“軟”隔離助力網(wǎng)絡(luò)改造

使用防火墻“軟”隔離

某單位局域網(wǎng)使用共享ADSL撥號方式進(jìn)行上網(wǎng)，普通終端計(jì)算機(jī)通過一款48口接入交換機(jī)與ADSL設(shè)備相連，整個網(wǎng)絡(luò)可用IP地址 范 圍 為 10.176.0.2——10.176.0.254，網(wǎng)關(guān)地址為10.176.0.1。由于工作需要，單位臨時新成立了一個辦事機(jī)構(gòu)，該機(jī)構(gòu)增添有四臺終端計(jì)算機(jī)，現(xiàn)在要求在不增加投入的情況下，讓新增添的計(jì)算機(jī)也能共享ADSL撥號方式進(jìn)行上網(wǎng)，不過為了滿足安全訪問需求，局域網(wǎng)中的其他計(jì)算機(jī)不能通過網(wǎng)絡(luò)訪問新機(jī)構(gòu)的計(jì)算機(jī)，但新機(jī)構(gòu)中的幾臺計(jì)算機(jī)相互之間能夠正常訪問。

圖1 TCP/IP協(xié)議配置

為了滿足上述網(wǎng)絡(luò)改造要求，單位管理員原本打算將新增加的四臺終端計(jì)算機(jī)直接插入48口接入交換機(jī)，并利用Vlan隔離功能將它們與其他計(jì)算機(jī)隔離開來。遺憾的是，48口接入交換機(jī)并不支持Vlan隔離功能，而且該交換機(jī)目前只剩余兩個端口沒有使用，四臺新計(jì)算機(jī)沒有辦法直接與之相。幾經(jīng)考慮，系統(tǒng)管理員找來一款8口小交換機(jī)，將其與48口接入交換機(jī)直接連接，再將新買的幾臺計(jì)算機(jī)全部連到小交換機(jī)上，之后利用終端計(jì)算機(jī)系統(tǒng)自帶的防火墻，來將局域網(wǎng)中的其他計(jì)算機(jī)與新計(jì)算機(jī)實(shí)現(xiàn)“軟”隔離。

當(dāng)將新計(jì)算機(jī)接入局域網(wǎng)后，依次單擊終端系統(tǒng)桌面 上 的“開 始”、“設(shè) 置”、“網(wǎng)絡(luò)連接”圖標(biāo)，彈出網(wǎng)絡(luò)連接列表界面，用鼠標(biāo)右鍵單擊本地連接圖標(biāo)，打開它的右鍵菜單，選擇“屬性”命令，進(jìn)入本地連接屬性對話框。選擇“Internet協(xié) 議（TCP/IP）”選項(xiàng)，點(diǎn)擊“屬性”按鈕，展開TCP/IP協(xié)議屬性對話框。在這里選中“使用下面的IP地址”選項(xiàng)（如圖1所示），將IP地址輸入為10.176.0.2——10.176.0.254，子網(wǎng)掩碼設(shè)置為255.255.255.0，默認(rèn)網(wǎng)關(guān)地址指定為“10.176.0.1”，同時將首選DNS服務(wù)器地址輸入為本地ISP提供的DNS地址，確認(rèn)后保存設(shè)置操作，再重新啟動計(jì)算機(jī)系統(tǒng)，這時新計(jì)算機(jī)就能使用共享ADSL撥號方式進(jìn)行上網(wǎng)了。

圖2 Windows防火墻配置

圖3 編輯服務(wù)設(shè)置框

圖4 TCP/IP協(xié)議屬性對話框

同樣地，為其他幾臺新計(jì)算機(jī)配置好上網(wǎng)參數(shù)，讓它們都能順利訪問外網(wǎng)。這個時候，這幾臺新計(jì)算機(jī)與其他計(jì)算機(jī)同處一個網(wǎng)段，它們之間是能夠相互訪問的，為了實(shí)現(xiàn)新、舊計(jì)算機(jī)的上網(wǎng)隔離，還需要開啟并配置Windows系統(tǒng)內(nèi)置防火墻。在進(jìn)行隔離配置操作時，先任意選擇一臺新計(jì)算機(jī)，在該系統(tǒng)桌面中依次點(diǎn)擊“開始”、“設(shè)置”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，雙擊其中的“Windows防火墻”圖標(biāo)，進(jìn)入Windows防火墻配置對話框。點(diǎn)擊“常規(guī)”標(biāo)簽，選中對應(yīng)標(biāo)簽頁面中的“啟用”選項(xiàng)（如圖2所示），以開啟防火墻的運(yùn)行狀態(tài)。接著點(diǎn)擊“例外”標(biāo)簽，將對應(yīng)標(biāo)簽頁面中的“文件和打印共享”復(fù)選項(xiàng)選中，按下“編輯”按鈕，在其后彈出的編輯服務(wù)設(shè)置框中，同時選擇“TCP 139”、“TCP 445”、“UDP 137”、“UDP 138”等端口選項(xiàng)，單擊“更改范圍”按鈕，切換到如圖3所示的更改范圍對話框。選中這里的“自定義列表”選項(xiàng)，在對應(yīng)選項(xiàng)文本框中，輸入其他幾臺新計(jì)算機(jī)的IP地址，注意每個地址之間需要用逗號隔開，同時添加子網(wǎng)掩碼255.255.255.0地址，比方說，可以輸入“10.176.0.131，10.176.0.132，10.176.0.133 ，10.176.0.134/255.255.255.0 ”，確認(rèn)后退出設(shè)置對話框。此時，局域網(wǎng)中的其他計(jì)算機(jī)由于受到防火墻的“軟”隔離，將無法訪問那臺新計(jì)算機(jī)，但是具有防火墻例外功能的其他幾臺新計(jì)算機(jī)是能夠訪問到它的。為了讓這臺新計(jì)算機(jī)也能順利訪問其他新計(jì)算機(jī)，還需要在其他幾臺新計(jì)算機(jī)中，對防火墻進(jìn)行相同的軟隔離設(shè)置。

