“软”隔离助力网络改造

使用防火墙“软”隔离

某单位局域网使用共享ADSL拨号方式进行上网，普通终端计算机通过一款48口接入交换机与ADSL设备相连，整个网络可用IP地址 范 围 为 10.176.0.2——10.176.0.254，网关地址为10.176.0.1。由于工作需要，单位临时新成立了一个办事机构，该机构增添有四台终端计算机，现在要求在不增加投入的情况下，让新增添的计算机也能共享ADSL拨号方式进行上网，不过为了满足安全访问需求，局域网中的其他计算机不能通过网络访问新机构的计算机，但新机构中的几台计算机相互之间能够正常访问。

图1 TCP/IP协议配置

为了满足上述网络改造要求，单位管理员原本打算将新增加的四台终端计算机直接插入48口接入交换机，并利用Vlan隔离功能将它们与其他计算机隔离开来。遗憾的是，48口接入交换机并不支持Vlan隔离功能，而且该交换机目前只剩余两个端口没有使用，四台新计算机没有办法直接与之相。几经考虑，系统管理员找来一款8口小交换机，将其与48口接入交换机直接连接，再将新买的几台计算机全部连到小交换机上，之后利用终端计算机系统自带的防火墙，来将局域网中的其他计算机与新计算机实现“软”隔离。

当将新计算机接入局域网后，依次单击终端系统桌面 上 的“开 始”、“设 置”、“网络连接”图标，弹出网络连接列表界面，用鼠标右键单击本地连接图标，打开它的右键菜单，选择“属性”命令，进入本地连接属性对话框。选择“Internet协 议（TCP/IP）”选项，点击“属性”按钮，展开TCP/IP协议属性对话框。在这里选中“使用下面的IP地址”选项（如图1所示），将IP地址输入为10.176.0.2——10.176.0.254，子网掩码设置为255.255.255.0，默认网关地址指定为“10.176.0.1”，同时将首选DNS服务器地址输入为本地ISP提供的DNS地址，确认后保存设置操作，再重新启动计算机系统，这时新计算机就能使用共享ADSL拨号方式进行上网了。

图2 Windows防火墙配置

图3 编辑服务设置框

图4 TCP/IP协议属性对话框

同样地，为其他几台新计算机配置好上网参数，让它们都能顺利访问外网。这个时候，这几台新计算机与其他计算机同处一个网段，它们之间是能够相互访问的，为了实现新、旧计算机的上网隔离，还需要开启并配置Windows系统内置防火墙。在进行隔离配置操作时，先任意选择一台新计算机，在该系统桌面中依次点击“开始”、“设置”、“控制面板”命令，弹出系统控制面板窗口，双击其中的“Windows防火墙”图标，进入Windows防火墙配置对话框。点击“常规”标签，选中对应标签页面中的“启用”选项（如图2所示），以开启防火墙的运行状态。接着点击“例外”标签，将对应标签页面中的“文件和打印共享”复选项选中，按下“编辑”按钮，在其后弹出的编辑服务设置框中，同时选择“TCP 139”、“TCP 445”、“UDP 137”、“UDP 138”等端口选项，单击“更改范围”按钮，切换到如图3所示的更改范围对话框。选中这里的“自定义列表”选项，在对应选项文本框中，输入其他几台新计算机的IP地址，注意每个地址之间需要用逗号隔开，同时添加子网掩码255.255.255.0地址，比方说，可以输入“10.176.0.131，10.176.0.132，10.176.0.133 ，10.176.0.134/255.255.255.0 ”，确认后退出设置对话框。此时，局域网中的其他计算机由于受到防火墙的“软”隔离，将无法访问那台新计算机，但是具有防火墙例外功能的其他几台新计算机是能够访问到它的。为了让这台新计算机也能顺利访问其他新计算机，还需要在其他几台新计算机中，对防火墙进行相同的软隔离设置。

使用路由法“软”隔离

网管员小张平时负责单位内网系统的运行维护，工作之余，也要经常上外网访问一些资料。以前，小张使用笔记本电脑专门维护内网，使用办公桌上的台式电脑访问外网。但现在由于笔记本要作移动办公使用，小张希望在自己的台式电脑上，能够同时访问外网和内网。

为了达到同时上网目的，小张仔细观察了台式电脑的走线，发现其与单位交换机直接连接，恰好交换机又与外网和内网同时连接，于是他决定使用Windows系统自带的Route命令，也就是通过路由法，对内、外网访问进行“软”隔离。假设，单位外网工作子网地址为192.168.1.0，掩码地址为255.255.255.0，网关地址为192.168.1.1，台式计算机使用的外网IP地址为192.168.1.10；单位内网工作子网地址为10.176.1.0，掩码地址为255.255.255.0，网关地址为10.176.1.1，台式计算机使用的内网IP地址为10.176.1.10。现在，小张在自己的台式电脑中，打开TCP/IP协议属性对话框（如图4所示），按下“高级”按钮，弹出高级TCP/IP设置对话框，在这里将单位内外网的IP地址、掩码地址以及网关地址依次添加好，确认后保存设置操作。

图5 设置VLAN

之后依次点击“开始”、“运行”命令，弹出系统运行 对 话 框，输入“cmd”命令并回车，展开DOS命令行工作窗口，在该窗口命令提示符下，执行“route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.1”字符串命令，添加好访问外网的路由记录，再执行“route add -p 10.176.1.0 mask 255.255.255.0 10.176.1.1”字符串命令，添加好访问外网的路由记录，这样台式电脑就能正常访问内外网了。

使用VLAN法“软”隔离

在规模适中的某单位局域网中，A交换机位于二楼，B交换机位于四楼，单位网络的六个VLAN分别被划分到这两台交换机上，而这两台交换机通过光纤线路连接到中心机房的核心路由交换机上，并利用该设备的路由功能进行共享上网。后来，由于工作需要，单位领导决定，只允许位于每个楼层领导办公室的所有终端计算机能够访问外网，局域网中的其他计算机都不能通过核心路由交换机，进行Internet访问。

查看单位原始组网资料，发现每个楼层领导办公室的终端计算机，分别被划分到了不同的VLAN中，幸好这些计算机的数量不是很多，总共不到10台。为了达到隔离上网目的，单位网络管理员打算将所有领导办公室的计算机，都划分到一个新的VLAN中，之后在A、B交换机的级联端口中进行合适设置，仅让新的VLAN与单位核心路由交换机进行连接，从而能够通过它访问Internet网络。假设，现在已经将所有领导计算机的连接端口统一划分到VLAN 10中了，为了让A、B交换机的级联端口只允许VLAN 10通行，只要先登录进入交换机后台系统，使用“interface”命令进入对应端口视图模式状态，在该状态下执行“port link-type access”命令（如图5所示），强制级联端口工作在“access”模式下，再输入“port access vlan 10”命令，让级联端口只允许VLAN 10通行，其他VLAN中的计算机自然而然的也就无法上网访问了。