查阅很多资料内外网隔离可以通过多种方式实现,主要有以下几种:
-
通过安装部署物理网卡实现物理隔离
-
通过路由器或交换机实现逻辑隔离
-
通过第三方网络管理类软件实现逻辑隔离。
首先我们要弄清客户端访问网络的原理
客户端访问外网原理:
WAN:接外部 IP 地址用,通常指的是出口,转发来自内部 LAN 接口的 IP 数据包,这个口的 IP 是唯一的。LAN:接内部 IP 地址用,LAN 内部是交换机。
A 电脑的 IP 是局域网 IP(192.168.31.11),这个 IP(192.168.31.11)是从路由器的 lan口分配的。
当我们上百度的时候,经过路由器的 wan口,进行相应的IP、端口转化:192.168.31.11:80 -> 10.221.0.24:8080,所以,从 wan口出去的地址为:10.221.0.24:8080。
最后,经过运营商,运营商那边会做相应的端口映射(而且是动态端口映射),子网 IP(10.221.0.24:8080)转化为公网IP(128.0.0.1:8888),通过这个公网 IP 去访问百度服务器
同理,B 的过程也是一样。通过这样的层层端口映射,最终保证地址(IP + 端口)的唯一性。A 和 B 访问百度服务器,尽管它们的局域网 IP 是一样的,但是最终它们访问百度的地址(IP + 端口)是唯一的,所以,百度服务器回复时,原路返回时能够区分到底给谁回。
windows下route命令,查看设置路由相关信息(IP、网管、子网掩码)
route print打印一下网络连接情况
route -f 清除
route -p add mask 等命令
不同网段的ip地址如何才能互通?
这里就需要使用到三层设置,普通的二层交换机无法实现。
一种是通过三层交换机进行设备,在三层交换机上设置不同的VLAN网关;
一种是通过路由器来进行连接,在路由器上通过子接口的模式来设置。
1.三层交换机
不同的网关地址需要相互通信,需要在三层交换机上建立网关;
网关均在同一个三层交换机之上,设备会默认建立路由,不同网段设备可以进行通信;
为了电脑方便的获得地址,可以在三层交换机上建立不同网段的DHCP服务器。
2.路由器
路由器使用的是子接口的模式,来实现不同的地址段通信;
在不同的子接口中,设置不同的网段网关地址;
不同的路由器,支持的子接口数量不同,但一般足够满足想要划分的子接口。
在三层交换机和路由器中,均可以通过“show ip route”命令,来查看默认建立的路由。
电脑端通过路由器或交换机的DHCP服务器获得IP地址;
不同网段的设备,可以进行相互通信,此种做法常用于大型企业不同VLAN间的通信。
待定:https://blog.csdn.net/bootleader/article/details/82026140
转自:https://blog.csdn.net/qq_33314107/article/details/80900448
参考:http://www.360doc.com/content/18/0830/21/58249630_782513442.shtml
652
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