使用路由法“軟”隔離

網(wǎng)管員小張平時負(fù)責(zé)單位內(nèi)網(wǎng)系統(tǒng)的運(yùn)行維護(hù)，工作之余，也要經(jīng)常上外網(wǎng)訪問一些資料。以前，小張使用筆記本電腦專門維護(hù)內(nèi)網(wǎng)，使用辦公桌上的臺式電腦訪問外網(wǎng)。但現(xiàn)在由于筆記本要作移動辦公使用，小張希望在自己的臺式電腦上，能夠同時訪問外網(wǎng)和內(nèi)網(wǎng)。

為了達(dá)到同時上網(wǎng)目的，小張仔細(xì)觀察了臺式電腦的走線，發(fā)現(xiàn)其與單位交換機(jī)直接連接，恰好交換機(jī)又與外網(wǎng)和內(nèi)網(wǎng)同時連接，于是他決定使用Windows系統(tǒng)自帶的Route命令，也就是通過路由法，對內(nèi)、外網(wǎng)訪問進(jìn)行“軟”隔離。假設(shè)，單位外網(wǎng)工作子網(wǎng)地址為192.168.1.0，掩碼地址為255.255.255.0，網(wǎng)關(guān)地址為192.168.1.1，臺式計(jì)算機(jī)使用的外網(wǎng)IP地址為192.168.1.10；單位內(nèi)網(wǎng)工作子網(wǎng)地址為10.176.1.0，掩碼地址為255.255.255.0，網(wǎng)關(guān)地址為10.176.1.1，臺式計(jì)算機(jī)使用的內(nèi)網(wǎng)IP地址為10.176.1.10。現(xiàn)在，小張?jiān)谧约旱呐_式電腦中，打開TCP/IP協(xié)議屬性對話框（如圖4所示），按下“高級”按鈕，彈出高級TCP/IP設(shè)置對話框，在這里將單位內(nèi)外網(wǎng)的IP地址、掩碼地址以及網(wǎng)關(guān)地址依次添加好，確認(rèn)后保存設(shè)置操作。

圖5 設(shè)置VLAN

之后依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行 對 話 框，輸入“cmd”命令并回車，展開DOS命令行工作窗口，在該窗口命令提示符下，執(zhí)行“route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.1”字符串命令，添加好訪問外網(wǎng)的路由記錄，再執(zhí)行“route add -p 10.176.1.0 mask 255.255.255.0 10.176.1.1”字符串命令，添加好訪問外網(wǎng)的路由記錄，這樣臺式電腦就能正常訪問內(nèi)外網(wǎng)了。

使用VLAN法“軟”隔離

在規(guī)模適中的某單位局域網(wǎng)中，A交換機(jī)位于二樓，B交換機(jī)位于四樓，單位網(wǎng)絡(luò)的六個VLAN分別被劃分到這兩臺交換機(jī)上，而這兩臺交換機(jī)通過光纖線路連接到中心機(jī)房的核心路由交換機(jī)上，并利用該設(shè)備的路由功能進(jìn)行共享上網(wǎng)。后來，由于工作需要，單位領(lǐng)導(dǎo)決定，只允許位于每個樓層領(lǐng)導(dǎo)辦公室的所有終端計(jì)算機(jī)能夠訪問外網(wǎng)，局域網(wǎng)中的其他計(jì)算機(jī)都不能通過核心路由交換機(jī)，進(jìn)行Internet訪問。

查看單位原始組網(wǎng)資料，發(fā)現(xiàn)每個樓層領(lǐng)導(dǎo)辦公室的終端計(jì)算機(jī)，分別被劃分到了不同的VLAN中，幸好這些計(jì)算機(jī)的數(shù)量不是很多，總共不到10臺。為了達(dá)到隔離上網(wǎng)目的，單位網(wǎng)絡(luò)管理員打算將所有領(lǐng)導(dǎo)辦公室的計(jì)算機(jī)，都劃分到一個新的VLAN中，之后在A、B交換機(jī)的級聯(lián)端口中進(jìn)行合適設(shè)置，僅讓新的VLAN與單位核心路由交換機(jī)進(jìn)行連接，從而能夠通過它訪問Internet網(wǎng)絡(luò)。假設(shè)，現(xiàn)在已經(jīng)將所有領(lǐng)導(dǎo)計(jì)算機(jī)的連接端口統(tǒng)一劃分到VLAN 10中了，為了讓A、B交換機(jī)的級聯(lián)端口只允許VLAN 10通行，只要先登錄進(jìn)入交換機(jī)后臺系統(tǒng)，使用“interface”命令進(jìn)入對應(yīng)端口視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行“port link-type access”命令（如圖5所示），強(qiáng)制級聯(lián)端口工作在“access”模式下，再輸入“port access vlan 10”命令，讓級聯(lián)端口只允許VLAN 10通行，其他VLAN中的計(jì)算機(jī)自然而然的也就無法上網(wǎng)訪問了。