【IT专家网独家】虽同在一个局域网,但是各部门有不同的职能,因工作性质有不同的安全需求。这时需要进行网络隔离,把某些部门或者部门内部的某些科室与整个网络隔离开。下面的两个案例比较典型,其采用的隔离方法希望对于网络管理人员有所帮助。
案例1
我们公司用ADSL进行拨号,下面接的TP-460的路由器,在路由器接内部局域网的端口处有一台24口的交换机上。内部局域网的IP地址段为192.168.1.2 ~ 192.168.1.255,网关为192.168.1.1。现在财务部新设了一个办公室,又买了五台计算机,想让这五台计算机可以互相访问,但是不想让其他部门的计算机访问这五台计算机,在不用再增加一条ADSL线路的情况下,怎么办呢?
分析:
由于24口的交换机只余下4个RJ45接口,如果想把这五台计算机都用交换机连接起来是不可能的,但公司又不想再增加ADSL,建议再买一台6口或8口的交换机,也不过一百块左右。将新买的交换机接到公司已有的24口交换机上,然后将新加入的5台计算机连接到新买的6口或8口交换机上,然后用Windows XP自带的防火墙来达到这五台计算机可以互相访问,又不让其他部门的计算机访问的目的。
解决方法:
将公司余下的IP地址分给这五台计算机,如192.168.1.30 ~ 192.168.1.34,默认网关和DNS同其他计算机一样(可以到公司其他计算机的“开始→运行”输入ipconfig /all来查看)。设置完成后新加入的五台计算机就可以上网了。(图1)
这时所有计算机都在一个局域网中,能够互相访问。要达到其他计算机不能访问此五台计算机的目的,可以启用Windows XP自带的防火墙,来阻止局域网中其他计算机来访问,又可利用防火墙的“例外”功能,实现符合条件的计算机来访问。
首先设置新加入的五台计算机中的一台的防火墙,选择“开始→设置→控制面板→Windows防火墙”,打开“Windows防火墙”对话框,选择“常规”选项卡,选择“启用”单选项按钮。(图2)
然后打开“例外”选项卡,选择“文件和打印共享”复选框,单击“编辑”按钮,打开“编辑服务”对话框,在“编辑服务”窗口中选择“TCP 139”端口,单击“更改范围”按钮,选择“更改范围”对话框中的“自定义列表”单选按钮,将新加入的其余4台计算机的IP地址输入到列表中(用逗号隔开),然后加上子网掩码255.255.255.0(用“/”将IP地址与子网掩码隔开),例如“192.168.1.31,192.168.1.32,192.168.1.33 , 192.168.1.34/255.255.255.0 ”如图3。然后将“编辑服务”窗口中其余3个端口按同样的方法设置即可。这时拥有“例外”功能的4台计算机可以访问到此计算机。(图3)
最后将其余4台新计算机按照与此计算机相同的方法设置。这样5台新调入的计算机就可以上网,也可以互相访问,但公司里其他计算机不可以访问到这五台计算机。
