因为公司里的办公PC需要上专网办公,上专网时不允许联在互联网上,但是现状是办公电脑既能上互联网又能同时上专网,这样就经常会被通报为违规外联,为了实现双网分离,找运维公司商量解决方法。
运维公司:你们采购一批新电脑,用这批新电脑只上专网,原来的老电脑只上互联网,这样就实现了双网分开了,这样最简单。
领导:采购新电脑恐怕不好办,有其他办法吗?
运维公司:也可以采购一台ssl vpn防火墙,这样要上专网时,你们可以拨到vpn上,然后互联网就上不去了,这样就不需要采购电脑了。防火墙的价格是2万7。。。
领导:我们考虑一下
领导:原来我们用换IP的方式,有的IP能上互联网,有的能上专网,这办法能用吗?
我:我查查资料吧。。。
想了想:在交换机接口上增加一个vlan,让这个vlan上专网,老的vlan的IP段取消上专网的权限,不就行了吗?看了看交换机,目前交换机上一个端口绑定了一个vlan,要实现一个端口绑定两个vlan,就要交换机开启ip-subnet-vlan功能,然后在客户端手工切换IP,那这样的话,公司每个交换机每个端口都要改一遍。。。工作量大不说,有的交换机老的还不一定支持。。。
翻了翻核心交换机的配置,看到原来每个楼层,都起了一个vlan,如vlan 10 20 30。。。每个楼层的每个办公室又分了一些子接口网关在这个vlan下。联系了运维公司,问能不能使用subvlan的方式实现网络分离,后来和运维公司经过商议,这样配置如下:
1、新增加一个专网网段为172.31段
2、核心交换机上每个vlan下再增加一组相同的子接口,后两位不变(继承楼层和终端的后两位IP),只改变IP地址第二段的地址为 31 专网网段(比如原来是 172.10.10.14,再增加一组172.31.10.14,放在同一vlan下面。相当于给 vlanif 增加了子接口,让专网和外网可以处于同一 vlan 下面)
interface VLAN 10
ip address 172.10.10.14 255.255.255.240
ip address 172.10.10.30 255.255.255.240 secondary
ip address 172.31.10.14 255.255.255.240 secondary
ip address 172.31.10.30 255.255.255.240 secondary
3、路由器更改路由到专网的下一跳,写高级ACL,允许的IP段中更改原172.10段的策略为172.31段
4、出口防火墙增加去往专网的放行策略
总结: 给 vlanif 增加子接口,让不同的网关处于同一vlan实现办公网互通,不会改变原有的网络拓朴;相同的vlan,挑出不同的ip段做 ACL 做路由转发限制,两者结合起来,完美!
------------------------------------------
做了一个脚本,实现快速IP切换:用批处理脚本实现IP切换_jiecy的博客-CSDN博客
1671
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
