亚洲日韩精品无码AV,国产在线无码精品无码

您當(dāng)前所在位置：首頁 → 系統(tǒng)集成 → 網(wǎng)絡(luò)管理 → 更改ISP 網(wǎng)管員如何才能做得又快又好

更改ISP 網(wǎng)管員如何才能做得又快又好 時間：2015-06-28 00:00:00 來源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評論(0)

　　作為單位的一名網(wǎng)管，每隔一段時間就免不了要折騰一次，干什么呢，那就是更換ISP，就祥子單位來說，這么多年來，使用過的IPS從聯(lián)通、鐵通、電信等電信運營商到上級部門和兄弟單位提供的，甚至還有一些本地企業(yè)贊助的，基本上可以說市面上存在ISP的網(wǎng)絡(luò)，我們都使用過了。更換的原因，價格是一方面，也有些其它層面的問題，咱們做網(wǎng)管就不管不了，但是從技術(shù)層面上，還是要保證每次更換ISP都能夠順利進行，說起更換ISP的操作，我們的行話叫割接，ISP一換，我們的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)配置都要動了，必然會面臨網(wǎng)絡(luò)的中斷，很多時候用戶終端的配置也要改動，這是一項大工程，搞不好是網(wǎng)絡(luò)就要斷個一天半天，甚至?xí)霈F(xiàn)新的網(wǎng)絡(luò)切不過去，舊的網(wǎng)絡(luò)也切不回去的尷尬局面，被掛在中間，那就更慘了。好在現(xiàn)在隨著經(jīng)驗的積累，現(xiàn)在切換的過程越來越順暢了，下面我們結(jié)合最近一次的切換ISP的過程說一下如何才能使切換的過程進行的又快又好。

　　總體來說，切換ISP主要涉及到兩個方面，一個是機房設(shè)備的調(diào)整(包括設(shè)備配置的調(diào)整)，另一個是用戶端設(shè)置的調(diào)整，從時間先后上來說，是機房調(diào)整在前，用戶端設(shè)置調(diào)整在后，但是在具體實施上，則要盡量做到第一個調(diào)整實施的盡可能快，第二個調(diào)整改動的盡可能少，這樣才可以實現(xiàn)所謂的平滑過渡，以用戶感覺不到使用的ISP變改了為追求目標(biāo)。

　　一、切換ISP前的準(zhǔn)備工作

　　既然是切換ISP，那么我們原來肯定是已經(jīng)組建好了一個網(wǎng)絡(luò)，并且這個網(wǎng)絡(luò)正在運行著，本例中么我們現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)如下：

圖1 切換前兩個ISP并存

　　比如我們目前使用的是ISP1的網(wǎng)絡(luò)，打算切換到ISP2，那么在正式的網(wǎng)絡(luò)切換以前，就需要提前把ISP2的網(wǎng)線接到CISCO2960交換機上，那么如何保證兩家ISP的網(wǎng)絡(luò)有效的隔離呢?通過在交換機劃分VLAN即可實現(xiàn)。

　　經(jīng)驗一能來軟的就不要來硬的

　　在進行更換ISP的操作時，盡量能來軟的就來軟的，盡不能的不要來硬的。這句是什么意思呢?即如果能做到通過軟件調(diào)試解決來解決的，就不要去動物理的接頭。可不要小看這一個小小的接頭，在真正進行ISP切換的時候，網(wǎng)管員真恨不得生成三頭六臂來，一邊是急著要把網(wǎng)絡(luò)切過來，另一邊千頭萬緒什么事情都出來了，網(wǎng)管員那個時候一般都是抱著個筆記本在那兒急的冒著一頭汗敲命令呢，根本沒功夫去調(diào)網(wǎng)線，如果喊別人去幫忙，十有八九是越忙越忙，所以切換ISP的第一條經(jīng)驗，就是盡可能將所有的工作都通過軟件解決，即網(wǎng)管員可以專心致志的抱著筆記本調(diào)試，而盡量少跑動耽誤時間，比如在正式切換ISP時，將PIX520連接到CISCO3550上的網(wǎng)口所屬的VLAN劃歸與ISP2的一致即可。

　　二、正式切換時的重點戲：更改硬件防火墻的配置

　　我們使用NAT設(shè)備是一臺CISCO PIX520硬件防火墻，更換ISP時涉及硬件防火墻的配置改動，主要有四個地方，以實際的網(wǎng)絡(luò)參數(shù)為例，說明一下配置文檔。

