w_shuan 发表于 2012-5-23 11:05:07

内外网改怎么隔离

一个小型局域网,200多个信息点,内外网要分开,但是有些电脑要能上外网也能上内网,不需要同时上内外网。我物理上把所有计算机连成一套网络,然后给服务器什么的配置一个网段地址,出外网的配置一个网段指定到路由,然后上内网网的时候修改IP可以吗?这样会不会导致内外网串网啊?或者有什么更好的方案,求高手指点啊!-smile-

tea 发表于 2012-5-23 11:26:27

内网划分不同网段,在出口设备上NAT的时候,只匹配允许上外网的那部分网段即可

lvyong1989 发表于 2012-5-23 12:00:25

先声明啊,我不是高手,俺是新来的,呵呵
因为我的上一份工作,是给政府内部做网络维护的,那里的网络就是内外网模式的,所以想跟你讨论一下。肤浅之处,请多包涵。
政府内外网一般都是省市区三地相通的网络,尤其是内网,所以内外网是物理隔离的,就是说防火墙、路由器、核心交换以及汇聚交换和接入交换都是分开的,单独构成一条网络线路,各自有各自的设备,互不干扰。
但是考虑到是自己公司内部,肯定不会有这么大的投入,
我觉得应该是防火墙接入internet,从路由器那里(或者核心交换机)做配置,
给内网网络分配几个端口,连接内网服务器。如果服务器也只有一台的话(一般都是双网卡的或者多网卡的),就给其中的一个网卡分配内网地址,之前要给内网和外网各分配一个不同的ip地址段。
pc端通过接入层交换机访问内网服务器,这些静态路由、动态路由之类的东西肯定是要在路由器或者核心交换机里面配置的,我对这些还不太懂,就不说了。
至于同一台pc机要同时访问内外网,我之前接触到的就是使用隔离卡安装在pc端进行物理隔离,内网网线和外网网线都通过隔离卡接在电脑上,通过切换两块硬盘的系统来实现内外网的访问。一块隔离卡和硬盘差不多一千元了吧,如果不想有这笔开销就配置成内外网同时都可以访问的吧 。

lvyong1989 发表于 2012-5-23 12:06:25

tea 发表于 2012-5-23 11:26 static/image/common/back.gif
内网划分不同网段,在出口设备上NAT的时候,只匹配允许上外网的那部分网段即可

让版主见笑了,下面的回复请版主过目,这是个人浅显的认识,只是希望帮楼主做些参考。还希望版主多多指点。NAT这个路由器技术我知道,但具体怎么操作配置,就不清楚了。

w_shuan 发表于 2012-5-23 12:43:42

lvyong1989 发表于 2012-5-23 12:00 static/image/common/back.gif
先声明啊,我不是高手,俺是新来的,呵呵
因为我的上一份工作,是给政府内部做网络维护的,那里的网络就是 ...

-handshake-多谢了,值得我学习

w_shuan 发表于 2012-5-23 12:51:33

tea 发表于 2012-5-23 11:26 static/image/common/back.gif
内网划分不同网段,在出口设备上NAT的时候,只匹配允许上外网的那部分网段即可

这样我想上外网的话,是不是只把ip地址换成外网的ip就可以了?会导致内外网串网吗?

lvyong1989 发表于 2012-5-23 12:56:01

w_shuan 发表于 2012-5-23 12:43 static/image/common/back.gif
多谢了,值得我学习

呵呵,不客气。用真心才能交到朋友!多交流啊--

tea 发表于 2012-5-23 13:09:50

w_shuan 发表于 2012-5-23 12:51 static/image/common/back.gif
这样我想上外网的话,是不是只把ip地址换成外网的ip就可以了?会导致内外网串网吗?

想上外网的话,把IP设置为允许上外网(NAT)的内网网段地址就可以了

w_shuan 发表于 2012-5-24 08:56:12

tea 发表于 2012-5-23 13:09 static/image/common/back.gif
想上外网的话,把IP设置为允许上外网(NAT)的内网网段地址就可以了

您好,还有个问题想请教 下,就是我设置两个网段之后,我同一台电脑可以同时设置内外网的两个网段,这样的话我既可以同时上内外网, 如果跟外网远程连接了,内网的服务器是不是也暴露在外网了啊,要保障服务器的安全,我该怎么做啊?

tea 发表于 2012-5-24 09:14:41

w_shuan 发表于 2012-5-24 08:56 static/image/common/back.gif
您好,还有个问题想请教 下,就是我设置两个网段之后,我同一台电脑可以同时设置内外网的两个网段,这样的 ...

你一台电脑无需设置两个IP啊,设置一个即可,只要这个地址被允许NAT,那你就既能访问内网,又能访问外网。至于服务器,只要你不在出口设备上将它映射出公网,就不会有暴露的危险。
页: [1] 2
查看完整版本: 内外网改怎么隔离