6,185
社区成员
发帖
与我相关
我的任务
分享跪求高手们,如何跨网段实现单向访问【未解决】
请教csdn的达人们一个对于您们应该是很简单的问题,大家help me哈~先谢谢了!
现有设备:一台路由器和若干二层交换机。10.X.X.X网段主机10台,192.X.X.X网段主机10台。
★要求★:现要达到10网段主机能访问192网段的主机,192网段主机不能访问10网段主机(在192网段机器上添加10网段IP地址仍无法访问)请问这要怎么规划?
先说下我自己的想法:绑定MAC地址,然后路由器上配置,或者是在访问控制列表上的设置。但是这只是纸上谈兵的,具体我就不会做了。高手们能告诉我一下如何具体实现吗?或者有更好更简单的办法能够实现这样的网络结构吗?
本人网络技术方面知识浅薄,只是看过很多理论知识,实践上还有太多太多的陌生,csdn的大哥大姐们请多多指教!感激不尽!
现有设备:一台路由器和若干二层交换机。10.X.X.X网段主机10台,192.X.X.X网段主机10台。
★要求★:现要达到10网段主机能访问192网段的主机,192网段主机不能访问10网段主机(在192网段机器上添加10网段IP地址仍无法访问)请问这要怎么规划?
先说下我自己的想法:绑定MAC地址,然后路由器上配置,或者是在访问控制列表上的设置。但是这只是纸上谈兵的,具体我就不会做了。高手们能告诉我一下如何具体实现吗?或者有更好更简单的办法能够实现这样的网络结构吗?
本人网络技术方面知识浅薄,只是看过很多理论知识,实践上还有太多太多的陌生,csdn的大哥大姐们请多多指教!感激不尽!
...全文
请发表友善的回复…
发表回复
simonerase 2008-01-15
- 打赏
- 举报
楼主 要么你建议公司换个双WAN口路由器,这样你管理起来就方便了,不需要用2个路由器了。
这样就实际用一个路由器来实现2个路由器的功能。
这样就实际用一个路由器来实现2个路由器的功能。
klosefay2 2008-01-15
- 打赏
- 举报
哦,只有一个路由啊,做ACL不知道可不可以,没试过,呵呵.
klosefay2 2008-01-15
- 打赏
- 举报
做静态路由,让另一边学习不到就可以咯.
zlzy7624 2008-01-15
- 打赏
- 举报
不好意思,上面的问题我想的太简单了,如果照上面的做了,两面就都不通了。
我模拟环境做了测试,现在将正确的配置贴在下面,以供参考:
环境不变,只是路由器接口变为S0/0(10.0.0.0/24)和S0/1(192.168.0.0/24)
Router#show run
Building configuration...
Current configuration : 1577 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
no ip domain lookup
!
interface Serial0/0
ip address 10.0.0.1 255.255.255.0
ip access-group test in
serial restart-delay 0
!
interface Serial0/1
ip address 192.168.0.1 255.255.255.0
ip access-group test-limit in
serial restart-delay 0
!
interface Serial0/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial0/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet1/0
!
interface FastEthernet1/1
!
interface FastEthernet1/2
!
interface FastEthernet1/3
!
interface FastEthernet1/4
!
interface FastEthernet1/5
!
interface FastEthernet1/6
!
interface FastEthernet1/7
!
interface FastEthernet1/8
!
interface FastEthernet1/9
!
interface FastEthernet1/10
!
interface FastEthernet1/11
!
interface FastEthernet1/12
!
interface FastEthernet1/13
!
interface FastEthernet1/14
!
interface FastEthernet1/15
!
interface Vlan1
no ip address
!
ip http server
no ip http secure-server
!
ip access-list extended test
permit icmp any 192.168.0.0 0.0.0.255 reflect r-main timeout 120
permit ip any 192.168.0.0 0.0.0.255 reflect r-main timeout 120
ip access-list extended test-limit
evaluate r-main
deny ip any 10.0.0.0 0.0.0.255
permit ip any any
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
!
end
我模拟环境做了测试,现在将正确的配置贴在下面,以供参考:
环境不变,只是路由器接口变为S0/0(10.0.0.0/24)和S0/1(192.168.0.0/24)
Router#show run
Building configuration...