　　(一)需要修改防火墻外網(wǎng)口的地址，這一步直接修改即可

　　ip address outside 221.*.*.84

　　(二)修改轉(zhuǎn)換地址，這一步要先將舊地址no掉，然后再設(shè)置新地址

　　no global (outside) 1 222.*.*.90 netmask 255.255.255.255

　　global (outside) 1 221.*.*..85 netmask 255.255.255.255

　　(三)修改網(wǎng)關(guān)地址，這一步同樣需要先no掉舊地址，再設(shè)置新地址

　　no route outside 0.0.0.0 0.0.0.0 222.175.169.65

　　route outside 0.0.0.0 0.0.0.0 221.1.223.94

　　(四)執(zhí)行clear xlate命令

　　這行指令的作用是清空以前的NAT清空，使新的NAT生效。

　　經(jīng)驗二、創(chuàng)建配置文檔，盡量不要一條一條的敲命令

　　作為一名有經(jīng)驗的網(wǎng)管，在進行工程量比較大的網(wǎng)絡(luò)調(diào)試或操作時一般都是通過預(yù)先編寫好的腳本來執(zhí)行一系列操作的，而不是一條命令一條命令的敲，原因很簡單，也是害怕忙中出錯，提高撰寫腳本一來時間比較充裕，二來可以考慮的比較全面。雖然網(wǎng)絡(luò)割接是在某個指定的時間段時行的，但是準(zhǔn)備工作越早開展越好，所謂"宜未雨綢繆，勿臨渴掘井"。

　　不過凡事也不能絕對，割接時使用配置腳本便敏，但是也不能一棵樹上吊死，如果執(zhí)行完腳本以后發(fā)現(xiàn)網(wǎng)絡(luò)不通了(即割切失敗)，應(yīng)當(dāng)迅速、仔細的檢查腳本，再次執(zhí)行，如果二次以上均未成功，則立即就要轉(zhuǎn)換思路，改為一條指令一條指令的敲，很可能經(jīng)過這一遍網(wǎng)絡(luò)就通了(這就說明以前撰寫腳本時忽略某些方面)，而千萬不要一邊嘴里嘟嚕著"為什么還不通，還不通，怎么會這樣"之類的話，一邊把同一個腳本執(zhí)行了一遍又一遍，那樣做的話就是讓人家笑話了。

#p#副標(biāo)題#e#

　　以上介紹了切換操作的執(zhí)行腳本，下面是恢復(fù)腳本：

　　conf t

　　ip address outside 222.*.*.80

　　no global (outside) 1 221.*.*..85 netmask 255.255.255.255

　　global (outside) 1 222.*.*.90 netmask 255.255.255.255

　　no route outside 0.0.0.0 0.0.0.0 221.1.223.94

　　route outside 0.0.0.0 0.0.0.0 222.175.169.65

　　exit

　　clear xlate

　　為什么還要提前撰寫恢復(fù)腳本，就是為了預(yù)防萬一切換失敗，好再迅速的回復(fù)到原來網(wǎng)絡(luò)，這樣用戶上網(wǎng)不受影響，從而為排查故障爭取時間，所謂"未思勝先思敗"就是這個道理。

　　三、用戶終端配置的修改

　　用戶終端配置的修改主要就是IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS服務(wù)器這四項，其實如果準(zhǔn)備的比較好的，客戶端這一側(cè)是不需要作任何改動的。

　　我們還是結(jié)合著圖1的網(wǎng)絡(luò)拓撲來說明，在我們的網(wǎng)絡(luò)中使用了一臺CISCO3550的三層交換機，該交換機上劃分了許多的VLAN，每個VLAN的IP地址即是該VLAN下面所帶用戶的網(wǎng)關(guān)，通過上面我們切換腳本大家也可以看出來，我們并沒有動硬件防火墻的內(nèi)網(wǎng)口地址，也就是說內(nèi)部網(wǎng)絡(luò)并沒有改動，因此內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)設(shè)置中的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)這三項都不用改動。

