玩转局域网网络隔离

　　【IT专家网较早】虽同在一个局域网，但是各部门有不同的职能，因工作性质有不同的安全需求。这时需要进行网络隔离，把某些部门或者部门内部的某些科室与整个网络隔离开。下面的两个案例比较典型，其采用的隔离方法希望对于网络管理人员有所帮助。

　　案例1

　　我们公司用ADSL进行拨号，下面接的TP-460的路由器，在路由器接内部局域网的端口处有一台24口的交换机上。内部局域网的IP地址段为192.168.1.2 ~ 192.168.1.255，网关为192.168.1.1。现在财务部新设了一个办公室，又买了五台计算机，想让这五台计算机可以互相访问，但是不想让其他部门的计算机访问这五台计算机，在不用再增加一条ADSL线路的情况下，怎么办呢?

　　分析：

　　由于24口的交换机只余下4个RJ45接口，如果想把这五台计算机都用交换机连接起来是不可能的，但公司又不想再增加ADSL，建议再买一台6口或8口的交换机，也不过一百块左右。将新买的交换机接到公司已有的24口交换机上，然后将新加入的5台计算机连接到新买的6口或8口交换机上，然后用Windows XP自带的防火墙来达到这五台计算机可以互相访问，又不让其他部门的计算机访问的目的。

　　解决方法：

　　将公司余下的IP地址分给这五台计算机，如192.168.1.30 ~ 192.168.1.34，默认网关和DNS同其他计算机一样(可以到公司其他计算机的“开始→运行”输入ipconfig /all来查看)。设置完成后新加入的五台计算机就可以上网了。(图1)

　　这时所有计算机都在一个局域网中，能够互相访问。要达到其他计算机不能访问此五台计算机的目的，可以启用Windows XP自带的防火墙，来阻止局域网中其他计算机来访问，又可利用防火墙的“例外”功能，实现符合条件的计算机来访问。

　　首先设置新加入的五台计算机中的一台的防火墙，选择“开始→设置→控制面板→Windows防火墙”，打开“Windows防火墙”对话框，选择“常规”选项卡，选择“启用”单选项按钮。(图2)

　　然后打开“例外”选项卡，选择“文件和打印共享”复选框，单击“编辑”按钮，打开“编辑服务”对话框，在“编辑服务”窗口中选择“TCP 139”端口，单击“更改范围”按钮，选择“更改范围”对话框中的“自定义列表”单选按钮，将新加入的其余4台计算机的IP地址输入到列表中(用逗号隔开)，然后加上子网掩码255.255.255.0(用“/”将IP地址与子网掩码隔开)，例如“192.168.1.31，192.168.1.32，192.168.1.33 , 192.168.1.34/255.255.255.0 ”如图3。然后将“编辑服务”窗口中其余3个端口按同样的方法设置即可。这时拥有“例外”功能的4台计算机可以访问到此计算机。(图3)

　　较后将其余4台新计算机按照与此计算机相同的方法设置。这样5台新调入的计算机就可以上网，也可以互相访问，但公司里其他计算机不可以访问到这五台计算机。

　案例2

　　单位的某些主机，因为工作原因，需要同时上内网和外网，两个网段都有自己固定的IP和网关，目前该机始终只能访问其中一个网段。如果其中一台主机的内网IP地址为10.1.1.100网关为10.1.1.254，外网的IP地址为20.1.1.200，网关为20.1.1.254，如何设置才能让主机同时访问两个网段?

　　分析：

　　想要同时访问内网和外网，内网和外网都有自己固定的IP和网关，而一台计算机又不允许同时有两个网关。有三种解决途径：一是另外加一个网卡分别绑定一个网关;二是不加网卡，又想同时访问两个网段，可以用“route”命令来配置一下;三是用虚拟机来解决问题。

　　解决方法：

　　1、禁用法

　　在台式机上安装现场网卡，较早块网卡命名为“内网”，IP地址为10.1.1.100网关为10.1.1.254，用于访问内网。第二块网卡命名为“外网”，IP地址为20.1.1.200，网关为20.1.1.254，用于访问外网。当要访问内网时，自动启用“内网”网卡，禁用“外网”网卡。访问外网时，反之。(图4)

　　总结：这种方法很简单，是普遍采用的方法，但它需要两块网卡，需要投入一定的成本。

　　2、Route法

　　如果台式机不加网卡，但连接了交换机，该交换机又能连接内网和外网，就可采用Route法。假设内网需要访问的网段是10.0.0.0/8，外网需要访问的网段是20.0.0.0/8，在台式机网卡上添加10.1.1.100和20.1.1.200两个IP地址(子网掩码都为255.255.255.0)，接着在命令提示符下输入如下命令：(图5)

　　route add -p 10.0.0.0 mask 255.0.0.0 10.1.1.254 (内网)

　　route add -p 0.0.0.0 mask 0.0.0.0 20.1.1.254 (外网)

　　总结：如果安全允许，这种方法是较安全经济的。

　　方法三：虚拟机法

　　在台式机上安装虚拟机软件VMware Workstation 6，在其中安装Windows XP Professional虚拟机，设置虚拟机的网卡为“桥接”网卡。(图6)

　　在台式机上，设置主机的网卡的IP地址为20.1.1.200，网关为20.1.1.254，用于访问外网，在XP虚拟机中设置网卡的IP地址10.1.1.100，网关为10.1.1.254，用于访问内网(子网掩码都为255.255.255.0)。(虚拟机有四种网络连接，使用其中的桥接方式，此时虚拟机相当于网络中的一台独立主机。)

　　总结：这种方法是较安全的。如果单位对于网络的安全要求比较高，建议采用这种方法访问两个网段，用主机访问外网，虚拟机访问内网，虚拟机和主机之间互不通信，这样就保证了数据的安全。