題的主機手動進行網絡配置,可解決此問題,但限於現行的管理制度不允許爲客戶機手動配置地址,所以將加入的路由器移除就解決了這個問題。
疑問:雖然有各種表面現象指出了問題所在,但是真正的問題我至今亦沒有搞清,核心問題到底是什麼?希望各位博友能幫助想一下…