我们可以从下面的DNS环境中了解到互联网实际上是由DNS服务器提供解析应用,我们日常的上网都是通过访问域名来实现,由内网的私有IP地址转换成公网的IP地址去查询域名进而到各个网站,域名是从全球7个根域名开始,往下再进一步划分,我们的实际应用都要用到DNS服务,包括DHCP分配IP地址,也要有DNS服务器支持才行。
了解到DNS服务的重要性之后,我们再来看一下三层路由交换和路由器的连同,三层路由交换可以是汇聚层,也可以是核心层,我们可以看到三层路由交换机跟交换机之间是Trunk,划分多个VLAN,每个VLAN都有IP地址,可以和路由器通过路由协议进行通告之后连同,当然也有路由表Show,实验环境中我们常常走单臂路由Trunk到二层交换机,企业实际应用环境不会用到单臂路由,那样的话不安全,直接用三层路由交换机连到防火墙,再通过路由器接入到互联网 ,企业还可以用二个三层路由交换机做HSRP或是VRRP冗余。
对于三层路由交换设备,可以直接连通各个Vlan,不需要开启路由协议就能让各个Vlan之间通信,一般来说ACL访问控制都会放在三层路由交换设备上做,主要是因为二层交换机只能限制登陆访问,只有三层网络层设备才能对IP地址和端口做限制访问,我们做实验常常是在路由器上启ACL,很少去在三层路由交换机上去用到,实际网络环境是思科的3750就够用,通过光纤连接到二层交换机。
以上我们见到的局部应用环境有助于我们更好理解企业内部日常用到的主要是Vlan管理,更换端口的Vlan,如果放上一个更大的WAN环境中,我们就能直观看出企业更加真实的应用,我们可以从图中看到企业通过帧中继连到WAN,当然会用的是MPLS或是IPsec,跟帧中继一样是二层的应用,我们可以看到这两台路由器使用不同的路由协议进行通告,那么LAN的设备是不能访问WAN的应用。假如我们使用NAT的话,那么数据包是没有办法回来,基于这种情况下,我们就不使用NAT,而是在帧中继的两台路由器设默认路由,不在路由表的数据包都扔给对方去处理,在WAN内的三台路由器上把LAN的网段都让下一挑路由器去处理,这样以来,数据包走了一圈才能返回去,如此解决了LAN访问WAN的应用,在附件中有完成的网络环境文件可供大家参考。
对于NAT转换内网地址到外网上,我们往往容易混淆Local和Global之间的差异,从下面的图中我们就可以更直观的去理解,“数据包有去有回,出去换西服,回来之后穿便服”,说来说去都是为了过门槛的需要,企业的实际环境基本上是按照这个思路去设计,抛砖引玉,大家从中理解网络设计的思路,更好地学以致用。
本文转自 zhaiken 51CTO博客,原文链接:http://blog.51cto.com/zhaiken/826457,如需转载请自行联系原作者