因为公司里的办公PC需要上专网办公,上专网时不允许联在互联网上,但是现状是办公电脑既能上互联网又能同时上专网,这样就经常会被通报为违规外联,为了实现双网分离,找运维公司商量解决方法。
运维公司:你们采购一批新电脑,用这批新电脑只上专网,原来的老电脑只上互联网,这样就实现了双网分开了,这样最简单。
领导:采购新电脑恐怕不好办,有其他办法吗?
运维公司:也可以采购一台ssl vpn防火墙,这样要上专网时,你们可以拨到vpn上,然后互联网就上不去了,这样就不需要采购电脑了。防火墙的价格是2万7。。。
领导:我们考虑一下
领导:原来我们用换IP的方式,有的IP能上互联网,有的能上专网,这办法能用吗?
我:我查查资料吧。。。
想了想,新加一个vlan,让这个vlan上专网,老的vlan的IP段取消上专网的权限,不就行了吗?看了看交换机,目前交换机上一个端口绑定了一个vlan,要实现一个端口绑定两个vlan,就要交换机开启ip-subnet-vlan功能,然后在客户端手工切换IP,那这样的话,公司每个交换机每个端口都要改一遍。。。工作量大不说,有的交换机老的还不一定支持。。。
翻了翻核心交换机的配置,看到原来每个楼层,都起了一个vlan,如vlan 10 20 30。。。每层的每个办公室分了一些子接口网关在这个vlan下。联系了运维公司,问能不能使用subvlan的方式实现网络分离,后来和运维公司经过商议,这样配置如下:
1、核心交换机上每个vlan下再增加一组同样的子接口,后两位不变,只改变IP地址第二位的地址,如原来是172.10.10.14,再增加一组172.20.10.14,放在同一vlan下面
interface VLAN 10
ip address 172.10.10.14 255.255.255.240
ip address 172.10.10.30 255.255.255.240 secondary
ip address 172.20.10.14 255.255.255.240 secondary
ip address 172.20.10.30 255.255.255.240 secondary
2、路由器增加一条路由到专网的下一跳,在ACL允许的IP段中更改原172.10段的策略为172.20段
3、出口防火墙增加去往专网的放行策略
总结:相同的vlan,不同的ip段做ACL实行限制,两者结合起来,完美!
------------------------------------------
做了一个脚本,实现快速IP切换:用批处理脚本实现IP切换_jiecy的博客-CSDN博客