雖同在一個(gè)局域網(wǎng)，但是各部門(mén)有不同的職能，因工作性質(zhì)有不同的安全需求。這時(shí)需要進(jìn)行網(wǎng)絡(luò)隔離，把某些部門(mén)或者部門(mén)內(nèi)部的某些科室與整個(gè)網(wǎng)絡(luò)隔離開(kāi)。下面的兩個(gè)案例比較典型，其采用的隔離方法希望對(duì)于網(wǎng)絡(luò)管理人員有所幫助。

案例1

我們公司用ADSL進(jìn)行撥號(hào)，下面接的TP-460的路由器，在路由器接內(nèi)部局域網(wǎng)的端口處有一臺(tái)24口的交換機(jī)上。內(nèi)部局域網(wǎng)的IP地址段為192.168.1.2 ~ 192.168.1.255，網(wǎng)關(guān)為192.168.1.1。現(xiàn)在財(cái)務(wù)部新設(shè)了一個(gè)辦公室，又買了五臺(tái)計(jì)算機(jī)，想讓這五臺(tái)計(jì)算機(jī)可以互相訪問(wèn)，但是不想讓其他部門(mén)的計(jì)算機(jī)訪問(wèn)這五臺(tái)計(jì)算機(jī)，在不用再增加一條ADSL線路的情況下，怎么辦呢?

分析：

由于24口的交換機(jī)只余下4個(gè)RJ45接口，如果想把這五臺(tái)計(jì)算機(jī)都用交換機(jī)連接起來(lái)是不可能的，但公司又不想再增加ADSL，建議再買一臺(tái)6口或8口的交換機(jī)，也不過(guò)一百塊左右。將新買的交換機(jī)接到公司已有的24口交換機(jī)上，然后將新加入的5臺(tái)計(jì)算機(jī)連接到新買的6口或8口交換機(jī)上，然后用Windows XP自帶的防火墻來(lái)達(dá)到這五臺(tái)計(jì)算機(jī)可以互相訪問(wèn)，又不讓其他部門(mén)的計(jì)算機(jī)訪問(wèn)的目的。

解決方法：

將公司余下的IP地址分給這五臺(tái)計(jì)算機(jī)，如192.168.1.30 ~ 192.168.1.34，默認(rèn)網(wǎng)關(guān)和DNS同其他計(jì)算機(jī)一樣(可以到公司其他計(jì)算機(jī)的“開(kāi)始→運(yùn)行”輸入ipconfig /all來(lái)查看)。設(shè)置完成后新加入的五臺(tái)計(jì)算機(jī)就可以上網(wǎng)了。(圖1)

這時(shí)所有計(jì)算機(jī)都在一個(gè)局域網(wǎng)中，能夠互相訪問(wèn)。要達(dá)到其他計(jì)算機(jī)不能訪問(wèn)此五臺(tái)計(jì)算機(jī)的目的，可以啟用Windows XP自帶的防火墻，來(lái)阻止局域網(wǎng)中其他計(jì)算機(jī)來(lái)訪問(wèn)，又可利用防火墻的“例外”功能，實(shí)現(xiàn)符合條件的計(jì)算機(jī)來(lái)訪問(wèn)。

首先設(shè)置新加入的五臺(tái)計(jì)算機(jī)中的一臺(tái)的防火墻，選擇“開(kāi)始→設(shè)置→控制面板→Windows防火墻”，打開(kāi)“Windows防火墻”對(duì)話框，選擇“常規(guī)”選項(xiàng)卡，選擇“啟用”單選項(xiàng)按鈕。(圖2)

然后打開(kāi)“例外”選項(xiàng)卡，選擇“文件和打印共享”復(fù)選框，單擊“編輯”按鈕，打開(kāi)“編輯服務(wù)”對(duì)話框，在“編輯服務(wù)”窗口中選擇“TCP 139”端口，單擊“更改范圍”按鈕，選擇“更改范圍”對(duì)話框中的“自定義列表”單選按鈕，將新加入的其余4臺(tái)計(jì)算機(jī)的IP地址輸入到列表中(用逗號(hào)隔開(kāi))，然后加上子網(wǎng)掩碼255.255.255.0(用“/”將IP地址與子網(wǎng)掩碼隔開(kāi))，例如“192.168.1.31，192.168.1.32，192.168.1.33 , 192.168.1.34/255.255.255.0 ”如圖3。然后將“編輯服務(wù)”窗口中其余3個(gè)端口按同樣的方法設(shè)置即可。這時(shí)擁有“例外”功能的4臺(tái)計(jì)算機(jī)可以訪問(wèn)到此計(jì)算機(jī)。(圖3)

最后將其余4臺(tái)新計(jì)算機(jī)按照與此計(jì)算機(jī)相同的方法設(shè)置。這樣5臺(tái)新調(diào)入的計(jì)算機(jī)就可以上網(wǎng)，也可以互相訪問(wèn)，但公司里其他計(jì)算機(jī)不可以訪問(wèn)到這五臺(tái)計(jì)算機(jī)。#p#

案例2

單位的某些主機(jī)，因?yàn)楣ぷ髟?，需要同時(shí)上內(nèi)網(wǎng)和外網(wǎng)，兩個(gè)網(wǎng)段都有自己固定的IP和網(wǎng)關(guān)，目前該機(jī)始終只能訪問(wèn)其中一個(gè)網(wǎng)段。如果其中一臺(tái)主機(jī)的內(nèi)網(wǎng)IP地址為10.1.1.100網(wǎng)關(guān)為10.1.1.254，外網(wǎng)的IP地址為20.1.1.200，網(wǎng)關(guān)為20.1.1.254，如何設(shè)置才能讓主機(jī)同時(shí)訪問(wèn)兩個(gè)網(wǎng)段?

