内外网改怎么隔离

w_shuan

一个小型局域网，200多个信息点，内外网要分开，但是有些电脑要能上外网也能上内网，不需要同时上内外网。我物理上把所有计算机连成一套网络，然后给服务器什么的配置一个网段地址，出外网的配置一个网段指定到路由，然后上内网网的时候修改IP可以吗？  这样会不会导致内外网串网啊？或者有什么更好的方案，求高手指点啊！

tea

内网划分不同网段，在出口设备上NAT的时候，只匹配允许上外网的那部分网段即可

lvyong1989

先声明啊，我不是高手，俺是新来的，呵呵
因为我的上一份工作，是给政府内部做网络维护的，那里的网络就是内外网模式的，所以想跟你讨论一下。肤浅之处，请多包涵。
政府内外网一般都是省市区三地相通的网络，尤其是内网，所以内外网是物理隔离的，就是说防火墙、路由器、核心交换以及汇聚交换和接入交换都是分开的，单独构成一条网络线路，各自有各自的设备，互不干扰。
但是考虑到是自己公司内部，肯定不会有这么大的投入，
我觉得应该是防火墙接入internet，从路由器那里（或者核心交换机）做配置，
给内网网络分配几个端口，连接内网服务器。如果服务器也只有一台的话（一般都是双网卡的或者多网卡的），就给其中的一个网卡分配内网地址，之前要给内网和外网各分配一个不同的ip地址段。
pc端通过接入层交换机访问内网服务器，这些静态路由、动态路由之类的东西肯定是要在路由器或者核心交换机里面配置的，我对这些还不太懂，就不说了。
至于同一台pc机要同时访问内外网，我之前接触到的就是使用隔离卡安装在pc端进行物理隔离，内网网线和外网网线都通过隔离卡接在电脑上，通过切换两块硬盘的系统来实现内外网的访问。一块隔离卡和硬盘差不多一千元了吧，如果不想有这笔开销就配置成内外网同时都可以访问的吧 。

lvyong1989

tea 发表于 2012-5-23 11:26
内网划分不同网段，在出口设备上NAT的时候，只匹配允许上外网的那部分网段即可

让版主见笑了，下面的回复请版主过目，这是个人浅显的认识，只是希望帮楼主做些参考。还希望版主多多指点。NAT这个路由器技术我知道，但具体怎么操作配置，就不清楚了。

w_shuan

lvyong1989 发表于 2012-5-23 12:00
先声明啊，我不是高手，俺是新来的，呵呵
因为我的上一份工作，是给政府内部做网络维护的，那里的网络就是 ...

多谢了，值得我学习

w_shuan

tea 发表于 2012-5-23 11:26
内网划分不同网段，在出口设备上NAT的时候，只匹配允许上外网的那部分网段即可

这样我想上外网的话，是不是只把ip地址换成外网的ip就可以了？会导致内外网串网吗？

lvyong1989

w_shuan 发表于 2012-5-23 12:43
多谢了，值得我学习

呵呵，不客气。用真心才能交到朋友！多交流啊

tea

w_shuan 发表于 2012-5-23 12:51
这样我想上外网的话，是不是只把ip地址换成外网的ip就可以了？会导致内外网串网吗？

想上外网的话，把IP设置为允许上外网（NAT）的内网网段地址就可以了

w_shuan

tea 发表于 2012-5-23 13:09
想上外网的话，把IP设置为允许上外网（NAT）的内网网段地址就可以了

您好，还有个问题想请教 下，就是我设置两个网段之后，我同一台电脑可以同时设置内外网的两个网段，这样的话我既可以同时上内外网， 如果跟外网远程连接了，内网的服务器是不是也暴露在外网了啊，要保障服务器的安全，我该怎么做啊？

tea

w_shuan 发表于 2012-5-24 08:56
您好，还有个问题想请教 下，就是我设置两个网段之后，我同一台电脑可以同时设置内外网的两个网段，这样的 ...

你一台电脑无需设置两个IP啊，设置一个即可，只要这个地址被允许NAT，那你就既能访问内网，又能访问外网。至于服务器，只要你不在出口设备上将它映射出公网，就不会有暴露的危险。