　　比較難辦的是DNS服務(wù)器，以前我們都是自建DNS服務(wù)器，倒是練了不少本事，可以在LINUX、SOLARIS、WINDOWS等各個操作系統(tǒng)中自如的建立DNS服務(wù)器，而且DNS服務(wù)跟單位的WWW服務(wù)都是在WWW服務(wù)器實現(xiàn)的，這樣的好處是利用WWW服務(wù)器性能比較穩(wěn)定這個特性(WWW服務(wù)器是使用的SUN的企業(yè)級服務(wù))，但是更換了兩次ISP以后就發(fā)現(xiàn)這個辦法不行，因為更換ISP后，WWW服務(wù)器的IP地址也就隨之改變了，自然DNS服務(wù)器的地址也要跟著變，這樣用戶就需要修改DNS服務(wù)器地址，大部分用戶可能無法及時得到這個信息，還有一部分用戶根本不會修改DNS服務(wù)器，所以就造成了用戶的上網(wǎng)故障。所以我們的經(jīng)驗是不再將DNS服務(wù)器建立在WWW服務(wù)器上，而是告訴用戶兩個公共的DNS服務(wù)器地址，一個新聯(lián)通(即原網(wǎng)通的)如202.102.152.3，一個電信的如202.96.199.133，這樣不論我們切換到哪家運營商，都可以保證用戶訪問網(wǎng)頁沒有問題，DNS服務(wù)器地址也不會老是換來換去了。

　　當(dāng)然，自建DNS服務(wù)器也不是不可以，但是不要使用公網(wǎng)的地址，在內(nèi)部局域網(wǎng)找個服務(wù)器建立一個DNS服務(wù)器就可以了，WIN2003和LINUX系統(tǒng)都是很好的選擇，這樣就可以保證DNS服務(wù)器地址的相對穩(wěn)定。

　　這樣，更換ISP所涉及到的機房里面的改動和用戶終端的改動已經(jīng)做的差不多了，用戶訪問網(wǎng)頁，運行各種網(wǎng)絡(luò)程度都沒什么問題了，是不是就萬事大吉了呢，其實不然，第一千萬不要忘了將所有做過改動的網(wǎng)絡(luò)設(shè)備的配置存盤，盡快整理操作文檔，另外大家也別忘了我們還有一臺WWW服務(wù)器，它還沒做相應(yīng)的修改呢，多年以來單位的同事都習(xí)慣了將其作為上網(wǎng)的出口，我們要保證內(nèi)網(wǎng)用戶在我們更改了ISP以后仍然可以訪問到它。

　　WWW服務(wù)器所在網(wǎng)絡(luò)結(jié)構(gòu)仍如圖1所示，由于WWW服務(wù)器是位于一臺華為E100的硬件防火墻之下，所以網(wǎng)絡(luò)參數(shù)的修改在華為硬件防火墻上操作就可以了，主要有如下幾個地方：

　　nat server protocol tcp global 221.1.223.87 www inside 10.66.0.101 www

　　修改內(nèi)網(wǎng)WWW服務(wù)器對應(yīng)公網(wǎng)IP地址

　　interface Ethernet1/0

　　ip address 221.*.*.87 255.255.255.240

　　重新設(shè)置外網(wǎng)口的地址

　　ip route-static 0.0.0.0 0.0.0.0 221.*.*.94

　　修改網(wǎng)關(guān)為新的地址

　　修改華為硬件防火墻的設(shè)置，接著修改WWW服務(wù)器自身的參數(shù)，WWW服務(wù)器的網(wǎng)絡(luò)參數(shù)不需要修改，我們主要是對涉及WWW服務(wù)的參數(shù)做修改，因為是使用APACHE作的WEB發(fā)布，要在里面修改允許訪問的地址，即把我們內(nèi)網(wǎng)用戶對應(yīng)的公網(wǎng)地址寫進去，將原來的地址進行替換。即修改httpd.conf文件，在該文件中找到這一行：# Controls who can get stuff from this server.

　　然后修改下面的內(nèi)容：

　　#Order allow,deny

　　Order deny,allow

　　deny from all

　　allow from 221.*.*.88

　　這樣就允許指定的地址(即我們自己網(wǎng)段)訪問這臺服務(wù)器，其它地址過來的都拒絕了。之后再重啟系統(tǒng)的Apache服務(wù)：

　　# cd /usr/local/apache/bin

　　# ./apachectl stop

　　# ./apachectl start

　　或執(zhí)行#./apachectl restart命令。

　　最后，是的，還有最后，那就是需要到域名注冊機構(gòu)那里修改對應(yīng)的信息，即域名與IP地址對應(yīng)關(guān)系。我們是在新網(wǎng)申請的域名，就要到新網(wǎng)去進行修改，主要有兩個地方，一個是"域名管理"，進入"修改域名狀態(tài)信息"項，將域名對應(yīng)的IP地址做相應(yīng)的修改，另一處是"My DNS"，同樣的將域名與IP地址的對

關(guān)鍵詞標(biāo)簽：ISP,網(wǎng)管員

相關(guān)閱讀

文章評論

查看所有0條評論>>