Current configuration : 1577 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
no ip domain lookup
!
interface Serial0/0
ip address 10.0.0.1 255.255.255.0
ip access-group test in
serial restart-delay 0
!
interface Serial0/1
ip address 192.168.0.1 255.255.255.0
ip access-group test-limit in
serial restart-delay 0
!
interface Serial0/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial0/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet1/0
!
interface FastEthernet1/1
!
interface FastEthernet1/2
!
interface FastEthernet1/3
!
interface FastEthernet1/4
!
interface FastEthernet1/5
!
interface FastEthernet1/6
!
interface FastEthernet1/7
!
interface FastEthernet1/8
!
interface FastEthernet1/9
!
interface FastEthernet1/10
!
interface FastEthernet1/11
!
interface FastEthernet1/12
!
interface FastEthernet1/13
!
interface FastEthernet1/14
!
interface FastEthernet1/15
!
interface Vlan1
no ip address
!
ip http server
no ip http secure-server
!
ip access-list extended test
permit icmp any 192.168.0.0 0.0.0.255 reflect r-main timeout 120
permit ip any 192.168.0.0 0.0.0.255 reflect r-main timeout 120
ip access-list extended test-limit
evaluate r-main
deny ip any 10.0.0.0 0.0.0.255
permit ip any any
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
!
end
zlzy7624 2008-01-15
- 打赏
- 举报
我说的不一定正确,仅供参考!
如果你们公司确实不能增加路由器,那只能在现在的设备上做文章,而且只能在路由器上做设置。
假设你现在的路由器就连接了两个网段,10.0.0.0/24(连在F0/0)和192.168.0.0/24(连在F0/1)。在默认的情况下这两个网段是可以互相访问的,根本就不用添加什么别的东西,因为这两个网段是同一台路由器直连的,只要下面的客户端指定正确的网关即可实现通讯。那现在要实现单向访问,只能通过访问控制列表来实现。
R<config>#access-list 101 deny 192.168.0.0 0.0.0.255 10.0.0.0 0.0.0.255 */将所有源地址为192网段,目的地址为10网段的数据包拒绝。
R<config>#int f0/1
R<config-if>#ip access-group 101 in
这样你试试,看能否成功。
如果你们公司确实不能增加路由器,那只能在现在的设备上做文章,而且只能在路由器上做设置。
假设你现在的路由器就连接了两个网段,10.0.0.0/24(连在F0/0)和192.168.0.0/24(连在F0/1)。在默认的情况下这两个网段是可以互相访问的,根本就不用添加什么别的东西,因为这两个网段是同一台路由器直连的,只要下面的客户端指定正确的网关即可实现通讯。那现在要实现单向访问,只能通过访问控制列表来实现。
R<config>#access-list 101 deny 192.168.0.0 0.0.0.255 10.0.0.0 0.0.0.255 */将所有源地址为192网段,目的地址为10网段的数据包拒绝。
R<config>#int f0/1
R<config-if>#ip access-group 101 in
这样你试试,看能否成功。
tonecn 2008-01-15
- 打赏
- 举报
同意11楼!
yezhongkai168 2008-01-14
- 打赏
- 举报
两个路由器管理起来固然好,但公司不允许再添加一个路由器,只用一个路由器最简单的办法是什么呢?
45Ter 2008-01-14
- 打赏
- 举报
需要路由!
如果你们公司没有条件增加硬件路由器(不是家庭型那种路由器),那就通过软件来实现,Windows的NAT管理不是方便,建议你使用ISA 2004或者ISA2006版本的路由级防火墙,完全可以实现你的功能,关于盗版那里找,自己想办法,试用版3个月时间限制无功能限制。
ISA Server(微软路由级防火墙)使用和相关资料你可以到这个网站去:www.isacn.org 英文好去这个:www.isaserver.com
那2个网站和论坛多看看,你会受益匪浅!
