雖同在一個局域網，但是各部門有不同的職能，因工作性質有不同的安全需求。這時需要進行網絡隔離，把某些部門或者部門內部的某些科室與整個網絡隔離開。下面的兩個案例比較典型，其采用的隔離方法希望對于網絡管理人員有所幫助。

案例1

我們公司用ADSL進行撥號，下面接的TP-460的路由器，在路由器接內部局域網的端口處有一臺24口的交換機上。內部局域網的IP地址段為192.168.1.2 ~ 192.168.1.255，網關為192.168.1.1。現在財務部新設了一個辦公室，又買了五臺計算機，想讓這五臺計算機可以互相訪問，但是不想讓其他部門的計算機訪問這五臺計算機，在不用再增加一條ADSL線路的情況下，怎么辦呢?

分析：

由于24口的交換機只余下4個RJ45接口，如果想把這五臺計算機都用交換機連接起來是不可能的，但公司又不想再增加ADSL，建議再買一臺6口或8口的交換機，也不過一百塊左右。將新買的交換機接到公司已有的24口交換機上，然后將新加入的5臺計算機連接到新買的6口或8口交換機上，然后用Windows XP自帶的防火墻來達到這五臺計算機可以互相訪問，又不讓其他部門的計算機訪問的目的。

解決方法：

將公司余下的IP地址分給這五臺計算機，如192.168.1.30 ~ 192.168.1.34，默認網關和DNS同其他計算機一樣(可以到公司其他計算機的“開始→運行”輸入ipconfig /all來查看)。設置完成后新加入的五臺計算機就可以上網了。(圖1)

這時所有計算機都在一個局域網中，能夠互相訪問。要達到其他計算機不能訪問此五臺計算機的目的，可以啟用Windows XP自帶的防火墻，來阻止局域網中其他計算機來訪問，又可利用防火墻的“例外”功能，實現符合條件的計算機來訪問。

首先設置新加入的五臺計算機中的一臺的防火墻，選擇“開始→設置→控制面板→Windows防火墻”，打開“Windows防火墻”對話框，選擇“常規”選項卡，選擇“啟用”單選項按鈕。(圖2)

然后打開“例外”選項卡，選擇“文件和打印共享”復選框，單擊“編輯”按鈕，打開“編輯服務”對話框，在“編輯服務”窗口中選擇“TCP 139”端口，單擊“更改范圍”按鈕，選擇“更改范圍”對話框中的“自定義列表”單選按鈕，將新加入的其余4臺計算機的IP地址輸入到列表中(用逗號隔開)，然后加上子網掩碼255.255.255.0(用“/”將IP地址與子網掩碼隔開)，例如“192.168.1.31，192.168.1.32，192.168.1.33 , 192.168.1.34/255.255.255.0 ”如圖3。然后將“編輯服務”窗口中其余3個端口按同樣的方法設置即可。這時擁有“例外”功能的4臺計算機可以訪問到此計算機。(圖3)

最后將其余4臺新計算機按照與此計算機相同的方法設置。這樣5臺新調入的計算機就可以上網，也可以互相訪問，但公司里其他計算機不可以訪問到這五臺計算機。#p#

案例2

單位的某些主機，因為工作原因，需要同時上內網和外網，兩個網段都有自己固定的IP和網關，目前該機始終只能訪問其中一個網段。如果其中一臺主機的內網IP地址為10.1.1.100網關為10.1.1.254，外網的IP地址為20.1.1.200，網關為20.1.1.254，如何設置才能讓主機同時訪問兩個網段?

分析：

想要同時訪問內網和外網，內網和外網都有自己固定的IP和網關，而一臺計算機又不允許同時有兩個網關。有三種解決途徑：一是另外加一個網卡分別綁定一個網關;二是不加網卡，又想同時訪問兩個網段，可以用“route”命令來配置一下;三是用虛擬機來解決問題。

解決方法：

1、禁用法

在臺式機上安裝現場網卡，第一塊網卡命名為“內網”，IP地址為10.1.1.100網關為10.1.1.254，用于訪問內網。第二塊網卡命名為“外網”，IP地址為20.1.1.200，網關為20.1.1.254，用于訪問外網。當要訪問內網時，自動啟用“內網”網卡，禁用“外網”網卡。訪問外網時，反之。(圖4)

總結：這種方法很簡單，是普遍采用的方法，但它需要兩塊網卡，需要投入一定的成本。

2、Route法

如果臺式機不加網卡，但連接了交換機，該交換機又能連接內網和外網，就可采用Route法。假設內網需要訪問的網段是10.0.0.0/8，外網需要訪問的網段是20.0.0.0/8，在臺式機網卡上添加10.1.1.100和20.1.1.200兩個IP地址(子網掩碼都為255.255.255.0)，接著在命令提示符下輸入如下命令：(圖5)

route add -p 10.0.0.0 mask 255.0.0.0 10.1.1.254 (內網)

route add -p 0.0.0.0 mask 0.0.0.0 20.1.1.254 (外網)

總結：如果安全允許，這種方法是最安全經濟的。

方法三：虛擬機法

在臺式機上安裝虛擬機軟件VMware Workstation 6，在其中安裝Windows XP Professional虛擬機，設置虛擬機的網卡為“橋接”網卡。(圖6)

在臺式機上，設置主機的網卡的IP地址為20.1.1.200，網關為20.1.1.254，用于訪問外網，在XP虛擬機中設置網卡的IP地址10.1.1.100，網關為10.1.1.254，用于訪問內網(子網掩碼都為255.255.255.0)。(虛擬機有四種網絡連接，使用其中的橋接方式，此時虛擬機相當于網絡中的一臺獨立主機。)

總結：這種方法是最安全的。如果單位對于網絡的安全要求比較高，建議采用這種方法訪問兩個網段，用主機訪問外網，虛擬機訪問內網，虛擬機和主機之間互不通信，這樣就保證了數據的安全。

【編輯推薦】

1. 網絡管理：局域網盜用IP地址的安全問題
2. 中小企業局域網網絡管理方案