分析：

想要同時(shí)訪問(wèn)內(nèi)網(wǎng)和外網(wǎng)，內(nèi)網(wǎng)和外網(wǎng)都有自己固定的IP和網(wǎng)關(guān)，而一臺(tái)計(jì)算機(jī)又不允許同時(shí)有兩個(gè)網(wǎng)關(guān)。有三種解決途徑：一是另外加一個(gè)網(wǎng)卡分別綁定一個(gè)網(wǎng)關(guān);二是不加網(wǎng)卡，又想同時(shí)訪問(wèn)兩個(gè)網(wǎng)段，可以用“route”命令來(lái)配置一下;三是用虛擬機(jī)來(lái)解決問(wèn)題。

解決方法：

1、禁用法

在臺(tái)式機(jī)上安裝現(xiàn)場(chǎng)網(wǎng)卡，第一塊網(wǎng)卡命名為“內(nèi)網(wǎng)”，IP地址為10.1.1.100網(wǎng)關(guān)為10.1.1.254，用于訪問(wèn)內(nèi)網(wǎng)。第二塊網(wǎng)卡命名為“外網(wǎng)”，IP地址為20.1.1.200，網(wǎng)關(guān)為20.1.1.254，用于訪問(wèn)外網(wǎng)。當(dāng)要訪問(wèn)內(nèi)網(wǎng)時(shí)，自動(dòng)啟用“內(nèi)網(wǎng)”網(wǎng)卡，禁用“外網(wǎng)”網(wǎng)卡。訪問(wèn)外網(wǎng)時(shí)，反之。(圖4)

總結(jié)：這種方法很簡(jiǎn)單，是普遍采用的方法，但它需要兩塊網(wǎng)卡，需要投入一定的成本。

2、Route法

如果臺(tái)式機(jī)不加網(wǎng)卡，但連接了交換機(jī)，該交換機(jī)又能連接內(nèi)網(wǎng)和外網(wǎng)，就可采用Route法。假設(shè)內(nèi)網(wǎng)需要訪問(wèn)的網(wǎng)段是10.0.0.0/8，外網(wǎng)需要訪問(wèn)的網(wǎng)段是20.0.0.0/8，在臺(tái)式機(jī)網(wǎng)卡上添加10.1.1.100和20.1.1.200兩個(gè)IP地址(子網(wǎng)掩碼都為255.255.255.0)，接著在命令提示符下輸入如下命令：(圖5)

route add -p 10.0.0.0 mask 255.0.0.0 10.1.1.254 (內(nèi)網(wǎng))

route add -p 0.0.0.0 mask 0.0.0.0 20.1.1.254 (外網(wǎng))

總結(jié)：如果安全允許，這種方法是最安全經(jīng)濟(jì)的。

方法三：虛擬機(jī)法

在臺(tái)式機(jī)上安裝虛擬機(jī)軟件VMware Workstation 6，在其中安裝Windows XP Professional虛擬機(jī)，設(shè)置虛擬機(jī)的網(wǎng)卡為“橋接”網(wǎng)卡。(圖6)

在臺(tái)式機(jī)上，設(shè)置主機(jī)的網(wǎng)卡的IP地址為20.1.1.200，網(wǎng)關(guān)為20.1.1.254，用于訪問(wèn)外網(wǎng)，在XP虛擬機(jī)中設(shè)置網(wǎng)卡的IP地址10.1.1.100，網(wǎng)關(guān)為10.1.1.254，用于訪問(wèn)內(nèi)網(wǎng)(子網(wǎng)掩碼都為255.255.255.0)。(虛擬機(jī)有四種網(wǎng)絡(luò)連接，使用其中的橋接方式，此時(shí)虛擬機(jī)相當(dāng)于網(wǎng)絡(luò)中的一臺(tái)獨(dú)立主機(jī)。)

總結(jié)：這種方法是最安全的。如果單位對(duì)于網(wǎng)絡(luò)的安全要求比較高，建議采用這種方法訪問(wèn)兩個(gè)網(wǎng)段，用主機(jī)訪問(wèn)外網(wǎng)，虛擬機(jī)訪問(wèn)內(nèi)網(wǎng)，虛擬機(jī)和主機(jī)之間互不通信，這樣就保證了數(shù)據(jù)的安全。

【編輯推薦】

1. 網(wǎng)絡(luò)管理：局域網(wǎng)盜用IP地址的安全問(wèn)題
2. 中小企業(yè)局域網(wǎng)網(wǎng)絡(luò)管理方案