呵呵,看完别忘了结贴,给分哦:-)
如果你们公司没有条件增加硬件路由器(不是家庭型那种路由器),那就通过软件来实现,Windows的NAT管理不是方便,建议你使用ISA 2004或者ISA2006版本的路由级防火墙,完全可以实现你的功能,关于盗版那里找,自己想办法,试用版3个月时间限制无功能限制。
ISA Server(微软路由级防火墙)使用和相关资料你可以到这个网站去:www.isacn.org 英文好去这个:www.isaserver.com
那2个网站和论坛多看看,你会受益匪浅!
呵呵,看完别忘了结贴,给分哦:-)
lixin1019 2008-01-14
- 打赏
- 举报
用2个路由可以很方便的管理 一个路由负责一个网段 这样来的比较方便 否则你得绑定IPMAC 相当麻烦
yezhongkai168 2008-01-14
- 打赏
- 举报
这样说来,就是要用到两台路由器了?
但是现在单位有设备限制,只能用一台路由器,交换机倒是可以无限用~
但是现在单位有设备限制,只能用一台路由器,交换机倒是可以无限用~
l51 2008-01-12
- 打赏
- 举报
我說的這種結構,實際上就是類 Internet 結構模式。
l51 2008-01-12
- 打赏
- 举报
很簡單:
10網段的接在路由器下,然后路由器的 wan 口接在 192 網段的交換機上就行了,
不過你要上 internet 的話, 192 網段要有另一個撥號路由器。
10網段的接在路由器下,然后路由器的 wan 口接在 192 網段的交換機上就行了,
不過你要上 internet 的話, 192 網段要有另一個撥號路由器。
feitian63 2008-01-11
- 打赏
- 举报
路过
xz50501 2008-01-11
- 打赏
- 举报
192段路由默认设置,下接一个路由到10段,设置10段路由dns指向192网关.即可
yezhongkai168 2008-01-11
- 打赏
- 举报
我再来补充一下吧,好像1楼的兄弟没看懂我的意思。
我刚到现在的公司,网络结构我不太清楚。我只知道现在公司的内网分10和192两个网段。10网段的计算机负责存储业务需求的数据库之类的,192网段是办公区计算机。
问题1:按这样的网络结构,大致的拓扑图是怎么样的?
问题2:现在领导要求我把现有的网络重新规划,要求:允许10网段访问192网段,禁止192网段访问10网段。 请问要怎么做?大致的拓扑图是怎么样的?
我刚到现在的公司,网络结构我不太清楚。我只知道现在公司的内网分10和192两个网段。10网段的计算机负责存储业务需求的数据库之类的,192网段是办公区计算机。
问题1:按这样的网络结构,大致的拓扑图是怎么样的?
问题2:现在领导要求我把现有的网络重新规划,要求:允许10网段访问192网段,禁止192网段访问10网段。 请问要怎么做?大致的拓扑图是怎么样的?
yezhongkai168 2008-01-11
- 打赏
- 举报
我就是不希望他们互访,只要单向的。
现在我的要求是:允许10网段访问192网段,不允许192网段访问10网段。
现在我的要求是:允许10网段访问192网段,不允许192网段访问10网段。
drifter250771 2008-01-11
- 打赏
- 举报
很明显,你这台路由器是工作在NAT模式下。
如果想达到你的要求:
一是端口映射,适合以下情形:10网段的客户机们需要访问192网络的某台固定服务器上某种业务。若是想实现全面互访则此方法不合适。
二是把此路由器的工作模式更改成纯路由。需要在10网段客户机增加去192网段的静态路由条目、需要在192网络客户机增加去10网段的静态路由条目。
如果想达到你的要求:
一是端口映射,适合以下情形:10网段的客户机们需要访问192网络的某台固定服务器上某种业务。若是想实现全面互访则此方法不合适。
二是把此路由器的工作模式更改成纯路由。需要在10网段客户机增加去192网段的静态路由条目、需要在192网络客户机增加去10网段的静态路由条目。
