知识库与软件

禁止内网机器互访

文档编号:858
浏览:7438 评分:13
最后更新于:2011-02-24

 

用户需求:禁止内网机器互访
需求分析:若内网所有电脑是同一网段,可通过艾泰路由器的PortVlan功能实现(艾泰路由器的PortVlan功能在具有多个LAN口的设备上支持)。若内网电脑来自不同网段,则需要通过防火墙功能实现。
实现步骤:
内网电脑处于同一网段:
1. 在实现禁止内网电脑互访前,我们需要改变内网的网络结构。内网电脑互访默认是通过内网交换机转发,因需要在路由器上做相关配置,所以我们要使得艾泰路由器加入到内网电脑互访的路径上。如下图所示:
注释:A区与B区的交换机分别连入艾泰路由器的LAN1和LAN2口,这样我们就能保证A区和B区的电脑之间互访需要通过路由器,保证路由器能控制到互访数据。
2. 在路由器上设置PortVlan,将来自同一网段不同路由器LAN口的数据隔离。在 高级配置—>交换管理 页面进行设置,如下图所示(以ReOSV10版本为例): 
注释:端口组号默认都是0 ,如果改成其他不相同的数字将实现隔离效果。
内网电脑处于不同网段:
1. 在路由器的 网络安全—>防火墙 页面配置,如下图所示(以ReOSV10版本为例):
注释:
动作为禁止,表示禁止下面的地址互访
源地址为192.168.1.2-192.168.1.254,这里代表A区所有用户
目的地址为192.168.2.2-192.168.2.254 这里代表B区所有用户
   
2. 启用访问控制策略
注释:完成这步后,内网不同网段的电脑将无法通过路由器互访。

   2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1

   

      沪公网安备 31011702003579号