内外网隔离实现

查阅很多资料内外网隔离可以通过多种方式实现，主要有以下几种：

• 通过安装部署物理网卡实现物理隔离

• 通过路由器或交换机实现逻辑隔离

• 通过第三方网络管理类软件实现逻辑隔离。

首先我们要弄清客户端访问网络的原理

客户端访问外网原理：

WAN：接外部 IP 地址用，通常指的是出口，转发来自内部 LAN 接口的 IP 数据包，这个口的 IP 是唯一的。LAN：接内部 IP 地址用，LAN 内部是交换机。
A 电脑的 IP 是局域网 IP（192.168.31.11），这个 IP（192.168.31.11）是从路由器的 lan口分配的。
当我们上百度的时候，经过路由器的 wan口，进行相应的IP、端口转化：192.168.31.11:80 -> 10.221.0.24:8080,所以，从 wan口出去的地址为：10.221.0.24:8080。

最后，经过运营商，运营商那边会做相应的端口映射（而且是动态端口映射），子网 IP（10.221.0.24:8080）转化为公网IP（128.0.0.1:8888），通过这个公网 IP 去访问百度服务器

同理，B 的过程也是一样。通过这样的层层端口映射，最终保证地址（IP + 端口）的唯一性。A 和 B 访问百度服务器，尽管它们的局域网 IP 是一样的，但是最终它们访问百度的地址（IP + 端口）是唯一的，所以，百度服务器回复时，原路返回时能够区分到底给谁回。

windows下route命令，查看设置路由相关信息（IP、网管、子网掩码）

route print打印一下网络连接情况
route -f 清除
route -p add mask 等命令

不同网段的ip地址如何才能互通？

这里就需要使用到三层设置，普通的二层交换机无法实现。
一种是通过三层交换机进行设备，在三层交换机上设置不同的VLAN网关；
一种是通过路由器来进行连接，在路由器上通过子接口的模式来设置。
1.三层交换机
不同的网关地址需要相互通信，需要在三层交换机上建立网关；
网关均在同一个三层交换机之上，设备会默认建立路由，不同网段设备可以进行通信；
为了电脑方便的获得地址，可以在三层交换机上建立不同网段的DHCP服务器。

2.路由器
路由器使用的是子接口的模式，来实现不同的地址段通信；
在不同的子接口中，设置不同的网段网关地址；
不同的路由器，支持的子接口数量不同，但一般足够满足想要划分的子接口。
在三层交换机和路由器中，均可以通过“show ip route”命令，来查看默认建立的路由。
电脑端通过路由器或交换机的DHCP服务器获得IP地址；
不同网段的设备，可以进行相互通信，此种做法常用于大型企业不同VLAN间的通信。

待定：https://blog.csdn.net/bootleader/article/details/82026140

转自：https://blog.csdn.net/qq_33314107/article/details/80900448

参考：http://www.360doc.com/content/18/0830/21/58249630_782513442.shtml