工作中,可以能有這樣的需求,有些部門需要訪問互聯網,一些不讓訪問互聯網,但是在局域網內部,不同部門可能有業務的來往,所以需要互通。一般情況下,會使用訪問控制列表來實現這個需求。
如下圖的拓撲
上圖的R1為出口路由,通過連接到運營商自動獲取IP上網。內部局域網通過NAT方式上網。按照上圖的需求,直接把VLAN30的網段做NAT就能實現上網,VLAN20和30不做NAT就實現不能上互聯網的需求了。
1、把不同部門的加入到相對應的vlan中
2、為每個VLAN配置VLANIF的IP地址,作為此網段的網關地址
3、在SW1和SW2的級聯口配置,運行VLAN10到VLAN30通過。
4、SW1和R1配置互聯IP
5、在SW1上配置默認路由,把去往互聯網的數據包交給R1處理。
6、R1上指定數據包回來的路由。
7、匹配要做NAT的網段
8、在R1的GE0接口上應用NAT。
在SW2中,把財務部、開發部和訪客分別加入到vlan10、vlan20和30中。
SW2
在SW1上為vlan10、vlan20和vlan30配置 ,VLANIF的IP地址
SW1
把SW1和SW2的GE23端口配置trunk模式,并允許vlan10到30通過。
配置R1和SW1的互聯IP地址
R1
在R1和SW1配置路由信息.
在SW上執行如下命令,意思是把去往互聯網的數據包交給路由器處理。192.168.100.2是路由器R1的GE02接口IP.
ip route-static 0.0.0.0 0.0.0.0 192.168.100.2 同時,還需要在路由器R1上指定回來的路由走向,如果在路由器不配置回來的路由,會造成有去無回的現象
在路由器R1上執行如下命令,意思是以192.168.開頭的數據包交給SW1處理。192.168.100.1為SW1的接口IP
ip route-static 192.168.0.0 255.255.0.0 192.168.100.1到此局域內部是可以相互訪問的,但是去往互聯網還是不通的,原因由于私有IP不能再公網路由,所有,我們需要把私網地址轉換成公網IP。這時會用到NAT技術。
根據需求,只需要訪客VALN30的網段需要上網,因此,采用訪問控制列表。把VALN30的網段匹配到。
acl number 2000 rule 5 permit source 192.168.30.0 0.0.0.255 定義公網地址池
nat address-group 1 192.168.224.135 192.168.224.135在R1的GE0接口應用NAT
interface GigabitEthernet0/0/0 nat outbound 2000 address-group 1 ip address dhcp-alloc到此上述的功能已經完成了。好了,我們看看效果吧
PC3
PC1
通過上圖可以看到訪客可以正常訪問互聯網和內網的其他部門。開發部和財務部均不能訪問互聯網。
我們還可以通過在R1上執行display nat session all,查看nat轉換的情況,如下圖。
可以看到內部IP地址192.168.30.10被轉換成192.168.224.135這個地址。
想獲取此拓撲和詳細的配置文件,請關注并轉發,私信回復“ACL”獲取。感謝大家的一路支持。
Route命令,Windows系統自帶的非常強大的網絡命令之一。日常工作中,小編也經常用到,特別在醫院系統里。因為醫院系統里有基礎醫療衛生系統,還有易聯眾的醫保結算系統。經常徘徊于泉州某醫院的收費處。當然也有一些地方某些部門,他們有時候要上外網,有時候又要連接政務系統,有時候又要連接某些平臺系統。都需要多張網卡,甚至通過物理隔離卡操作。
隔離卡以后的文章會說到。使用物理隔離卡增加了不少安全,但是也增加了不少麻煩。對于安全性要求不是特別高,或者本機沒有存在外網的情況下兩個封閉系統直接的切換,在保證良好的操作習慣下可以不用安裝隔離卡,在一個操作系統下。硬件上多添加一張網卡就可以做到雙網線進入雙網卡一系統同時操作的情況。
既然我們需要同上內網和外網,那么我們的電腦必須帶兩張網卡,可以是兩張有線網卡,也可以是兩張無線網卡,也可以各一張,這個要看自己需要上的內網和外網是有線連接還是無線連接。比如內網是有線連接,外網也是有線連接,那就必須要兩張有線網卡,一般電腦會自帶一張,然后自己去電腦店或者網上再買一個usb外接網卡就行
語法詳解
route [-f] [-p] [command [destination] [mask netmask] [gateway] [metric metric] [if interface]]
命令范例:
route print
route print 192.* //顯示路由表中以 192. 開始的路由
route delete 192.* //刪除 IP 路由表中以 192. 開始的所有路由
route change實例
默認狀態,網關為192.168.2.1
route change 192.168.2.0 mask 255.255.255.0 192.168.2.5 //將所有2網段的主機網關改為192.168.2.5
如果有在醫院系統工作的朋友們可以參考,當然所有行業只要有雙網卡、三網卡、多網卡的都可以效仿。純干貨分享,請無論如何要幫忙轉發^_^
電腦連接內網,配置內網網卡
把內網網線連接到一張網卡上,假設,我們內網參數需要設置如下:
ip是10.120.0.0,子網掩碼是255.255.255.0,網關是192.168.0.1
(DNS暫不考慮,因為一般內網都是直接訪問ip地址連接)
電腦連接外網,配置外網網卡
把外網網線連接到另一張網卡上,假設,我們外網參數需要設置如下:
ip是172.30.0.5,子網掩碼是255.255.255.0,網關是192.168.1.1
DNS:2.2.2.2,4.4.4.4(只是舉例,請根據實際情況修改)
判斷是否可以單獨通內網或者外網
測試內網:拔掉外網網線(或者禁用外網網卡),打開cmd窗口,輸入命令 ping 10.120.0.5,看是否能ping通,如果不能,請檢查網線連接。
測試外網:拔掉內網網線(或者禁用內網網卡),打卡cmd窗口,輸入命令 ping 172.30.0.5 ,看是否能ping通 ,如果不能,請檢查網線連接。
(如果ping的時候顯示"ping不是內部或外部命令,也不是可運行的程序"的提示,請用管理員身份運行CMD窗口)
第一步:刪除默認路由
route delete 0.0.0.0
第二步:添加靜態路由 -p 永久添加靜態路由(重啟不會失效)
route add -p 10.120.0.0 mask 255.255.0.0 192.168.0.1 //基衛系統
route add -p 172.23.0.0 mask 255.255.0.0 192.168.2.1 //醫保系統
如果要上外網的話,添加如下靜態路由
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.1 //上外網
如果需單獨上網的話,只需要把另一根網線拔掉或者禁用網卡。
注意:此方法適用于多張網卡,包括三張網卡、四張網卡等等